Descobertas de vulnerabilidades

Os detectores do Security Health Analytics e do Web Security Scanner geram descobertas de vulnerabilidades disponíveis no Security Command Center. Sua capacidade de visualizar e editar as descobertas é determinada pelos papéis e permissões do gerenciamento de identidade e acesso (IAM) atribuídos a você. Para mais informações sobre os papéis do IAM no Security Command Center, consulte Controle de acesso.

Detectores e compliance

Nesta seção, descrevemos o mapeamento entre detectores compatíveiss e o melhor esforço para os padrões de compliance relevantes.

CIS Benchmarks

O Security Command Center é compatível com duas versões dos CIS Benchmarks para o Google Cloud Platform Foundation:

  • Comparativo de mercado CIS Google Cloud Computing Foundations v1.1.0 (CIS Google Cloud Foundation 1.1)
  • Comparativo de mercado CIS Google Cloud Computing Foundations v1.0.0 (CIS Google Cloud Foundation 1.0)

Os mapeamentos CIS 1.1 e 1.0 do Google Cloud Foundation foram revisados e certificados pelo Centro de Segurança da Internet para alinhamento com o CIS Google Cloud Computing Foundations Benchmark v1.1.0 e v1.0.0, respectivamente.

Embora o CIS 1.1 e o CIS 1.0 sejam compatíveis, recomendamos que você use ou faça a transição para o CIS 1.1, se possível. O CIS 1.1 expande a cobertura para serviços adicionais do Google Cloud e refina instruções e orientações para comparativos de mercado complexos.

Alguns detectores são mapeados para o Comparativo de mercado do CIS do Google Kubernetes Engine (GKE) v1.0.0 (CIS GKE 1.0). O suporte para esse comparativo de mercado é limitado e não deve ser usado como base para auditorias ou conformidade de relatórios.

Normas adicionais

Os mapeamentos de conformidade adicionais estão incluídos para referência e não são fornecidos ou revisados pelo Padrão de segurança de dados da indústria de cartões de pagamento ou pela OWASP Foundation. Consulte Cartão de pagamento padrão do setor de segurança de dados 3.2.1 (PCI-DSS v3.2.1), 10 principais do OWASP ,Instituto Nacional de Padrões e Tecnologia (800-53) (NIST 800-53) e Organização Internacional de Normalização 27001 (ISO 27001) sobre como verificar essas violações manualmente.

Essa funcionalidade destina-se apenas ao monitoramento de violações de controles de conformidade. Os mapeamentos não são fornecidos para uso como base ou como substitutos para a auditoria, certificação ou relatório de conformidade dos seus produtos ou serviços com comparativos de mercado ou padrões regulatórios ou do setor.

Para instruções sobre como visualizar e exportar relatórios de conformidade, consulte a seção Conformidade em Como usar o painel do Security Command Center.

Security Health Analytics

Os detectores do Security Health Analytics monitoram um subconjunto de recursos do Cloud Asset Inventory (CAI), recebendo notificações de alterações na política de gerenciamento de identidade e acesso (IAM, na sigla em inglês). Alguns detectores recuperam dados chamando diretamente as APIs do Google Cloud, conforme indicado em tabelas mais adiante nesta página.

As verificações do Security Health Analytics são executadas em três modos:

  • Verificação em lote: todos os detectores são programados para execução em todas as organizações inscritas duas ou mais vezes por dia. Os detectores são executados em diferentes programações para atender a objetivos específicos de nível de serviço (SLO). Para atender aos SLOs de 12 e 24 horas, os detectores executam verificações em lote a cada seis horas ou 12 horas, respectivamente. As alterações de recursos e políticas que ocorrem entre as verificações em lote não são capturadas imediatamente e são aplicadas na próxima verificação em lote. Observação: as programações de verificação em lote são objetivos de desempenho, não garantias de serviço.

  • Verificação em tempo real: os detectores compatíveis iniciam as verificações sempre que o CAI informa uma alteração na configuração de um recurso. As descobertas são gravadas no Security Command Center.

