Descobertas de vulnerabilidades

>

Os detectores do Security Health Analytics e do Web Security Scanner geram descobertas de vulnerabilidades que estão disponíveis no Security Command Center.

Detectores e compliance

As tabelas a seguir descrevem os tipos de detectores e as vulnerabilidades que o Analytics Health Analytics e o Web Security Scanner podem gerar. É possível filtrar as descobertas por nome do detector e tipo de descoberta usando a guia Vulnerabilidades do Security Command Center no Console do Google Cloud.

Essas tabelas incluem uma descrição do mapeamento entre os detectores compatíveis e o melhor mapeamento de esforço para os esquemas de conformidade relevantes.

Os mapeamentos do CIS Google Cloud Foundation 1.0 foram revisados e certificados pelo centro para segurança de internet para o comparativo de mercado do CIS Google Computing Foundations v1.0.0. Os mapeamentos de conformidade adicionais estão incluídos para referência e não são fornecidos ou revisados pelo Padrão de segurança de dados da indústria de cartões de pagamento ou pela OWASP Foundation. Consulte o Comparativo de mercado do CIS Google Cloud Foundations v1.0.0 (CIS Google Cloud Foundation 1.0), Padrão de segurança de dados da indústria de cartões de pagamento 3.2 (PCI-DSS v3.2), OWASP Top, Instituto Nacional de Padrões e Tecnologia 800-53 (NIST 800-53) e Organização Internacional de Padronização 27001 (ISO 27001) para saber como verificar essas violações manualmente.

Essa funcionalidade destina-se apenas ao monitoramento de violações de controles de conformidade. Os mapeamentos não são fornecidos para uso como base ou como substitutos para a auditoria, certificação ou relatório de conformidade dos seus produtos ou serviços com comparativos de mercado ou padrões regulatórios ou do setor.

Security Health Analytics

Os detectores do Security Health Analytics monitoram um subconjunto de recursos do Cloud Asset Inventory (CAI) e recebe notificações de alterações de recursos e gerenciamento de identidade e acesso (IAM, na sigla em inglês). Alguns detectores recuperam dados chamando diretamente as APIs do Google Cloud, conforme indicado nas tabelas posteriores nesta página.

As verificações do Security Health Analytics são executadas de três modos:

  • Verificação em lote: todos os detectores estão programados para serem executados para todas as organizações inscritas duas ou mais vezes por dia. Os detectores são executados em diferentes programações para atender aos objetivos específicos de nível de serviço (SLO, na sigla em inglês). Para atender aos SLOs de 12 e 24 horas, os detectores executam verificações de lote a cada seis horas ou 12 horas, respectivamente. As alterações de recursos e políticas que ocorrem entre verificações em lote não são capturadas imediatamente e são aplicadas na próxima verificação em lote. Observação: as programações de verificação em lote são objetivos de desempenho, não garantias de serviço.

  • Verificação em tempo real: os detectores compatíveis iniciam verificações sempre que a CAI informa uma alteração na configuração de um recurso. As descobertas são escritas imediatamente no Security Command Center.

  • Modo misto: alguns detectores compatíveis com verificações em tempo real podem não detectar alterações em tempo real em todos os recursos compatíveis. Nesses casos, as alterações na configuração de alguns recursos são capturadas imediatamente e outras são capturadas em verificações em lote. As exceções são apresentadas nas tabelas desta página.

As tabelas a seguir descrevem os detectores do Security Health Analytics, os recursos e regimes de conformidade compatíveis, as configurações usadas para verificações e os tipos de descoberta que geram. Consulte Como corrigir as descobertas do Security Health Analytics para instruções sobre como corrigir problemas e proteger seus recursos.

Descobertas de vulnerabilidade da chave de API

O detector API_KEY_SCANNER identifica vulnerabilidades relacionadas às chaves de API usadas na implantação na nuvem.

Tabela 1. Leitor de chaves de API
Detector Resumo Configurações da verificação de recursos Padrões de conformidade
API_KEY_APIS_UNRESTRICTED

Como encontrar a descrição: há chaves de API que estão sendo muito usadas. Para resolver esse problema, limite o uso da chave de API para permitir somente as APIs necessárias ao aplicativo.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir esta descoberta

Recupera a propriedade restrictions de todas as chaves de API em um projeto, verificando se alguma delas está definida como cloudapis.googleapis.com.

  • Permissões adicionais do IAM: roles/serviceusage.apiKeysViewer
  • Entradas adicionais: recupera chaves de API de um projeto do serviço de chave de API
  • Verificações em lote: a cada 12 horas
  • Verificações em tempo real: não
CIS GCP Foundation 1.0: 1.12
API_KEY_APPS_UNRESTRICTED

Como encontrar a descrição: há chaves de API que estão sendo usadas de forma irrestrito, permitindo o uso de qualquer app não confiável.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir esta descoberta

Recupera a propriedade restrictions de todas as chaves de API em um projeto, verificando se browserKeyRestrictions, serverKeyRestrictions, androidKeyRestrictions ou iosKeyRestrictions está definido.

  • Permissões adicionais do IAM: roles/serviceusage.apiKeysViewer
  • Entradas adicionais: recupera chaves de API de um projeto do serviço de chave de API
  • Verificações em lote: a cada 12 horas
  • Verificações em tempo real: não
CIS GCP Foundation 1.0: 1.11
API_KEY_EXISTS

Como encontrar a descrição: um projeto está usando chaves de API em vez da autenticação padrão.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir esta descoberta

Recupera todas as chaves de API de um projeto.

  • Permissões adicionais do IAM: roles/serviceusage.apiKeysViewer
  • Entradas adicionais: recupera chaves de API de um projeto do serviço de chave de API
  • Verificações em lote: a cada 12 horas
  • Verificações em tempo real: não
CIS GCP Foundation 1.0: 1,10

API_KEY_NOT_ROTATED

Encontrar a descrição: a chave de API não foi girada há mais de 90 dias.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir esta descoberta

Recupera o carimbo de data/hora contido na propriedade createTime de todas as chaves de API, verificando se 90 dias se passaram.

  • Permissões adicionais do IAM: roles/serviceusage.apiKeysViewer
  • Entradas adicionais: recupera chaves de API de um projeto do serviço de chave de API
  • Verificações em lote: a cada 12 horas
  • Verificações em tempo real: não
CIS GCP Foundation 1.0: 1.13

Calcular descobertas de vulnerabilidade de imagem

O detector COMPUTE_IMAGE_SCANNER identifica vulnerabilidades relacionadas às configurações de imagem do Google Cloud.

Tabela 2. Leitor de imagens do Compute
Detector Resumo Configurações da verificação de recursos Padrões de conformidade
PUBLIC_COMPUTE_IMAGE

Como encontrar a descrição: uma imagem do Compute Engine pode ser acessada publicamente.

Nível de preços: Premium ou Standard

Recursos compatíveis
compute.googleapis.com/Image

Corrigir esta descoberta

Verifica a política de IAM nos metadados do recurso para membros públicos, allUsers ou allAuthenticatedUsers.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

Descobertas de vulnerabilidade da instância do Compute

O detector COMPUTE_INSTANCE_SCANNER identifica vulnerabilidades relacionadas às configurações da instância do Compute Engine.

Os detectores de COMPUTE_INSTANCE_SCANNER não informam as descobertas em instâncias do Compute Engine criadas pelo GKE. Essas instâncias têm nomes que começam com "gke-", que os usuários não podem editar. Para proteger essas instâncias, consulte a seção de descobertas de vulnerabilidades do contêiner.

Tabela 3. Verificador de instâncias do Compute
Detector Resumo Configurações da verificação de recursos Padrões de conformidade
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

Como encontrar descrição: são usadas as chaves SSH em todo o projeto, permitindo o login em todas as instâncias do projeto.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Instance

Corrigir esta descoberta

Verifica o objeto metadata.items[] nos metadados da instância para o par de chave-valor "key": "block-project-ssh-keys", "value": TRUE.

  • Recursos excluídos das verificações: instâncias do GKE, job do Dataflow, instância do Windows
  • Permissões adicionais do IAM: roles/compute.Viewer
  • Entradas adicionais: lê metadados do Compute Engine
  • Verificações em lote: a cada 12 horas
  • Verificações em tempo real: não
CIS GCP Foundation 1.0: 4.2
COMPUTE_SECURE_BOOT_DISABLED

Como encontrar a descrição: a VM protegida não tem a inicialização segura ativada. O uso de inicialização segura ajuda a proteger instâncias de máquina virtual contra ameaças avançadas, como rootkits e bootkits.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Instance

Corrigir esta descoberta

Verifica a propriedade shieldedInstanceConfig em instâncias do Compute Engine para determinar se enableIntegrityMonitoring, enableSecureBoot, enableVtpm estão definidos como true. Os campos indicam se os discos anexados são compatíveis com a Inicialização segura e se a VM protegida está ativada.

  • Recursos excluídos das verificações: instâncias do GKE, discos do Compute Engine que têm aceleradores de GPU e não usam o Container-Optimized OS), Acesso VPC sem servidor
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: não
COMPUTE_SERIAL_PORTS_ENABLED

Como encontrar a descrição: as portas seriais de uma instância, permitindo conexões com o console serial dela.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Instance

Corrigir esta descoberta

Verifica o objeto metadata.items[] nos metadados da instância para o par de chave-valor "key": "serial-port-enable", "value": TRUE.

  • Recursos excluídos das verificações: instâncias do GKE
  • Permissões adicionais do IAM: roles/compute.Viewer
  • Entradas adicionais: lê metadados do Compute Engine
  • Verificações em lote: a cada 12 horas
  • Verificações em tempo real: não
CIS GCP Foundation 1.0: 4.4
DEFAULT_SERVICE_ACCOUNT_USED

Como encontrar a descrição: uma instância é configurada para usar a conta de serviço padrão.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Instance

Corrigir esta descoberta

Verifica a propriedade serviceAccounts nos metadados de qualquer endereço de e-mail da conta de serviço com o prefixo PROJECT_NUMBER-compute@developer.gserviceaccount.com, indicando a conta de serviço padrão criada pelo Google.

