Descobertas de vulnerabilidades

Os detectores do Security Health Analytics e do Web Security Scanner geram descobertas de vulnerabilidades disponíveis no Security Command Center. Sua capacidade de visualizar e editar as descobertas é determinada pelos papéis e permissões do gerenciamento de identidade e acesso (IAM) atribuídos a você. Para mais informações sobre os papéis do IAM no Security Command Center, consulte Controle de acesso.

Detectores e compliance

Nesta seção, descrevemos o mapeamento entre detectores compatíveiss e o melhor esforço para os padrões de compliance relevantes.

CIS Benchmarks

O Security Command Center é compatível com as seguintes versões do CIS Benchmarks for Google Cloud Platform Foundation:

  • Comparativo de mercado CIS Google Cloud Computing Foundations v1.2.0 (CIS Google Cloud Foundation 1.2)
  • Comparativo de mercado CIS Google Cloud Computing Foundations v1.1.0 (CIS Google Cloud Foundation 1.1)
  • Comparativo de mercado CIS Google Cloud Computing Foundations v1.0.0 (CIS Google Cloud Foundation 1.0)

Os mapeamentos 1.2, 1.1 e 1.0 do CIS Google Cloud Foundation foram revisados e certificados pelo Center for Internet Security para alinhamento com o CIS Google Cloud Computing Foundations v1.2.0, v1.1.0 e v1.0.0. , respectivamente.

O CIS 1.0 e o CIS 1.1 ainda são compatíveis, mas o uso deles será suspenso. Recomendamos que você use ou faça a transição para o comparativo de mercado mais recente, CIS 1.2.

Alguns detectores são mapeados para o Comparativo de mercado do CIS do Google Kubernetes Engine (GKE) v1.0.0 (CIS GKE 1.0). O suporte para esse comparativo de mercado é limitado e não deve ser usado como base para auditorias ou conformidade de relatórios.

Normas adicionais

Os mapeamentos de conformidade adicionais estão incluídos para referência e não são fornecidos ou revisados pelo Padrão de segurança de dados da indústria de cartões de pagamento ou pela OWASP Foundation. Consulte Cartão de pagamento padrão do setor de segurança de dados 3.2.1 (PCI-DSS v3.2.1), 10 principais do OWASP ,Instituto Nacional de Padrões e Tecnologia (800-53) (NIST 800-53) e Organização Internacional de Normalização 27001 (ISO 27001) sobre como verificar essas violações manualmente.

Essa funcionalidade destina-se apenas ao monitoramento de violações de controles de conformidade. Os mapeamentos não são fornecidos para uso como base ou como substitutos para a auditoria, certificação ou relatório de conformidade dos seus produtos ou serviços com comparativos de mercado ou padrões regulatórios ou do setor.

Para instruções sobre como visualizar e exportar relatórios de conformidade, consulte a seção Conformidade em Como usar o painel do Security Command Center.

Security Health Analytics

Os detectores do Security Health Analytics monitoram um subconjunto de recursos do Cloud Asset Inventory (CAI), recebendo notificações de alterações na política de gerenciamento de identidade e acesso (IAM, na sigla em inglês). Alguns detectores recuperam dados chamando diretamente as APIs do Google Cloud, conforme indicado em tabelas mais adiante nesta página.

As verificações do Security Health Analytics são executadas em três modos:

  • Verificação em lote: todos os detectores são programados para execução em todas as organizações inscritas duas ou mais vezes por dia. Os detectores são executados em diferentes programações para atender a objetivos específicos de nível de serviço (SLO). Para atender aos SLOs de 12 e 24 horas, os detectores executam verificações em lote a cada seis horas ou 12 horas, respectivamente. As alterações de recursos e políticas que ocorrem entre as verificações em lote não são capturadas imediatamente e são aplicadas na próxima verificação em lote. Observação: as programações de verificação em lote são objetivos de desempenho, não garantias de serviço.

  • Verificação em tempo real: os detectores compatíveis iniciam as verificações sempre que o CAI informa uma alteração na configuração de um recurso. As descobertas são gravadas no Security Command Center.

  • Modo misto: alguns detectores compatíveis com verificações em tempo real podem não detectar alterações em tempo real em todos os recursos compatíveis. Nesses casos, as alterações de configuração de alguns recursos são capturadas imediatamente e outras são capturadas em verificações em lote. As exceções estão nas tabelas desta página.

As tabelas a seguir descrevem os detectores do Security Health Analytics, os recursos e os padrões de compliance compatíveis, as configurações usadas para verificações e os tipos de descobertas gerados. É possível filtrar as descobertas por nome de detector e por tipo de descoberta usando a guia Vulnerabilidades do Security Command Center no Console do Google Cloud.

Para instruções sobre como corrigir problemas e proteger seus recursos, consulte Como corrigir descobertas do Security Health Analytics.

Descobertas de vulnerabilidade da chave de API

O detector API_KEY_SCANNER identifica vulnerabilidades relacionadas às chaves de API usadas na implantação na nuvem.

Tabela 1. Leitor de chave de API
Detector Resumo Configurações da verificação de recursos Padrões de compliance
API key APIs unrestricted

Nome da categoria na API: API_KEY_APIS_UNRESTRICTED

Como encontrar a descrição: há chaves de API sendo usadas muito amplamente. Para resolver isso, limite o uso da chave de API para permitir apenas as APIs necessárias ao aplicativo.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Recupera a propriedade restrictions de todas as chaves de API em um projeto, verificando se alguma está definida como cloudapis.googleapis.com.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 1.12

CIS GCP Foundation 1.1: 1.14

CIS GCP Foundation 1.2: 1.14

API key apps unrestricted

Nome da categoria na API: API_KEY_APPS_UNRESTRICTED

Como encontrar a descrição: há chaves de API sendo usadas de maneira irrestrita, permitindo o uso por qualquer aplicativo não confiável.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Recupera arestrictions de todas as chaves de API em um projeto, verificando se browserKeyRestrictions ,serverKeyRestrictions ,androidKeyRestrictions ouiosKeyRestrictions está definido.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 1.11

CIS GCP Foundation 1.1: 1.13

CIS GCP Foundation 1.2: 1.13

API key exists

Nome da categoria na API: API_KEY_EXISTS

Descrição da descoberta: um projeto está usando chaves de API em vez da autenticação padrão.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Recupera todas as chaves de API de um projeto.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 1.10

CIS GCP Foundation 1.1: 1.12

CIS GCP Foundation 1.2: 1.12

API key not rotated

Nome da categoria na API: API_KEY_NOT_ROTATED

Como encontrar a descrição: a chave de API não é rotacionada há mais de 90 dias.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Recupera o carimbo de data/hora contido na propriedade createTime de todas as chaves de API, verificando se 90 dias se passaram.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 1.13

CIS GCP Foundation 1.1: 1.15

CIS GCP Foundation 1.2: 1.15

Calcular descobertas de vulnerabilidade de imagem

O detector COMPUTE_IMAGE_SCANNER identifica vulnerabilidades relacionadas às configurações de imagem do Google Cloud.

Tabela 2. Compute image scanner
Detector Resumo Configurações da verificação de recursos Padrões de compliance
Public Compute image

Nome da categoria na API: PUBLIC_COMPUTE_IMAGE

Como encontrar a descrição: uma imagem do Compute Engine pode ser acessada publicamente.

Nível de preços: Premium ou Standard

Recursos compatíveis
compute.googleapis.com/Image

Corrigir essa descoberta

Verifica a política de permissão de IAM nos metadados de recursos para os membros allUsers ou allAuthenticatedUsers, que concedem acesso público.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

Descobertas de vulnerabilidade da instância do Compute

O detector COMPUTE_INSTANCE_SCANNER identifica vulnerabilidades relacionadas às configurações da instância do Compute Engine.

Os detectores COMPUTE_INSTANCE_SCANNER não informam as descobertas nas instâncias do Compute Engine criadas pelo GKE. Esses instâncias têm nomes que começam com "gke-", que os usuários não podem editar. Para proteger essas instâncias, consulte a seção de descobertas de vulnerabilidades do contêiner.

Tabela 3. Verificador de instâncias do Compute
Detector Resumo Configurações da verificação de recursos Padrões de compliance
Confidential Computing disabled

Nome da categoria na API: CONFIDENTIAL_COMPUTING_DISABLED

Como encontrar a descrição: a Computação confidencial está desativada em uma instância do Compute Engine.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Instance

Corrigir essa descoberta

Verifica se a propriedade confidentialInstanceConfig.enableConfidentialCompute de uma instância do Compute Engine está definida como true.

  • Recursos excluídos das verificações: instâncias do GKE, acesso VPC sem servidor e instâncias do Compute Engine que não são do tipo N2D.
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.2: 4.1.1

Compute project wide SSH keys allowed

Nome da categoria na API: COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

Como encontrar a descrição: chaves SSH do projeto inteiro são usadas, permitindo o login em todas as instâncias do projeto.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Instance

Corrigir essa descoberta

Verifica o objeto metadata.items[] nos metadados da instância para o par de chave-valor "key": "block-project-ssh-keys", "value": TRUE.

  • Recursos excluídos das verificações: instâncias do GKE, job do Dataflow, instância do Windows
  • Permissões adicionais do IAM: roles/compute.Viewer
  • Entradas adicionais: lê metadados do Compute Engine
  • Verificações em lote: a cada 12 horas
  • Verificações em tempo real: não

CIS GCP Foundation 1.0: 4.2

CIS GCP Foundation 1.1: 4.3

CIS GCP Foundation 1.2: 4.3

Compute Secure Boot disabled

Nome da categoria na API: COMPUTE_SECURE_BOOT_DISABLED

Como encontrar a descrição: esta VM protegida não tem a inicialização segura ativada. O uso da Inicialização segura ajuda a proteger instâncias de máquina virtual contra ameaças avançadas, como rootkits e bootkits.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Instance

Corrigir essa descoberta

Verifica a propriedade shieldedInstanceConfig nas instâncias do Compute Engine para determinar se enableIntegrityMonitoring, enableSecureBoot, enableVtpm estão definidos como true. Os campos indicam se os discos anexados são compatíveis com a Inicialização segura e se a VM protegida está ativada.

  • Recursos excluídos das verificações: instâncias do GKE, discos do Compute Engine que têm aceleradores de GPU e não usam o Container-Optimized OS, acesso VPC sem servidor
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim
Compute serial ports enabled

Nome da categoria na API: COMPUTE_SERIAL_PORTS_ENABLED

Como encontrar a descrição: as portas seriais de uma instância são ativadas, permitindo conexões com o console serial da instância.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Instance

Corrigir essa descoberta

Verifica o objeto metadata.items[] nos metadados da instância para o par de chave-valor "key": "serial-port-enable", "value": TRUE.

  • Recursos excluídos das verificações: instâncias do GKE
  • Permissões adicionais do IAM: roles/compute.Viewer
  • Entradas adicionais: lê metadados do Compute Engine
  • Verificações em lote: a cada 12 horas
  • Verificações em tempo real: não

CIS GCP Foundation 1.0: 4.4

CIS GCP Foundation 1.1: 4.5

CIS GCP Foundation 1.2: 4.5

Default service account used

Nome da categoria na API: DEFAULT_SERVICE_ACCOUNT_USED

Como encontrar a descrição: uma instância é configurada para usar a conta de serviço padrão.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Instance

Corrigir essa descoberta

Verifica a propriedade serviceAccounts nos metadados da instância em busca de endereços de e-mail da conta de serviço com o prefixo PROJECT_NUMBER-compute@developer.gserviceaccount.com, indicando a conta de serviço padrão criada pelo Google.

  • Recursos excluídos das verificações: instâncias do GKE, jobs do Dataflow
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.1: 4.1

CIS GCP Foundation 1.2: 4.1

Disk CMEK disabled

Nome da categoria na API: DISK_CMEK_DISABLED

Como encontrar a descrição: os discos nesta VM não são criptografados com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Disk

Corrigir essa descoberta

Verifica o campo kmsKeyName no objeto diskEncryptionKey, nos metadados do disco, para o nome do recurso do seu CMEK.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim
Disk CSEK disabled

Nome da categoria na API: DISK_CSEK_DISABLED

Descrição da descoberta: os discos nesta VM não são criptografados com chaves de criptografia fornecidas pelo cliente (CSEK). Esse detector requer configuração adicional para ativar Para mais instruções, consulte Detector de casos especiais.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Disk

Corrigir essa descoberta

Verifica o campo kmsKeyName no objeto diskEncryptionKey do nome do recurso da sua CSEK.

  • Recursos excluídos das verificações:
    discos do Compute Engine sem a marca de segurança enforce_customer_supplied_disk_encryption_keys definida como true
  • Permissões adicionais do IAM: roles/compute.Viewer
  • Entradas adicionais: lê metadados do Compute Engine
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 4.6

CIS GCP Foundation 1.1: 4.7

CIS GCP Foundation 1.2: 4.7

Full API access

Nome da categoria na API: FULL_API_ACCESS

Descrição da descoberta: uma instância é configurada para usar a conta de serviço padrão com acesso total a todas as APIs do Google Cloud.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Instance

Corrigir essa descoberta

Recupera o campo scopes na propriedade serviceAccounts para verificar se uma conta de serviço padrão é usada e se foi atribuído o escopo cloud-platform.

