Security Health Analytics 및 Web Security Scanner 감지기는 Security Command Center에서 제공되는 취약점 발견 항목을 생성합니다.
감지기 및 규정 준수
다음 테이블에서는 Security Health Analytics 및 Web Security Scanner에서 생성할 수 있는 감지기 유형과 특정 취약점 찾기 유형을 설명합니다. Google Cloud Console의 Security Command Center 취약점 탭을 사용하여 감지기 이름 및 발견 항목 유형별로 발견 항목을 필터링할 수 있습니다.
다음 테이블에는 지원되는 감지기 간의 매핑과 관련 규정 준수 원칙에 대한 최선의 매핑이 포함되어 있습니다.
CIS Google Cloud Foundation 1.0 매핑은 CIS Google Cloud Computing Foundations Benchmark v1.0.0에 맞게 조정되도록 인터넷 보안 센터에서 검토 및 인증하였습니다. 추가 규정 준수 매핑은 참조용으로 포함되어 있으며 결제 카드 산업 데이터 보안 표준 또는 OWASP 재단에서 제공하거나 검토하지 않습니다. 이러한 위반을 수동으로 확인하는 방법에 대한 자세한 내용은 CIS Google Cloud Computing Foundations Benchmark v1.0.0(CIS Google Cloud Foundation 1.0), 결제 카드 산업 데이터 보안 표준 3.2.1(PCI-DSS v3.2.1), OWASP Top Ten, 미국 국립 표준기술연구소 800-53(NIST 800-53) 국제표준화기구 27001(ISO 27001)을 참조하세요.
이 기능은 규정 준수 제어 위반을 모니터링하기 위한 것입니다. 이 매핑은 규제 또는 업계 벤치마크나 표준을 준수하는 제품 또는 서비스의 규정 준수, 인증, 보고를 기반으로 사용하거나 대안으로 제공되지 않습니다.
Security Health Analytics
다음은 Security Health Analytics 감지기에 의해 식별된 찾기 유형입니다. Security Health Analytics는 일부 예외가 있는 실시간 감지를 지원합니다.
다단계 인증 발견 항목
MFA_SCANNER 감지기는 사용자의 다단계 인증과 관련된 취약점을 식별합니다.
| 카테고리 | 발견 설명 | 가격 책정 등급 | CIS GCP Foundation 1.0 | PCI-DSS v3.2.1 | OWASP 상위 10개 | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
MFA_NOT_ENFORCED |
다단계 인증, 특히 2단계 인증을 사용하지 않는 사용자가 있습니다. | 프리미엄 또는 스탠더드 | 1.2 | 8.3 | IA-2 | A.9.4.2 |
API 키 취약점 발견 항목
API_KEY_SCANNER 감지기는 클라우드 배포에서 사용되는 API 키와 관련된 취약점을 식별합니다.
| 카테고리 | 발견 설명 | 가격 책정 등급 | CIS GCP Foundation 1.0 | PCI-DSS v3.2.1 | OWASP 상위 10개 | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
API_KEY_APIS_UNRESTRICTED |
API 키가 너무 광범위하게 사용되고 있습니다. 이 문제를 해결하려면 애플리케이션에 필요한 API만 허용하도록 API 키 사용을 제한하세요. | 프리미엄 | 1.12 | ||||
API_KEY_APPS_UNRESTRICTED |
무제한으로 사용 중인 API 키가 있으며 신뢰할 수 없는 앱에서 사용할 수 있습니다. | 프리미엄 | 1.11 | ||||
API_KEY_EXISTS |
프로젝트에서 표준 인증 대신 API 키를 사용합니다. | 프리미엄 | 1.10 | ||||
API_KEY_NOT_ROTATED |
API 키가 90일 이상 순환되지 않았습니다. | 프리미엄 | 1.13 |
Compute 이미지 취약점 발견 항목
COMPUTE_IMAGE_SCANNER 감지기는 Google Cloud 이미지 구성과 관련된 취약점을 식별합니다.
| 카테고리 | 발견 설명 | 가격 책정 등급 | CIS GCP Foundation 1.0 | PCI-DSS v3.2.1 | OWASP 상위 10개 | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
PUBLIC_COMPUTE_IMAGE |
Compute Engine 이미지에 공개적으로 액세스할 수 있습니다. | 프리미엄 |
Compute 인스턴스 취약점 발견 항목
COMPUTE_INSTANCE_SCANNER 감지기는 Compute Engine 인스턴스 구성과 관련된 취약점을 식별합니다.