  • Recursos excluídos das verificações: instâncias do GKE, jobs do Dataflow
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: não
DISK_CMEK_DISABLED

Encontrar a descrição: os discos nesta VM não são criptografados com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ser ativado. Para instruções, consulte Ativar detectores de análise de integridade de segurança mais adiante nesta página.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Disk

Corrigir esta descoberta

Verifica o campo kmsKeyName no objeto diskEncryptionKey, nos metadados do disco, para o nome do recurso da CMEK.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: não
DISK_CSEK_DISABLED

Encontrar a descrição: os discos nesta VM não são criptografados com chaves de criptografia fornecidas pelo cliente (CSEK, na sigla em inglês). Esse detector requer configurações adicionais para ser ativado. Para ver instruções, consulte Ativar o detector.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Disk

Corrigir esta descoberta

Verifica o campo kmsKeyName no objeto diskEncryptionKey para o nome de recurso da CSEK.

  • Recursos excluídos das verificações: discos do Compute Engine com a marca de segurança enforce_customer_provided_disk_encryption_keys
  • Permissões adicionais do IAM: roles/compute.Viewer
  • Entradas adicionais: lê metadados do Compute Engine
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: não
CIS GCP Foundation 1.0: 4.6
FULL_API_ACCESS

Encontrar a descrição: uma instância é configurada para usar a conta de serviço padrão com acesso total a todas as APIs do Google Cloud.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Instance

Corrigir esta descoberta

Recupera o campo scopes na propriedade serviceAccounts para verificar se uma conta de serviço padrão é usada e se recebeu o escopo cloud-platform.

  • Recursos excluídos das verificações: instâncias do GKE, jobs do Dataflow
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: não

CIS GCP Foundation 1.0: 4.1

PCI-DSS v3.2.1: 7.1.2

NIST 800-53: AC-6

ISO-27001: A.9.2.3

HTTP_LOAD_BALANCER

Como encontrar a descrição: uma instância usa um balanceador de carga configurado para usar um proxy HTTP de destino em vez de um proxy HTTPS de destino.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/TargetHttpProxy

Corrigir esta descoberta

Determina se a propriedade selfLink do recurso targetHttpProxy corresponde ao atributo target na regra de encaminhamento e se a regra de encaminhamento contém um loadBalancingScheme campo definido como External.

  • Permissões adicionais do IAM: roles/compute.Viewer
  • Entradas adicionais: lê regras de encaminhamento para um proxy HTTP de destino do Compute Engine, verificando regras externas
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim
PCI-DSS v3.2.1: 2.3
IP_FORWARDING_ENABLED

Como encontrar a descrição: o encaminhamento de IP está ativado nas instâncias.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Instance

Corrigir esta descoberta

Verifica se a propriedade canIpForward da instância está definida como true.

  • Recursos excluídos das verificações: instâncias do GKE, acesso VPC sem servidor
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim
CIS GCP Foundation 1.0: 4,5
OS_LOGIN_DISABLED

Encontrar descrição: o login do SO está desativado nesta instância.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Project

Corrigir esta descoberta

Verifica o objeto commonInstanceMetadata.items[] nos metadados do projeto para o par de chave-valor, "key": "enable-oslogin", "value": TRUE. O detector também verifica todas as instâncias de um projeto do Compute Engine para determinar se o Login do SO está desativado em instâncias individuais.

  • Recursos excluídos das verificações: instâncias do GKE
  • Permissões adicionais do IAM: roles/compute.Viewer
  • Entradas adicionais: lê metadados do Compute Engine. O detector também examina as instâncias do Compute Engine no projeto
  • Verificações em lote: a cada 12 horas
  • Verificações em tempo real: não
CIS GCP Foundation 1.0: 4.3
PUBLIC_IP_ADDRESS

Como encontrar a descrição: uma instância tem um endereço IP público.

Nível de preços: Premium ou Standard

Recursos compatíveis
compute.googleapis.com/Instance

Corrigir esta descoberta

Verifica se a propriedade networkInterfaces contém um campo accessConfigs, indicando que está configurada para usar um endereço IP público.

  • Recursos excluídos das verificações: instâncias do GKE
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: não

PCI-DSS v3.2.1: 1.2.1, 1.3.5

NIST 800-53 (em inglês): CA-3, SC-7

SHIELDED_VM_DISABLED

Descrição da descoberta: a VM protegida está desativada nesta instância.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Instance

Corrigir esta descoberta

Verifica a propriedade shieldedInstanceConfig em instâncias do Compute Engine para determinar se os campos enableIntegrityMonitoring, enableSecureBoot e enableVtpm estão definidos como true. Os campos indicam se os discos anexados são compatíveis com a Inicialização segura e se a VM protegida está ativada.

  • Recursos excluídos das verificações: instâncias do GKE, discos do Compute Engine que têm aceleradores de GPU e não usam o Container-Optimized OS), Acesso VPC sem servidor
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim
WEAK_SSL_POLICY

Encontrar descrição: uma instância tem uma política de SSL fraca.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/TargetHttpsProxy
compute.googleapis.com/TargetSslProxy

Corrigir esta descoberta

Verifica se sslPolicy nos metadados do recurso está vazio e, para o recurso sslPolicies anexado, se profile está definido como Restricted ou Modern, minTlsVersion é definido como TLS 1.2 e customFeatures está vazio ou não contém as seguintes criptografias: TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_3DES_EDE_CBC_SHA.

  • Permissões adicionais do IAM: roles/compute.Viewer
  • Entradas adicionais: lê políticas SSL para armazenamento de proxies de destino, verificando políticas incorretas
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim, mas somente quando o TargetHttpsProxy do TargetSslProxy for atualizado, não quando a política de SSL for atualizada

PCI-DSS v3.2.1: 4.1

NIST 800-53 (link em inglês): SC-7

ISO-27001: A.14.1.3

Descobertas da vulnerabilidade do contêiner

Todos esses tipos de localização estão relacionados às configurações de contêiner do GKE e pertencem ao tipo de detector CONTAINER_SCANNER.

Tabela 4. Scanner de contêineres
Detector Resumo Configurações da verificação de recursos Padrões de conformidade
AUTO_REPAIR_DISABLED

Encontrar a descrição: o recurso de reparo automático de um cluster do GKE que mantém os nós em estado íntegro e em execução é desativado.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir esta descoberta

Verifica a propriedade management de um pool de nós para o par de chave-valor, "key": "autoRepair", "value": true.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

CIS GCP Foundation 1.0: 7.7

PCI-DSS v3.2.1: 2.2

AUTO_UPGRADE_DISABLED

Encontrar a descrição: o recurso de upgrade automático de um cluster do GKE que mantém clusters e pools de nós na versão estável mais recente do Kubernetes está desativado.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir esta descoberta

Verifica a propriedade management de um pool de nós para o par de chave-valor, "key": "autoUpgrade", "value": true.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

CIS GCP Foundation 1.0: 7.8

PCI-DSS v3.2.1: 2.2

CLUSTER_LOGGING_DISABLED

Como encontrar a descrição: o Logging não está ativado para um cluster do GKE.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir esta descoberta

Verifica se a propriedade loggingService de um cluster contém o local que o Cloud Logging precisa usar para gravar registros.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

CIS GCP Foundation 1.0: 7.1

PCI-DSS v3.2.1: 10.2.2, 10.2.7

CLUSTER_MONITORING_DISABLED

Encontrar a descrição: o Monitoring é desativado nos clusters do GKE.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir esta descoberta

Verifica se a propriedade monitoringService de um cluster contém o local que o Cloud Monitoring precisa usar para gravar métricas.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

CIS GCP Foundation 1.0: 7.2

PCI-DSS v3.2.1: 10.1, 10.2

CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED

Encontrar a descrição: os hosts de cluster não estão configurados para usar apenas endereços IP internos e privados para acessar as APIs do Google.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir esta descoberta

Verifica se a propriedade privateIpGoogleAccess de uma sub-rede está definida como false.

  • Entradas adicionais: lê sub-redes do armazenamento, preenchendo as descobertas somente para clusters com sub-redes
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim, mas apenas se o cluster for atualizado, não para atualizações de sub-rede

CIS GCP Foundation 1.0: 7.1

PCI-DSS v3.2.1: 1.3

COS_NOT_USED

Encontrar a descrição: as VMs do Compute Engine não estão usando o Container-Optimized OS projetado para executar contêineres do Docker no Google Cloud com segurança.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir esta descoberta

Verifica a propriedade config de um pool de nós para o par de chave-valor, "imageType": "COS".

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

CIS GCP Foundation 1.0: 7.9

PCI-DSS v3.2.1: 2.2

IP_ALIAS_DISABLED

Encontrar a descrição: um cluster do GKE foi criado com intervalos IP de alias desativados.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir esta descoberta

Verifica se o campo useIPAliases de ipAllocationPolicy em um cluster está definido como false.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

CIS GCP Foundation 1.0: 7.1

PCI-DSS v3.2.1: 1.3.4 e 1.3.7

LEGACY_AUTHORIZATION_ENABLED

Como encontrar a descrição: a autorização legada está ativada em clusters do GKE.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir esta descoberta

Verifica a propriedade legacyAbac de um cluster para o par de chave-valor, "enabled": true.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

CIS GCP Foundation 1.0: 7.3

PCI-DSS v3.2.1: 4.1

LEGACY_METADATA_ENABLED

Como encontrar a descrição: os metadados legados são ativados nos clusters do GKE.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir esta descoberta

Verifica a propriedade config de um pool de nós para o par de chave-valor, "disable-legacy-endpoints": "false".