  • Recursos excluídos das verificações: instâncias do GKE e jobs do Dataflow
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 4.1

CIS GCP Foundation 1.1: 4.2

CIS GCP Foundation 1.2: 4.2

PCI-DSS v3.2.1: 7.1.2

NIST 800-53: AC-6

ISO-27001: A.9.2.3

HTTP load balancer

Nome da categoria na API: HTTP_LOAD_BALANCER

Como encontrar a descrição: uma instância usa um balanceador de carga configurado para usar um proxy HTTP de destino em vez de um proxy HTTPS de destino.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/TargetHttpProxy

Corrigir essa descoberta

Determina se a propriedade selfLink do recurso targetHttpProxy corresponde ao atributo target na regra de encaminhamento e se a regra de encaminhamento contém um loadBalancingScheme campo definido como External.

  • Permissões adicionais do IAM: roles/compute.Viewer
  • Entradas adicionais: lê regras de encaminhamento para um proxy HTTP de destino do Compute Engine, verificando regras externas
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim
PCI-DSS v3.2.1: 2.3
IP forwarding enabled

Nome da categoria na API: IP_FORWARDING_ENABLED

Descrição da descoberta: o encaminhamento de IP está ativado nas instâncias.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Instance

Corrigir essa descoberta

Verifica se a propriedade canIpForward da instância está definida como true.

  • Recursos excluídos das verificações: instâncias do GKE, acesso VPC sem servidor
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 4.5

CIS GCP Foundation 1.1: 4.6

CIS GCP Foundation 1.2: 4.6

OS login disabled

Nome da categoria na API: OS_LOGIN_DISABLED

Encontrar descrição: o Login do SO está desativado nesta instância.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Project

Corrigir essa descoberta

Verifica o objeto commonInstanceMetadata.items[] nos metadados do projeto para o par de chave-valor, "key": "enable-oslogin", "value": TRUE. O detector também verifica todas as instâncias em um projeto do Compute Engine para determinar se o login do SO está desativado para instâncias individuais.

  • Recursos excluídos das verificações: instâncias do GKE
  • Permissões adicionais do IAM: roles/compute.Viewer
  • Entradas adicionais: lê metadados do Compute Engine. O detector também examina instâncias do Compute Engine no projeto
  • Verificações em lote: a cada 12 horas
  • Verificações em tempo real: não

CIS GCP Foundation 1.0: 4.3

CIS GCP Foundation 1.1: 4.4

CIS GCP Foundation 1.2: 4.4

Public IP address

Nome da categoria na API: PUBLIC_IP_ADDRESS

Como encontrar a descrição: uma instância tem um endereço IP público.

Nível de preços: Premium ou Standard

Recursos compatíveis
compute.googleapis.com/Instance

Corrigir essa descoberta

Verifica se a propriedade networkInterfaces contém um campo accessConfigs, indicando que ele está configurado para usar um endereço IP público.

  • Recursos excluídos das verificações: instâncias do GKE
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: não

CIS GCP Foundation 1.1: 4.9

CIS GCP Foundation 1.2: 4.9

PCI-DSS v3.2.1: 1.2.1, 1.3.5

NIST 800-53: CA-3, SC-7

Shielded VM disabled

Nome da categoria na API: SHIELDED_VM_DISABLED

Encontrando descrição: a VM protegida está desativada nesta instância.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Instance

Corrigir essa descoberta

Verifica a propriedade shieldedInstanceConfig nas instâncias do Compute Engine para determinar se os campos enableIntegrityMonitoring, enableSecureBoot, enableVtpm estão definidos como true. Os campos indicam se os discos anexados são compatíveis com a Inicialização segura e se a VM protegida está ativada.

  • Recursos excluídos das verificações: instâncias do GKE, discos do Compute Engine que têm aceleradores de GPU e não usam o Container-Optimized OS, acesso VPC sem servidor
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.1: 4.8

CIS GCP Foundation 1.2: 4.8

Weak SSL policy

Nome da categoria na API: WEAK_SSL_POLICY

Como encontrar a descrição: uma instância tem uma política de SSL fraca.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/TargetHttpsProxy
compute.googleapis.com/TargetSslProxy

Corrigir essa descoberta

Verifica se sslPolicy nos metadados do recurso está vazio e, para o recurso sslPolicies anexado, se profile está definido como Restricted ou Modern, minTlsVersion está definido como TLS 1.2 e customFeatures está vazio ou não contém as seguintes criptografias: TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_3DES_EDE_CBC_SHA.

  • Permissões adicionais do IAM: roles/compute.Viewer
  • Entradas adicionais: lê políticas de SSL para armazenamento de proxies de destino, verificando se há políticas fracas
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim, mas somente quando o TargetHttpsProxy do TargetSslProxy é atualizado, não quando a política de SSL é atualizada.

CIS GCP Foundation 1.1: 3.9

CIS GCP Foundation 1.2: 3.9

PCI-DSS v3.2.1: 4.1

NIST 800-53: SC-7

ISO-27001: A.14.1.3

Descobertas da vulnerabilidade do contêiner

Todos esses tipos de localização estão relacionados às configurações de contêiner do GKE e pertencem ao tipo de detector CONTAINER_SCANNER.

Tabela 4. Leitor de contêineres
Detector Resumo Configurações da verificação de recursos Padrões de compliance
Alpha cluster enabled

Nome da categoria na API: ALPHA_CLUSTER_ENABLED

Como encontrar a descrição: os recursos do cluster Alfa estão ativados para um cluster do GKE.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Verifica se a propriedade enableKubernetesAlpha de um cluster está definida como true.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim
CIS GKE 1.0: 6.10.2
Auto repair disabled

Nome da categoria na API: AUTO_REPAIR_DISABLED

Como encontrar a descrição: o recurso de reparo automático de um cluster do GKE, que mantém os nós em estado íntegro e em execução, está desativado.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Verifica a propriedade management de um pool de nós para o par de chave-valor, "key": "autoRepair", "value": true.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 7.7

CIS GKE 1.0: 6.5.2

PCI-DSS v3.2.1: 2.2

Auto upgrade disabled

Nome da categoria na API: AUTO_UPGRADE_DISABLED

Como encontrar a descrição: o recurso de upgrade automático de um cluster do GKE, que mantém clusters e pools de nós na versão estável mais recente do Kubernetes, está desativado.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Verifica a propriedade management de um pool de nós para o par de chave-valor, "key": "autoUpgrade", "value": true.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 7.8

CIS GKE 1.0: 6.5.3

PCI-DSS v3.2.1: 2.2

Binary authorization disabled

Nome da categoria na API: BINARY_AUTHORIZATION_DISABLED

Como encontrar a descrição: a autorização binária está desativada em um cluster do GKE.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Verifica se a propriedade binaryAuthorization contém o par de chave-valor, "enabled": true, e defaultAdmissionRule contém o par de chave-valor evaluationMode: ALWAYS_ALLOW.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim
CIS GKE 1.0: 6.10.5
Cluster logging disabled

Nome da categoria na API: CLUSTER_LOGGING_DISABLED

Como encontrar a descrição: o Logging não está ativado para um cluster do GKE.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Verifica se a propriedade loggingService de um cluster contém o local que o Cloud Logging deve usar para gravar registros.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 7.1

CIS GKE 1.0: 6.7.1

PCI-DSS v3.2.1: 10.2.2, 10.2.7

Cluster monitoring disabled

Nome da categoria na API: CLUSTER_MONITORING_DISABLED

Como encontrar a descrição: o Monitoring está desativado nos clusters do GKE.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Verifica se a propriedade monitoringService de um cluster contém o local que o Cloud Monitoring deve usar para gravar métricas.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 7.2

CIS GKE 1.0: 6.7.1

PCI-DSS v3.2.1: 10.1, 10.2

Cluster private Google access disabled

Nome da categoria na API: CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED

Como encontrar a descrição: hosts de cluster não estão configurados para usar apenas endereços IP internos privados para acessar as APIs do Google.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Verifica se a propriedade privateIpGoogleAccess de uma sub-rede está definida como false.

  • Entradas adicionais: lê sub-redes do armazenamento, registrando descobertas apenas para clusters com sub-redes.
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim, mas somente se o cluster for atualizado, não para atualizações de sub-rede

CIS GCP Foundation 1.0: 7.1

PCI-DSS v3.2.1: 1.3

Cluster secrets encryption disabled

Nome da categoria na API: CLUSTER_SECRETS_ENCRYPTION_DISABLED

Como encontrar a descrição: a criptografia de secrets da camada de aplicativos está desativada em um cluster do GKE.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Verifica a propriedade keyName do objeto databaseEncryption para o par de chave-valor "state": ENCRYPTED.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim
CIS GKE 1.0: 6.3.1
Cluster shielded nodes disabled

Nome da categoria na API: CLUSTER_SHIELDED_NODES_DISABLED

Como encontrar a descrição:: os nós protegidos do GKE não estão ativados para um cluster.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Verifica a propriedade shieldedNodes do par de chave-valor "enabled": true.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim
CIS GKE 1.0: 6.5.5
COS not used

Nome da categoria na API: COS_NOT_USED

Como encontrar a descrição: as VMs do Compute Engine não estão usando o Container-Optimized OS projetado para executar contêineres do Docker no Google Cloud com segurança.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Verifica a propriedade config de um pool de nós para o par de chave-valor, "imageType": "COS".

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 7.9

CIS GKE 1.0: 6.5.1

PCI-DSS v3.2.1: 2.2

Integrity monitoring disabled

Nome da categoria na API: INTEGRITY_MONITORING_DISABLED

Como encontrar a descrição: o monitoramento de integridade está desativado para um cluster do GKE.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Verifica a propriedade shieldedInstanceConfig do objeto nodeConfig para o par de chave-valor "enableIntegrityMonitoring": true.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim
CIS GKE 1.0: 6.5.6
Intranode visibility disabled

Nome da categoria na API: INTRANODE_VISIBILITY_DISABLED

Como encontrar a descrição: a visibilidade intranós é desativada para um cluster do GKE.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Verifica a propriedade networkConfig do par de chave-valor "enableIntraNodeVisibility": true.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim
CIS GKE 1.0: 6.6.1
IP alias disabled

Nome da categoria na API: IP_ALIAS_DISABLED

Descrição da descoberta: um cluster do GKE foi criado com intervalos de IP de alias desativados.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Verifica se o campo useIPAliases de ipAllocationPolicy em um cluster está definido como false.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 7.1

CIS GKE 1.0: 6.6.2

PCI-DSS v3.2.1: 1.3.4, 1.3.7

Legacy authorization enabled

Nome da categoria na API: LEGACY_AUTHORIZATION_ENABLED

Descrição da descoberta: a autorização legada está ativada em clusters do GKE.

Nível de preços: Premium ou Standard

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Verifica a propriedade legacyAbac de um cluster para o par de chave-valor, "enabled": true.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 7.3

CIS GKE 1.0: 6.8.3

PCI-DSS v3.2.1: 4.1

Legacy metadata enabled

Nome da categoria na API: LEGACY_METADATA_ENABLED

Como encontrar a descrição: metadados legados são ativados em clusters do GKE.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Verifica a propriedade config de um pool de nós para o par de chave-valor, "disable-legacy-endpoints": "false".

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim
CIS GKE 1.0: 6.4.1
Master authorized networks disabled

Nome da categoria na API: MASTER_AUTHORIZED_NETWORKS_DISABLED

Descrição da descrição: redes autorizadas do plano de controle não está ativado em clusters do GKE.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Verifica a propriedade masterAuthorizedNetworksConfig de um cluster para o par de chave-valor, "enabled": false.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 7.4

CIS GKE 1.0: 6.6.3

PCI-DSS v3.2.1: 1.2.1, 1.3.2

Network policy disabled

Nome da categoria na API: NETWORK_POLICY_DISABLED

Como encontrar a descrição: a política de rede está desativada nos clusters do GKE.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Verifica o campo networkPolicy da propriedade addonsConfig do par de chave-valor "disabled": true.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 7.1

CIS GKE 1.0: 6.6.7

PCI-DSS v3.2.1: 1.3

NIST 800-53: SC-7

ISO-27001: A.13.1.1

Nodepool boot CMEK disabled

Nome da categoria na API: NODEPOOL_BOOT_CMEK_DISABLED

Descrição da descoberta: os discos de inicialização neste pool de nós não são criptografados com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Verifica a propriedade bootDiskKmsKey dos pools de nós para o nome do recurso da sua CMEK.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim
Nodepool secure boot disabled

Nome da categoria na API: NODEPOOL_SECURE_BOOT_DISABLED

Como encontrar a descrição: a Inicialização segura está desativada para um cluster do GKE.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Verifica a propriedade shieldedInstanceConfig do objeto nodeConfig para o par de chave-valor "enableSecureBoot": true.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim
CIS GKE 1.0: 6.5.7
Over privileged account

Nome da categoria na API: OVER_PRIVILEGED_ACCOUNT

Descrição da descoberta: uma conta de serviço tem acesso excessivamente amplo ao projeto em um cluster.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Avalia a propriedade config de um pool de nós para verificar se nenhuma conta de serviço foi especificada ou se a conta de serviço padrão é usada.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 7.1

CIS GKE 1.0: 6.2.1

PCI-DSS v3.2.1: 2.1, 7.1.2

NIST 800-53: AC-6, SC-7

ISO-27001: A.9.2.3

Over privileged scopes

Nome da categoria na API: OVER_PRIVILEGED_SCOPES

Descrição da localização: uma conta de serviço de nó tem escopos de acesso amplo.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Verifica se o escopo de acesso listado na propriedade config.oauthScopes de um pool de nós é limitado por uma conta de serviço: https://www.googleapis.com/auth/devstorage.read_only, https://www.googleapis.com/auth/logging.write, ou https://www.googleapis.com/auth/monitoring.
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 7.1

CIS GKE 1.0: 6.2.1

Pod security policy disabled

Nome da categoria na API: POD_SECURITY_POLICY_DISABLED

Como encontrar a descrição: PodSecurityPolicy está desativada em um cluster do GKE.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Verifica a propriedade podSecurityPolicyConfig de um cluster para o par de chave-valor, "enabled": false.