  • Modo misto: alguns detectores compatíveis com verificações em tempo real podem não detectar alterações em tempo real em todos os recursos compatíveis. Nesses casos, as alterações de configuração de alguns recursos são capturadas imediatamente e outras são capturadas em verificações em lote. As exceções estão nas tabelas desta página.

As tabelas a seguir descrevem os detectores do Security Health Analytics, os recursos e os padrões de compliance compatíveis, as configurações usadas para verificações e os tipos de descobertas gerados. É possível filtrar as descobertas por nome de detector e por tipo de descoberta usando a guia Vulnerabilidades do Security Command Center no Console do Google Cloud.

Para instruções sobre como corrigir problemas e proteger seus recursos, consulte Como corrigir descobertas do Security Health Analytics.

Descobertas de vulnerabilidade da chave de API

O detector API_KEY_SCANNER identifica vulnerabilidades relacionadas às chaves de API usadas na implantação na nuvem.

Tabela 1. Leitor de chave de API
Detector Resumo Configurações da verificação de recursos Padrões de compliance
API_KEY_APIS_UNRESTRICTED

Como encontrar a descrição: há chaves de API sendo usadas muito amplamente. Para resolver isso, limite o uso da chave de API para permitir apenas as APIs necessárias ao aplicativo.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Recupera a propriedade restrictions de todas as chaves de API em um projeto, verificando se alguma está definida como cloudapis.googleapis.com.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: não

CIS GCP Foundation 1.0: 1.12

CIS GCP Foundation 1.1: 1.14

API_KEY_APPS_UNRESTRICTED

Como encontrar a descrição: há chaves de API sendo usadas de maneira irrestrita, permitindo o uso por qualquer aplicativo não confiável.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Recupera arestrictions de todas as chaves de API em um projeto, verificando se browserKeyRestrictions ,serverKeyRestrictions ,androidKeyRestrictions ouiosKeyRestrictions está definido.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: não

CIS GCP Foundation 1.0: 1.11

CIS GCP Foundation 1.1: 1.13

API_KEY_EXISTS

Descrição da descoberta: um projeto está usando chaves de API em vez da autenticação padrão.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Recupera todas as chaves de API de um projeto.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: não

CIS GCP Foundation 1.0: 1.10

CIS GCP Foundation 1.1: 1.12

API_KEY_NOT_ROTATED

Como encontrar a descrição: a chave de API não é rotacionada há mais de 90 dias.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Recupera o carimbo de data/hora contido na propriedade createTime de todas as chaves de API, verificando se 90 dias se passaram.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: não

CIS GCP Foundation 1.0: 1.13

CIS GCP Foundation 1.1: 1.15

Calcular descobertas de vulnerabilidade de imagem

O detector COMPUTE_IMAGE_SCANNER identifica vulnerabilidades relacionadas às configurações de imagem do Google Cloud.

Tabela 2. Compute image scanner
Detector Resumo Configurações da verificação de recursos Padrões de compliance
PUBLIC_COMPUTE_IMAGE

Como encontrar a descrição: uma imagem do Compute Engine pode ser acessada publicamente.

Nível de preços: Premium ou Standard

Recursos compatíveis
compute.googleapis.com/Image

Corrigir essa descoberta

Verifica a política do IAM nos metadados de recursos para os membros allUsers ou allAuthenticatedUsers, que concedem acesso público.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

Descobertas de vulnerabilidade da instância do Compute

O detector COMPUTE_INSTANCE_SCANNER identifica vulnerabilidades relacionadas às configurações da instância do Compute Engine.

Os detectores COMPUTE_INSTANCE_SCANNER não informam as descobertas nas instâncias do Compute Engine criadas pelo GKE. Esses instâncias têm nomes que começam com "gke-", que os usuários não podem editar. Para proteger essas instâncias, consulte a seção de descobertas de vulnerabilidades do contêiner.