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim
MASTER_AUTHORIZED_NETWORKS_DISABLED

Encontrar a descrição: as redes autorizadas do mestre não estão ativadas em clusters do GKE.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir esta descoberta

Verifica a propriedade masterAuthorizedNetworksConfig de um cluster para o par de chave-valor, "enabled": false.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

CIS GCP Foundation 1.0: 7.4

PCI-DSS v3.2.1: 1.2.1, 1.3.2

NETWORK_POLICY_DISABLED

Encontrar a descrição: a política de rede está desativada nos clusters do GKE.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir esta descoberta

Verifica o campo networkPolicy da propriedade addonsConfig para o par de chave-valor, "disabled": true.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

CIS GCP Foundation 1.0: 7.1

PCI-DSS v3.2.1: 1.3

NIST 800-53 (link em inglês): SC-7

ISO-27001: A.13.1.1

NODEPOOL_BOOT_CMEK_DISABLED

Encontrar descrição: os discos de inicialização neste pool de nós não são criptografados com chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês). Esse detector requer configurações adicionais para ser ativado. Para instruções, consulte Ativar detectores de análise de integridade de segurança mais adiante nesta página.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir esta descoberta

Verifica a propriedade bootDiskKmsKey dos pools de nós para o nome do recurso da CMEK.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim
OVER_PRIVILEGED_ACCOUNT

Encontrar a descrição: uma conta de serviço tem um acesso de projeto excessivamente amplo em um cluster.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir esta descoberta

Avalia a propriedade config de um pool de nós para verificar se nenhuma conta de serviço foi especificada ou se a conta de serviço padrão é usada.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

CIS GCP Foundation 1.0: 7.1

PCI-DSS v3.2.1: 2.1, 7.1.2

NIST 800-53: AC-6, SC-7

ISO-27001: A.9.2.3

OVER_PRIVILEGED_SCOPES

Como encontrar a descrição: uma conta de serviço de nó tem escopos de acesso amplos.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir esta descoberta

Verifica se o escopo de acesso listado na propriedade config.oauthScopes de um pool de nós é um escopo de acesso limitado da conta de serviço: https://www.googleapis.com/auth/devstorage.read_only, https://www.googleapis.com/auth/logging.write, ou https://www.googleapis.com/auth/monitoring.
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim
CIS GCP Foundation 1.0: 7.1
POD_SECURITY_POLICY_DISABLED

Encontrar a descrição: PodSecurityPolicy está desativado em um cluster do GKE.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir esta descoberta

Verifica a propriedade podSecurityPolicyConfig de um cluster para o par de chave-valor, "enabled": false.

  • Permissões adicionais do IAM: roles/container.clusterViewer
  • Entradas adicionais: lê informações do cluster do GKE, porque as políticas de segurança do pod são um recurso Beta. Este recurso poderá ser removido no futuro
  • Verificações em lote: a cada 12 horas
  • Verificações em tempo real: não
CIS GCP Foundation 1.0: 7.1
PRIVATE_CLUSTER_DISABLED

Como encontrar a descrição: um cluster do GKE tem um cluster privado desativado.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir esta descoberta

Verifica se o campo enablePrivateNodes da propriedade privateClusterConfig está definido como false.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

CIS GCP Foundation 1.0: 7.1

PCI-DSS v3.2.1: 1.3.2

WEB_UI_ENABLED

Como encontrar a descrição: a IU da Web do GKE (painel) está ativada.

Nível de preços: Premium ou Standard

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir esta descoberta

Verifica o campo kubernetesDashboard da propriedade addonsConfig para o par de chave-valor, "disabled": false.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

CIS GCP Foundation 1.0: 7.6

PCI-DSS v3.2.1: 6.6

WORKLOAD_IDENTITY_DISABLED

Encontrar a descrição: a Identidade da carga de trabalho está desativada em um cluster do GKE.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir esta descoberta

Verifica se a propriedade workloadIdentityConfig de um cluster está definida. O detector também verifica se a propriedade workloadMetadataConfig de um pool de nós está definida como GKE_METADATA.

  • Permissões adicionais do IAM: roles/container.clusterViewer
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

Descobertas de vulnerabilidade do conjunto de dados

As vulnerabilidades desse tipo de detector estão relacionadas às configurações do conjunto de dados do BigQuery e pertencem ao tipo de detector DATASET_SCANNER.

Tabela 5. Digitalizador de conjunto de dados
Detector Resumo Configurações da verificação de recursos Padrões de conformidade
PUBLIC_DATASET

Como encontrar a descrição: um conjunto de dados está configurado para ser aberto ao público.

Nível de preços: Premium

Recursos compatíveis
bigquery.googleapis.com/Dataset

Corrigir esta descoberta

Verifica a política de IAM nos metadados do recurso para membros públicos, allUsers ou allAuthenticatedUsers.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

PCI-DSS v3.2.1: 7.1

NIST 800-53: AC-2

ISO-27001: A.8.2.3, A.14.1.3

Descobertas de vulnerabilidade de DNS

As vulnerabilidades desse tipo de detector estão relacionadas às configurações do Cloud DNS e pertencem ao tipo de detector DNS_SCANNER.

Tabela 6. Verificação de DNS
Detector Resumo Configurações da verificação de recursos Padrões de conformidade
DNSSEC_DISABLED

Descrição da descoberta: a DNSSEC está desativada para zonas do Cloud DNS.

Nível de preços: Premium

Recursos compatíveis
dns.googleapis.com/ManagedZone

Corrigir esta descoberta

Verifica se o campo state da propriedade dnssecConfig está definido como off.

  • Recursos excluídos das verificações: zonas do Cloud DNS que não são públicas.
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

CIS GCP Foundation 1.0: 3.3

ISO-27001: A.8.2.3

RSASHA1_FOR_SIGNING

Encontrar a descrição: RSASHA1 é usado para assinatura de chaves em zonas do Cloud DNS.

Nível de preços: Premium

Recursos compatíveis
dns.googleapis.com/ManagedZone

Corrigir esta descoberta

Verifica se o objeto defaultKeySpecs.algorithm da propriedade dnssecConfig está definido como rsasha1.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim
CIS GCP Foundation 1.0: 3.4 e 3.5

Descobertas de vulnerabilidades de firewall

As vulnerabilidades desse tipo de detector se relacionam com as configurações de firewall e pertencem ao tipo de detector FIREWALL_SCANNER.

Tabela 7. Verificador de firewall
Detector Resumo Configurações da verificação de recursos Padrões de conformidade
EGRESS_DENY_RULE_NOT_SET

Encontrar a descrição: uma regra de negação de saída não está definida em um firewall. As regras de negação de saída precisam ser definidas para bloquear o tráfego de saída indesejado.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir esta descoberta

Verifica se a propriedade destinationRanges no firewall está definida como 0.0.0.0/0 e se a propriedade denied contém o par de chave-valor, "IPProtocol": "all".

  • Entradas adicionais: lê firewalls de saída para um projeto do armazenamento
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim, mas apenas em alterações do projeto, não em regras de firewall
PCI-DSS v3.2.1: 7.2
FIREWALL_RULE_LOGGING_DISABLED

Encontrar descrição: o registro de regras de firewall está desativado. O registro de regras de firewall deve estar ativado para que seja possível auditar o acesso da rede.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir esta descoberta

Verifica a propriedade logConfig nos metadados do firewall para ver se ela está vazia ou contém o par de chave-valor "enable": false.

  • Recursos excluídos das verificações: instâncias do GKE, regras de firewall criadas pelo GKE, acesso VPC sem servidor
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

PCI-DSS v3.2.1: 10.1, 10.2

NIST 800-53 (em inglês): SI-4

ISO-27001: A.13.1.1

OPEN_CASSANDRA_PORT

Descrição da descoberta: um firewall é configurado para ter uma porta CASSANDRA aberta que permita acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir esta descoberta

Verifica a propriedade allowed nos metadados do firewall para os seguintes protocolos e portas: TCP:7000-7001, 7199, 8888, 9042, 9160, 61620-61621.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53 (link em inglês): SC-7

ISO-27001: A.13.1.1

OPEN_CISCOSECURE_WEBSM_PORT

Como localizar a descrição: um firewall está configurado para ter uma porta CISECOSECURE_WEBSM aberta que permita acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir esta descoberta

Verifica a propriedade allowed nos metadados do firewall para o seguinte protocolo e a porta: TCP:9090.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53 (link em inglês): SC-7

ISO-27001: A.13.1.1

OPEN_DIRECTORY_SERVICES_PORT

Encontrando a descrição: um firewall está configurado para ter uma porta aberta DIRECTORY_SERVICES que permite acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir esta descoberta

Verifica a propriedade allowed nos metadados do firewall para os seguintes protocolos e portas: TCP:445 e UDP:445.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53 (link em inglês): SC-7

ISO-27001: A.13.1.1

OPEN_DNS_PORT

Encontrar a descrição: um firewall é configurado para ter uma porta DNS aberta que permita o acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir esta descoberta

Verifica a propriedade allowed nos metadados do firewall para os seguintes protocolos e portas: TCP:53 e UDP:53.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53 (link em inglês): SC-7

ISO-27001: A.13.1.1

OPEN_ELASTICSEARCH_PORT

Encontrar a descrição: Um firewall está configurado para ter uma porta ELASTICSEARCH aberta que permita acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir esta descoberta

Verifica a propriedade allowed nos metadados do firewall para os seguintes protocolos e portas: TCP:9200, 9300.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53 (link em inglês): SC-7

ISO-27001: A.13.1.1

OPEN_FIREWALL

Descoberta de descrição: um firewall está configurado para acesso público.

