취약점 발견 항목

>

Security Health Analytics 및 Web Security Scanner 감지기는 Security Command Center에서 제공되는 취약점 찾기 유형을 생성합니다.

감지기 및 규정 준수

다음 테이블에서는 Security Health Analytics 및 Web Security Scanner에서 생성할 수 있는 감지기 유형과 특정 취약점 찾기 유형을 설명합니다. Google Cloud Console의 Security Command Center 취약점 탭을 사용하여 감지기 이름 및 찾기 유형별로 찾기 항목을 필터링할 수 있습니다.

다음 테이블에는 지원되는 감지기 간의 매핑과 관련 규정 준수 원칙에 대한 최선의 매핑이 포함되어 있습니다.

CIS Google Cloud Foundation 1.0 매핑은 CIS Google Cloud Computing Foundations Benchmark v1.0.0에 맞게 조정되도록 인터넷 보안 센터에서 검토 및 인증하였습니다. 추가 규정 준수 매핑은 참조용으로 포함되어 있으며 결제 카드 산업 데이터 보안 표준 또는 OWASP 재단에서 제공하거나 검토하지 않습니다. 이러한 위반을 수동으로 확인하는 방법에 대한 자세한 내용은 CIS Google Cloud Computing Foundations Benchmark v1.0.0(CIS Google Cloud Foundation 1.0), 결제 카드 산업 데이터 보안 표준 3.2.1(PCI-DSS v3.2.1), OWASP Top Ten, 미국 국립 표준기술연구소 800-53(NIST 800-53) 국제표준화기구 27001(ISO 27001)을 참조하세요.

이 기능은 규정 준수 제어 위반을 모니터링하기 위한 것입니다. 이 매핑은 규제 또는 업계 벤치마크나 표준을 준수하는 제품 또는 서비스의 규정 준수, 인증, 보고를 기반으로 사용하거나 대안으로 제공되지 않습니다.

Security Health Analytics

다음은 Security Health Analytics 감지기에 의해 식별된 찾기 유형입니다. Security Health Analytics는 일부 예외가 있는 실시간 감지를 지원합니다.

2단계 인증 발견 항목

2SV_SCANNER 감지기는 사용자의 2단계 인증과 관련된 취약점을 식별합니다.

표 1. 2단계 인증 스캐너
카테고리 발견 설명 가격 책정 등급 CIS GCP Foundation 1.0 PCI-DSS v3.2.1 OWASP 상위 10개 NIST 800-53 ISO-27001
2SV_NOT_ENFORCED 2단계 인증을 사용하지 않는 사용자가 있습니다. 프리미엄 또는 스탠더드 1.2 IA-2 A.9.4.2

API 키 취약점 발견 항목

API_KEY_SCANNER 감지기는 클라우드 배포에서 사용되는 API 키와 관련된 취약점을 식별합니다.

표 2. API 키 스캐너
카테고리 발견 설명 가격 책정 등급 CIS GCP Foundation 1.0 PCI-DSS v3.2.1 OWASP 상위 10개 NIST 800-53 ISO-27001
API_KEY_APIS_UNRESTRICTED API 키가 너무 광범위하게 사용되고 있습니다. 이 문제를 해결하려면 애플리케이션에 필요한 API만 허용하도록 API 키 사용을 제한하세요. 프리미엄 1.11
API_KEY_APPS_UNRESTRICTED 무제한으로 사용 중인 API 키가 있으며 신뢰할 수 없는 앱에서 사용할 수 있습니다. 프리미엄
API_KEY_EXISTS 프로젝트에서 표준 인증 대신 API 키를 사용합니다. 프리미엄 1.10
API_KEY_NOT_ROTATED API 키가 90일 이상 순환되지 않았습니다. 프리미엄 1.13

Compute 이미지 취약점 발견 항목

COMPUTE_IMAGE_SCANNER 감지기는 Google Cloud 이미지 구성과 관련된 취약점을 식별합니다.

표 3. Compute 이미지 스캐너
카테고리 발견 설명 가격 책정 등급 CIS GCP Foundation 1.0 PCI-DSS v3.2.1 OWASP 상위 10개 NIST 800-53 ISO-27001
PUBLIC_COMPUTE_IMAGE Compute Engine 이미지에 공개적으로 액세스할 수 있습니다. 프리미엄 또는 스탠더드

Compute 인스턴스 취약점 발견 항목

COMPUTE_INSTANCE_SCANNER 감지기는 Google Cloud 인스턴스 구성과 관련된 취약점을 식별합니다.