Tabela 3. Verificador de instâncias do Compute
Detector Resumo Configurações da verificação de recursos Padrões de compliance
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

Como encontrar a descrição: chaves SSH do projeto inteiro são usadas, permitindo o login em todas as instâncias do projeto.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Instance

Corrigir essa descoberta

Verifica o objeto metadata.items[] nos metadados da instância para o par de chave-valor "key": "block-project-ssh-keys", "value": TRUE.

  • Recursos excluídos das verificações: instâncias do GKE, job do Dataflow, instância do Windows
  • Permissões adicionais do IAM: roles/compute.Viewer
  • Entradas adicionais: lê metadados do Compute Engine
  • Verificações em lote: a cada 12 horas
  • Verificações em tempo real: não

CIS GCP Foundation 1.0: 4.2

CIS GCP Foundation 1.1: 4.3

COMPUTE_SECURE_BOOT_DISABLED

Como encontrar a descrição: esta VM protegida não tem a inicialização segura ativada. O uso da Inicialização segura ajuda a proteger instâncias de máquina virtual contra ameaças avançadas, como rootkits e bootkits.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Instance

Corrigir essa descoberta

Verifica a propriedade shieldedInstanceConfig nas instâncias do Compute Engine para determinar se enableIntegrityMonitoring, enableSecureBoot, enableVtpm estão definidos como true. Os campos indicam se os discos anexados são compatíveis com a Inicialização segura e se a VM protegida está ativada.

  • Recursos excluídos das verificações: instâncias do GKE, discos do Compute Engine que têm aceleradores de GPU e não usam o Container-Optimized OS, acesso VPC sem servidor
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: não
COMPUTE_SERIAL_PORTS_ENABLED

Como encontrar a descrição: as portas seriais de uma instância são ativadas, permitindo conexões com o console serial da instância.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Instance

Corrigir essa descoberta

Verifica o objeto metadata.items[] nos metadados da instância para o par de chave-valor "key": "serial-port-enable", "value": TRUE.

  • Recursos excluídos das verificações: instâncias do GKE
  • Permissões adicionais do IAM: roles/compute.Viewer
  • Entradas adicionais: lê metadados do Compute Engine
  • Verificações em lote: a cada 12 horas
  • Verificações em tempo real: não

CIS GCP Foundation 1.0: 4.4

CIS GCP Foundation 1.1: 4.5

DEFAULT_SERVICE_ACCOUNT_USED

Como encontrar a descrição: uma instância é configurada para usar a conta de serviço padrão.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Instance

Corrigir essa descoberta

Verifica a propriedade serviceAccounts nos metadados da instância em busca de endereços de e-mail da conta de serviço com o prefixo PROJECT_NUMBER-compute@developer.gserviceaccount.com, indicando a conta de serviço padrão criada pelo Google.

  • Recursos excluídos das verificações: instâncias do GKE, jobs do Dataflow
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: não

CIS GCP Foundation 1.1: 4.1

DISK_CMEK_DISABLED

Como encontrar a descrição: os discos nesta VM não são criptografados com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Disk

Corrigir essa descoberta

Verifica o campo kmsKeyName no objeto diskEncryptionKey, nos metadados do disco, para o nome do recurso do seu CMEK.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: não
DISK_CSEK_DISABLED

Descrição da descoberta: os discos nesta VM não são criptografados com chaves de criptografia fornecidas pelo cliente (CSEK). Esse detector requer configuração adicional para ativar Para mais instruções, consulte Detector de casos especiais.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Disk

Corrigir essa descoberta

Verifica o campo kmsKeyName no objeto diskEncryptionKey do nome do recurso da sua CSEK.

  • Recursos excluídos das verificações:
    discos do Compute Engine sem a marca de segurança enforce_customer_supplied_disk_encryption_keys definida como true
  • Permissões adicionais do IAM: roles/compute.Viewer
  • Entradas adicionais: lê metadados do Compute Engine
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: não

CIS GCP Foundation 1.0: 4.6

CIS GCP Foundation 1.1: 4.7

FULL_API_ACCESS

Descrição da descoberta: uma instância é configurada para usar a conta de serviço padrão com acesso total a todas as APIs do Google Cloud.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Instance

Corrigir essa descoberta

Recupera o campo scopes na propriedade serviceAccounts para verificar se uma conta de serviço padrão é usada e se foi atribuído o escopo cloud-platform.