Nível de preços: Premium ou Standard

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir esta descoberta

Verifica se a propriedade sourceRanges está definida como 0.0.0.0/0 e a propriedade allowed para o par de chave-valor, "IPProtocol": "all".

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim
PCI-DSS v3.2.1: 1.2.1
OPEN_FTP_PORT

Encontrar a descrição: um firewall é configurado para ter uma porta FTP aberta que permita acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir esta descoberta

Verifica a propriedade allowed nos metadados do firewall para o seguinte protocolo e a porta: TCP:21.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53 (link em inglês): SC-7

ISO-27001: A.13.1.1

OPEN_HTTP_PORT

Encontrar a descrição: um firewall é configurado para ter uma porta HTTP aberta que permita acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir esta descoberta

Verifica a propriedade allowed nos metadados do firewall para os seguintes protocolos e portas: TCP:80.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53 (link em inglês): SC-7

ISO-27001: A.13.1.1

OPEN_LDAP_PORT

Encontrar a descrição: um firewall é configurado para ter uma porta LDAP aberta que permita acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir esta descoberta

Verifica a propriedade allowed nos metadados do firewall para os seguintes protocolos e portas: TCP:389, 636 e UDP:389.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53 (link em inglês): SC-7

ISO-27001: A.13.1.1

OPEN_MEMCACHED_PORT

Encontrar a descrição: um firewall é configurado para ter uma porta MEMCACHED aberta que permita acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir esta descoberta

Verifica a propriedade allowed nos metadados do firewall para os seguintes protocolos e portas: TCP:11211, 11214-11215 e UDP:11211, 11214-11215.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53 (link em inglês): SC-7

ISO-27001: A.13.1.1

OPEN_MONGODB_PORT

Encontrar a descrição: um firewall é configurado para ter uma porta aberta MONGODB que permita acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir esta descoberta

Verifica a propriedade allowed nos metadados do firewall para os seguintes protocolos e portas: TCP:27017-27019.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53 (link em inglês): SC-7

ISO-27001: A.13.1.1

OPEN_MYSQL_PORT

Encontrar a descrição: um firewall é configurado para ter uma porta MYSQL aberta que permita acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir esta descoberta

Verifica a propriedade allowed nos metadados do firewall para o seguinte protocolo e a porta: TCP:3306.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53 (link em inglês): SC-7

ISO-27001: A.13.1.1

OPEN_NETBIOS_PORT

Como localizar a descrição: um firewall está configurado para ter uma porta aberta NETBIOS que permita acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir esta descoberta

Verifica a propriedade allowed nos metadados do firewall para os seguintes protocolos e portas: TCP:137-139 e UDP:137-139.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53 (link em inglês): SC-7

ISO-27001: A.13.1.1

OPEN_ORACLEDB_PORT

Encontrar a descrição: um firewall está configurado para ter uma porta ORACEDB aberta que permita acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir esta descoberta

Verifica a propriedade allowed nos metadados do firewall para os seguintes protocolos e portas: TCP:1521, 2483-2484 e UDP:2483-2484.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53 (link em inglês): SC-7

ISO-27001: A.13.1.1

OPEN_POP3_PORT

Encontrar descrição: um firewall é configurado para ter uma porta POP3 aberta que permita acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir esta descoberta

Verifica a propriedade allowed nos metadados do firewall para o seguinte protocolo e a porta: TCP:110.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53 (link em inglês): SC-7

ISO-27001: A.13.1.1

OPEN_POSTGRESQL_PORT

Como localizar a descrição: um firewall é configurado para ter uma porta aberta do PostgreSQL que permita acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir esta descoberta

Verifica a propriedade allowed nos metadados do firewall para os seguintes protocolos e portas: TCP:5432 e UDP:5432.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53 (link em inglês): SC-7

ISO-27001: A.13.1.1

OPEN_RDP_PORT

Encontrar a descrição: um firewall é configurado para ter uma porta RDP aberta que permita acesso genérico.

Nível de preços: Premium ou Standard

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir esta descoberta

Verifica a propriedade allowed nos metadados do firewall para os seguintes protocolos e portas: TCP:3389 e UDP:3389.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

CIS GCP Foundation 1.0: 3.7

PCI-DSS v3.2.1: 1.2.1

NIST 800-53 (link em inglês): SC-7

ISO-27001: A.13.1.1

OPEN_REDIS_PORT

Encontrar a descrição: um firewall é configurado para ter uma porta REDIS aberta que permita acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir esta descoberta

Verifica se a propriedade allowed nos metadados do firewall contém o seguinte protocolo e a porta: TCP:6379.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53 (link em inglês): SC-7

ISO-27001: A.13.1.1

OPEN_SMTP_PORT

Encontrar a descrição: um firewall é configurado para ter uma porta SMTP aberta que permita acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir esta descoberta

Verifica se a propriedade allowed nos metadados do firewall contém o seguinte protocolo e a porta: TCP:25.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53 (link em inglês): SC-7

ISO-27001: A.13.1.1

OPEN_SSH_PORT

Encontrar a descrição: um firewall é configurado para ter uma porta SSH aberta que permita acesso genérico.

Nível de preços: Premium ou Standard

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir esta descoberta

Verifica se a propriedade allowed nos metadados do firewall contém os seguintes protocolos e portas: TCP:22 e SCTP:22.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

CIS GCP Foundation 1.0: 3.6

PCI-DSS v3.2.1: 1.2.1

NIST 800-53 (link em inglês): SC-7

ISO-27001: A.13.1.1

OPEN_TELNET_PORT

Encontrar a descrição: um firewall está configurado para ter uma porta TELNET aberta que permita acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir esta descoberta

Verifica se a propriedade allowed nos metadados do firewall contém o seguinte protocolo e a porta: TCP:23.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53 (link em inglês): SC-7

ISO-27001: A.13.1.1

Descobertas da vulnerabilidade do IAM

As vulnerabilidades desse tipo de detector estão relacionadas à configuração do gerenciamento de identidade e acesso (IAM, na sigla em inglês) e pertencem ao tipo de detector IAM_SCANNER.

Tabela 8. IAM Scanner
Detector Resumo Configurações da verificação de recursos Padrões de conformidade
ADMIN_SERVICE_ACCOUNT

Como encontrar a descrição: uma conta de serviço tem privilégios de Administrador, Proprietário ou Editor. Esses papéis não podem ser atribuídos a contas de serviço criadas pelo usuário.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/projeto

Corrigir esta descoberta

Verifica a política de IAM nos metadados de recursos de qualquer conta de serviço criada pelo usuário, indicada pelo prefixo iam.gserviceaccount.com, que recebem roles/Owner ou roles/Editor ou um ID de papel que contém admin.

  • Recursos excluídos das verificações: conta de serviço do Container Registry (containerregistry.iam.gserviceaccount.com) e segurança Conta de serviço do Command Center (security-center-api.iam.gserviceaccount.com)
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim, a menos que a atualização do IAM seja feita em uma pasta
CIS GCP Foundation 1.0: 1.4
KMS_ROLE_SEPARATION

Encontrar a descrição: a separação de tarefas não é aplicada, e existe um usuário com qualquer um dos papéis do Cloud Key Management Service (Cloud KMS) ao mesmo tempo: CryptoKey Encrypter/Decrypter, Encrypter ou Decrypter do CryptoKey.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/projeto

Corrigir esta descoberta

Verifica as políticas do IAM nos metadados do recurso e recupera os membros atribuídos a um dos seguintes papéis ao mesmo tempo: roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter e roles/cloudkms.cryptoKeyDecrypter , roles/cloudkms.signer, roles/cloudkms.signerVerifier, roles/cloudkms.publicKeyViewer.
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

CIS GCP Foundation 1.0: 1.9

NIST 800-53: AC-5

ISO-27001: A.9.2.3, A.10.1.2

NON_ORG_IAM_MEMBER

Como encontrar a descrição: há um usuário que não está usando credenciais organizacionais. Conforme o CIS GCP Foundation 1.0, atualmente, apenas identidades com endereços de e-mail @gmail.com acionam esse detector.

Nível de preços: Premium ou Standard

Recursos compatíveis
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/projeto

Corrigir esta descoberta

Compara os endereços de e-mail @gmail.com no campo user nos metadados da política de IAM com uma lista de identidades aprovadas para sua organização.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

CIS GCP Foundation 1.0: 1.1

PCI-DSS v3.2.1: 7.1.2

NIST 800-53: AC-3

ISO-27001: A.9.2.3

OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Como encontrar a descrição: um usuário tem o papel Usuário da conta de serviço ou Criador do token da conta de serviço no nível do projeto. em vez de uma conta de serviço específica.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/projeto

Corrigir esta descoberta

Verifica a política de IAM nos metadados do recurso para qualquer membro atribuído roles/iam.serviceAccountUser ou roles/iam.serviceAccountTokenCreator para envolvidos no projeto.
  • Recursos excluídos das verificações: contas de serviço do Cloud Build
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

CIS GCP Foundation 1.0: 1,5

PCI-DSS v3.2.1: 7.1.2

NIST 800-53: AC-6

ISO-27001: A.9.2.3

PRIMITIVE_ROLES_USED

Encontrar a descrição: um usuário tem o papel básico, Proprietário, Gravador ou Leitor. para começar. Esses papéis são muito permissivos e não podem ser usados.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/projeto

Corrigir esta descoberta

Verifica a política de IAM nos metadados do recurso para qualquer membro atribuído roles/Owner, roles/Writer ou roles/Reader.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

PCI-DSS v3.2.1: 7.1.2

NIST 800-53: AC-6

ISO-27001: A.9.2.3

REDIS_ROLE_USED_ON_ORG

Encontrar a descrição: um papel do Redis IAM é atribuído no nível da organização ou da pasta.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Organization

Corrigir esta descoberta

Verifica a política de IAM nos metadados do recurso dos membros atribuídos a roles/redis.admin, roles/redis.editor, roles/redis.viewer no nível da organização ou da pasta.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

PCI-DSS v3.2.1: 7.1.2

ISO-27001: A.9.2.3

SERVICE_ACCOUNT_ROLE_SEPARATION

Encontrar a descrição: um usuário recebeu os papéis Administrador da conta de serviço e Usuário da conta de serviço. Isso viola o princípio "Separação de dados".