COMPUTE_INSTANCE_SCANNER 감지기는 GKE에서 만든 Compute Engine 인스턴스의 발견 항목을 보고하지 않습니다. 이러한 인스턴스의 이름은 'gke-'로 시작하며 사용자가 직접 수정할 수 없습니다. 이러한 인스턴스를 보호하려면 컨테이너 취약점 발견 항목 섹션을 참조하세요.
| 카테고리 | 발견 설명 | 가격 책정 등급 | CIS GCP Foundation 1.0 | PCI-DSS v3.2.1 | OWASP 상위 10개 | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
프로젝트의 모든 인스턴스에 로그인할 수 있도록 프로젝트 전체 SSH 키가 사용됩니다. | 프리미엄 | 4.2 | ||||
COMPUTE_SECURE_BOOT_DISABLED |
이 보안 VM에는 안전한 부팅이 사용 설정되어 있지 않습니다. 안전한 부팅을 사용하면 루트킷 및 부트킷과 같은 고급 위협으로부터 가상 머신 인스턴스를 보호할 수 있습니다. | 프리미엄 | |||||
COMPUTE_SERIAL_PORTS_ENABLED |
인스턴스에 직렬 포트가 사용 설정되어 있으면 인스턴스의 직렬 콘솔 연결이 허용됩니다. | 프리미엄 | 4.4 | ||||
DISK_CSEK_DISABLED |
이 VM의 디스크는 고객 제공 암호화 키(CSEK)로 암호화되지 않습니다. 이 감지기를 사용하려면 추가 구성 설정이 필요합니다. 이 감지기를 사용 설정하려면 모니터링할 애셋에 보안 표시 enforce_customer_supplied_disk_encryption_keys을 true 값과 함께 적용합니다.
|
프리미엄 | 4.6 | ||||
FULL_API_ACCESS |
인스턴스는 모든 Google Cloud API에 대한 전체 액세스 권한을 가진 기본 서비스 계정을 사용하도록 구성됩니다. | 프리미엄 | 4.1 | 7.1.2 | AC-6 | A.9.2.3 | |
HTTP_LOAD_BALANCER |
인스턴스는 대상 HTTPS 프록시 대신 대상 HTTP 프록시를 사용하도록 구성된 부하 분산기를 사용합니다. | 프리미엄 | 2.3 | ||||
IP_FORWARDING_ENABLED |
인스턴스에 IP 전달이 사용 설정되어 있습니다. | 프리미엄 | 4.5 | ||||
OS_LOGIN_DISABLED |
이 인스턴스에서 OS 로그인이 사용 중지됩니다. | 프리미엄 | 4.3 | ||||
PUBLIC_IP_ADDRESS |
인스턴스에 공개 IP 주소가 있습니다. | 프리미엄 또는 스탠더드 |
1.2.1
1.3.5 |
CA-3
SC-7 |
|||
SHIELDED_VM_DISABLED |
이 인스턴스에서 보안 VM이 사용 중지되었습니다. | 프리미엄 | |||||
WEAK_SSL_POLICY |
인스턴스의 SSL 정책이 취약합니다. | 프리미엄 | 4.1 | SC-7 | A.14.1.3 | ||
DEFAULT_SERVICE_ACCOUNT_USED |
인스턴스는 기본 서비스 계정을 사용하도록 구성됩니다. | 프리미엄 |
컨테이너 취약점 발견 항목
이러한 발견 유형은 모두 GKE 컨테이너 구성과 관련이 있으며 CONTAINER_SCANNER 감지기 유형에 속합니다.
| 카테고리 | 발견 설명 | 가격 책정 등급 | CIS GCP Foundation 1.0 | PCI-DSS v3.2.1 | OWASP 상위 10개 | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
AUTO_REPAIR_DISABLED |
정상 작동 상태로 노드를 유지하는 GKE 클러스터 자동 복구 기능은 사용 중지됩니다. | 프리미엄 | 7.7 | 2.2 | |||
AUTO_UPGRADE_DISABLED |
클러스터와 노드 풀을 안정적인 최신 Kubernetes 버전으로 유지하는 GKE 클러스터 자동 업그레이드 기능은 사용 중지됩니다. | 프리미엄 | 7.8 | 2.2 | |||
CLUSTER_LOGGING_DISABLED |
GKE 클러스터에 로깅이 사용 설정되지 않았습니다. | 프리미엄 | 7.1 |
10.2.2
10.2.7 |
|||
CLUSTER_MONITORING_DISABLED |
GKE 클러스터에서 GKE Monitoring은 사용 중지됩니다. | 프리미엄 | 7.2 |
10.1
10.2 |
|||
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED |
클러스터 호스트는 비공개 내부 IP 주소만 사용하여 Google API에 액세스하도록 구성되지 않습니다. | 프리미엄 | 7.1 | 1.3 | |||
COS_NOT_USED |
Compute Engine VM은 Google Cloud에서 Docker 컨테이너를 안전하게 실행하도록 설계된 Container-Optimized OS를 사용하지 않습니다. | 프리미엄 | 7.9 | 2.2 | |||
IP_ALIAS_DISABLED |
별칭 IP 범위가 사용 중지된 상태로 GKE 클러스터가 생성되었습니다. | 프리미엄 | 7.1 |
1.3.4
1.3.7 |
|||
LEGACY_AUTHORIZATION_ENABLED |
GKE 클러스터에서 레거시 승인이 사용 설정되었습니다. | 프리미엄 | 7.3 | 4.1 | |||
LEGACY_METADATA_ENABLED |
기존 메타데이터가 GKE 클러스터에서 사용 설정됩니다. | 프리미엄 | |||||
MASTER_AUTHORIZED_NETWORKS_DISABLED |
마스터 승인 네트워크는 GKE 클러스터에서 사용 설정되지 않습니다. | 프리미엄 | 7.4 |
1.2.1
1.3.2 |
|||
NETWORK_POLICY_DISABLED |
네트워크 정책은 GKE 클러스터에서 사용 중지됩니다. | 프리미엄 | 7.1 | 1.3 | SC-7 | A.13.1.1 | |
OVER_PRIVILEGED_ACCOUNT |
서비스 계정의 클러스터에 지나치게 광범위한 프로젝트 액세스 권한이 있습니다. | 프리미엄 | 7.1 |
2.1
7.1.2 |
AC-6
SC-7 |
A.9.2.3 | |
OVER_PRIVILEGED_SCOPES |
노드 서비스 계정에 광범위한 액세스 범위가 있습니다. | 프리미엄 | 7.1 | ||||
POD_SECURITY_POLICY_DISABLED |
GKE 클러스터에서 PodSecurityPolicy가 사용 중지됩니다.