  • Recursos excluídos das verificações: instâncias do GKE e jobs do Dataflow
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: não

CIS GCP Foundation 1.0: 4.1

CIS GCP Foundation 1.1: 4.2

PCI-DSS v3.2.1: 7.1.2

NIST 800-53: AC-6

ISO-27001: A.9.2.3

HTTP_LOAD_BALANCER

Como encontrar a descrição: uma instância usa um balanceador de carga configurado para usar um proxy HTTP de destino em vez de um proxy HTTPS de destino.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/TargetHttpProxy

Corrigir essa descoberta

Determina se a propriedade selfLink do recurso targetHttpProxy corresponde ao atributo target na regra de encaminhamento e se a regra de encaminhamento contém um loadBalancingScheme campo definido como External.

  • Permissões adicionais do IAM: roles/compute.Viewer
  • Entradas adicionais: lê regras de encaminhamento para um proxy HTTP de destino do Compute Engine, verificando regras externas
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim
PCI-DSS v3.2.1: 2.3
IP_FORWARDING_ENABLED

Descrição da descoberta: o encaminhamento de IP está ativado nas instâncias.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Instance

Corrigir essa descoberta

Verifica se a propriedade canIpForward da instância está definida como true.

  • Recursos excluídos das verificações: instâncias do GKE, acesso VPC sem servidor
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 4.5

CIS GCP Foundation 1.1: 4.6

OS_LOGIN_DISABLED

Encontrar descrição: o Login do SO está desativado nesta instância.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Project

Corrigir essa descoberta

Verifica o objeto commonInstanceMetadata.items[] nos metadados do projeto para o par de chave-valor, "key": "enable-oslogin", "value": TRUE. O detector também verifica todas as instâncias em um projeto do Compute Engine para determinar se o login do SO está desativado para instâncias individuais.

  • Recursos excluídos das verificações: instâncias do GKE
  • Permissões adicionais do IAM: roles/compute.Viewer
  • Entradas adicionais: lê metadados do Compute Engine. O detector também examina instâncias do Compute Engine no projeto
  • Verificações em lote: a cada 12 horas
  • Verificações em tempo real: não

CIS GCP Foundation 1.0: 4.3

CIS GCP Foundation 1.1: 4.4

PUBLIC_IP_ADDRESS

Como encontrar a descrição: uma instância tem um endereço IP público.

Nível de preços: Premium ou Standard

Recursos compatíveis
compute.googleapis.com/Instance

Corrigir essa descoberta

Verifica se a propriedade networkInterfaces contém um campo accessConfigs, indicando que ele está configurado para usar um endereço IP público.

  • Recursos excluídos das verificações: instâncias do GKE
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: não

CIS GCP Foundation 1.1: 4.9

PCI-DSS v3.2.1: 1.2.1, 1.3.5

NIST 800-53: CA-3, SC-7

SHIELDED_VM_DISABLED

Encontrando descrição: a VM protegida está desativada nesta instância.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Instance

Corrigir essa descoberta

Verifica a propriedade shieldedInstanceConfig nas instâncias do Compute Engine para determinar se os campos enableIntegrityMonitoring, enableSecureBoot, enableVtpm estão definidos como true. Os campos indicam se os discos anexados são compatíveis com a Inicialização segura e se a VM protegida está ativada.

  • Recursos excluídos das verificações: instâncias do GKE, discos do Compute Engine que têm aceleradores de GPU e não usam o Container-Optimized OS, acesso VPC sem servidor
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.1: 4.8

WEAK_SSL_POLICY

Como encontrar a descrição: uma instância tem uma política de SSL fraca.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/TargetHttpsProxy
compute.googleapis.com/TargetSslProxy

Corrigir essa descoberta

Verifica se sslPolicy nos metadados do recurso está vazio e, para o recurso sslPolicies anexado, se profile está definido como Restricted ou Modern, minTlsVersion está definido como TLS 1.2 e customFeatures está vazio ou não contém as seguintes criptografias: TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_3DES_EDE_CBC_SHA.