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/projeto

Corrigir esta descoberta

Verifica a política de IAM nos metadados do recurso para qualquer membro atribuído roles/iam.serviceAccountUser e roles/iam.serviceAccountAdmin.
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

CIS GCP Foundation 1.0: 1.7

NIST 800-53: AC-5

ISO-27001: A.9.2.3

SERVICE_ACCOUNT_KEY_NOT_ROTATED

Como encontrar a descrição: uma chave da conta de serviço não foi girada há mais de 90 dias.

Nível de preços: Premium

Recursos compatíveis
iam.googleapis.com/ServiceAccountKey

Corrigir esta descoberta

Avalia o carimbo de data/hora de criação da chave capturado na propriedade validAfterTime nos metadados da chave das contas de serviço.

  • Recursos excluídos das verificações: chaves e contas de conta de serviço expiradas que não são gerenciadas pelos usuários.
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim
CIS GCP Foundation 1.0: 1.6
USER_MANAGED_SERVICE_ACCOUNT_KEY

Como encontrar a descrição: um usuário gerencia uma chave de conta de serviço.

Nível de preços: Premium

Recursos compatíveis
iam.googleapis.com/ServiceAccountKey

Corrigir esta descoberta

Verifica se a propriedade keyType nos metadados da chave da conta de serviço está definida como User_Managed.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim
CIS GCP Foundation 1.0: 1.3

Descobertas de vulnerabilidade do KMS

As vulnerabilidades desse tipo de detector estão relacionadas às configurações do Cloud KMS e pertencem ao tipo de detector KMS_SCANNER.

Tabela 9. Leitor do KMS
Detector Resumo Configurações da verificação de recursos Padrões de conformidade
KMS_KEY_NOT_ROTATED

Encontrar a descrição: a rotação não é configurada em uma chave de criptografia do Cloud KMS. As chaves precisam ser giradas dentro de um período de 90 dias.

Nível de preços: Premium

Recursos compatíveis
cloudkms.googleapis.com/CryptoKey

Corrigir esta descoberta

Verifica os metadados do recurso quanto à existência de propriedades rotationPeriod ou nextRotationTime.

  • Recursos excluídos das verificações: chaves e chaves assimétricas com versões primárias desativadas ou destruídas
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

CIS GCP Foundation 1.0: 1.8

PCI-DSS v3.2.1: 3.5

NIST 800-53 (link em inglês): SC-12

ISO-27001: A.10.1.1.2

KMS_PROJECT_HAS_OWNER

Encontrar a descrição: um usuário tem permissões de proprietário em um projeto que tem chaves criptográficas.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir esta descoberta

Verifica a política de IAM nos metadados do projeto para membros atribuídos a roles/Owner.

  • Entradas adicionais: lê chaves criptográficas para um projeto a partir do armazenamento, preenchendo as descobertas apenas para projetos com chaves criptográficas.
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim, mas apenas em alterações na política do IAM, não em alterações em chaves do KMS

PCI-DSS v3.2.1: 3.5

NIST 800-53: AC-6, SC-12

ISO-27001: A.9.2.3, A.10.1.2

KMS_PUBLIC_KEY

Encontrar a descrição: uma chave criptográfica do Cloud KMS é acessível publicamente.

Nível de preços: Premium

Recursos compatíveis
cloudkms.googleapis.com/CryptoKey
cloudkms.googleapis.com/KeyRing

Corrigir esta descoberta

Verifica a política de IAM nos metadados do recurso para membros públicos, allUsers ou allAuthenticatedUsers.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim
TOO_MANY_KMS_USERS

Como encontrar a descrição: há mais de três usuários de chaves criptográficas.

Nível de preços: Premium

Recursos compatíveis
cloudkms.googleapis.com/CryptoKey

Corrigir esta descoberta

verifica políticas do IAM para keyrings, projetos e organizações e recupera membros com papéis que permitem criptografar, descriptografar ou assinar dados usando chaves do Cloud KMS: roles/owner, roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter, roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer e roles/cloudkms.signerVerifier.
  • Entradas adicionais: lê versões de cryptokey para uma cryptokey do armazenamento, preenchendo as descobertas apenas para chaves com versões ativas. O detector também lê as políticas de IAM do keyring, do projeto e da organização do armazenamento
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

PCI-DSS v3.2.1: 3.5.2

ISO-27001: A.9.2.3

Descobertas de vulnerabilidade de geração de registros

As vulnerabilidades desse tipo de detector estão relacionadas às configurações de geração de registros e pertencem ao tipo de detector LOGGING_SCANNER.

Tabela 10. Verificação de registros
Detector Resumo Configurações da verificação de recursos Padrões de conformidade
AUDIT_LOGGING_DISABLED

Encontrar descrição: o registro de auditoria foi desativado para este recurso.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/projeto

Corrigir esta descoberta

Verifica a política de IAM nos metadados do recurso para verificar a existência de um objeto auditLogConfigs.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim, mas apenas na alteração da política do IAM do projeto, não nas alterações de pastas ou organizações

CIS GCP Foundation 1.0: 2.1

PCI-DSS v3.2.1: 10.1, 10.2

NIST 800-53: AC-2, AU-2

ISO-27001: A.12.4.1, A.16.7.

BUCKET_LOGGING_DISABLED

Encontrar descrição: há um bucket de armazenamento sem a geração de registros ativada.

Nível de preços: Premium

Recursos compatíveis
storage.googleapis.com/Bucket

Corrigir esta descoberta

Verifica se o campo logBucket na propriedade logging do intervalo está vazio.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim
CIS GCP Foundation 1.0: 5.3
LOCKED_RETENTION_POLICY_NOT_SET

Como encontrar a descrição: uma política de retenção bloqueada não está definida para registros.

Nível de preços: Premium

Recursos compatíveis
storage.googleapis.com/Bucket

Corrigir esta descoberta

Verifica se o campo isLocked na propriedade retentionPolicy do intervalo está definido como true.

  • Entradas adicionais: lê o coletor de registro (o filtro de registro e o destino do registro) de um bucket para determinar se é um bucket de registros
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

PCI-DSS v3.2.1: 10,5

NIST 800-53: AU-11

ISO-27001: A.12.4.2, A.18.1.3

LOG_NOT_EXPORTED

Como encontrar a descrição: há um recurso que não tem um coletor de registros apropriado configurado.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir esta descoberta

Recupera um objeto logSink em um projeto, verificando se o campo includeChildren está definido como true, o campo destination inclui o local para gravar registros, e o campo filter é preenchido.

  • Entradas adicionais: lê o coletor de registro (o filtro de registro e o destino do registro) de um bucket para determinar se é um bucket de registros
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim, mas apenas nas alterações do projeto, não se a exportação de registros estiver configurada em pasta ou organização

CIS GCP Foundation 1.0: 2.2

ISO-27001: A.18.1.3

OBJECT_VERSIONING_DISABLED

Encontrar a descrição: o controle de versão de objeto não está ativado em um bucket de armazenamento em que os coletores estão configurados.

Nível de preços: Premium

Recursos compatíveis
storage.googleapis.com/Bucket

Corrigir esta descoberta

Verifica se o campo enabled na propriedade versioning do intervalo está definido como true.

  • Recursos excluídos das verificações: buckets do Cloud Storage com uma política de retenção bloqueada
  • Entradas adicionais: lê o coletor de registro (o filtro de registro e o destino do registro) de um bucket para determinar se é um bucket de registros
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim, mas apenas se o controle de versão de objeto for alterado, não se os buckets de registro forem criados

CIS GCP Foundation 1.0: 2.3

PCI-DSS v3.2.1: 10,5

NIST 800-53: AU-11

ISO-27001: A.12.4.2, A.18.1.3

Como monitorar descobertas de vulnerabilidade

Todas as vulnerabilidades desse tipo de detector estão relacionadas às configurações de monitoramento e pertencem ao tipo MONITORING_SCANNER. Todas as propriedades de descoberta do detector do Monitoring incluem:

  • O RecommendedLogFilter a ser usado na criação das métricas de registro.
  • O QualifiedLogMetricNames que abrange as condições listadas no filtro de registro recomendado.
  • A AlertPolicyFailureReasons que indica se o projeto não tem políticas de alerta criadas para qualquer uma das métricas de registro qualificadas ou se as políticas de alertas existentes não têm as configurações recomendadas.
Tabela 11. Leitor do Monitoring
Detector Resumo Configurações da verificação de recursos Padrões de conformidade
AUDIT_CONFIG_NOT_MONITORED

Como encontrar a descrição: as métricas e os alertas do registro não estão configurados para monitorar as alterações na configuração de auditoria.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir esta descoberta

Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como protoPayload.methodName=\"SetIamPolicy\" AND protoPayload.serviceData.policyDelta.auditConfigDeltas:*. O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
  • Permissões adicionais do IAM: roles/monitoring.alertPolicyViewer
  • Entradas adicionais: lê métricas de registro para o projeto a partir do armazenamento. Lê as informações da conta do conjunto de operações do Google Cloud do pacote de operações do Google Cloud, preenchendo as descobertas apenas para projetos com contas ativas
  • Verificações em lote: a cada 12 horas
  • Verificações em tempo real: Sim, mas somente nas alterações do projeto, não nas métricas de registro e em alertas
CIS GCP Foundation 1.0: 2,5
BUCKET_IAM_NOT_MONITORED