|
프리미엄 | 7.1 | ||||
PRIVATE_CLUSTER_DISABLED |
GKE 클러스터에 비공개 클러스터가 사용 중지되어 있습니다. | 프리미엄 | 7.1 | 1.3.2 | |||
WEB_UI_ENABLED |
GKE 웹 UI(대시보드)가 사용 설정됩니다. | 프리미엄 또는 스탠더드 | 7.6 | 6.6 | |||
WORKLOAD_IDENTITY_DISABLED |
워크로드 아이덴티티가 GKE 클러스터에서 사용 중지됩니다. | 프리미엄 |
데이터 세트 취약점 발견 항목
이 감지기 유형의 취약점은 모두 BigQuery 데이터 세트 구성과 관련되며 DATASET_SCANNER 감지기 유형에 속합니다.
| 카테고리 | 발견 설명 | 가격 책정 등급 | CIS GCP Foundation 1.0 | PCI-DSS v3.2.1 | OWASP 상위 10개 | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
PUBLIC_DATASET |
데이터 세트는 공개 액세스가 가능하도록 구성되어 있습니다. | 프리미엄 또는 스탠더드 | 7.1 | AC-2 |
A.8.2.3
A.14.1.3 |
DNS 취약점 발견 항목
이 감지기 유형의 취약점은 모두 Cloud DNS 구성과 관련이 있으며 DNS_SCANNER 감지기 유형에 속합니다.
| 카테고리 | 발견 설명 | 가격 책정 등급 | CIS GCP Foundation 1.0 | PCI-DSS v3.2.1 | OWASP 상위 10개 | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
DNSSEC_DISABLED |
Cloud DNS 영역에서 DNSSEC가 사용 중지됩니다. | 프리미엄 | 3.3 | A.8.2.3 | |||
RSASHA1_FOR_SIGNING |
RSASHA1은 Cloud DNS 영역의 키 서명에 사용됩니다. | 프리미엄 |
3.4
3.5 |
방화벽 취약점 발견 항목
이 감지기 유형의 취약점은 모두 방화벽 구성과 관련이 있으며 FIREWALL_SCANNER 감지기 유형에 속합니다.