  • Permissões adicionais do IAM: roles/container.clusterViewer
  • Entradas adicionais: lê informações de cluster do GKE, porque as políticas de segurança de pods são um recurso Beta. Aviso: o Kubernetes oficialmente suspendeu o PodSecurityPolicy na versão 1.21. O PodSecurityPolicy será encerrado na versão 1.25. Para informações sobre alternativas, consulte Suspensão de uso de PodSecurityPolicy.
  • Verificações em lote: a cada 12 horas
  • Verificações em tempo real: não

CIS GCP Foundation 1.0: 7.1

CIS GKE 1.0: 6.10.3

Private cluster disabled

Nome da categoria na API: PRIVATE_CLUSTER_DISABLED

Descrição da descoberta: um cluster privado do GKE está desativado.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Verifica se o campo enablePrivateNodes da propriedade privateClusterConfig está definido como false.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 7.1

CIS GKE 1.0: 6.6.5

PCI-DSS v3.2.1: 1.3.2

Release channel disabled

Nome da categoria na API: RELEASE_CHANNEL_DISABLED

Como encontrar a descrição: um cluster do GKE não está inscrito em um canal de lançamento.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Verifica a propriedade releaseChannel do par de chave-valor "channel": UNSPECIFIED.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim
CIS GKE 1.0: 6.5.4
Web UI enabled

Nome da categoria na API: WEB_UI_ENABLED

Como encontrar a descrição: a IU da Web do GKE (painel) está ativada.

Nível de preços: Premium or Standard

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Checks the kubernetesDashboard field of the addonsConfig property for the key-value pair, "disabled": false.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 7.6

CIS GKE 1.0: 6.10.1

PCI-DSS v3.2.1: 6.6

Workload Identity disabled

Nome da categoria na API: WORKLOAD_IDENTITY_DISABLED

Como encontrar a descrição: a identidade da carga de trabalho está desativada em um cluster do GKE.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Verifica se a propriedade workloadIdentityConfig de um cluster está definida. O detector também verifica se a propriedade workloadMetadataConfig de um pool de nós está definida como GKE_METADATA.

  • Permissões adicionais do IAM: roles/container.clusterViewer
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim
CIS GKE 1.0: 6.2.2

Descobertas de vulnerabilidades do Dataproc

As vulnerabilidades desse tipo de detector estão todas relacionadas ao Dataproc e pertencem ao tipo de detector DATAPROC_SCANNER.

Tabela 5. Verificação do Dataproc
Detector Resumo Configurações da verificação de recursos Padrões de compliance
Dataproc image outdated

Nome da categoria na API: DATAPROC_IMAGE_OUTDATED

Como encontrar a descrição: um cluster do Dataproc foi criado com uma versão de imagem do Dataproc que é afetada por vulnerabilidades de segurança no utilitário Apache Log4j 2 (CVE-2021-44228 e CVE-2021-45046).

Nível de preços: Premium ou Standard

Recursos compatíveis
dataproc.googleapis.com/Cluster

Corrigir essa descoberta

Verifica se o campo softwareConfig.imageVersion na propriedade config de um Cluster é anterior a 1.3.95 ou é uma versão de imagem menor anterior que 1.4.77, 1.5.53 ou 2.0.27.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

Descobertas de vulnerabilidade do conjunto de dados

As vulnerabilidades desse tipo de detector estão relacionadas às configurações do conjunto de dados do BigQuery e pertencem ao tipo de detector DATASET_SCANNER.

Tabela 6. Leitor de conjunto de dados
Detector Resumo Configurações da verificação de recursos Padrões de compliance
BigQuery table CMEK disabled

Nome da categoria na API: BIGQUERY_TABLE_CMEK_DISABLED

Como encontrar a descrição: uma tabela do BigQuery não está configurada para usar uma chave de criptografia gerenciada pelo cliente (CMEK). Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores.

Nível de preços: Premium

Recursos compatíveis
bigquery.googleapis.com/Table

Corrigir essa descoberta

Verifica se o campo kmsKeyName na propriedade encryptionConfiguration está vazio.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.2: 7.2

Dataset CMEK disabled

Nome da categoria na API: DATASET_CMEK_DISABLED

Como encontrar a descrição: um conjunto de dados do BigQuery não está configurado para usar uma CMEK padrão. Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores.

Nível de preços: Premium

Recursos compatíveis
bigquery.googleapis.com/Dataset

Corrigir essa descoberta

Verifica se o campo kmsKeyName na propriedade defaultEncryptionConfiguration está vazio.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: não
Public dataset

Nome da categoria na API: PUBLIC_DATASET

Como encontrar a descrição: um conjunto de dados está configurado para ser aberto ao acesso público.

Nível de preços: Premium ou Standard

Recursos compatíveis
bigquery.googleapis.com/Dataset

Corrigir essa descoberta

Verifica a política de permissão de IAM nos metadados de recursos para os membros allUsers ou allAuthenticatedUsers, que concedem acesso público.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.1: 7.1

CIS GCP Foundation 1.2: 7.1

PCI-DSS v3.2.1: 7.1

NIST 800-53: AC-2

ISO-27001: A.8.2.3, A.14.1.3

Descobertas de vulnerabilidade de DNS

As vulnerabilidades desse tipo de detector estão relacionadas às configurações do Cloud DNS e pertencem ao tipo de detector DNS_SCANNER.

Tabela 7. Leitor de DNS
Detector Resumo Configurações da verificação de recursos Padrões de compliance
DNSSEC disabled

Nome da categoria na API: DNSSEC_DISABLED

Encontrando descrição: o DNSSEC está desativado para zonas do Cloud DNS.

Nível de preços: Premium

Recursos compatíveis
dns.googleapis.com/ManagedZone

Corrigir essa descoberta

Verifica se o campo state da propriedade dnssecConfig está definido como off.

  • Recursos excluídos das verificações: zonas do Cloud DNS que não são públicas
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 3.3

CIS GCP Foundation 1.1: 3.3

CIS GCP Foundation 1.2: 3.3

ISO-27001: A.8.2.3

RSASHA1 for signing

Nome da categoria na API: RSASHA1_FOR_SIGNING

Encontrando descrição: o RSASHA1 é usado para assinatura de chaves em zonas do Cloud DNS.

Nível de preços: Premium

Recursos compatíveis
dns.googleapis.com/ManagedZone

Corrigir essa descoberta

Verifica se o objeto defaultKeySpecs.algorithm da propriedade dnssecConfig está definido como rsasha1.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 3.4, 3.5

CIS GCP Foundation 1.1: 3.4, 3.5

CIS GCP Foundation 1.2: 3.4, 3.5

Descobertas de vulnerabilidades de firewall

As vulnerabilidades desse tipo de detector se relacionam com as configurações de firewall e pertencem ao tipo de detector FIREWALL_SCANNER.

Tabela 8. Leitor de firewall
Detector Resumo Configurações da verificação de recursos Padrões de compliance
Egress deny rule not set

Nome da categoria na API: EGRESS_DENY_RULE_NOT_SET

Como encontrar a descrição: uma regra de negação de saída não é definida em um firewall. As regras de negação de saída precisam ser definidas para bloquear o tráfego de saída indesejado.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Verifica se a propriedade destinationRanges no firewall está definida como 0.0.0.0/0 e se a propriedade denied contém o par de chave-valor, "IPProtocol": "all".

  • Entradas adicionais: lê firewalls de saída de um projeto do armazenamento.
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim, mas somente em alterações de projeto, não de regra de firewall
PCI-DSS v3.2.1: 7.2
Firewall rule logging disabled

Nome da categoria na API: FIREWALL_RULE_LOGGING_DISABLED

Encontrando descrição: o registro de regras de firewall está desativado. O registro de regras de firewall deve estar ativado para que seja possível auditar o acesso da rede

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Verifica a propriedade logConfig nos metadados do firewall para ver se ela está vazia ou contém o par de chave-valor "enable": false.

  • Recursos excluídos das verificações: instâncias do GKE, regras de firewall criadas pelo GKE, acesso VPC sem servidor
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

PCI-DSS v3.2.1: 10.1, 10.2

NIST 800-53: SI-4

ISO-27001: A.13.1.1

Open Cassandra port

Nome da categoria na API: OPEN_CASSANDRA_PORT

Como encontrar a descrição: um firewall está configurado para ter uma porta Cassandra aberta que permita o acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Verifica a propriedade allowed nos metadados de firewall para os seguintes protocolos e portas: TCP:7000-7001, 7199, 8888, 9042, 9160, 61620-61621.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

Open ciscosecure websm port

Nome da categoria na API: OPEN_CISCOSECURE_WEBSM_PORT

Descrição da descoberta: um firewall está configurado para ter uma porta CISCOSECURE_WEBSM aberta que permita acesso genérico.

Nível de preços: Premium ou Standard

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Verifica a propriedade allowed nos metadados do firewall para o seguinte protocolo e porta: TCP:9090.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

Open directory services port

Nome da categoria na API: OPEN_DIRECTORY_SERVICES_PORT

Como encontrar a descrição: um firewall está configurado para ter uma porta DIRECTORY_SERVICES aberta que permita o acesso genérico.

Nível de preços: Premium ou Standard

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Verifica a propriedade allowed nos metadados do firewall para os seguintes protocolos e portas: TCP:445 e UDP:445.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

Open DNS port

Nome da categoria na API: OPEN_DNS_PORT

Como encontrar a descrição: um firewall está configurado para ter uma porta DNS aberta que permita o acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Verifica a propriedade allowed nos metadados do firewall para os seguintes protocolos e portas: TCP:53 e UDP:53.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

Open elasticsearch port

Nome da categoria na API: OPEN_ELASTICSEARCH_PORT

Descrição da descoberta: um firewall está configurado para ter uma porta ELASTICSEARCH aberta que permita acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Verifica a propriedade allowed nos metadados do firewall para os seguintes protocolos e portas: TCP:9200, 9300.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

Open firewall

Nome da categoria na API: OPEN_FIREWALL

Como encontrar a descrição: um firewall está configurado para ser aberto ao acesso público.

Nível de preços: Premium ou Standard

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Verifica as propriedades sourceRanges e allowed para uma das duas configurações:

  • A propriedade sourceRanges contém 0.0.0.0/0, e a propriedade allowed contém uma combinação de regras que inclui qualquer protocol ou protocol:port, exceto:
    • icmp
    • tcp:22
    • tcp:443
    • tcp:3389
    • udp:3389
    • sctp:22
  • A propriedade sourceRanges contém uma combinação de intervalos de IP que inclui qualquer endereço IP não particular, e a propriedade allowed contém uma combinação de regras que permitem todas as portas tcp ou todas as portas udp.
  • Recursos excluídos das verificações: regras de firewall criadas pelo GKE
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim
PCI-DSS v3.2.1: 1.2.1
Open FTP port

Nome da categoria na API: OPEN_FTP_PORT

Descrição da descoberta: um firewall está configurado para ter uma porta FTP aberta que permita o acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Verifica a propriedade allowed nos metadados do firewall para o seguinte protocolo e porta: TCP:21.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

Open HTTP port

Nome da categoria na API: OPEN_HTTP_PORT

Como encontrar a descrição: um firewall está configurado para ter uma porta HTTP aberta que permite acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Verifica a propriedade allowed nos metadados do firewall para os seguintes protocolos e portas: TCP:80.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

Open LDAP port

Nome da categoria na API: OPEN_LDAP_PORT

Descrição da descoberta: um firewall está configurado para ter uma porta LDAP aberta que permita o acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Verifica a propriedade allowed nos metadados do firewall para os seguintes protocolos e portas: TCP:389, 636 e UDP:389.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

Open Memcached port

Nome da categoria na API: OPEN_MEMCACHED_PORT

Como encontrar a descrição: um firewall está configurado para ter uma porta MEMCACHED aberta que permite acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Verifica a propriedade allowed nos metadados do firewall para os seguintes protocolos e portas: TCP:11211, 11214-11215 e UDP:11211, 11214-11215.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

Open MongoDB port

Nome da categoria na API: OPEN_MONGODB_PORT

Descrição da descoberta: um firewall está configurado para ter uma porta MONGODB aberta que permita o acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Verifica a propriedade allowed nos metadados do firewall para os seguintes protocolos e portas: TCP:27017-27019.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

Open MySQL port

Nome da categoria na API: OPEN_MYSQL_PORT

Descrição da descoberta: um firewall está configurado para ter uma porta MYSQL que permita acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Verifica a propriedade allowed nos metadados do firewall para o seguinte protocolo e porta: TCP:3306.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

Open NetBIOS port

Nome da categoria na API: OPEN_NETBIOS_PORT

Descrição da descoberta: um firewall está configurado para ter uma porta NETBIOS aberta que permita o acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Verifica a propriedade allowed nos metadados do firewall para os seguintes protocolos e portas: TCP:137-139 e UDP:137-139.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

Open OracleDB port

Nome da categoria na API: OPEN_ORACLEDB_PORT

Como encontrar a descrição: um firewall está configurado para ter uma porta ORACLEDB aberta que permita o acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Verifica a propriedade allowed nos metadados do firewall para os seguintes protocolos e portas: TCP:1521, 2483-2484 e UDP:2483-2484.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

Open pop3 port

Nome da categoria na API: OPEN_POP3_PORT

Descrição da descoberta: um firewall está configurado para ter uma porta POP3 aberta que permita o acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Verifica a propriedade allowed nos metadados do firewall para o seguinte protocolo e porta: TCP:110.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

Open PostgreSQL port

Nome da categoria na API: OPEN_POSTGRESQL_PORT

Descrição da descoberta: um firewall está configurado para ter uma porta PostgreSQL aberta que permita acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Verifica a propriedade allowed nos metadados do firewall para os seguintes protocolos e portas: TCP:5432 e UDP:5432.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

Open RDP port

Nome da categoria na API: OPEN_RDP_PORT

Descrição da descoberta: um firewall está configurado para ter uma porta RDP aberta que permita o acesso genérico.