Encontrar descrição: as métricas e os alertas do registro não estão configurados para monitorar as alterações de permissão do IAM do Cloud Storage.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir esta descoberta

Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como resource.type=gcs_bucket AND protoPayload.methodName=\"storage.setIamPermissions\". O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
  • Permissões adicionais do IAM: roles/monitoring.alertPolicyViewer
  • Entradas adicionais: lê métricas de registro para o projeto a partir do armazenamento. Lê as informações da conta do conjunto de operações do Google Cloud do pacote de operações do Google Cloud, preenchendo as descobertas apenas para projetos com contas ativas
  • Verificações em lote: a cada 12 horas
  • Verificações em tempo real: Sim, mas somente nas alterações do projeto, não nas métricas de registro e em alertas
CIS GCP Foundation 1.0: 2.10
CUSTOM_ROLE_NOT_MONITORED

Encontrar a descrição: as métricas e os alertas do registro não estão configurados para monitorar as alterações do papel personalizado.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir esta descoberta

Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como resource.type=\"iam_role\" AND protoPayload.methodName=\"google.iam.admin.v1.CreateRole\" OR protoPayload.methodName=\"google.iam.admin.v1.DeleteRole\" OR protoPayload.methodName=\"google.iam.admin.v1.UpdateRole\". O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
  • Permissões adicionais do IAM: roles/monitoring.alertPolicyViewer
  • Entradas adicionais: lê métricas de registro para o projeto a partir do armazenamento. Lê as informações da conta do conjunto de operações do Google Cloud do pacote de operações do Google Cloud, preenchendo as descobertas apenas para projetos com contas ativas
  • Verificações em lote: a cada 12 horas
  • Verificações em tempo real: Sim, mas somente nas alterações do projeto, não nas métricas de registro e em alertas
CIS GCP Foundation 1.0: 2.6
FIREWALL_NOT_MONITORED

Descrição da descoberta: as métricas e os alertas do registro não são configurados para monitorar as alterações da regra do Firewall de rede VPC.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir esta descoberta

Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como resource.type=\"gce_firewall_rule\" AND jsonPayload.event_subtype=\"compute.firewalls.patch\" OR jsonPayload.event_subtype=\"compute.firewalls.insert\". O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
  • Permissões adicionais do IAM: roles/monitoring.alertPolicyViewer
  • Entradas adicionais: lê métricas de registro para o projeto a partir do armazenamento. Lê as informações da conta do conjunto de operações do Google Cloud do pacote de operações do Google Cloud, preenchendo as descobertas apenas para projetos com contas ativas
  • Verificações em lote: a cada 12 horas
  • Verificações em tempo real: Sim, mas somente nas alterações do projeto, não nas métricas de registro e em alertas
CIS GCP Foundation 1.0: 2.7
NETWORK_NOT_MONITORED

Encontrar a descrição: as métricas e os alertas do registro não estão configurados para monitorar as alterações na rede VPC.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir esta descoberta

Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como resource.type=gce_network AND jsonPayload.event_subtype=\"compute.networks.insert\" OR jsonPayload.event_subtype=\"compute.networks.patch\" OR jsonPayload.event_subtype=\"compute.networks.delete\" OR jsonPayload.event_subtype=\"compute.networks.removePeering\" OR jsonPayload.event_subtype=\"compute.networks.addPeering\". O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
  • Permissões adicionais do IAM: roles/monitoring.alertPolicyViewer
  • Entradas adicionais: lê métricas de registro para o projeto a partir do armazenamento. Lê as informações da conta do conjunto de operações do Google Cloud do pacote de operações do Google Cloud, preenchendo as descobertas apenas para projetos com contas ativas
  • Verificações em lote: a cada 12 horas
  • Verificações em tempo real: Sim, mas somente nas alterações do projeto, não nas métricas de registro e em alertas
CIS GCP Foundation 1.0: 2.9
OWNER_NOT_MONITORED

Encontrar a descrição: as métricas e os alertas do registro não estão configurados para monitorar as alterações ou atribuições da propriedade do projeto.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir esta descoberta

Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como (protoPayload.serviceName=\"cloudresourcemanager.googleapis.com\") AND (ProjectOwnership OR projectOwnerInvitee) OR (protoPayload.serviceData.policyDelta.bindingDeltas.action=\"REMOVE\" AND protoPayload.serviceData.policyDelta.bindingDeltas.role=\"roles/owner\") OR (protoPayload.serviceData.policyDelta.bindingDeltas.action=\"ADD\" AND protoPayload.serviceData.policyDelta.bindingDeltas.role=\"roles/owner\"). O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
  • Permissões adicionais do IAM: roles/monitoring.alertPolicyViewer
  • Entradas adicionais: lê métricas de registro para o projeto a partir do armazenamento. Lê as informações da conta do conjunto de operações do Google Cloud do pacote de operações do Google Cloud, preenchendo as descobertas apenas para projetos com contas ativas
  • Verificações em lote: a cada 12 horas
  • Verificações em tempo real: Sim, mas somente nas alterações do projeto, não nas métricas de registro e em alertas
CIS GCP Foundation 1.0: 2,4
ROUTE_NOT_MONITORED

Como encontrar a descrição: as métricas e os alertas do registro não são configurados para monitorar as alterações da rota da rede VPC.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir esta descoberta

Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como resource.type=\"gce_route\" AND jsonPayload.event_subtype=\"compute.routes.delete\" OR jsonPayload.event_subtype=\"compute.routes.insert\". O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
  • Permissões adicionais do IAM: roles/monitoring.alertPolicyViewer
  • Entradas adicionais: lê métricas de registro para o projeto a partir do armazenamento. Lê as informações da conta do conjunto de operações do Google Cloud do pacote de operações do Google Cloud, preenchendo as descobertas apenas para projetos com contas ativas
  • Verificações em lote: a cada 12 horas
  • Verificações em tempo real: Sim, mas somente nas alterações do projeto, não nas métricas de registro e em alertas
CIS GCP Foundation 1.0: 2.8
SQL_INSTANCE_NOT_MONITORED

Encontrar descrição: as métricas e os alertas do registro não estão configurados para monitorar as alterações de configuração da instância do Cloud SQL.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir esta descoberta

Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como protoPayload.methodName=\"cloudsql.instances.update\". O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
  • Permissões adicionais do IAM: roles/monitoring.alertPolicyViewer
  • Entradas adicionais: lê métricas de registro para o projeto a partir do armazenamento. Lê as informações da conta do conjunto de operações do Google Cloud do pacote de operações do Google Cloud, preenchendo as descobertas apenas para projetos com contas ativas
  • Verificações em lote: a cada 12 horas
  • Verificações em tempo real: Sim, mas somente nas alterações do projeto, não nas métricas de registro e em alertas
CIS GCP Foundation 1.0: 2.11

Resultados da autenticação multifator

O detector MFA_SCANNER identifica vulnerabilidades relacionadas à autenticação multifator para usuários.

Tabela 12. Verificador de autenticação multifator
Detector Resumo Configurações da verificação de recursos Padrões de conformidade
MFA_NOT_ENFORCED

Alguns usuários não estão usando a verificação em duas etapas.

Nível de preços: Premium ou Standard

Recursos compatíveis
cloudresourcemanager.googleapis.com/Organization

Corrigir esta descoberta

Avalia as políticas de gerenciamento de identidade em organizações e configurações de usuário para contas gerenciadas no Cloud Identity.

  • Recursos excluídos das verificações: unidades organizacionais que concederam exceções à política
  • Entradas adicionais: lê dados do espaço de trabalho do Google
  • Verificações em lote: a cada 12 horas
  • Verificações em tempo real: não

CIS GCP Foundation 1.0: 1.2

PCI-DSS v3.2.1: 8.3

NIST 800-53 (em inglês): IA-2

ISO-27001: A.9.4.2

Descobertas de vulnerabilidades de rede

As vulnerabilidades desse tipo de detector estão relacionadas às configurações de rede de uma organização e pertencem ao tipo NETWORK_SCANNER.

Tabela 13. Scanner de rede
Detector Resumo Configurações da verificação de recursos Padrões de conformidade
DEFAULT_NETWORK

Como encontrar a descrição: a rede padrão existe em um projeto.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Network

Corrigir esta descoberta

Verifica se a propriedade name nos metadados da rede está definida como default.

  • Recursos excluídos das verificações: projetos em que a API Compute Engine está desativada e os recursos do Compute Engine estão em um estado congelado
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim
CIS GCP Foundation 1.0: 3.1
LEGACY_NETWORK

Encontrar a descrição: existe uma rede legada em um projeto.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Network

Corrigir esta descoberta

Verifica se há metadados de rede na existência da propriedade IPv4Range.

  • Recursos excluídos das verificações: projetos em que a API Compute Engine está desativada e os recursos do Compute Engine estão em um estado congelado
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim
CIS GCP Foundation 1.0: 3.2

Descobertas de vulnerabilidade de políticas da organização

As vulnerabilidades desse tipo de detector estão relacionadas às configurações de restrições da política da organização e pertencem ao tipo ORG_POLICY.

Tabela 14. Verificação de políticas da organização
Detector Resumo Configurações da verificação de recursos Padrões de conformidade
ORG_POLICY_CONFIDENTIAL_VM_POLICY Encontrar a descrição: um recurso do Compute Engine não está em conformidade com a política da organização constraints/compute.restrictNonConfidentialComputing. Para mais informações sobre essa restrição de política da organização, consulte Como aplicar restrições da política da organização na VM confidencial.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Instance

Corrigir esta descoberta

Verifica se a propriedade enableConfidentialCompute de uma instância do Compute Engine está definida como true.