COMPUTE_INSTANCE_SCANNER 감지기는 GKE에서 만든 Compute 인스턴스의 발견 항목을 보고하지 않습니다. 이러한 인스턴스의 이름은 'gke-'로 시작하며 사용자가 직접 수정할 수 없습니다. 이러한 인스턴스를 보호하려면 컨테이너 취약점 발견 항목 섹션을 참조하세요.

표 4. Compute 인스턴스 스캐너
카테고리 발견 설명 가격 책정 등급 CIS GCP Foundation 1.0 PCI-DSS v3.2.1 OWASP 상위 10개 NIST 800-53 ISO-27001
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED 프로젝트의 모든 인스턴스에 로그인할 수 있도록 프로젝트 전체 SSH 키가 사용됩니다. 프리미엄 4.2
COMPUTE_SECURE_BOOT_DISABLED 보안 VM에는 안전한 부팅이 사용 설정되어 있지 않습니다. 안전한 부팅을 사용하면 루트킷 및 부트킷과 같은 고급 위협으로부터 가상 머신 인스턴스를 보호할 수 있습니다. 프리미엄 4.8
COMPUTE_SERIAL_PORTS_ENABLED 인스턴스에 직렬 포트가 사용 설정되어 있으면 인스턴스의 직렬 콘솔 연결이 허용됩니다. 프리미엄 4.4
DISK_CSEK_DISABLED 이 VM의 디스크는 고객 제공 암호화 키(CSEK)로 암호화되지 않습니다. 이 감지기를 사용하려면 추가 구성 설정이 필요합니다. 이 감지기를 사용 설정하려면 모니터링할 애셋에 보안 표시 enforce_customer_supplied_disk_encryption_keystrue 값과 함께 적용합니다. 프리미엄 4.6
FULL_API_ACCESS 인스턴스는 모든 Google Cloud API에 대한 전체 액세스 권한을 가진 기본 서비스 계정을 사용하도록 구성됩니다. 프리미엄 4.1 AC-6 A.9.2.3
IP_FORWARDING_ENABLED 인스턴스에 IP 전달이 사용 설정되어 있습니다. 프리미엄 4.5
OS_LOGIN_DISABLED 이 인스턴스에서 OS 로그인이 사용 중지됩니다. 프리미엄 4.3
PUBLIC_IP_ADDRESS 인스턴스에 공개 IP 주소가 있습니다. 프리미엄 또는 스탠더드 1.2.1
1.3.5
CA-3
SC-7
WEAK_SSL_POLICY 인스턴스의 SSL 정책이 취약합니다. 프리미엄 SC-7 A.14.1.3

컨테이너 취약점 발견 항목

이러한 발견 유형은 모두 GKE 컨테이너 구성과 관련이 있으며 CONTAINER_SCANNER 감지기 유형에 속합니다.