Nível de preços: Premium ou Standard

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Verifica a propriedade allowed nos metadados do firewall para os seguintes protocolos e portas: TCP:3389 e UDP:3389.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 3.7

CIS GCP Foundation 1.1: 3.7

CIS GCP Foundation 1.2: 3.7

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

Open Redis port

Nome da categoria na API: OPEN_REDIS_PORT

Como encontrar a descrição: um firewall está configurado para ter uma porta REDIS aberta que permite acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Verifica se a propriedade allowed nos metadados de firewall contém o seguinte protocolo e porta: TCP:6379.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

Open SMTP port

Nome da categoria na API: OPEN_SMTP_PORT

Descrição da descoberta: um firewall está configurado para ter uma porta SMTP aberta que permita o acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Verifica se a propriedade allowed nos metadados de firewall contém o seguinte protocolo e porta: TCP:25.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

Open SSH port

Nome da categoria na API: OPEN_SSH_PORT

Como encontrar a descrição: um firewall está configurado para ter uma porta SSH aberta que permita o acesso genérico.

Nível de preços: Premium ou Standard

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Verifica se a propriedade allowed nos metadados de firewall contém os seguintes protocolos e portas: TCP:22 e SCTP:22.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 3.6

CIS GCP Foundation 1.1: 3.6

CIS GCP Foundation 1.2: 3.6

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

Open Telnet port

Nome da categoria na API: OPEN_TELNET_PORT

Descrição da descoberta: um firewall está configurado para ter uma porta TELNET aberta que permita o acesso genérico.

Nível de preços: Premium ou Standard

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Verifica se a propriedade allowed nos metadados de firewall contém o seguinte protocolo e porta: TCP:23.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

Descobertas da vulnerabilidade do IAM

As vulnerabilidades desse tipo de detector estão relacionadas à configuração do gerenciamento de identidade e acesso (IAM, na sigla em inglês) e pertencem ao tipo de detector IAM_SCANNER.

Tabela 9. Leitor do IAM
Detector Resumo Configurações da verificação de recursos Padrões de compliance
Admin service account

Nome da categoria na API: ADMIN_SERVICE_ACCOUNT

Como encontrar a descrição: uma conta de serviço tem os privilégios de Administrador, Proprietário ou Editor. Esses papéis não devem ser atribuídos a contas de serviço criadas pelo usuário.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Verifica a política de permissão de IAM nos metadados do recurso em busca de qualquer conta de serviço criada pelo usuário (indicada pelo prefixo iam.gserviceaccount.com), que recebem roles/Owner ou roles/Editor, ou um código de papel que contém admin.

  • Recursos excluídos das verificações: conta de serviço do Container Registry (containerregistry.iam.gserviceaccount.com) e conta de serviço do Security Command Center (security-center-api.iam.gserviceaccount.com)
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim, a menos que a atualização do IAM seja feita em uma pasta

CIS GCP Foundation 1.0: 1.4

CIS GCP Foundation 1.1: 1.5

CIS GCP Foundation 1.2: 1.5

KMS role separation

Nome da categoria na API: KMS_ROLE_SEPARATION

Como encontrar a descrição: a separação de tarefas não é aplicada e existe um usuário que tem um dos seguintes papéis do Cloud Key Management Service (Cloud KMS) ao mesmo tempo: Criptografador/Descriptografador de CryptoKey, Criptografador ou Descriptografador.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Verifica as políticas de permissão de IAM nos metadados de recursos e recupera os membros atribuídos a qualquer um dos papéis a seguir ao mesmo tempo: roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter e roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer, roles/cloudkms.signerVerifier, roles/cloudkms.publicKeyViewer.
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 1.9

CIS GCP Foundation 1.1: 1.11

NIST 800-53: AC-5

ISO-27001: A.9.2.3, A.10.1.2

Non org IAM member

Nome da categoria na API: NON_ORG_IAM_MEMBER

Encontrando descrição: há um usuário que não está usando credenciais organizacionais. De acordo com o CIS GCP Foundations 1.0, atualmente apenas identidades com endereços de e-mail @gmail.com acionam esse detector.

Nível de preços: Premium ou Standard

Recursos compatíveis
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Compara os endereços de e-mail @gmail.com no campo user nos metadados da política de permissão do IAM com uma lista de identidades aprovadas para sua organização.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 1.1

CIS GCP Foundation 1.1: 1.1

CIS GCP Foundation 1.2: 1.1

PCI-DSS v3.2.1: 7.1.2

NIST 800-53: AC-3

ISO-27001: A.9.2.3

Open group IAM member

Nome da categoria na API: OPEN_GROUP_IAM_MEMBER

Descrição da descoberta: uma conta dos Grupos do Google que pode ser mesclada sem aprovação é usada como principal da política de permissão do IAM.

Nível de preços: Premium ou Standard

Recursos compatíveis
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Verifica a política de IAM nos metadados de recursos para verificar se há vinculações contendo um membro (principal) que tenha o prefixo group. Se o grupo for aberto, o Security Health Analytics gerará essa descoberta.
  • Entradas adicionais: lê os metadados do Grupos do Google para verificar se o grupo identificado é aberto.
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: não
Over privileged service account user

Nome da categoria na API: OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Como encontrar a descrição: um usuário tem o papel Usuário da conta de serviço ou Criador de token da conta de serviço para envolvidos no projeto, em vez de para uma conta de serviço específica.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Verifica a política de permissão do IAM nos metadados de recursos para qualquer membro atribuído roles/iam.serviceAccountUser ou roles/iam.serviceAccountTokenCreator no nível do projeto.
  • Recursos excluídos das verificações: contas de serviço do Cloud Build
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 1.5

CIS GCP Foundation 1.1: 1.6

CIS GCP Foundation 1.2: 1.6

PCI-DSS v3.2.1: 7.1.2

NIST 800-53: AC-6

ISO-27001: A.9.2.3

Primitive roles used

Nome da categoria na API: PRIMITIVE_ROLES_USED

Como encontrar a descrição: um usuário tem o papel básico, Proprietário, Gravador ou Leitor. Esses papéis são muito permissivos e não podem ser usados.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Verifica a política de permissão do IAM nos metadados de recursos para qualquer membro atribuído roles/Owner, roles/Writer ou roles/Reader.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

PCI-DSS v3.2.1: 7.1.2

NIST 800-53: AC-6

ISO-27001: A.9.2.3

Redis role used on org

Nome da categoria na API: REDIS_ROLE_USED_ON_ORG

Descrição da descoberta: um papel do IAM do Redis é atribuído ao nível da organização ou da pasta.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Organization

Corrigir essa descoberta

Verifica a política de permissão do IAM nos metadados de recursos para membros atribuídos a roles/redis.admin, roles/redis.editor, roles/redis.viewer na organização ou no nível da pasta.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

PCI-DSS v3.2.1: 7.1.2

ISO-27001: A.9.2.3

Service account role separation

Nome da categoria na API: SERVICE_ACCOUNT_ROLE_SEPARATION

Como encontrar a descrição: um usuário recebeu os papéis Administrador da conta de serviço e Usuário da conta de serviço. Isso viola o princípio de "Separação de tarefas".

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Verifica a política de permissão do IAM nos metadados de recursos para qualquer membro com roles/iam.serviceAccountUser e roles/iam.serviceAccountAdmin atribuídos.
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 1.7

CIS GCP Foundation 1.1: 1.8

CIS GCP Foundation 1.2: 1.8

NIST 800-53: AC-5

ISO-27001: A.9.2.3

Service account key not rotated

Nome da categoria na API: SERVICE_ACCOUNT_KEY_NOT_ROTATED

Como encontrar a descrição: uma chave da conta de serviço não foi alternada por mais de 90 dias.

Nível de preços: Premium

Recursos compatíveis
iam.googleapis.com/ServiceAccountKey

Corrigir essa descoberta

Avalia o carimbo de data/hora de criação da chave capturado na propriedade validAfterTime nos metadados de chave das contas de serviço.

  • Recursos excluídos das verificações: chaves de contas de serviço expiradas e chaves não gerenciadas pelos usuários
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim
CIS GCP Foundation 1.0: 1.6 CIS GCP Foundation 1.1: 1.7 CIS GCP Foundation 1.2: 1.7
User managed service account key

Nome da categoria na API: USER_MANAGED_SERVICE_ACCOUNT_KEY

Como encontrar a descrição: um usuário gerencia uma chave de conta de serviço.

Nível de preços: Premium

Recursos compatíveis
iam.googleapis.com/ServiceAccountKey

Corrigir essa descoberta

Verifica se a propriedade keyType nos metadados da chave da conta de serviço está definida como User_Managed.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim
CIS GCP Foundation 1.0: 1.3 CIS GCP Foundation 1.1: 1.4 CIS GCP Foundation 1.2: 1.4

Descobertas de vulnerabilidade do KMS

As vulnerabilidades desse tipo de detector estão relacionadas às configurações do Cloud KMS e pertencem ao tipo de detector KMS_SCANNER.

Tabela 10. Leitor do KMS
Detector Resumo Configurações da verificação de recursos Padrões de compliance
KMS key not rotated

Nome da categoria na API: KMS_KEY_NOT_ROTATED

Como encontrar a descrição: a rotação não está configurada em uma chave de criptografia do Cloud KMS. As chaves de criptografia precisam ser trocadas dentro de um período de 90 dias

Nível de preços: Premium

Recursos compatíveis
cloudkms.googleapis.com/CryptoKey

Corrigir essa descoberta

Verifica os metadados do recurso para a existência de propriedades rotationPeriod ou nextRotationTime.

  • Recursos excluídos das verificações: chaves e chaves assimétricas com versões primárias desativadas ou destruídas
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 1.8

CIS GCP Foundation 1.1: 1.10

CIS GCP Foundation 1.2: 1.10

PCI-DSS v3.2.1: 3.5

NIST 800-53: SC-12

ISO-27001: A.10.1.2

KMS project has owner

Nome da categoria na API: KMS_PROJECT_HAS_OWNER

Como encontrar a descrição: um usuário tem permissões de Proprietário em um projeto que tem chaves criptográficas.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Verifica a política de permissão do IAM nos metadados do projeto para os membros atribuídos roles/Owner.

  • Entradas adicionais: lê criptochaves para um projeto do armazenamento, registrando descobertas apenas para projetos com criptochaves
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim, mas somente em alterações na política de permissão do IAM, não em alterações nas chaves do KMS

CIS GCP Foundation 1.1: 1.11

CIS GCP Foundation 1.2: 1.11

PCI-DSS v3.2.1: 3.5

NIST 800-53: AC-6 e SC-12

ISO-27001: A.9.2.3, A.10.1.2

KMS public key

Nome da categoria na API: KMS_PUBLIC_KEY

Como encontrar a descrição: uma chave criptográfica do Cloud KMS é acessível publicamente.

Nível de preços: Premium

Recursos compatíveis
cloudkms.googleapis.com/CryptoKey
cloudkms.googleapis.com/KeyRing

Corrigir essa descoberta

Verifica a política de permissão de IAM nos metadados de recursos para os membros allUsers ou allAuthenticatedUsers, que concedem acesso público.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.1: 1.9

CIS GCP Foundation 1.2: 1.9

Too many KMS users

Nome da categoria na API: TOO_MANY_KMS_USERS

Como encontrar a descrição: há mais de três usuários de chaves criptográficas.