| 카테고리 | 발견 설명 | 가격 책정 등급 | CIS GCP Foundation 1.0 | PCI-DSS v3.2.1 | OWASP 상위 10개 | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
EGRESS_DENY_RULE_NOT_SET |
이그레스 거부 규칙은 방화벽에 설정되지 않습니다. 이그레스 거부 규칙은 원치 않는 아웃바운드 트래픽을 차단하도록 설정해야 합니다. | 프리미엄 | 7.2 | ||||
FIREWALL_RULE_LOGGING_DISABLED |
방화벽 규칙 로깅이 사용 중지되었습니다. 네트워크 액세스를 감사할 수 있도록 방화벽 규칙 로깅을 사용 설정해야 합니다. | 프리미엄 |
10.1
10.2 |
SI-4 | A.13.1.1 | ||
OPEN_CASSANDRA_PORT |
방화벽은 일반 액세스를 허용하는 개방형 CASSANDRA 포트를 갖도록 구성됩니다. | 프리미엄 | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_CISCOSECURE_WEBSM_PORT |
방화벽은 일반 액세스를 허용하는 개방형 CISCOSECURE_WEBSM 포트를 갖도록 구성됩니다. | 프리미엄 | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_DIRECTORY_SERVICES_PORT |
방화벽이 일반 액세스를 허용하는 열린 DIRECTORY_SERVICES 포트를 갖도록 구성됩니다. | 프리미엄 | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_DNS_PORT |
방화벽은 일반 액세스를 허용하는 개방형 DNS 포트를 갖도록 구성됩니다. | 프리미엄 | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_ELASTICSEARCH_PORT |
방화벽은 일반 액세스를 허용하는 개방형 ELASTICSEARCH 포트를 갖도록 구성됩니다. | 프리미엄 | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_FIREWALL |
방화벽은 공개 액세스가 가능하도록 구성되어 있습니다. | 프리미엄 또는 스탠더드 | 1.2.1 | ||||
OPEN_FTP_PORT |
방화벽은 일반 액세스를 허용하는 개방형 FTP 포트를 갖도록 구성됩니다. | 프리미엄 | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_HTTP_PORT |
방화벽은 일반 액세스를 허용하는 개방형 HTTP 포트를 갖도록 구성됩니다. | 프리미엄 | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_LDAP_PORT |
방화벽은 일반 액세스를 허용하는 개방형 LDAP 포트를 갖도록 구성됩니다. | 프리미엄 | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_MEMCACHED_PORT |
방화벽은 일반 액세스를 허용하는 개방형 MEMCACHED 포트를 갖도록 구성됩니다. | 프리미엄 | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_MONGODB_PORT |
방화벽은 일반 액세스를 허용하는 개방형 MONGODB 포트를 갖도록 구성됩니다. | 프리미엄 | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_MYSQL_PORT |
방화벽은 일반 액세스를 허용하는 개방형 MYSQL 포트를 갖도록 구성됩니다. | 프리미엄 | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_NETBIOS_PORT |
방화벽은 일반 액세스를 허용하는 개방형 NETBIOS 포트를 갖도록 구성됩니다. | 프리미엄 | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_ORACLEDB_PORT |
방화벽은 일반 액세스를 허용하는 개방형 ORACLEDB 포트를 갖도록 구성됩니다. | 프리미엄 | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_POP3_PORT |
방화벽은 일반 액세스를 허용하는 개방형 POP3 포트를 갖도록 구성됩니다. | 프리미엄 | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_POSTGRESQL_PORT |
방화벽은 일반 액세스를 허용하는 개방형 POSTGRESQL 포트를 갖도록 구성됩니다. | 프리미엄 | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_RDP_PORT |
방화벽은 일반 액세스를 허용하는 개방형 RDP 포트를 갖도록 구성됩니다. | 프리미엄 또는 스탠더드 | 3.7 | 1.2.1 | SC-7 | A.13.1.1 | |
OPEN_REDIS_PORT |
방화벽은 일반 액세스를 허용하는 개방형 REDIS 포트를 갖도록 구성됩니다. | 프리미엄 | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_SMTP_PORT |
방화벽은 일반 액세스를 허용하는 개방형 SMTP 포트를 갖도록 구성됩니다. | 프리미엄 | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_SSH_PORT |
방화벽은 일반 액세스를 허용하는 개방형 SSH 포트를 갖도록 구성됩니다. | 프리미엄 또는 스탠더드 | 3.6 | 1.2.1 | SC-7 | A.13.1.1 | |
OPEN_TELNET_PORT |
방화벽은 일반 액세스를 허용하는 개방형 TELNET 포트를 갖도록 구성됩니다. | 프리미엄 | 1.2.1 | SC-7 | A.13.1.1 |
IAM 취약점 발견 항목
이 감지기 유형의 취약점은 모두 ID 및 액세스 관리(IAM) 구성과 관련이 있으며 IAM_SCANNER 감지기 유형에 속합니다.