표 5. 컨테이너 스캐너
카테고리 발견 설명 가격 책정 등급 CIS GCP Foundation 1.0 PCI-DSS v3.2.1 OWASP 상위 10개 NIST 800-53 ISO-27001
AUTO_REPAIR_DISABLED 정상 작동 상태로 노드를 유지하는 GKE 클러스터 자동 복구 기능은 사용 중지됩니다. 프리미엄 7.7
AUTO_UPGRADE_DISABLED 클러스터와 노드 풀을 안정적인 최신 Kubernetes 버전으로 유지하는 GKE 클러스터 자동 업그레이드 기능은 사용 중지됩니다. 프리미엄 7.8
CLUSTER_LOGGING_DISABLED GKE 클러스터에 로깅이 사용 설정되지 않았습니다. 프리미엄 7.1
CLUSTER_MONITORING_DISABLED GKE 클러스터에서 GKE Monitoring은 사용 중지됩니다. 프리미엄 7.2 10.2.2
10.2.7
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED 클러스터 호스트는 비공개 내부 IP 주소만 사용하여 Google API에 액세스하도록 구성되지 않습니다. 프리미엄 7.16 1.3
COS_NOT_USED Compute Engine VM은 Google Cloud에서 Docker 컨테이너를 안전하게 실행하도록 설계된 컨테이너 최적화 OS를 사용하지 않습니다. 프리미엄 7.9 2.2
IP_ALIAS_DISABLED 별칭 IP 범위가 사용 중지된 상태로 GKE 클러스터가 생성되었습니다. 프리미엄 7.13 1.3.4
1.3.7
LEGACY_AUTHORIZATION_ENABLED GKE 클러스터에서 레거시 승인이 사용 설정되었습니다. 프리미엄 7.3 4.1
LEGACY_METADATA_ENABLED 기존 메타데이터가 GKE 클러스터에서 사용 설정됩니다. 프리미엄
MASTER_AUTHORIZED_NETWORKS_DISABLED 마스터 승인 네트워크는 GKE 클러스터에서 사용 설정되지 않습니다. 프리미엄 7.4
NETWORK_POLICY_DISABLED 네트워크 정책은 GKE 클러스터에서 사용 중지됩니다. 프리미엄 7.11 1.3 SC-7 A.13.1.1
OVER_PRIVILEGED_ACCOUNT 서비스 계정의 클러스터에 지나치게 광범위한 프로젝트 액세스 권한이 있습니다. 프리미엄 7.17 2.1 AC-6
SC-7
A.9.2.3
OVER_PRIVILEGED_SCOPES 노드 서비스 계정에 광범위한 액세스 범위가 있습니다. 프리미엄 7.18
POD_SECURITY_POLICY_DISABLED GKE 클러스터에서 PodSecurityPolicy가 사용 중지됩니다. 프리미엄 7.14
PRIVATE_CLUSTER_DISABLED GKE 클러스터에 비공개 클러스터가 사용 중지되어 있습니다. 프리미엄 7.15
WEB_UI_ENABLED GKE 웹 UI(대시보드)가 사용 설정됩니다. 프리미엄 또는 스탠더드 7.6 6.5.8
6.6
WORKLOAD_IDENTITY_DISABLED 워크로드 아이덴티티가 GKE 클러스터에서 사용 중지됩니다. 프리미엄

데이터 세트 취약점 발견 항목

이 감지기 유형의 취약점은 모두 BigQuery 데이터 세트 구성과 관련되며 DATASET_SCANNER 감지기 유형에 속합니다.

표 6. 데이터 세트 스캐너
카테고리 발견 설명 가격 책정 등급 CIS GCP Foundation 1.0 PCI-DSS v3.2.1 OWASP 상위 10개 NIST 800-53 ISO-27001
PUBLIC_DATASET 데이터 세트는 공개 액세스가 가능하도록 구성되어 있습니다. 프리미엄 AC-3 A.8.2.3
A.14.1.3

DNS 취약점 발견 항목

이 감지기 유형의 취약점은 모두 Cloud DNS 구성과 관련이 있으며 DNS_SCANNER 감지기 유형에 속합니다.

표 7. DNS 스캐너
카테고리 발견 설명 가격 책정 등급 CIS GCP Foundation 1.0 PCI-DSS v3.2.1 OWASP 상위 10개 NIST 800-53 ISO-27001
DNSSEC_DISABLED Cloud DNS 영역에서 DNSSEC가 사용 중지됩니다. 프리미엄 3.3 A.8.2.3
RSASHA1_FOR_SIGNING RSASHA1은 Cloud DNS 영역의 키 서명에 사용됩니다. 프리미엄 3.4
3.5

방화벽 취약점 발견 항목

이 감지기 유형의 취약점은 모두 방화벽 구성과 관련이 있으며 FIREWALL_SCANNER 감지기 유형에 속합니다.

표 8. 방화벽 스캐너
카테고리 발견 설명 가격 책정 등급 CIS GCP Foundation 1.0 PCI-DSS v3.2.1 OWASP 상위 10개 NIST 800-53 ISO-27001
FIREWALL_RULE_LOGGING_DISABLED 방화벽 규칙 로깅이 사용 중지되었습니다. 네트워크 액세스를 감사할 수 있도록 방화벽 규칙 로깅을 사용 설정해야 합니다. 프리미엄 10.1 SI-4 A.13.1.1
OPEN_FIREWALL 방화벽은 공개 액세스가 가능하도록 구성되어 있습니다. 프리미엄 또는 스탠더드 1.2.1
OPEN_RDP_PORT 방화벽은 일반 액세스를 허용하는 개방형 RDP 포트를 갖도록 구성됩니다. 프리미엄 또는 스탠더드 3.7 1.2.1 SC-7 A.13.1.1
OPEN_SSH_PORT 방화벽은 일반 액세스를 허용하는 개방형 SSH 포트를 갖도록 구성됩니다. 프리미엄 또는 스탠더드 3.6 1.2.1 SC-7 A.13.1.1

IAM 취약점 발견 항목

이 감지기 유형의 취약점은 모두 ID 및 액세스 관리(IAM) 구성과 관련이 있으며 IAM_SCANNER 감지기 유형에 속합니다.