Nível de preços: Premium

Recursos compatíveis
cloudkms.googleapis.com/CryptoKey

Corrigir essa descoberta

Verifica as políticas de permissão do IAM quanto a keyrings, projetos e organizações e recupera membros com papéis que permitem criptografar, descriptografar ou assinar dados usando as chaves do Cloud KMS: roles/owner, roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter, roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer e roles/cloudkms.signerVerifier.
  • Entradas adicionais: lê versões de criptografia para uma chave de criptografia do armazenamento, preenchendo descobertas apenas para chaves com versões ativas. O detector também lê as políticas de permissão de IAM do conjunto de chaves, projetos e organizações do armazenamento
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

PCI-DSS v3.2.1: 3.5.2

ISO-27001: A.9.2.3

Descobertas de vulnerabilidade de geração de registros

As vulnerabilidades desse tipo de detector estão relacionadas às configurações de geração de registros e pertencem ao tipo de detector LOGGING_SCANNER.

Tabela 11. Leitor de geração de registros
Detector Resumo Configurações da verificação de recursos Padrões de compliance
Audit logging disabled

Nome da categoria na API: AUDIT_LOGGING_DISABLED

Descrição da descoberta: a geração de registros de auditoria foi desativada para este recurso.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Verifica a política de permissão do IAM nos metadados do recurso para a existência de um objeto auditLogConfigs.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 2.1

CIS GCP Foundation 1.1: 2.1

CIS GCP Foundation 1.2: 2.1

PCI-DSS v3.2.1: 10.1, 10.2

NIST 800-53: AC-2 e AU-2

ISO-27001: A.12.4.1, A.16.1.7

Bucket logging disabled

Nome da categoria na API: BUCKET_LOGGING_DISABLED

Como encontrar a descrição: há um bucket de armazenamento sem o registro ativado.

Nível de preços: Premium

Recursos compatíveis
storage.googleapis.com/Bucket

Corrigir essa descoberta

Verifica se o campo logBucket, na propriedade logging do bucket, está vazio.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim
CIS GCP Foundation 1.0: 5.3
Locked retention policy not set

Nome da categoria na API: LOCKED_RETENTION_POLICY_NOT_SET

Como encontrar a descrição: uma política de retenção bloqueada não está definida para os registros.

Nível de preços: Premium

Recursos compatíveis
storage.googleapis.com/Bucket

Corrigir essa descoberta

Verifica se o campo isLocked na propriedade retentionPolicy do intervalo está definido como true.

  • Entradas adicionais: lê o coletor de registros (o filtro e o destino do registro) de um bucket para determinar se é um bucket de registro
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.1: 2.3

CIS GCP Foundation 1.2: 2.3

PCI-DSS v3.2.1: 10.5

NIST 800-53: AU-11

ISO-27001: A.12.4.2, A.18.1.3

Log not exported

Nome da categoria na API: LOG_NOT_EXPORTED

Como encontrar a descrição: há um recurso que não tem um coletor de registros apropriado configurado.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Recupera um objeto logSink em um projeto, verificando se o campo includeChildren está definido como true, o campo destination inclui o local para gravar registros, e o campo filter é preenchido.

  • Entradas adicionais: lê o coletor de registros (o filtro e o destino do registro) de um bucket para determinar se é um bucket de registro
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim, mas somente em alterações de projeto, não se a exportação de registros estiver configurada na pasta ou na organização

CIS GCP Foundation 1.0: 2.2

CIS GCP Foundation 1.1: 2.2

CIS GCP Foundation 1.2: 2.2

ISO-27001: A.18.1.3

Object versioning disabled

Nome da categoria na API: OBJECT_VERSIONING_DISABLED

Como encontrar a descrição: o controle de versão de objeto não está ativado em um bucket de armazenamento em que os coletores são configurados.

Nível de preços: Premium

Recursos compatíveis
storage.googleapis.com/Bucket

Corrigir essa descoberta

Verifica se o campo enabled, na propriedade versioning do bucket, está definido como true.

  • Recursos excluídos das verificações: intervalos do Cloud Storage com uma política de retenção bloqueada
  • Entradas adicionais: lê o coletor de registros (o filtro e o destino do registro) de um bucket para determinar se é um bucket de registro
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim, mas somente se o controle de versões de objetos for alterado, não se os intervalos de registros forem criados

CIS GCP Foundation 1.0: 2.3

PCI-DSS v3.2.1: 10.5

NIST 800-53: AU-11

ISO-27001: A.12.4.2, A.18.1.3

Como monitorar descobertas de vulnerabilidade

Todas as vulnerabilidades desse tipo de detector estão relacionadas às configurações de monitoramento e pertencem ao tipo MONITORING_SCANNER. Todas as propriedades de descoberta do detector do Monitoring incluem:

  • O RecommendedLogFilter a ser usado na criação das métricas de registro.
  • O QualifiedLogMetricNames que abrange as condições listadas no filtro de registro recomendado.
  • OAlertPolicyFailureReasonsque indica se o projeto não tem políticas de alerta criadas para nenhuma das métricas de registro qualificadas ou se as políticas de alerta atuais não têm as configurações recomendadas.
Tabela 12. Leitor de monitoramento
Detector Resumo Configurações da verificação de recursos Padrões de compliance
Audit config not monitored

Nome da categoria na API: AUDIT_CONFIG_NOT_MONITORED

Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar mudanças na configuração de auditoria.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.auditConfigDeltas:* e, se resource.type for especificado, se o valor é global , O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente
  • Permissões adicionais do IAM: roles/monitoring.alertPolicyViewer
  • Entradas adicionais: lê métricas de registro para o projeto do armazenamento. Lê as informações da conta do pacote de operações do Google Cloud, arquivando descobertas apenas para projetos com contas ativas
  • Verificações em lote: a cada 12 horas
  • Verificações em tempo real: sim, mas somente em alterações de projeto, não em métricas de registro e de alertas

CIS GCP Foundation 1.0: 2.5

CIS GCP Foundation 1.1: 2.5

CIS GCP Foundation 1.2: 2.5

Bucket IAM not monitored

Nome da categoria na API: BUCKET_IAM_NOT_MONITORED

Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar alterações de permissão do IAM do Cloud Storage.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como resource.type=gcs_bucket AND protoPayload.methodName="storage.setIamPermissions". O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
  • Permissões adicionais do IAM: roles/monitoring.alertPolicyViewer
  • Entradas adicionais: lê métricas de registro para o projeto do armazenamento. Lê as informações da conta do pacote de operações do Google Cloud, arquivando descobertas apenas para projetos com contas ativas
  • Verificações em lote: a cada 12 horas
  • Verificações em tempo real: sim, mas somente em alterações de projeto, não de métricas de registro e de alertas

CIS GCP Foundation 1.0: 2.10

CIS GCP Foundation 1.1: 2.10

CIS GCP Foundation 1.2: 2.10

Custom role not monitored

Nome da categoria na API: CUSTOM_ROLE_NOT_MONITORED

Como encontrar a descrição: métricas e alertas de registro não são configurados para monitorar alterações de Papéis personalizados.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como resource.type="iam_role" AND (protoPayload.methodName="google.iam.admin.v1.CreateRole" OR protoPayload.methodName="google.iam.admin.v1.DeleteRole" OR protoPayload.methodName="google.iam.admin.v1.UpdateRole"). O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
  • Permissões adicionais do IAM: roles/monitoring.alertPolicyViewer
  • Entradas adicionais: lê métricas de registro para o projeto do armazenamento. Lê as informações da conta do pacote de operações do Google Cloud, arquivando descobertas apenas para projetos com contas ativas
  • Verificações em lote: a cada 12 horas
  • Verificações em tempo real: sim, mas somente em alterações de projeto, não em métricas de registro e de alertas

CIS GCP Foundation 1.0: 2.6

CIS GCP Foundation 1.1: 2.6

CIS GCP Foundation 1.2: 2.6

Firewall not monitored

Nome da categoria na API: FIREWALL_NOT_MONITORED

Como encontrar a descrição: as métricas e os alertas de registro não estão configurados para monitorar alterações na regra de firewall da rede de nuvem privada virtual (VPC).

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como resource.type="gce_firewall_rule" AND (protoPayload.methodName:"compute.firewalls.insert" OR protoPayload.methodName:"compute.firewalls.patch" OR protoPayload.methodName:"compute.firewalls.delete"). O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
  • Permissões adicionais do IAM: roles/monitoring.alertPolicyViewer
  • Entradas adicionais: lê métricas de registro para o projeto do armazenamento. Lê as informações da conta do pacote de operações do Google Cloud, arquivando descobertas apenas para projetos com contas ativas
  • Verificações em lote: a cada 12 horas
  • Verificações em tempo real: sim, mas somente em alterações de projeto, não de métricas de registro e de alertas

CIS GCP Foundation 1.0: 2.7

CIS GCP Foundation 1.1: 2.7

CIS GCP Foundation 1.2: 2.7

Network not monitored

Nome da categoria na API: NETWORK_NOT_MONITORED

Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar mudanças da rede VPC.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como resource.type="gce_network" AND (protoPayload.methodName:"compute.networks.insert" OR protoPayload.methodName:"compute.networks.patch" OR protoPayload.methodName:"compute.networks.delete" OR protoPayload.methodName:"compute.networks.removePeering" OR protoPayload.methodName:"compute.networks.addPeering"). O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
  • Permissões adicionais do IAM: roles/monitoring.alertPolicyViewer
  • Entradas adicionais: lê métricas de registro para o projeto do armazenamento. Lê as informações da conta do pacote de operações do Google Cloud, arquivando descobertas apenas para projetos com contas ativas
  • Verificações em lote: a cada 12 horas
  • Verificações em tempo real: sim, mas somente em alterações de projeto, não em métricas de registro e de alertas

CIS GCP Foundation 1.0: 2.9

CIS GCP Foundation 1.1: 2.9

CIS GCP Foundation 1.2: 2.9

Owner not monitored

Nome da categoria na API: OWNER_NOT_MONITORED

Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar atribuições ou alterações de propriedade do projeto.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como (protoPayload.serviceName="cloudresourcemanager.googleapis.com") AND (ProjectOwnership OR projectOwnerInvitee) OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") e, se resource.type for especificado, se o valor é global. O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
  • Permissões adicionais do IAM: roles/monitoring.alertPolicyViewer
  • Entradas adicionais: lê métricas de registro para o projeto do armazenamento. Lê as informações da conta do pacote de operações do Google Cloud, arquivando descobertas apenas para projetos com contas ativas
  • Verificações em lote: a cada 12 horas
  • Verificações em tempo real: sim, mas somente em alterações de projeto, não de métricas de registro e de alertas

CIS GCP Foundation 1.0: 2.4

CIS GCP Foundation 1.1: 2.4

CIS GCP Foundation 1.2: 2.4

Route not monitored

Nome da categoria na API: ROUTE_NOT_MONITORED

Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar mudanças na rota de rede VPC.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como resource.type="gce_route" AND (protoPayload.methodName:"compute.routes.delete" OR protoPayload.methodName:"compute.routes.insert"). O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
  • Permissões adicionais do IAM: roles/monitoring.alertPolicyViewer
  • Entradas adicionais: lê métricas de registro para o projeto do armazenamento. Lê as informações da conta do pacote de operações do Google Cloud, arquivando descobertas apenas para projetos com contas ativas
  • Verificações em lote: a cada 12 horas
  • Verificações em tempo real: sim, mas somente em alterações de projeto, não em métricas de registro e de alertas

CIS GCP Foundation 1.0: 2.8

CIS GCP Foundation 1.1: 2.8

CIS GCP Foundation 1.2: 2.8

SQL instance not monitored

SQL_INSTANCE_NOT_MONITORED

Como encontrar a descrição: métricas e alertas de registro não são configurados para monitorar alterações na configuração da instância do Cloud SQL.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como protoPayload.methodName="cloudsql.instances.update" OR protoPayload.methodName="cloudsql.instances.create" OR protoPayload.methodName="cloudsql.instances.delete" e, se resource.type for especificado, se o valor é global. O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
  • Permissões adicionais do IAM: roles/monitoring.alertPolicyViewer
  • Entradas adicionais: lê métricas de registro para o projeto do armazenamento. Lê as informações da conta do pacote de operações do Google Cloud, arquivando descobertas apenas para projetos com contas ativas
  • Verificações em lote: a cada 12 horas
  • Verificações em tempo real: sim, mas somente em alterações de projeto, não em métricas de registro e de alertas

CIS GCP Foundation 1.0: 2.11

CIS GCP Foundation 1.1: 2.11

CIS GCP Foundation 1.2: 2.11

Descobertas da autenticação multifator

O detector MFA_SCANNER identifica vulnerabilidades relacionadas à autenticação multifator para usuários.

Tabela 13. Verificador de autenticação multifator
Detector Resumo Configurações da verificação de recursos Padrões de compliance
MFA not enforced

Nome da categoria na API: MFA_NOT_ENFORCED

Há usuários que não estão usando a verificação em duas etapas.

Nível de preços: Premium ou Standard

Recursos compatíveis
cloudresourcemanager.googleapis.com/Organization

Corrigir essa descoberta

Avalia políticas de gerenciamento de identidade em organizações e configurações de usuários para contas gerenciadas no Cloud Identity.