| 카테고리 | 발견 설명 | 가격 책정 등급 | CIS GCP Foundation 1.0 | PCI-DSS v3.2.1 | OWASP 상위 10개 | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
ADMIN_SERVICE_ACCOUNT |
서비스 계정에는 관리자, 소유자, 편집자 권한이 있습니다. 이러한 역할은 사용자가 만든 서비스 계정에 할당해서는 안 됩니다. | 프리미엄 | 1.4 | ||||
KMS_ROLE_SEPARATION |
업무 분리는 시행되지 않으며 동시에 Cloud Key Management Service(Cloud KMS) CryptoKey 암호화/복호화, 암호화기 또는 복호화기 역할 중 하나를 가진 사용자가 존재합니다. | 프리미엄 | 1.9 | AC-5 |
A.9.2.3
A.10.1.2 |
||
NON_ORG_IAM_MEMBER |
조직 사용자 인증 정보를 사용하지 않는 사용자가 있습니다. 현재 CIS GCP Foundations 1.0에 따라 이 감지기는 @gmail.com 이메일 주소가 있는 ID에 의해서만 트리거됩니다. | 프리미엄 또는 스탠더드 | 1.1 | 7.1.2 | AC-3 | A.9.2.3 | |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
사용자에게는 특정 서비스 계정 대신 프로젝트 수준에서 서비스 계정 사용자 또는 서비스 계정 토큰 생성자 역할이 있습니다. | 프리미엄 | 1.5 | 7.1.2 | AC-6 | A.9.2.3 | |
PRIMITIVE_ROLES_USED |
사용자에게는 소유자, 작성자, 또는 독자 등의 기본 역할이 있습니다. 이러한 역할은 권한이 너무 크므로 사용하면 안 됩니다. | 프리미엄 | 7.1.2 | AC-6 | A.9.2.3 | ||
REDIS_ROLE_USED_ON_ORG |
Redis IAM 역할은 조직 또는 폴더 수준에서 할당됩니다. | 프리미엄 | 7.1.2 | A.9.2.3 | |||
SERVICE_ACCOUNT_ROLE_SEPARATION |
사용자에게 서비스 계정 관리자 및 서비스 계정 사용자 역할이 할당되었습니다. 이는 '업무 분리' 원칙을 위반하는 것입니다. | 프리미엄 | 1.7 | AC-5 | A.9.2.3 | ||
SERVICE_ACCOUNT_KEY_NOT_ROTATED |
서비스 계정 키가 90일 이상 순환되지 않았습니다. | 프리미엄 | 1.6 | ||||
USER_MANAGED_SERVICE_ACCOUNT_KEY |
서비스 계정 키는 사용자가 관리합니다. | 프리미엄 | 1.3 |
KMS 취약점 발견 항목
이 감지기 유형의 취약점은 모두 Cloud KMS 구성과 관련이 있으며 KMS_SCANNER 감지기 유형에 속합니다.
| 카테고리 | 발견 설명 | 가격 책정 등급 | CIS GCP Foundation 1.0 | PCI-DSS v3.2.1 | OWASP 상위 10개 | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
KMS_KEY_NOT_ROTATED |
순환게재는 Cloud KMS 암호화 키에 구성되어 있지 않습니다. 키는 90일 내에 순환되어야 합니다. | 프리미엄 | 1.8 | 3.5 | SC-12 | A.10.1.2 | |
KMS_PROJECT_HAS_OWNER |
사용자에게 암호화 키가 있는 프로젝트에 대한 '소유자' 권한이 있습니다. | 프리미엄 | 3.5 |
AC-6
SC-12 |
A.9.2.3
A.10.1.2 |
||
TOO_MANY_KMS_USERS |
암호화 키에는 3명 이상의 사용자가 있습니다. | 프리미엄 | 3.5.2 | A.9.2.3 | |||
KMS_PUBLIC_KEY |
Cloud KMS 암호화 키에 공개적으로 액세스할 수 있습니다. | 프리미엄 |
취약점 발견 항목 로깅
이 감지기 유형의 취약점은 모두 로깅 구성과 관련이 있으며 LOGGING_SCANNER 감지기 유형에 속합니다.
| 카테고리 | 발견 설명 | 가격 책정 등급 | CIS GCP Foundation 1.0 | PCI-DSS v3.2.1 | OWASP 상위 10개 | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
AUDIT_LOGGING_DISABLED |
이 리소스에 대한 감사 로깅이 사용 중지되었습니다. | 프리미엄 | 2.1 |
10.1
10.2 |
AC-2
AU-2 |
A.12.4.1
A.16.1.7 |
|
BUCKET_LOGGING_DISABLED |
로깅이 사용 설정되지 않은 스토리지 버킷이 있습니다. | 프리미엄 | 5.3 | ||||
LOG_NOT_EXPORTED |
적절한 로그 싱크가 구성되어 있지 않은 리소스가 있습니다. | 프리미엄 | 2.2 | A.18.1.3 | |||
LOCKED_RETENTION_POLICY_NOT_SET |
로그에 잠긴 보관 정책이 설정되어 있지 않습니다. | 프리미엄 | 10.5 | AU-11 | A.12.4.2
A.18.1.3 |
||
OBJECT_VERSIONING_DISABLED |
싱크가 구성된 스토리지 버킷에서 객체 버전 관리가 사용 설정되어 있지 않습니다. | 프리미엄 | 2.3 | 10.5 | AU-11 | A.12.4.2
A.18.1.3 |
취약점 발견 항목 모니터링
이 감지기 유형의 취약점은 모두 모니터링 구성과 관련이 있으며 MONITORING_SCANNER 유형에 속합니다. 모든 모니터링 감지기 찾기 속성에는 다음이 포함됩니다.