표 9. IAM 스캐너
카테고리 발견 설명 가격 책정 등급 CIS GCP Foundation 1.0 PCI-DSS v3.2.1 OWASP 상위 10개 NIST 800-53 ISO-27001
ADMIN_SERVICE_ACCOUNT 관리자 역할로 구성된 서비스 계정이 있습니다. 프리미엄 1.4
KMS_PROJECT_HAS_OWNER 사용자에게 암호화 키가 있는 프로젝트에 대한 '소유자' 권한이 있습니다. 프리미엄 3.5 AC-6
SC-12
A.9.2.3
A.10.1.2
KMS_ROLE_SEPARATION 업무 분리는 시행되지 않으며 동시에 Cloud Key Management Service(Cloud KMS) CryptoKey 암호화/복호화, 암호화기 또는 복호화기 역할 중 하나를 가진 사용자가 존재합니다. 프리미엄 1.9 AC-5 A.9.2.3
A.10.1.2
NON_ORG_IAM_MEMBER 조직 사용자 인증 정보를 사용하지 않는 사용자가 있습니다. 현재 CIS GCP Foundations 1.0에 따라 이 감지기는 @gmail.com 이메일 주소가 있는 ID에 의해서만 트리거됩니다. 프리미엄 또는 스탠더드 1.1 7.1.2 AC-3 A.9.2.3
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER 사용자는 특정 서비스 계정 대신 프로젝트 수준에서 서비스 계정 사용자 역할을 가집니다. 프리미엄 1.5 7.1.2 AC-6 A.9.2.3
PRIMITIVE_ROLES_USED 사용자에게는 소유자, 작성자, 또는 독자 등의 기본 역할이 있습니다. 이러한 역할은 권한이 너무 크므로 사용하면 안 됩니다. 프리미엄 7.1.2 AC-6 A.9.2.3
REDIS_ROLE_USED_ON_ORG Redis IAM 역할은 조직 또는 폴더 수준에서 할당됩니다. 프리미엄 8.7 A.9.2.3
SERVICE_ACCOUNT_ROLE_SEPARATION 사용자에게 서비스 계정 관리자 및 서비스 계정 사용자 역할이 할당되었습니다. 이는 '업무 분리' 원칙을 위반하는 것입니다. 프리미엄 1.7 AC-5
SERVICE_ACCOUNT_KEY_NOT_ROTATED 서비스 계정 키가 90일 이상 순환되지 않았습니다. 프리미엄 1.6
USER_MANAGED_SERVICE_ACCOUNT_KEY 서비스 계정 키는 사용자가 관리합니다. 프리미엄 1.3

KMS 취약점 발견 항목

이 감지기 유형의 취약점은 모두 Cloud KMS 구성과 관련이 있으며 KMS_SCANNER 감지기 유형에 속합니다.

표 10. KMS 스캐너
카테고리 발견 설명 가격 책정 등급 CIS GCP Foundation 1.0 PCI-DSS v3.2.1 OWASP 상위 10개 NIST 800-53 ISO-27001
KMS_KEY_NOT_ROTATED 순환게재는 Cloud KMS 암호화 키에 구성되어 있지 않습니다. 프리미엄 1.8 SC-12 A.10.1.2
TOO_MANY_KMS_USERS 암호화 키에는 3명 이상의 사용자가 있습니다. 프리미엄 3.5.2 A.9.2.3

취약점 발견 항목 로깅

이 감지기 유형의 취약점은 모두 로깅 구성과 관련이 있으며 LOGGING_SCANNER 감지기 유형에 속합니다.