  • Recursos excluídos das verificações: as unidades organizacionais receberam exceções à política
  • Entradas adicionais: lê dados do Google Workspace.
  • Verificações em lote: a cada 12 horas
  • Verificações em tempo real: não

CIS GCP Foundation 1.0: 1.2

CIS GCP Foundation 1.1: 1.2

CIS GCP Foundation 1.2: 1.2

PCI-DSS v3.2.1: 8.3

NIST 800-53: IA-2

ISO-27001: A.9.4.2

Descobertas de vulnerabilidades de rede

As vulnerabilidades desse tipo de detector estão relacionadas às configurações de rede de uma organização e pertencem ao tipo NETWORK_SCANNER.

Tabela 14. Leitor de rede
Detector Resumo Configurações da verificação de recursos Padrões de compliance
Default network

Nome da categoria na API: DEFAULT_NETWORK

Como encontrar a descrição: a rede padrão existe em um projeto.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Network

Corrigir essa descoberta

Verifica se a propriedade name nos metadados da rede está definida como default

  • Recursos excluídos das verificações: projetos em que a API Compute Engine está desativada e os recursos do Compute Engine estão em um estado congelado
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 3.1

CIS GCP Foundation 1.1: 3.1

CIS GCP Foundation 1.2: 3.1

DNS logging disabled

Nome da categoria na API: DNS_LOGGING_DISABLED

Encontrar a descrição: a geração de registros DNS em uma rede VPC não está ativada.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Network
dns.googleapis.com/Policy

Corrigir essa descoberta

Verifica todos os policies associados a uma rede VPC pelo campo networks[].networkUrl e procura pelo menos uma política que tenha enableLogging definido como true.

  • Recursos excluídos das verificações: projetos em que a API Compute Engine está desativada e os recursos do Compute Engine estão em um estado congelado
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.2: 2.12

Legacy network

Nome da categoria na API: LEGACY_NETWORK

Como encontrar a descrição: há uma rede legada em um projeto.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Network

Corrigir essa descoberta

Verifica a existência de metadados de rede na propriedade IPv4Range.

  • Recursos excluídos das verificações: projetos em que a API Compute Engine está desativada e os recursos do Compute Engine estão em um estado congelado
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 3.2

CIS GCP Foundation 1.1: 3.2

CIS GCP Foundation 1.2: 3.2

Descobertas da vulnerabilidade da política da organização

As vulnerabilidades desse tipo de detector estão relacionadas às configurações de política da organização e pertencem ao tipo ORG_POLICY.

Tabela 15. Verificador de políticas da organização
Detector Resumo Configurações da verificação de recursos Padrões de compliance
Org policy Confidential VM policy

Nome da categoria na API: ORG_POLICY_CONFIDENTIAL_VM_POLICY

Como encontrar a descrição: um recurso do Compute Engine não está em conformidade com a política da organização constraints/compute.restrictNonConfidentialComputing. Para mais informações sobre essa restrição da política da organização, consulte Como aplicar restrições de políticas da organização na documentação da VM confidencial.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Instance

Corrigir essa descoberta

Verifica se a propriedade enableConfidentialCompute de uma instância do Compute Engine está definida como true.

  • Recursos excluídos das verificações: instâncias do GKE
  • Permissões adicionais do IAM: permissions/orgpolicy.policy.get
  • Entradas adicionais: lê a política da organização efetiva do serviço de política da organização
  • Verificações em lote: a cada 12 horas
  • Verificações em tempo real: não
Org policy location restriction

Nome da categoria na API: ORG_POLICY_LOCATION_RESTRICTION

Como encontrar a descrição: um recurso do Compute Engine está fora da conformidade com a restrição constraints/gcp.resourceLocations. Para mais informações sobre essa restrição da política da organização, consulte Como aplicar restrições da política da organização.

Nível de preços: Premium

Recursos compatíveis
Veja abaixo.

Corrigir essa descoberta

Verifica a propriedade listPolicy nos metadados dos recursos compatíveis para ver uma lista de locais permitidos ou negados.

  • Permissões adicionais do IAM: permissions/orgpolicy.policy.get
  • Entradas adicionais: lê a política da organização efetiva do serviço de política da organização
  • Verificações em lote: a cada 12 horas
  • Verificações em tempo real: não

Recursos compatíveis para ORG_POLICY_LOCATION_RESTRICTION

Compute Engine
compute.googleapis.com/Autoscaler
compute.googleapis.com/Address
compute.googleapis.com/Commitment
compute.googleapis.com/Disk
compute.googleapis.com/ForwardingRule
compute.googleapis.com/HealthCheck
compute.googleapis.com/Image
compute.googleapis.com/Instance
compute.googleapis.com/InstanceGroup
compute.googleapis.com/InstanceGroupManager
compute.googleapis.com/InterconnectAttachment
compute.googleapis.com/NetworkEndpointGroup
compute.googleapis.com/NodeGroup
compute.googleapis.com/NodeTemplate
compute.googleapis.com/PacketMirroring
compute.googleapis.com/RegionBackendService
compute.googleapis.com/RegionDisk
compute.googleapis.com/ResourcePolicy
compute.googleapis.com/Reservation
compute.googleapis.com/Router
compute.googleapis.com/Snapshot
compute.googleapis.com/SslCertificate
compute.googleapis.com/Subnetwork
compute.googleapis.com/TargetHttpProxy
compute.google.apis.com/TargetHttpsProxy
compute.googleapis.com/TargetInstance
compute.googleapis.com/TargetPool
compute.googleapis.com/TargetVpnGateway
compute.googleapis.com/UrlMap
compute.googleapis.com/VpnGateway
compute.googleapis.com/VpnTunnel

GKE
container.googleapis.com/Cluster
container.googleapis.com/NodePool

Cloud Storage
storage.googleapis.com/Bucket

Cloud KMS
cloudkms.googleapis.com/CryptoKey1
cloudkms.googleapis.com/CryptoKeyVersion1
cloudkms.googleapis.com/ImportJob2
cloudkms.googleapis.com/KeyRing1

Dataproc
dataproc.googleapis.com/Cluster

BigQuery
bigquery.googleapis.com/Dataset

Dataflow
dataflow.googleapis.com/Job3

Cloud SQL
sqladmin.googleapis.com/Instance

Cloud Composer
compositor.googleapis.com/Environment

Geração de registros
logging.googleapis.com/LogBucket

Pub/Sub
pubsub.googleapis.com/Topic

Vertex AI
aiplatform.googleapis.com/BatchPredictionJob
aiplatform.googleapis.com/CustomJob
aiplatform.googleapis.com/DataLabelingJob
aiplatform.googleapis.com/Dataset
aiplatform.googleapis.com/Endpoint
aiplatform.googleapis.com/HyperparameterTuningJob
aiplatform.googleapis.com/Model
aiplatform.googleapis.com/SpecialistPool
aiplatform.googleapis.com/TrainingPipeline

Registro do artefato
artifactregistry.googleapis.com/Repository

1 Como não é possível excluir os recursos do Cloud KMS, eles não serão considerados fora da região se os dados deles tiverem sido destruídos.

2 Como os jobs de importação do Cloud KMS têm um ciclo de vida controlado e não podem ser encerrados antecipadamente, um ImportJob não é considerado fora da região se o job expirar e não puder mais ser usado para importar chaves.

3 Como o ciclo de vida dos jobs do Dataflow não pode ser gerenciado, um job não é considerado fora da região depois de atingir um estado terminal (interrompido ou drenado), em que pode não serão mais usados para processar dados.

Descobertas de vulnerabilidades do Pub/Sub

As vulnerabilidades desse tipo de detector estão relacionadas às configurações do Pub/Sub e pertencem ao tipo PUBSUB_SCANNER.

Tabela 16. Verificador do Pub/Sub
Detector Resumo Configurações da verificação de recursos Padrões de compliance
Pubsub CMEK disabled

Nome da categoria na API: PUBSUB_CMEK_DISABLED

Como encontrar a descrição: um tópico do Pub/Sub não é criptografado com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores.

Nível de preços: Premium

Recursos compatíveis
pubsub.googleapis.com/Topic

Corrigir essa descoberta

Verifica o campo kmsKeyName para o nome do recurso do CMEK.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

Descobertas de vulnerabilidade SQL

As vulnerabilidades desse tipo de detector estão relacionadas às configurações do Cloud SQL e pertencem ao tipo SQL_SCANNER.

Tabela 17. Leitor SQL
Detector Resumo Configurações da verificação de recursos Padrões de compliance
Auto backup disabled

Nome da categoria na API: AUTO_BACKUP_DISABLED

Descrição da descoberta: um banco de dados do Cloud SQL não tem backups automáticos ativados.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Verifica se a propriedade backupConfiguration.enabled de um dado do Cloud SQL está definida como true.

  • Recursos excluídos das verificações: réplicas do Cloud SQL
  • Entradas adicionais: lê políticas de permissão do IAM para ancestrais do armazenamento de recursos do Security Health Analytics
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.1: 6.7

CIS GCP Foundation 1.2: 6.7

NIST 800-53: CP-9

ISO-27001: A.12.3.1

Public SQL instance

Nome da categoria na API: PUBLIC_SQL_INSTANCE

Como encontrar a descrição: uma instância de banco de dados do Cloud SQL aceita conexões de todos os endereços IP.

Nível de preços: Premium ou Standard

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Verifica se a propriedade authorizedNetworks das instâncias do Cloud SQL está definida como um único endereço IP ou intervalo de endereços IP.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 6.2

CIS GCP Foundation 1.1: 6.5

CIS GCP Foundation 1.2: 6.5

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: CA-3, SC-7

ISO-27001: A.8.2.3, A.13.1.3, A.14.1.3

SSL not enforced

Nome da categoria na API: SSL_NOT_ENFORCED

Descrição da descoberta: uma instância de banco de dados do Cloud SQL não requer que todas as conexões de entrada usem SSL.

Nível de preços: Premium ou Standard

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Verifica se a propriedade requireSsl da instância do Cloud SQL está definida como true.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 6.1

CIS GCP Foundation 1.1: 6.4

CIS GCP Foundation 1.2: 6.4

PCI-DSS v3.2.1: 4.1

NIST 800-53: SC-7

ISO-27001: A.8.2.3, A.13.2.1, A.14.1.3

SQL CMEK disabled

Nome da categoria na API: SQL_CMEK_DISABLED

Descrição da descoberta: uma instância de banco de dados SQL não é criptografada com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Verifica o campo kmsKeyName no objeto diskEncryptionKey, nos metadados da instância, para o nome do recurso da CMEK.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim
SQL contained database authentication

Nome da categoria na API: SQL_CONTAINED_DATABASE_AUTHENTICATION

Como encontrar a descrição: a sinalização do banco de dados contained database authentication para uma instância do Cloud SQL para SQL Server não está definida como off.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor, "name": "contained database authentication", "value": "on" ou se está ativado por padrão.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.1: 6.3.2

CIS GCP Foundation 1.2: 6.3.7

SQL cross DB ownership chaining

Nome da categoria na API: SQL_CROSS_DB_OWNERSHIP_CHAINING

Descoberta de localização: a sinalização do banco de dados cross_db_ownership_chaining para uma instância do Cloud SQL para SQL Server não está definida como off.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor "name": "cross_db_ownership_chaining", "value": "on".

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.1: 6.3.1

CIS GCP Foundation 1.2: 6.3.2

SQL external scripts enabled

Nome da categoria na API: SQL_EXTERNAL_SCRIPTS_ENABLED

Descoberta de localização: a sinalização do banco de dados external scripts enabled para uma instância do Cloud SQL para SQL Server não está definida como off.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor "name": "external scripts enabled", "value": "off".

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.2: 6.3.1

SQL local infile

Nome da categoria na API: SQL_LOCAL_INFILE

Encontrando descrição: a sinalização do banco de dados local_infile para uma instância do Cloud SQL para MySQL não está definida como off.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor "name": "local_infile", "value": "on".

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.1: 6.1.2

CIS GCP Foundation 1.2: 6.1.3

SQL log checkpoints disabled

Nome da categoria na API: SQL_LOG_CHECKPOINTS_DISABLED

Como encontrar a descrição: a sinalização de banco de dados log_checkpoints para uma instância do Cloud SQL para PostgreSQL não está definida como on.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor "name": "log_checkpoints", "value": "on".

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.1: 6.2.1

CIS GCP Foundation 1.2: 6.2.1

SQL log connections disabled

Nome da categoria na API: SQL_LOG_CONNECTIONS_DISABLED

Como encontrar a descrição: a sinalização de banco de dados log_connections para uma instância do Cloud SQL para PostgreSQL não está definida como on.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor "name": "log_connections", "value": "on".

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.1: 6.2.2

CIS GCP Foundation 1.2: 6.2.3

SQL log disconnections disabled

Nome da categoria na API: SQL_LOG_DISCONNECTIONS_DISABLED

Descoberta de localização: a sinalização do banco de dados log_disconnections para uma instância do Cloud SQL para PostgreSQL não está definida como on.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor "name": "log_disconnections", "value": "on".

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.1: 6.2.3

CIS GCP Foundation 1.2: 6.2.4

SQL log duration disabled

Nome da categoria na API: SQL_LOG_DURATION_DISABLED

Descoberta de localização: a sinalização do banco de dados log_duration para uma instância do Cloud SQL para PostgreSQL não está definida como on.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor "name": "log_duration", "value": "on".