-
로그 측정항목을 만들 때 사용할
RecommendedLogFilter -
권장 로그 필터에 나열된 조건을 다루는
QualifiedLogMetricNames -
프로젝트에 검증된 로그 측정항목에 대해 생성된 알림 정책이 없거나 기존 알림 정책에 권장 설정이 없다는 것을 표시하는
AlertPolicyFailureReasons
| 카테고리 | 발견 설명 | 가격 책정 등급 | CIS GCP Foundation 1.0 | PCI-DSS v3.2.1 | OWASP 상위 10개 | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
AUDIT_CONFIG_NOT_MONITORED |
로그 측정항목 및 알림은 감사 구성 변경사항을 모니터링하도록 구성되지 않습니다. | 프리미엄 | 2.5 | ||||
BUCKET_IAM_NOT_MONITORED |
로그 측정항목 및 알림은 Cloud Storage IAM 권한 변경을 모니터링하도록 구성되지 않습니다. | 프리미엄 | 2.10 | ||||
CUSTOM_ROLE_NOT_MONITORED |
로그 측정항목 및 알림은 커스텀 역할 변경을 모니터링하도록 구성되지 않습니다. | 프리미엄 | 2.6 | ||||
FIREWALL_NOT_MONITORED |
로그 측정항목 및 알림은 VPC 네트워크 방화벽 규칙 변경을 모니터링하도록 구성되지 않습니다. | 프리미엄 | 2.7 | ||||
NETWORK_NOT_MONITORED |
로그 측정항목 및 알림은 VPC 네트워크 변경사항을 모니터링하도록 구성되지 않았습니다. | 프리미엄 | 2.9 | ||||
OWNER_NOT_MONITORED |
로그 측정항목 및 알림은 프로젝트 소유권 할당 또는 변경사항을 모니터링하도록 구성되지 않습니다. | 프리미엄 | 2.4 | ||||
ROUTE_NOT_MONITORED |
로그 측정항목과 알림은 VPC 네트워크 경로 변경사항을 모니터링하도록 구성되지 않습니다. | 프리미엄 | 2.8 | ||||
SQL_INSTANCE_NOT_MONITORED |
로그 측정항목 및 알림은 Cloud SQL 인스턴스 구성 변경사항을 모니터링하도록 구성되지 않습니다. | 프리미엄 | 2.11 |
네트워크 취약점 발견 항목
이 감지기 유형의 취약점은 모두 조직의 네트워크 구성과 관련이 있으며 NETWORK_SCANNER 유형에 속합니다.
| 카테고리 | 발견 설명 | 가격 책정 등급 | CIS GCP Foundation 1.0 | PCI-DSS v3.2.1 | OWASP 상위 10개 | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
DEFAULT_NETWORK |
프로젝트에 기본 네트워크가 있습니다. | 프리미엄 | 3.1 | ||||
LEGACY_NETWORK |
프로젝트에 기존 네트워크가 있습니다. | 프리미엄 | 3.2 |
조직 정책 취약점 발견 항목
이 감지기 유형의 취약점은 모두 조직 정책 제약조건의 구성과 관련이 있으며 ORG_POLICY 유형에 속합니다.
| 카테고리 | 발견 설명 | 가격 책정 등급 | CIS GCP Foundation 1.0 | PCI-DSS v3.2.1 | OWASP 상위 10개 | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
ORG_POLICY_CONFIDENTIAL_VM_POLICY |
Compute Engine 리소스가 constraints/compute.restrictNonConfidentialComputing 조직 정책을 준수하지 않습니다. 이 조직 정책 제약조건에 대한 자세한 내용은 컨피덴셜 VM 문서의
조직 정책 제약조건 적용을 참조하세요.
|
프리미엄 | |||||
ORG_POLICY_LOCATION_RESTRICTION |
리소스가 constraints/gcp.resourceLocations 조직 정책을 준수하지 않습니다. 이 조직 정책 제약조건에 대한 자세한 내용은 리소스 위치 제한을 참조하세요.
|
프리미엄 |
SQL 취약점 발견 항목
이 감지기 유형의 취약점은 모두 Cloud SQL 구성과 관련이 있으며 SQL_SCANNER 유형에 속합니다.