  • Recursos excluídos das verificações: instâncias do GKE
  • Permissões adicionais do IAM: permissions/orgpolicy.policy.get
  • Entradas adicionais: lê a política da organização no serviço de política da organização.
  • Verificações em lote: a cada 12 horas
  • Verificações em tempo real: não
ORG_POLICY_LOCATION_RESTRICTION Encontrar a descrição: um recurso do Compute Engine não está em conformidade com a restrição constraints/gcp.resourceLocations. Para mais informações sobre essa restrição de política da organização, consulte Como aplicar restrições da política da organização.

Nível de preços: Premium

Recursos compatíveis
Veja abaixo

Corrigir esta descoberta

Verifica a propriedade listPolicy nos metadados dos recursos compatíveis para ver uma lista de locais permitidos ou negados.

  • Permissões adicionais do IAM: permissions/orgpolicy.policy.get
  • Entradas adicionais: lê a política da organização no serviço de política da organização.
  • Verificações em lote: a cada 12 horas
  • Verificações em tempo real: não

Recursos compatíveis com ORG_POLICY_LOCATION_RESTRICTION

dependente do AD
compute.googleapis.com/Autoscaler
compute.googleapis.com/Address
compute.googleapis.com/Disk
compute.googleapis.com/ForwardingRule
compute.googleapis.com/HealthCheck
compute.googleapis.com/Image
compute.googleapis.com/Instance
compute.googleapis.com/InstanceGroup
compute.googleapis.com/InstanceGroupManager
compute.googleapis.com/InterconnectAttachment
compute.googleapis.com/NetworkEndpointGroup
compute.googleapis.com/NodeGroup
compute.googleapis.com/NodeTemplate
compute.googleapis.com/PacketMirroring
compute.googleapis.com/RegionBackendService
compute.googleapis.com/RegionDisk
compute.googleapis.com/ResourcePolicy
compute.googleapis.com/Router
compute.googleapis.com/Snapshot
compute.googleapis.com/SslCertificate
compute.googleapis.com/Sub-rede
compute.googleapis.com/TargetHttpProxy
compute.google.apis.com/TargetHttpsProxy
compute.googleapis.com/TargetInstance
compute.googleapis.com/TargetPool
compute.googleapis.com/TargetVpnGateway
compute.googleapis.com/UrlMap
compute.googleapis.com/VpnGateway
compute.googleapis.com/VpnTunnel

Cloud Storage
storage.googleapis.com/bucket

Cloud KMS
cloudkms.googleapis.com/CryptoKey1
cloudkms.googleapis.com/CryptoKeyVersion1
cloudkms.googleapis.com/ImportJob2
cloudkms.googleapis.com/KeyRing1

Dataproc
dataproc.googleapis.com/Cluster

BigQuery
bigquery.googleapis.com/Dataset

Dataflow
dataflow.googleapis.com/Job3

1 Como os recursos do Cloud KMS não podem ser excluídos, o recurso não será considerado fora de região se os dados do recurso tiverem sido destruídos.

2 Como os jobs de importação do Cloud KMS têm um ciclo de vida controlado e não podem ser encerrados com antecedência, um ImportJob não é considerado fora de região se o job tiver expirado e não puder mais ser usado. para importar chaves.

3Como o ciclo de vida dos jobs do Dataflow não pode ser gerenciado, um job não é considerado fora de região quando atinge o estado do terminal (interrompido ou drenado), quando pode não será mais usada para processar dados.

Descobertas de vulnerabilidades do Pub/Sub

As vulnerabilidades desse tipo de detector estão relacionadas às configurações do Pub/Sub e pertencem ao tipo PUBSUB_SCANNER.

Tabela 15. Leitor do Pub/Sub
Detector Resumo Configurações da verificação de recursos Padrões de conformidade
PUBSUB_CMEK_DISABLED

Como encontrar a descrição: um tópico do Pub/Sub não é criptografado com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ser ativado. Para instruções, consulte Ativar detectores de análise de integridade de segurança mais adiante nesta página.

Nível de preços: Premium

Recursos compatíveis
pubsub.googleapis.com/Topic

Corrigir esta descoberta

Verifica o campo kmsKeyName para o nome do recurso da CMEK.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: não

Descobertas de vulnerabilidade SQL

As vulnerabilidades desse tipo de detector estão relacionadas às configurações do Cloud SQL e pertencem ao tipo SQL_SCANNER.

Tabela 16. Verificador de SQL
Detector Resumo Configurações da verificação de recursos Padrões de conformidade
AUTO_BACKUP_DISABLED

Encontrar a descrição: um banco de dados do Cloud SQL não tem backups automáticos ativados.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir esta descoberta

Verifica se a propriedade backupConfiguration.enabled de dados do Cloud SQL está definida como true.

  • Recursos excluídos das verificações: réplicas do Cloud SQL
  • Entradas adicionais: lê políticas de IAM para ancestrais do armazenamento de recursos do Security Health Analytics
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

NIST 800-53: CP-9

ISO-27001: A.12.1.1

PUBLIC_SQL_INSTANCE

Encontrar a descrição: uma instância de banco de dados do Cloud SQL aceita conexões de todos os endereços IP.

Nível de preços: Premium ou Standard

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir esta descoberta

Verifica se a propriedade authorizedNetworks das instâncias do Cloud SQL está definida como um único endereço IP ou intervalo de endereços IP.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

CIS GCP Foundation 1.0: 6.2

PCI-DSS v3.2.1: 1.2.1

NIST 800-53 (em inglês): CA-3, SC-7

ISO-27001: A.8.2.3, A.13.1.3, A.14.1.3

SSL_NOT_ENFORCED

Encontrar a descrição: uma instância de banco de dados do Cloud SQL não exige que todas as conexões de entrada usem SSL.

Nível de preços: Premium ou Standard

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir esta descoberta

Verifica se a propriedade requireSsl da instância do Cloud SQL está definida como true.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

CIS GCP Foundation 1.0: 6.1

PCI-DSS v3.2.1: 4.1

NIST 800-53 (link em inglês): SC-7

ISO-27001: A.8.2.3, A.13.2.1, A.14.1.3

SQL_CMEK_DISABLED

Encontrar a descrição: uma instância de banco de dados SQL não é criptografada com chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês). Esse detector requer configuração adicional para ser ativado. Para instruções, consulte Ativar detectores de análise de integridade de segurança mais adiante nesta página.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir esta descoberta

Verifica o campo kmsKeyName no objeto diskEncryptionKey, nos metadados da instância, para ver o nome do recurso da CMEK.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim
SQL_CONTAINED_DATABASE_AUTHENTICATION

Encontrar a descrição: A sinalização do banco de dados contained database authentication para uma instância do Cloud SQL para SQL Server não está definida como off.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir esta descoberta

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor, "name": "contained database authentication", "value": "on" ou se está ativado por padrão.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim
SQL_CROSS_DB_OWNERSHIP_CHAINING

Como encontrar a descrição: a sinalização do banco de dados cross_db_ownership_chaining para uma instância do Cloud SQL para SQL Server não está definida como off.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir esta descoberta

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor "name": "cross_db_ownership_chaining", "value": "on".

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim
SQL_LOCAL_INFILE

Encontrar a descrição: a sinalização do banco de dados local_infile para uma instância do Cloud SQL para MySQL não está definida como off.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir esta descoberta

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor "name": "local_infile", "value": "on".

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim
SQL_LOG_CHECKPOINTS_DISABLED

Encontrar a descrição: A sinalização de banco de dados log_checkpoints para uma instância do Cloud SQL para PostgreSQL não está definida como on.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir esta descoberta

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor "name": "log_checkpoints", "value": "on".

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim
SQL_LOG_CONNECTIONS_DISABLED

Encontrar a descrição: A sinalização de banco de dados log_connections para uma instância do Cloud SQL para PostgreSQL não está definida como on.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir esta descoberta

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor "name": "log_connections", "value": "on".

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim
SQL_LOG_DISCONNECTIONS_DISABLED

Como encontrar a descrição: a sinalização do banco de dados log_disconnections para uma instância do Cloud SQL para PostgreSQL não está definida como on.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir esta descoberta

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor "name": "log_disconnections", "value": "on".

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim
SQL_LOG_LOCK_WAITS_DISABLED

Encontrar a descrição: A sinalização de banco de dados log_lock_waits para uma instância do Cloud SQL para PostgreSQL não está definida como on.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir esta descoberta

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor "name": "log_lock_waits", "value": "on".

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

Como encontrar a descrição: a sinalização do banco de dados log_min_duration_statement para uma instância do Cloud SQL para PostgreSQL não está definida como "-1".

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir esta descoberta

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor "name": "log_min_duration_statement", "value": "-1".

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim
SQL_LOG_MIN_ERROR_STATEMENT

Como encontrar a descrição: a sinalização do banco de dados log_min_error_statement para uma instância do Cloud SQL para PostgreSQL não está definida corretamente.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir esta descoberta

Verifica se olog_min_error_statement campo dodatabaseFlags é definida como um dos seguintes valores:debug5 ,debug4 ,debug3 ,debug2 ,debug1 ,info ,notice ,warning ou o valor padrãoerror para começar.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim
SQL_LOG_TEMP_FILES

Como encontrar a descrição: a sinalização do banco de dados log_temp_files para uma instância do Cloud SQL para PostgreSQL não está definida como "0".

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir esta descoberta

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor "name": "log_temp_files", "value": "0".

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim
SQL_NO_ROOT_PASSWORD

Encontrar a descrição: um banco de dados do Cloud SQL não tem uma senha configurada para a conta raiz. Esse detector requer configurações adicionais para ser ativado. Para instruções, consulte Ativar detectores de análise de integridade de segurança mais adiante nesta página.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir esta descoberta

Verifica se a propriedade rootPassword da conta raiz está vazia.