표 11. 로깅 스캐너
카테고리 발견 설명 가격 책정 등급 CIS GCP Foundation 1.0 PCI-DSS v3.2.1 OWASP 상위 10개 NIST 800-53 ISO-27001
AUDIT_LOGGING_DISABLED 이 리소스에 대한 감사 로깅이 사용 중지되었습니다. 프리미엄 2.1 10.2.3 AU-2 A.12.4.1
A.16.1.7
BUCKET_LOGGING_DISABLED 로깅이 사용 설정되지 않은 스토리지 버킷이 있습니다. 프리미엄 5.3
LOG_NOT_EXPORTED 적절한 로그 싱크가 구성되어 있지 않은 리소스가 있습니다. 프리미엄 2.2 10.2.3 A.18.1.3
OBJECT_VERSIONING_DISABLED 싱크가 구성된 스토리지 버킷에서 객체 버전 관리가 사용 설정되어 있지 않습니다. 프리미엄 2.3 10.2.3
PUBLIC_LOG_BUCKET 로그 싱크에 공개적으로 액세스할 수 있어서는 안 되므로 스토리지 버킷이 사용됩니다. 프리미엄 또는 스탠더드 10.5 AU-9 A.8.2.3
A.12.4.2
A.18.1.3

취약점 발견 항목 모니터링

이 감지기 유형의 취약점은 모두 모니터링 구성과 관련이 있으며 MONITORING_SCANNER 유형에 속합니다. 모든 모니터링 감지기 찾기 속성에는 다음이 포함됩니다.

  • 로그 측정항목을 만들 때 사용할 RecommendedLogFilter
  • 권장 로그 필터에 나열된 조건을 다루는 QualifiedLogMetricNames
  • 프로젝트에 검증된 로그 측정항목에 대해 생성된 알림 정책이 없거나 기존 알림 정책에 권장 설정이 없다는 것을 표시하는 AlertPolicyFailureReasons
표 12. 모니터링 스캐너
카테고리 발견 설명 가격 책정 등급 CIS GCP Foundation 1.0 PCI-DSS v3.2.1 OWASP 상위 10개 NIST 800-53 ISO-27001
AUDIT_CONFIG_NOT_MONITORED 로그 측정항목 및 알림은 감사 구성 변경사항을 모니터링하도록 구성되지 않습니다. 프리미엄 2.5
BUCKET_IAM_NOT_MONITORED 로그 측정항목 및 알림은 Cloud Storage IAM 권한 변경을 모니터링하도록 구성되지 않습니다. 프리미엄 2.10 1.3.2
CUSTOM_ROLE_NOT_MONITORED 로그 측정항목 및 알림은 커스텀 역할 변경을 모니터링하도록 구성되지 않습니다. 프리미엄 2.6
FIREWALL_NOT_MONITORED 로그 측정항목 및 알림은 VPC 네트워크 방화벽 규칙 변경을 모니터링하도록 구성되지 않습니다. 프리미엄 2.7
NETWORK_NOT_MONITORED 로그 측정항목 및 알림은 VPC 네트워크 변경사항을 모니터링하도록 구성되지 않았습니다. 프리미엄 2.9
OWNER_NOT_MONITORED 로그 측정항목 및 알림은 프로젝트 소유권 할당 또는 변경사항을 모니터링하도록 구성되지 않습니다. 프리미엄 2.4
ROUTE_NOT_MONITORED 로그 측정항목과 알림은 VPC 네트워크 경로 변경사항을 모니터링하도록 구성되지 않습니다. 프리미엄 2.8
SQL_INSTANCE_NOT_MONITORED 로그 측정항목 및 알림은 Cloud SQL 인스턴스 구성 변경사항을 모니터링하도록 구성되지 않습니다. 프리미엄 2.11

네트워크 취약점 발견 항목

이 감지기 유형의 취약점은 모두 조직의 네트워크 구성과 관련이 있으며 NETWORK_SCANNER 유형에 속합니다.

표 13. 네트워크 스캐너
카테고리 발견 설명 가격 책정 등급 CIS GCP Foundation 1.0 PCI-DSS v3.2.1 OWASP 상위 10개 NIST 800-53 ISO-27001
DEFAULT_NETWORK 프로젝트에 기본 네트워크가 있습니다. 프리미엄 3.1
LEGACY_NETWORK 프로젝트에 기존 네트워크가 있습니다. 프리미엄 3.2

SSH 비밀번호 취약점 발견 항목

이 감지기 유형의 취약점은 모두 비밀번호와 관련이 있으며 SSH_PASSWORD 유형에 속합니다.