| 카테고리 | 발견 설명 | 가격 책정 등급 | CIS GCP Foundation 1.0 | PCI-DSS v3.2.1 | OWASP 상위 10개 | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
AUTO_BACKUP_DISABLED |
Cloud SQL 데이터베이스에는 자동 백업이 사용 설정되어 있지 않습니다. | 프리미엄 | CP-9 | A.12.3.1 | |||
PUBLIC_SQL_INSTANCE |
Cloud SQL 데이터베이스 인스턴스는 모든 IP 주소의 연결을 허용합니다. | 프리미엄 또는 스탠더드 | 6.2 | 1.2.1 |
CA-3
SC-7 |
A.8.2.3
A.13.1.3 A.14.1.3 |
|
SSL_NOT_ENFORCED |
Cloud SQL 데이터베이스 인스턴스는 SSL을 사용하기 위해 모든 수신 연결을 필요로 하지 않습니다. | 프리미엄 또는 스탠더드 | 6.1 | 4.1 | SC-7 |
A.8.2.3
A.13.2.1 A.14.1.3 |
|
SQL_CONTAINED_DATABASE_AUTHENTICATION |
SQL Server용 Cloud SQL 인스턴스의 'contained database authentication' 데이터베이스 플래그가 'off'로 설정되지 않았습니다. | 프리미엄 | |||||
SQL_CROSS_DB_OWNERSHIP_CHAINING |
SQL Server용 Cloud SQL 인스턴스의 'cross db ownership chaining' 데이터베이스 플래그가 'off'로 설정되지 않았습니다. | 프리미엄 | |||||
SQL_LOCAL_INFILE |
MySQL용 Cloud SQL 인스턴스의 'local_infile' 데이터베이스 플래그가 'off'로 설정되지 않았습니다. | 프리미엄 | |||||
SQL_LOG_CHECKPOINTS_DISABLED |
PostgreSQL용 Cloud SQL 인스턴스의 'log_checkpoints' 데이터베이스 플래그가 'on'으로 설정되지 않았습니다. | 프리미엄 | |||||
SQL_LOG_CONNECTIONS_DISABLED |
PostgreSQL용 Cloud SQL 인스턴스의 'log_connections' 데이터베이스 플래그가 'on'으로 설정되지 않았습니다. | 프리미엄 | |||||
SQL_LOG_DISCONNECTIONS_DISABLED |
PostgreSQL용 Cloud SQL 인스턴스의 'log_disconnections' 데이터베이스 플래그가 'on'으로 설정되지 않았습니다. | 프리미엄 | |||||
SQL_LOG_LOCK_WAITS_DISABLED |
PostgreSQL용 Cloud SQL 인스턴스의 'log_lock_waits' 데이터베이스 플래그가 'on'으로 설정되지 않았습니다. | 프리미엄 | |||||
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED |
PostgreSQL용 Cloud SQL 인스턴스의 'log_min_duration_statement' 데이터베이스 플래그가 '-1'로 설정되지 않았습니다. | 프리미엄 | |||||
SQL_LOG_TEMP_FILES |
PostgreSQL용 Cloud SQL 인스턴스의 'log_temp_files' 데이터베이스 플래그가 '0'으로 설정되지 않았습니다. | 프리미엄 | |||||
SQL_NO_ROOT_PASSWORD |
Cloud SQL 데이터베이스에는 루트 계정에 대해 구성된 비밀번호가 없습니다. | 프리미엄 | 6.3 | 2.1 | AC-3 | A.8.2.3
A.9.4.2 |
|
SQL_PUBLIC_IP |
Cloud SQL Database에는 공개 IP 주소가 있습니다. | 프리미엄 | |||||
SQL_WEAK_ROOT_PASSWORD |
Cloud SQL 데이터베이스에 루트 계정에 대해 취약한 비밀번호가 구성되어 있습니다. | 프리미엄 |
스토리지 취약점 발견 항목
이 감지기 유형의 취약점은 모두 Cloud Storage 버킷 구성과 관련이 있으며 STORAGE_SCANNER 유형에 속합니다.
| 카테고리 | 발견 설명 | 가격 책정 등급 | CIS GCP Foundation 1.0 | PCI-DSS v3.2.1 | OWASP 상위 10개 | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
BUCKET_POLICY_ONLY_DISABLED |
이전에 Bucket Policy Only이라고 불렀던 Uniform bucket-level access는 구성되지 않습니다.
|
프리미엄 | |||||
PUBLIC_BUCKET_ACL |
Cloud Storage 버킷에 공개적으로 액세스할 수 있습니다. | 프리미엄 또는 스탠더드 | 5.1 | 7.1 | AC-2 |
A.8.2.3
A.14.1.3 |
|
PUBLIC_LOG_BUCKET |
로그 싱크에 공개적으로 액세스할 수 있어서는 안 되므로 스토리지 버킷이 사용됩니다. | 프리미엄 또는 스탠더드 | 10.5 | AU-9 |
A.8.2.3
A.12.4.2 A.18.1.3 |
서브네트워크 취약점 발견 항목
이 감지기 유형의 취약점은 모두 조직의 서브네트워크 구성과 관련이 있으며 SUBNETWORK_SCANNER 유형에 속합니다.
| 카테고리 | 발견 설명 | 가격 책정 등급 | CIS GCP Foundation 1.0 | PCI-DSS v3.2.1 | OWASP 상위 10개 | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
FLOW_LOGS_DISABLED |
흐름 로그가 사용 중지된 VPC 서브네트워크가 있습니다. | 프리미엄 | 3.9 |
10.1
10.2 |
SI-4 | A.13.1.1 | |
PRIVATE_GOOGLE_ACCESS_DISABLED |
Google 공개 API에 액세스할 수 없는 비공개 서브넷이 있습니다. | 프리미엄 | 3.8 |
Web Security Scanner 발견 항목
다음은 Web Security Scanner 커스텀 스캔 및 관리형 스캔에서 식별된 발견 항목 유형입니다. 표준 등급에서 Web Security Scanner는 방화벽으로 보호되지 않는 공개 URL 및 IP를 포함하여 배포된 애플리케이션의 커스텀 스캔을 지원합니다.