  • Permissões adicionais do IAM: roles/cloudsql.client
  • Entradas adicionais: consulta instâncias ativas
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: não

CIS GCP Foundation 1.0: 6.3

PCI-DSS v3.2.1: 2.1

NIST 800-53: AC-3

ISO-27001: A.8.2.3, A.9.4.2

SQL_PUBLIC_IP

Encontrar a descrição: um banco de dados do Cloud SQL tem um endereço IP público.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir esta descoberta

Verifica se o tipo de endereço IP de um banco de dados do Cloud SQL está definido como Primary, indicando que ele é público.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim
SQL_WEAK_ROOT_PASSWORD

Encontrar a descrição: um banco de dados do Cloud SQL tem uma senha fraca configurada para a conta raiz. Esse detector requer configuração adicional para ser ativado. Para instruções, consulte Ativar detectores de análise de integridade de segurança mais adiante nesta página.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir esta descoberta

Compara a senha da conta raiz do seu banco de dados do Cloud SQL com uma lista de senhas comuns.

  • Permissões adicionais do IAM: roles/cloudsql.client
  • Entradas adicionais: consulta instâncias ativas
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: não

Descobertas de vulnerabilidade do armazenamento

As vulnerabilidades desse tipo de detector estão relacionadas às configurações dos buckets do Cloud Storage e pertencem ao tipo STORAGE_SCANNER.

Tabela 17. Leitor de armazenamento
Detector Resumo Configurações da verificação de recursos Padrões de conformidade
BUCKET_CMEK_DISABLED

Encontrar a descrição: um bucket não é criptografado com chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês). Esse detector requer configuração adicional para ser ativado. Para instruções, consulte Ativar detectores de análise de integridade de segurança posteriormente nesta página.

Nível de preços: Premium

Recursos compatíveis
storage.googleapis.com/Bucket

Corrigir esta descoberta

Verifica o campo encryption nos metadados do bucket para o nome do recurso da CMEK.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim
BUCKET_POLICY_ONLY_DISABLED

Encontrar a descrição: o acesso uniforme no nível do bucket, anteriormente chamado de Somente política do bucket, não está configurado.

Nível de preços: Premium

Recursos compatíveis
storage.googleapis.com/Bucket

Corrigir esta descoberta

Verifica se a propriedade uniformBucketLevelAccess em um bucket está definida como "enabled":false .

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim
PUBLIC_BUCKET_ACL

Encontrar a descrição: um bucket do Cloud Storage é acessível publicamente.

Nível de preços: Premium ou Standard

Recursos compatíveis
storage.googleapis.com/Bucket

Corrigir esta descoberta

Verifica a política de IAM de um bucket para papéis públicos, allUsers ou allAuthenticatedUsers, com privilégios de administrador ou editor.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

CIS GCP Foundation 1.0: 5.1

PCI-DSS v3.2.1: 7.1

NIST 800-53: AC-2

ISO-27001: A.8.2.3, A.14.1.3

PUBLIC_LOG_BUCKET

Encontrar a descrição: um bucket de armazenamento usado como coletor de registros pode ser acessado publicamente.

Nível de preços: Premium ou Standard

Recursos compatíveis
storage.googleapis.com/Bucket

Corrigir esta descoberta

Verifica a política de IAM de um bucket para membros públicos, allUsers ou allAuthenticatedUsers.

  • Entradas adicionais: lê o coletor de registro (o filtro de registro e o destino do registro) de um bucket para determinar se é um bucket de registros
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim, mas apenas se a política do IAM for alterada no bucket, não se o coletor de registro for alterado

PCI-DSS v3.2.1: 10,5

NIST 800-53: AU-9

ISO-27001: A.8.2.3, A.12.4.2, A.18.1.3

Descobertas de vulnerabilidades de sub-rede

As vulnerabilidades desse tipo de detector estão relacionadas às configurações de sub-rede da organização e pertencem ao tipo SUBNETWORK_SCANNER.

Tabela 18. Leitor de sub-rede
Detector Resumo Configurações da verificação de recursos Padrões de conformidade
FLOW_LOGS_DISABLED

Encontrar a descrição: há uma sub-rede VPC com registros de fluxo desativados.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Sub-rede

Corrigir esta descoberta

Verifica se a propriedade enableFlowLogs das sub-redes do Compute Engine está ausente ou definida como false.

  • Recursos excluídos das verificações: acesso VPC sem servidor, sub-redes do balanceador de carga
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim

CIS GCP Foundation 1.0: 3.9

PCI-DSS v3.2.1: 10.1, 10.2

NIST 800-53 (em inglês): SI-4

ISO-27001: A.13.1.1

PRIVATE_GOOGLE_ACCESS_DISABLED

Como encontrar a descrição: há sub-redes privadas sem acesso às APIs públicas do Google.

Nível de preços: Premium

Recursos compatíveis
storage.googleapis.com/Bucket
compute.googleapis.com/sub-rede

Corrigir esta descoberta

Verifica se a propriedade privateIpGoogleAccess das sub-redes do Compute Engine está definida como false.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: Sim
CIS GCP Foundation 1.0: 3.8

Ativar detectores do Security Health Analytics

Os seguintes detectores do Security Health Analytics não estão ativados por padrão:

  • BUCKET_CMEK_DISABLED
  • DISK_CMEK_DISABLED
  • DISK_CSEK_DISABLED
  • NODEPOOL_BOOT_CMEK_DISABLED
  • PUBSUB_CMEK_DISABLED
  • SQL_CMEK_DISABLED
  • SQL_NO_ROOT_PASSWORD
  • SQL_WEAK_ROOT_PASSWORD

Para ativar um detector, também conhecido como módulo, execute o seguinte comando Alfa da gcloud na ferramenta de linha de comando gcloud.

  gcloud alpha scc settings services modules enable \
    --organization=ORGANIZATION_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR

Substitua:

  • ORGANIZATION_ID: o ID da organização
  • DETECTOR: o nome do detector que você quer ativar

Descobertas do Web Security Scanner

As verificações personalizadas e gerenciadas do Web Security Scanner identificam os tipos de descoberta a seguir. No nível Standard, o Web Security Scanner é compatível com verificações personalizadas de aplicativos implantados com URLs e IPs públicos que não estão atrás de um firewall.

Tabela 18.Descobertas do Web Security Scanner
Categoria Como encontrar a descrição CIS GCP Foundation 1.0 PCI-DSS v3.2.1 10 principais OWASP NIST 800-53 ISO-27001
ACCESSIBLE_GIT_REPOSITORY Um repositório Git é exposto publicamente. Para resolver essa descoberta, remova o acesso público não intencional ao repositório do GIT. A3
ACCESSIBLE_SVN_REPOSITORY Um repositório SVN é exposto publicamente. Para resolver essa descoberta, remova o acesso não intencional público ao repositório SVN. A3
CLEAR_TEXT_PASSWORD As senhas estão sendo transmitidas em texto não criptografado e podem ser interceptadas. Para resolver essa descoberta, criptografe a senha transmitida pela rede. A3
INVALID_CONTENT_TYPE Um recurso foi carregado e ele não corresponde ao cabeçalho HTTP da resposta Content-Type. Para resolver essa descoberta, defina o cabeçalho HTTP `X-Content-Type-Options` com o valor correto. A6
INVALID_HEADER Um cabeçalho de segurança tem um erro de sintaxe e é ignorado pelos navegadores. Para resolver essa descoberta, defina cabeçalhos de segurança HTTP corretamente. A6
MISMATCHING_SECURITY_HEADER_VALUES Um cabeçalho de segurança tem valores duplicados e incompatíveis, o que resulta em comportamento indefinido. Para resolver essa descoberta, defina cabeçalhos de segurança HTTP corretamente. A6
MISSPELLED_SECURITY_HEADER_NAME Um cabeçalho de segurança foi escrito incorretamente e é ignorado. Para resolver essa descoberta, defina cabeçalhos de segurança HTTP corretamente. A6
MIXED_CONTENT Os recursos são exibidos por HTTP em uma página HTTPS. Para resolver essa questão, certifique-se de que todos os recursos sejam atendidos por HTTPS. A6
OUTDATED_LIBRARY Foi detectada uma biblioteca com vulnerabilidades conhecidas. Para resolver essa descoberta, faça upgrade das bibliotecas para uma versão mais recente. A9
XSS Um campo nesse aplicativo da Web é vulnerável a um ataque de script entre sites (XSS). Para resolver essa questão, valide e libere dados não confiáveis fornecidos pelo usuário. A7
XSS_ANGULAR_CALLBACK Uma string fornecida pelo usuário não tem escape, e o MVC pode interpolá-la. Para resolver essa descoberta, valide e libere dados não confiáveis fornecidos pelo usuário manipulados pela framework Angular. A7
XSS_ERROR Um campo neste aplicativo da Web é vulnerável a um ataque de scripting em vários locais. Para resolver essa descoberta, valide e faça o escape de dados não confiáveis fornecidos pelo usuário. A7

Comparativos de mercado CIS

O Center for Internet Security (CIS) inclui os seguintes comparativos de mercado que, no momento, os detectores de segurança da Web ou do Security Health Analytics não são compatíveis:

Tabela 19. Comparativo de mercado do CIS
Categoria Como encontrar a descrição CIS GCP Foundation 1.0 NIST 800-53 ISO-27001
BASIC_AUTHENTICATION_ENABLED O IAM ou a autenticação de certificados do cliente precisam ser ativados em clusters do Kubernetes. 7.10
CLIENT_CERT_AUTHENTICATION_DISABLED Clusters do Kubernetes precisam ser criados com certificados do cliente ativados. 7.12
LABELS_NOT_USED Rótulos podem ser usados para decompor informações de faturamento. 7,5
PUBLIC_STORAGE_OBJECT A ACL de objetos de armazenamento não pode conceder acesso a **allUsers**. 5.2
SQL_BROAD_ROOT_LOGIN O acesso root a um banco de dados SQL precisa ser limitado a IPs confiáveis com permissão para serem listados. 6.4

A seguir