표 14. SSH 비밀번호 스캐너
카테고리 발견 설명 가격 책정 등급 CIS GCP Foundation 1.0 PCI-DSS v3.2.1 OWASP 상위 10개 NIST 800-53 ISO-27001
WEAK_SSH_PASSWORD 리소스에 취약한 SSH 비밀번호가 있습니다. 프리미엄

SQL 취약점 발견 항목

이 감지기 유형의 취약점은 모두 Cloud SQL 구성과 관련이 있으며 SQL_SCANNER 유형에 속합니다.

표 15. SQL 스캐너
카테고리 발견 설명 가격 책정 등급 CIS GCP Foundation 1.0 PCI-DSS v3.2.1 OWASP 상위 10개 NIST 800-53 ISO-27001
AUTO_BACKUP_DISABLED Cloud SQL 데이터베이스에는 자동 백업이 사용 설정되어 있지 않습니다. 프리미엄 10.2.1 CA-3 A.12.3.1
PUBLIC_SQL_INSTANCE Cloud SQL 데이터베이스 인스턴스는 모든 IP 주소의 연결을 허용합니다. 프리미엄 또는 스탠더드 6.2 1.2.1 CA-3
SC-7
A.8.2.3
A.13.1.3
A.14.1.3
SSL_NOT_ENFORCED Cloud SQL 데이터베이스 인스턴스는 SSL을 사용하기 위해 모든 수신 연결을 필요로 하지 않습니다. 프리미엄 또는 스탠더드 6.1 2.3 SC-7 A.8.2.3
A.13.2.1
A.14.1.3
SQL_NO_ROOT_PASSWORD Cloud SQL 데이터베이스에는 루트 계정에 대해 구성된 비밀번호가 없습니다. 프리미엄
SQL_WEAK_ROOT_PASSWORD Cloud SQL 데이터베이스에 루트 계정에 대해 취약한 비밀번호가 구성되어 있습니다. 프리미엄

스토리지 취약점 발견 항목

이 감지기 유형의 취약점은 모두 Cloud Storage 버킷 구성과 관련이 있으며 STORAGE_SCANNER 유형에 속합니다.

표 16. 스토리지 스캐너
카테고리 발견 설명 가격 책정 등급 CIS GCP Foundation 1.0 PCI-DSS v3.2.1 OWASP 상위 10개 NIST 800-53 ISO-27001
BUCKET_POLICY_ONLY_DISABLED 이전에 Bucket Policy Only이라고 불렀던 Uniform bucket-level access는 구성되지 않습니다. 프리미엄
LOGGING_DISABLED Cloud Storage 버킷에 대한 로깅이 사용 중지되었습니다. 프리미엄
PUBLIC_BUCKET_ACL Cloud Storage 버킷에 공개적으로 액세스할 수 있습니다. 프리미엄 또는 스탠더드 5.1 7.1 AC-2 A.8.2.3
A.14.1.3

서브네트워크 취약점 발견 항목

이 감지기 유형의 취약점은 모두 조직의 서브네트워크 구성과 관련이 있으며 SUBNETWORK_SCANNER 유형에 속합니다.

표 17. 서브네트워크 스캐너
카테고리 발견 설명 가격 책정 등급 CIS GCP Foundation 1.0 PCI-DSS v3.2.1 OWASP 상위 10개 NIST 800-53 ISO-27001
FLOW_LOGS_DISABLED 흐름 로그가 사용 중지된 VPC 서브네트워크가 있습니다. 프리미엄 3.9 SI-4 A.13.1.1
PRIVATE_GOOGLE_ACCESS_DISABLED Google 공개 API에 액세스할 수 없는 비공개 서브넷이 있습니다. 프리미엄 3.8

Web Security Scanner 발견 항목

다음은 Web Security Scanner 커스텀 스캔 및 관리형 스캔에서 식별된 발견 항목 유형입니다. 표준 등급에서 Web Security Scanner는 방화벽으로 보호되지 않는 공개 URL 및 IP를 포함하여 배포된 애플리케이션의 커스텀 스캔을 지원합니다.