| 카테고리 | 발견 설명 | CIS GCP Foundation 1.0 | PCI-DSS v3.2.1 | OWASP 상위 10개 | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|
ACCESSIBLE_GIT_REPOSITORY |
GIT 저장소가 공개됩니다. 이 문제를 해결하려면 GIT 저장소에 대한 의도하지 않은 공개 액세스를 삭제하세요. | A3 | ||||
ACCESSIBLE_SVN_REPOSITORY |
SVN 저장소가 공개됩니다. 이 문제를 해결하려면 SVN 저장소에 대한 의도하지 않은 공개 액세스를 삭제하세요. | A3 | ||||
CLEAR_TEXT_PASSWORD |
비밀번호가 명확한 텍스트로 전송되고 가로채기될 수 있습니다. 이 문제를 해결하려면 네트워크를 통해 전송된 비밀번호를 암호화하세요. | A3 | ||||
INVALID_CONTENT_TYPE |
리소스가 로드되었지만 응답의 콘텐츠 유형 HTTP 헤더와 일치하지 않습니다. 이 문제를 해결하려면 'X-Content-Type-Options' HTTP 헤더를 올바른 값으로 설정하세요. | A6 | ||||
INVALID_HEADER |
보안 헤더에 구문 오류가 있으며 브라우저에서 무시됩니다. 이 문제를 해결하려면 HTTP 보안 헤더를 올바르게 설정하세요. | A6 | ||||
MISMATCHING_SECURITY_HEADER_VALUES |
보안 헤더에 중복된 불일치 값이 존재하여 정의되지 않은 동작이 발생합니다. 이 문제를 해결하려면 HTTP 보안 헤더를 올바르게 설정하세요. | A6 | ||||
MISSPELLED_SECURITY_HEADER_NAME |
보안 헤더의 철자가 잘못 입력되어 무시됩니다. 이 문제를 해결하려면 HTTP 보안 헤더를 올바르게 설정하세요. | A6 | ||||
MIXED_CONTENT |
리소스가 HTTPS 페이지에서 HTTP를 통해 제공되고 있습니다. 이 문제를 해결하려면 모든 리소스가 HTTPS를 통해 제공되도록 설정하세요. | A6 | ||||
OUTDATED_LIBRARY |
알려진 취약점이 있는 라이브러리가 감지되었습니다. 이 문제를 해결하려면 라이브러리를 최신 버전으로 업그레이드하세요. | A9 | ||||
XSS |
이 웹 애플리케이션의 필드는 교차 사이트 스크립팅(XSS) 공격에 취약합니다. 이 문제를 해결하려면 신뢰할 수 없는 사용자 제공 데이터를 검증하고 이스케이프 처리하세요. | A7 | ||||
XSS_ANGULAR_CALLBACK |
사용자가 제공한 문자열은 이스케이프 처리되지 않으며 AngularJS에서 보간될 수 있습니다. 이 문제를 해결하려면 Angular 프레임워크에서 처리하는 신뢰할 수 없는 사용자 제공 데이터를 검증하고 이스케이프 처리하세요. | A7 | ||||
XSS_ERROR |
이 웹 애플리케이션의 필드는 교차 사이트 스크립팅 공격에 취약합니다. 이 문제를 해결하려면 신뢰할 수 없는 사용자 제공 데이터를 검증하고 이스케이프 처리하세요. | A7 |
CIS 벤치마크
인터넷 보안 센터(CIS)에는 현재 Web Security Scanner 또는 Security Health Analytics 감지기에서 지원하지 않는 다음 벤치마크가 포함되어 있습니다.
| 카테고리 | 발견 설명 | CIS GCP Foundation 1.0 | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|
BASIC_AUTHENTICATION_ENABLED |
Kubernetes 클러스터에서 IAM 또는 클라이언트 인증서 인증을 사용 설정해야 합니다. | 7.10 | ||
CLIENT_CERT_AUTHENTICATION_DISABLED |
클라이언트 인증서를 사용 설정해 Kubernetes 클러스터를 만들어야 합니다. | 7.12 | ||
LABELS_NOT_USED |
라벨을 사용하면 결제 정보를 분석할 수 있습니다. | 7.5 | ||
PUBLIC_STORAGE_OBJECT |
스토리지 객체 ACL이 AllUsers에 대한 액세스 권한을 부여하면 안 됩니다. | 5.2 | ||
SQL_BROAD_ROOT_LOGIN |
SQL 데이터베이스에 대한 루트 액세스 권한은 허용 목록의 신뢰할 수 있는 IP로 제한해야 합니다. | 6.4 |
다음 단계
- Security Health Analytics 사용 방법 및 Web Security Scanner 사용 방법 알아보기
- Security Health Analytics 발견 항목 문제 해결 및 Web Security Scanner 발견 항목 문제 해결 제안 내용 읽기