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.2: 6.2.5

SQL log error verbosity

Nome da categoria na API: SQL_LOG_ERROR_VERBOSITY

Encontrando descrição: a sinalização do banco de dados log_error_verbosity para uma instância do Cloud SQL para PostgreSQL não está definida como default ou mais rígida.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Verifica se a propriedade databaseFlags dos metadados da instância para o campo log_error_verbosity está definida como default ou terse.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.2: 6.2.2

SQL log lock waits disabled

Nome da categoria na API: SQL_LOG_LOCK_WAITS_DISABLED

Como encontrar a descrição: a sinalização de banco de dados log_lock_waits para uma instância do Cloud SQL para PostgreSQL não está definida como on.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor "name": "log_lock_waits", "value": "on".

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.1: 6.2.4

CIS GCP Foundation 1.2: 6.2.6

SQL log min duration statement enabled

Nome da categoria na API: SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

Como encontrar a descrição: a sinalização do banco de dados log_min_duration_statement para uma instância do Cloud SQL para PostgreSQL não está definida como "-1".

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor "name": "log_min_duration_statement", "value": "-1".

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.1: 6.2.7

CIS GCP Foundation 1.2: 6.2.16

SQL log min error statement

Nome da categoria na API: SQL_LOG_MIN_ERROR_STATEMENT

Encontrando descrição a sinalização do banco de dados log_min_error_statement para uma instância do Cloud SQL para PostgreSQL não está definida corretamente.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Verifica se o campo log_min_error_statement da propriedade databaseFlags está definido como um dos seguintes valores: debug5, debug4, debug3, debug2, debug1, info, notice, warning ou o valor padrão error.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.1: 6.2.5

SQL log min error statement severity

Nome da categoria na API: SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

Descrição da descoberta: a sinalização do banco de dados log_min_error_statement para uma instância do Cloud SQL para PostgreSQL não tem um nível de gravidade apropriado.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Verifica se o campo log_min_error_statement da propriedade databaseFlags está definido com um dos seguintes valores: error, log, fatal ou panic.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.2: 6.2.14

SQL log min messages

Nome da categoria na API: SQL_LOG_MIN_MESSAGES

Como encontrar a descrição: a sinalização de banco de dados log_min_messages para uma instância do Cloud SQL para PostgreSQL não está definida como warning.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Verifica se o campo log_min_messages da propriedade databaseFlags está definido como warning.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.2: 6.2.13

SQL log executor stats enabled

Nome da categoria na API: SQL_LOG_EXECUTOR_STATS_ENABLED

Como encontrar a descrição: a sinalização de banco de dados log_executor_status para uma instância do Cloud SQL para PostgreSQL não está definida como off.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Verifica se a propriedade databaseFlags dos metadados da instância para o campo log_executor_status está definida como on.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.2: 6.2.11

SQL log hostname enabled

Nome da categoria na API: SQL_LOG_HOSTNAME_ENABLED

Como encontrar a descrição: a sinalização de banco de dados log_hostname para uma instância do Cloud SQL para PostgreSQL não está definida como off.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Verifica se a propriedade databaseFlags dos metadados da instância para o campo log_hostname está definida como on.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.2: 6.2.8

SQL log parser stats enabled

Nome da categoria na API: SQL_LOG_PARSER_STATS_ENABLED

Como encontrar a descrição: a sinalização de banco de dados log_parser_stats para uma instância do Cloud SQL para PostgreSQL não está definida como off.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Verifica se a propriedade databaseFlags dos metadados da instância para o campo log_parser_stats está definida como on.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.2: 6.2.9

SQL log planner stats enabled

Nome da categoria na API: SQL_LOG_PLANNER_STATS_ENABLED

Como encontrar a descrição: a sinalização de banco de dados log_planner_stats para uma instância do Cloud SQL para PostgreSQL não está definida como off.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Verifica se a propriedade databaseFlags dos metadados da instância para o campo log_planner_stats está definida como on.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.2: 6.2.10

SQL log statement

Nome da categoria na API: SQL_LOG_STATEMENT

Como encontrar a descrição: a sinalização do banco de dados log_statement para uma instância do Cloud SQL para PostgreSQL não está definida como Ddl (todas as instruções de definição de dados).

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Verifica se a propriedade databaseFlags dos metadados da instância para o campo log_statement está definida como Ddl.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.2: 6.2.7

SQL log statement stats enabled

Nome da categoria na API: SQL_LOG_STATEMENT_STATS_ENABLED

Como encontrar a descrição: a sinalização de banco de dados log_statement_stats para uma instância do Cloud SQL para PostgreSQL não está definida como off.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Verifica se a propriedade databaseFlags dos metadados da instância para o campo log_statement_stats está definida como on.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.2: 6.2.12

SQL log temp files

Nome da categoria na API: SQL_LOG_TEMP_FILES

Descoberta de localização: a sinalização do banco de dados log_temp_files para uma instância do Cloud SQL para PostgreSQL não está definida como "0".

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor "name": "log_temp_files", "value": "0".

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.1: 6.2.6

CIS GCP Foundation 1.2: 6.2.15

SQL no root password

Nome da categoria na API: SQL_NO_ROOT_PASSWORD

Descrição da descoberta: um banco de dados do Cloud SQL não tem uma senha configurada para a conta raiz. Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Verifica se a propriedade rootPassword da conta raiz está vazia.

  • Permissões adicionais do IAM: roles/cloudsql.client
  • Entradas adicionais: consulta instâncias ativas
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: não

CIS GCP Foundation 1.0: 6.3

CIS GCP Foundation 1.1: 6.1.1

CIS GCP Foundation 1.2: 6.1.1

PCI-DSS v3.2.1: 2.1

NIST 800-53: AC-3

ISO-27001: A.8.2.3, A.9.4.2

SQL public IP

Nome da categoria na API: SQL_PUBLIC_IP

Como encontrar a descrição: um banco de dados do Cloud SQL tem um endereço IP público.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Verifica se o tipo de endereço IP de um banco de dados do Cloud SQL está definido como Primary, indicando que ele é público.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.1: 6.6

CIS GCP Foundation 1.2: 6.6

SQL remote access enabled

Nome da categoria na API: SQL_REMOTE_ACCESS_ENABLED

Como encontrar a descrição: a sinalização do banco de dados remote access para uma instância do Cloud SQL para SQL Server não está definida como off.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor "name": "remote access", "value": "off".

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.2: 6.3.5

SQL skip show database disabled

Nome da categoria na API: SQL_SKIP_SHOW_DATABASE_DISABLED

Encontrando descrição: a sinalização do banco de dados skip_show_database para uma instância do Cloud SQL para MySQL não está definida como on.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor "name": "skip_show_database", "value": "on".

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.2: 6.1.2

SQL trace flag 3625

Nome da categoria na API: SQL_TRACE_FLAG_3625

Como encontrar a descrição: a sinalização do banco de dados 3625 (trace flag) para uma instância do Cloud SQL para SQL Server não está definida como on.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor "name": "3625 (trace flag)", "value": "on".

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.2: 6.3.6

SQL user connections configured

Nome da categoria na API: SQL_USER_CONNECTIONS_CONFIGURED

Como encontrar a descrição: a sinalização do banco de dados user connections para uma instância do Cloud SQL para SQL Server está configurada.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor "name": "user connections", "value": "0".

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.2: 6.3.3

SQL user options configured

Nome da categoria na API: SQL_USER_OPTIONS_CONFIGURED

Como encontrar a descrição: a sinalização do banco de dados user options para uma instância do Cloud SQL para SQL Server está configurada.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor "name": "user options", "value": "" (vazio).

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.2: 6.3.4

SQL weak root password

Nome da categoria na API: SQL_WEAK_ROOT_PASSWORD

Como encontrar a descrição: um banco de dados do Cloud SQL tem uma senha fraca configurada para a conta raiz. Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Compara a senha da conta raiz do banco de dados do Cloud SQL com uma lista de senhas comuns.

  • Permissões adicionais do IAM: roles/cloudsql.client
  • Entradas adicionais: consulta instâncias ativas
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: não

Descobertas de vulnerabilidade do armazenamento

As vulnerabilidades desse tipo de detector estão relacionadas às configurações dos buckets do Cloud Storage e pertencem ao tipo STORAGE_SCANNER.

Tabela 18. Leitor de armazenamento
Detector Resumo Configurações da verificação de recursos Padrões de compliance
Bucket CMEK disabled

Nome da categoria na API: BUCKET_CMEK_DISABLED

Descrição da descoberta: um bucket não é criptografado com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar. Para instruções, consulte Ativar e desativar detectores.

Nível de preços: Premium

Recursos compatíveis
storage.googleapis.com/Bucket

Corrigir essa descoberta

Verifica o campo encryption nos metadados do bucket para o nome do recurso de sua CMEK.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim
Bucket policy only disabled

Nome da categoria na API: BUCKET_POLICY_ONLY_DISABLED

Como encontrar a descrição: o acesso uniforme no nível do bucket, anteriormente chamado de Somente política do bucket, não está configurado.

Nível de preços: Premium

Recursos compatíveis
storage.googleapis.com/Bucket

Corrigir essa descoberta

Verifica se a propriedade uniformBucketLevelAccess em um bucket está definida como "enabled":false

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim
Public bucket ACL

Nome da categoria na API: PUBLIC_BUCKET_ACL

Como encontrar a descrição: um bucket do Cloud Storage é acessível publicamente.

Nível de preços: Premium ou Standard

Recursos compatíveis
storage.googleapis.com/Bucket

Corrigir essa descoberta

Verifica a política de permissão do IAM de um bucket para papéis públicos, allUsers ou allAuthenticatedUsers, com privilégios de administrador ou editor.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 5.1

CIS GCP Foundation 1.1: 5.1

CIS GCP Foundation 1.2: 5.1

PCI-DSS v3.2.1: 7.1

NIST 800-53: AC-2

ISO-27001: A.8.2.3, A.14.1.3

Public log bucket

Nome da categoria na API: PUBLIC_LOG_BUCKET

Como encontrar a descrição: um bucket de armazenamento usado como coletor de registros é acessível publicamente.

Nível de preços: Premium ou Standard

Recursos compatíveis
storage.googleapis.com/Bucket

Corrigir essa descoberta

Verifica a política de permissão do IAM de um bucket para os membros allUsers ou allAuthenticatedUsers, que concedem acesso público.

  • Entradas adicionais: lê o coletor de registros (o filtro e o destino do registro) de um bucket para determinar se é um bucket de registro
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim, mas somente se a política do IAM em intervalos for alterada, não se o coletor de registros for alterado

PCI-DSS v3.2.1: 10.5

NIST 800-53: AU-9

ISO-27001: A.8.2.3, A.12.4.2, A.18.1.3

Descobertas de vulnerabilidades de sub-rede

As vulnerabilidades desse tipo de detector estão relacionadas às configurações de sub-rede da organização e pertencem ao tipo SUBNETWORK_SCANNER.

Tabela 19. Leitor de sub-rede
Detector Resumo Configurações da verificação de recursos Padrões de compliance
Flow logs disabled

Nome da categoria na API: FLOW_LOGS_DISABLED

Como encontrar a descrição: há uma sub-rede VPC com registros de fluxo desativados.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Subnet

Corrigir essa descoberta

Verifica se a propriedade enableFlowLogs das sub-redes do Compute Engine está ausente ou definida como false.

  • Recursos excluídos das verificações: acesso VPC sem servidor, sub-redes do balanceador de carga
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 3.9

CIS GCP Foundation 1.1: 3.8

CIS GCP Foundation 1.2: 3.8

PCI-DSS v3.2.1: 10.1, 10.2

NIST 800-53: SI-4

ISO-27001: A.13.1.1

Private Google access disabled

Nome da categoria na API: PRIVATE_GOOGLE_ACCESS_DISABLED

Descrição da descoberta: há sub-redes particulares sem acesso às APIs públicas do Google.

Nível de preços: Premium

Recursos compatíveis
storage.googleapis.com/Bucket
compute.googleapis.com/Subnetwork

Corrigir essa descoberta

Verifica se a propriedade privateIpGoogleAccess das sub-redes do Compute Engine está definida como false.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim
CIS GCP Foundation 1.0: 3.8

VM Manager

O VM Manager é um conjunto de ferramentas que podem ser usadas para gerenciar sistemas operacionais para grandes frotas de máquinas virtuais (VMs) que executam o Windows e o Linux no Compute Engine.

Se você ativar o VM Manager e tiver uma assinatura do Security Command Center Premium, o VM Manager gravará as descobertas dos relatórios de vulnerabilidade que estão em pré-lançamento no Security Command Center. Os relatórios identificam vulnerabilidades nos sistemas operacionais instalados em VMs, incluindo Vulnerabilidades e exposições comuns (CVEs, na sigla em inglês).

Os relatórios de vulnerabilidades não estão disponíveis para o Security Command Center Standard.

As descobertas simplificam o processo de uso do recurso Conformidade com o patch do VM Manager, que está em fase de pré-lançamento. O recurso permite realizar o gerenciamento de patches no nível da organização em todos os projetos. Atualmente, o VM Manager é compatível com o gerenciamento de patches no nível do projeto único.

Descobertas do VM Manager

Todas as vulnerabilidades desse tipo estão relacionadas aos pacotes de sistema operacional instalados nas VMs do Compute Engine compatíveis.