표 18.Web Security Scanner 발견 항목
카테고리 발견 설명 CIS GCP Foundation 1.0 PCI-DSS v3.2.1 OWASP 상위 10개 NIST 800-53 ISO-27001
ACCESSIBLE_GIT_REPOSITORY GIT 저장소가 공개됩니다. 이 문제를 해결하려면 GIT 저장소에 대한 의도하지 않은 공개 액세스를 삭제하세요. A3
ACCESSIBLE_SVN_REPOSITORY SVN 저장소가 공개됩니다. 이 문제를 해결하려면 SVN 저장소에 대한 의도하지 않은 공개 액세스를 삭제하세요. A3
CLEAR_TEXT_PASSWORD 비밀번호가 명확한 텍스트로 전송되고 가로채기될 수 있습니다. 이 문제를 해결하려면 네트워크를 통해 전송된 비밀번호를 암호화하세요. A3
INVALID_CONTENT_TYPE 리소스가 로드되었지만 응답의 콘텐츠 유형 HTTP 헤더와 일치하지 않습니다. 이 문제를 해결하려면 'X-Content-Type-Options' HTTP 헤더를 올바른 값으로 설정하세요. A6
INVALID_HEADER 보안 헤더에 구문 오류가 있으며 브라우저에서 무시됩니다. 이 문제를 해결하려면 HTTP 보안 헤더를 올바르게 설정하세요. A6
MISMATCHING_SECURITY_HEADER_VALUES 보안 헤더에 중복된 불일치 값이 존재하여 정의되지 않은 동작이 발생합니다. 이 문제를 해결하려면 HTTP 보안 헤더를 올바르게 설정하세요. A6
MISSPELLED_SECURITY_HEADER_NAME 보안 헤더의 철자가 잘못 입력되어 무시됩니다. 이 문제를 해결하려면 HTTP 보안 헤더를 올바르게 설정하세요. A6
MIXED_CONTENT 리소스가 HTTPS 페이지에서 HTTP를 통해 제공되고 있습니다. 이 문제를 해결하려면 모든 리소스가 HTTPS를 통해 제공되도록 설정하세요. A6
OUTDATED_LIBRARY 알려진 취약점이 있는 라이브러리가 감지되었습니다. 이 문제를 해결하려면 라이브러리를 최신 버전으로 업그레이드하세요. A9
XSS 이 웹 애플리케이션의 필드는 교차 사이트 스크립팅(XSS) 공격에 취약합니다. 이 문제를 해결하려면 신뢰할 수 없는 사용자 제공 데이터를 검증하고 이스케이프 처리하세요. A7
XSS_ANGULAR_CALLBACK 사용자가 제공한 문자열은 이스케이프 처리되지 않으며 AngularJS에서 보간될 수 있습니다. 이 문제를 해결하려면 Angular 프레임워크에서 처리하는 신뢰할 수 없는 사용자 제공 데이터를 검증하고 이스케이프 처리하세요. A7
XSS_ERROR 이 웹 애플리케이션의 필드는 교차 사이트 스크립팅 공격에 취약합니다. 이 문제를 해결하려면 신뢰할 수 없는 사용자 제공 데이터를 검증하고 이스케이프 처리하세요. A7

CIS 벤치마크

인터넷 보안 센터(CIS)에는 현재 Web Security Scanner 또는 Security Health Analytics 감지기에서 지원하지 않는 다음 벤치마크가 포함되어 있습니다.

표 19. CIS 벤치마크
카테고리 발견 설명 CIS GCP Foundation 1.0 NIST 800-53 ISO-27001
BASIC_AUTHENTICATION_ENABLED Kubernetes 클러스터에서 IAM 또는 클라이언트 인증서 인증을 사용 설정해야 합니다. 7.10
CLIENT_CERT_AUTHENTICATION_DISABLED 클라이언트 인증서를 사용 설정해 Kubernetes 클러스터를 만들어야 합니다. 7.12
LABELS_NOT_USED 라벨을 사용하면 결제 정보를 분석할 수 있습니다. 7.5
PUBLIC_STORAGE_OBJECT 스토리지 객체 ACL이 AllUsers에 대한 액세스 권한을 부여하면 안 됩니다. 5.2
SQL_BROAD_ROOT_LOGIN SQL 데이터베이스에 대한 루트 액세스 권한은 허용 목록의 신뢰할 수 있는 IP로 제한해야 합니다. 6.4

다음 단계