Tabela 20. Relatórios de vulnerabilidades do VM Manager
Detector Resumo Configurações da verificação de recursos Padrões de compliance
OS vulnerability

Nome da categoria na API: OS_VULNERABILITY

Como encontrar a descrição: o VM Manager detectou uma vulnerabilidade no pacote do sistema operacional (SO) instalado de uma VM do Compute Engine.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Instance

Corrigir essa descoberta

Os relatórios de vulnerabilidade do VM Manager detalham as vulnerabilidades em pacotes de sistema operacional instalados em VMs do Compute Engine, incluindo Vulnerabilidades e exposições comuns (CVEs, na sigla em inglês).

  • Recursos excluídos das verificações: SUSE Linux Enterprise Server (SLES, na sigla em inglês), sistemas operacionais Windows

As descobertas são exibidas no Security Command Center pouco depois que as vulnerabilidades são detectadas. Os relatórios de vulnerabilidades no VM Manager são gerados da seguinte maneira:

  • Para a maioria das vulnerabilidades no pacote do sistema operacional instalado, a API OS Config gera um relatório de vulnerabilidade em alguns minutos após a alteração.
  • Para CVEs, a API OS Config gera o relatório de vulnerabilidades dentro de três a quatro horas após a publicação da CVE no SO.

Como corrigir as descobertas do VM Manager

Uma descoberta OS_VULNERABILITY indica que o VM Manager encontrou uma vulnerabilidade nos pacotes do sistema operacional instalados em uma VM do Compute Engine.

Para corrigir essa descoberta, faça o seguinte:

Como revisar descobertas

Para verificar as descobertas de ameaças, faça o seguinte:

Página de descobertas legadas

  1. Acesse a página Descobertas no Security Command Center.

    Acesse Descobertas

  2. Ao lado de Visualizar por, selecione Tipo de origem.

  3. Na lista Tipo de origem, selecione VM Manager.

    Uma tabela será preenchida com as descobertas para o tipo de origem selecionado.

  4. Em categoria, clique no nome de uma descoberta.

  5. No painel Detalhes da descoberta, selecione Propriedades de origem.

  6. Para saber mais sobre a vulnerabilidade, observe os seguintes campos:

    1. properties: contém uma descrição da vulnerabilidade e opções de mitigação.
    2. severity: o nível de risco atribuído à descoberta.
    3. vulnerability: contém um link para um repositório CVE público com mais detalhes sobre a vulnerabilidade.
    4. references: contém links de informações adicionais, incluindo fontes do setor.
    5. id: o ID da CVE, por exemplo, CVE-2021-33200. Use o ID para filtrar descobertas e encontrar outras VMs afetadas pela CVE.
  7. Para criar um job de patch para o SO no console, clique no link em external_uri.

Página de descobertas (Visualização)

Se você optou por fazer upgrade para as Melhorias do fluxo de trabalho de descobertas, siga estas etapas:

  1. No console do Google Cloud, acesse a página Descobertas do Security Command Center.

    Acesse Descobertas

  2. Se necessário, selecione o projeto ou a organização do Google Cloud.

    Seletor de projetos

  3. Na seção Filtros rápidos, na subseção Nome de exibição da origem, selecione VM Manager.

    A tabela é preenchida com descobertas do VM Manager.

  4. Para ver detalhes sobre uma descoberta específica, clique no nome da descoberta em Category. O painel de detalhes da descoberta se expande para exibir os atributos da descoberta.

  5. Clique na guia JSON. Para saber mais sobre a vulnerabilidade, observe os seguintes campos:

    • properties: contém uma descrição da vulnerabilidade e opções de mitigação.
    • severity: o nível de risco atribuído à descoberta.
    • vulnerability: contém um link para um repositório CVE público com mais detalhes sobre a vulnerabilidade.
    • references: contém links de informações adicionais, incluindo fontes do setor.
    • id: o ID da CVE, por exemplo, CVE-2021-33200. Use o ID para filtrar descobertas e encontrar outras VMs afetadas pela CVE.
  6. Para criar um job de patch para o SO no console, acesse o URL na propriedade external_uri.

Para instruções sobre como implantar patches, consulte Gerenciamento de correções do SO.

Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Como desativar relatórios de vulnerabilidade do VM Manager

Para impedir que os relatórios de vulnerabilidade sejam gravados no Security Command Center, desative a API de serviço OS Config nos seus projetos.

  1. Acesse a página API OS Config no console.

    Acessar a API OS Config

  2. Se necessário, selecione o projeto.

  3. Clique em Desativar API e, na caixa de diálogo, clique em Desativar.

Descobertas do Web Security Scanner

As verificações personalizadas e gerenciadas do Web Security Scanner identificam os seguintes tipos de descobertas. No nível Standard, o Web Security Scanner é compatível com verificações personalizadas de aplicativos implantados com URLs e IPs públicos que não estão atrás de um firewall.

Tabela 21. Descobertas do Web Security Scanner
Categoria Como encontrar a descrição 10 principais OWASP de 2017 10 principais OWASP de 2021
Accessible Git repository

Nome da categoria na API: ACCESSIBLE_GIT_REPOSITORY

Um repositório GIT é exposto publicamente. Para resolver esse problema, remova o acesso público não intencional ao repositório do GIT.

Nível de preços:padrão

Corrigir essa descoberta

A5 A01
Accessible SVN repository

Nome da categoria na API: ACCESSIBLE_SVN_REPOSITORY

Um repositório SVN é exposto publicamente. Para resolver isso, remova o acesso não intencional público ao repositório SVN.

Nível de preços:padrão

Corrigir essa descoberta

A5 A01
Cacheable password input

Nome da categoria na API: CACHEABLE_PASSWORD_INPUT

As senhas inseridas no aplicativo da Web podem ser armazenadas em um cache normal do navegador, em vez de um armazenamento seguro de senhas.

Nível de preços: Premium

Corrigir essa descoberta

A3 A04
Clear text password

Nome da categoria na API: CLEAR_TEXT_PASSWORD

As senhas estão sendo transmitidas em texto não criptografado e podem ser interceptadas. Para resolver isso, criptografe a senha transmitida pela rede.

Nível de preços:padrão

Corrigir essa descoberta

A3 A02
Insecure allow origin ends with validation

Nome da categoria na API: INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION

Um endpoint HTTP ou HTTPS entre sites valida apenas um sufixo do cabeçalho de solicitação Origin antes de refleti-lo no cabeçalho de resposta Access-Control-Allow-Origin. Para resolver essa descoberta, valide se o domínio raiz esperado faz parte do valor do cabeçalho Origin antes de refleti-lo no cabeçalho de resposta Access-Control-Allow-Origin. Para caracteres curinga de subdomínio, inclua o ponto no domínio raiz, por exemplo, .endsWith(".google.com").

Nível de preços: Premium

Corrigir essa descoberta

A5 A01
Insecure allow origin starts with validation

Nome da categoria na API: INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION

Um endpoint HTTP ou HTTPS entre sites valida apenas um prefixo do cabeçalho de solicitação Origin antes de refleti-lo no cabeçalho de resposta Access-Control-Allow-Origin. Para resolver essa descoberta, valide se o domínio esperado corresponde totalmente ao valor do cabeçalho Origin antes de refleti-lo no cabeçalho de resposta Access-Control-Allow-Origin, por exemplo, .equals(".google.com").

Nível de preços: Premium

Corrigir essa descoberta

A5 A01
Invalid content type

Nome da categoria na API: INVALID_CONTENT_TYPE

Um recurso foi carregado e ele não corresponde ao cabeçalho HTTP da resposta Content-Type. Para resolver essa descoberta, defina o cabeçalho HTTP X-Content-Type-Options com o valor correto.

Nível de preços:padrão

Corrigir essa descoberta

A6 A05
Invalid header

Nome da categoria na API: INVALID_HEADER

Um cabeçalho de segurança tem um erro de sintaxe e é ignorado pelos navegadores. Para resolver isso, defina os cabeçalhos de segurança HTTP corretamente.

Nível de preços:padrão

Corrigir essa descoberta

A6 A05
Mismatching security header values

Nome da categoria na API: MISMATCHING_SECURITY_HEADER_VALUES

Um cabeçalho de segurança tem valores duplicados e incompatíveis, o que resulta em comportamento indefinido. Para resolver isso, defina os cabeçalhos de segurança HTTP corretamente.

Nível de preços:padrão

Corrigir essa descoberta

A6 A05
Misspelled security header name

Nome da categoria na API: MISSPELLED_SECURITY_HEADER_NAME

Um cabeçalho de segurança está incorreto e foi ignorado. Para resolver isso, defina os cabeçalhos de segurança HTTP corretamente.

Nível de preços:padrão

Corrigir essa descoberta

A6 A05
Mixed content

Nome da categoria na API: MIXED_CONTENT

Os recursos são exibidos por HTTP em uma página HTTPS. Para resolver essa descoberta, verifique se todos os recursos são exibidos por HTTPS.

Nível de preços:padrão

Corrigir essa descoberta

A6 A05
Outdated library

Nome da categoria na API: OUTDATED_LIBRARY

Foi detectada uma biblioteca com vulnerabilidades conhecidas. Para resolver essa descoberta, faça upgrade das bibliotecas para uma versão mais recente.

Nível de preços:padrão

Corrigir essa descoberta

A9 A06
Server side request forgery

Nome da categoria na API: SERVER_SIDE_REQUEST_FORGERY

Uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF, na sigla em inglês) foi detectada. Para resolver essa descoberta, use uma lista de permissões para limitar os domínios e os endereços IP aos quais o aplicativo da Web pode fazer solicitações.

Nível de preços:padrão

Corrigir essa descoberta

Não relevante A10
Session ID leak

Nome da categoria na API: SESSION_ID_LEAK

Ao fazer uma solicitação entre domínios, o aplicativo da Web inclui o identificador de sessão do usuário no cabeçalho da solicitação Referer. Essa vulnerabilidade dá ao domínio de recebimento acesso ao identificador da sessão, que pode ser usado para personificar ou identificar o usuário de maneira exclusiva.

Nível de preços: Premium

Corrigir essa descoberta

A2 A07
SQL injection

Nome da categoria na API: SQL_INJECTION

Foi detectada uma possível vulnerabilidade de injeção de SQL. Para resolver essa descoberta, use consultas parametrizadas para evitar que as entradas do usuário influenciem a estrutura da consulta SQL.

Nível de preços: Premium

Corrigir essa descoberta

A1 A03
Struts insecure deserialization

Nome da categoria na API: STRUTS_INSECURE_DESERIALIZATION

Foi detectado o uso de uma versão vulnerável do Apache Struts. Para resolver essa descoberta, faça upgrade do Apache Struts para a versão mais recente.

Nível de preços: Premium

Corrigir essa descoberta

A8 A08
XSS

XSSNome da categoria na API:

Um campo nesse aplicativo da Web é vulnerável a um ataque de scripting em vários locais (XSS). Para resolver isso, valide e escape dados não confiáveis fornecidos pelo usuário.

Nível de preços:padrão

Corrigir essa descoberta

A7 A03
XSS angular callback

XSS_ANGULAR_CALLBACKNome da categoria na API:

Uma string fornecida pelo usuário não tem escape e o AngularJS pode intercalá-la. Para resolver isso, valide e escape dados não confiáveis fornecidos pelo usuário e manipulados pelo framework Angular.

Nível de preços:padrão

Corrigir essa descoberta

A7 A03
XSS error

XSS_ERRORNome da categoria na API:

Um campo neste aplicativo da Web é vulnerável a um ataque de scripting em vários locais. Para resolver isso, valide e escape dados não confiáveis fornecidos pelo usuário.

Nível de preços:padrão

Corrigir essa descoberta

A7 A03
XXE reflected file leakage

XXE_REFLECTED_FILE_LEAKAGENome da categoria na API:

Uma vulnerabilidade de entidade externa de XML (XXE) foi detectada. Isso pode fazer o aplicativo da Web vazar um arquivo no host. Para resolver essa descoberta, configure seus analisadores de XML para proibir entidades externas.

Nível de preços: Premium

Corrigir essa descoberta

A4 A05

Comparativos de mercado CIS

O Center for Internet Security (CIS) inclui os seguintes comparativos de mercado que, atualmente, os detectores de Web Security Scanner ou Security Health Analytics não oferecem:

Tabela 22. Comparativos do CIS
Categoria Como encontrar a descrição CIS GCP Foundation 1.0 NIST 800-53 ISO-27001
Basic authentication enabled

BASIC_AUTHENTICATION_ENABLEDNome da categoria na API:

O IAM ou a autenticação de certificados do cliente precisam ser ativados em clusters do Kubernetes. 7.10
Client cert authentication disabled

CLIENT_CERT_AUTHENTICATION_DISABLEDNome da categoria na API:

Clusters do Kubernetes precisam ser criados com certificados do cliente ativados. 7.12
Labels not used

LABELS_NOT_USEDNome da categoria na API:

Rótulos podem ser usados para decompor informações de faturamento 7,5
Public storage object

PUBLIC_STORAGE_OBJECTNome da categoria na API:

A ACL de objetos de armazenamento não pode conceder acesso a AllUsers 5.2
SQL broad root login

SQL_BROAD_ROOT_LOGINNome da categoria na API:

O acesso root a um banco de dados SQL precisa ser limitado a IPs confiáveis com permissão para serem listados 6.4

A seguir