  • Permissões adicionais do IAM: roles/compute.Viewer
  • Entradas adicionais: lê políticas de SSL para armazenamento de proxies de destino, verificando se há políticas fracas
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim, mas somente quando o TargetHttpsProxy do TargetSslProxy é atualizado, não quando a política de SSL é atualizada.

PCI-DSS v3.2.1: 4.1

NIST 800-53: SC-7

ISO-27001: A.14.1.3

Descobertas da vulnerabilidade do contêiner

Todos esses tipos de localização estão relacionados às configurações de contêiner do GKE e pertencem ao tipo de detector CONTAINER_SCANNER.

Tabela 4. Leitor de contêineres
Detector Resumo Configurações da verificação de recursos Padrões de compliance
ALPHA_CLUSTER_ENABLED

Como encontrar a descrição: os recursos do cluster Alfa estão ativados para um cluster do GKE.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Verifica se a propriedade enableKubernetesAlpha de um cluster está definida como true.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim
CIS GKE 1.0: 6.10.2
AUTO_REPAIR_DISABLED

Como encontrar a descrição: o recurso de reparo automático de um cluster do GKE, que mantém os nós em estado íntegro e em execução, está desativado.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Verifica a propriedade management de um pool de nós para o par de chave-valor, "key": "autoRepair", "value": true.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 7.7

CIS GKE 1.0: 6.5.2

PCI-DSS v3.2.1: 2.2

AUTO_UPGRADE_DISABLED

Como encontrar a descrição: o recurso de upgrade automático de um cluster do GKE, que mantém clusters e pools de nós na versão estável mais recente do Kubernetes, está desativado.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Verifica a propriedade management de um pool de nós para o par de chave-valor, "key": "autoUpgrade", "value": true.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 7.8

CIS GKE 1.0: 6.5.3

PCI-DSS v3.2.1: 2.2

BINARY_AUTHORIZATION_DISABLED

Como encontrar a descrição: a autorização binária está desativada em um cluster do GKE.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Verifica se a propriedade binaryAuthorization contém o par de chave-valor, "enabled": true, e defaultAdmissionRule contém o par de chave-valor evaluationMode: ALWAYS_ALLOW.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim
CIS GKE 1.0: 6.10.5
CLUSTER_LOGGING_DISABLED

Como encontrar a descrição: o Logging não está ativado para um cluster do GKE.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Verifica se a propriedade loggingService de um cluster contém o local que o Cloud Logging deve usar para gravar registros.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 7.1

CIS GKE 1.0: 6.7.1

PCI-DSS v3.2.1: 10.2.2, 10.2.7

CLUSTER_MONITORING_DISABLED

Como encontrar a descrição: o Monitoring está desativado nos clusters do GKE.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Verifica se a propriedade monitoringService de um cluster contém o local que o Cloud Monitoring deve usar para gravar métricas.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 7.2

CIS GKE 1.0: 6.7.1

PCI-DSS v3.2.1: 10.1, 10.2

CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED

Como encontrar a descrição: hosts de cluster não estão configurados para usar apenas endereços IP internos privados para acessar as APIs do Google.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Verifica se a propriedade privateIpGoogleAccess de uma sub-rede está definida como false.

  • Entradas adicionais: lê sub-redes do armazenamento, registrando descobertas apenas para clusters com sub-redes.
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim, mas somente se o cluster for atualizado, não para atualizações de sub-rede

CIS GCP Foundation 1.0: 7.1

PCI-DSS v3.2.1: 1.3

CLUSTER_SECRETS_ENCRYPTION_DISABLED

Como encontrar a descrição: a criptografia de secrets da camada de aplicativos está desativada em um cluster do GKE.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Verifica a propriedade keyName do objeto databaseEncryption para o par de chave-valor "state": ENCRYPTED.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim
CIS GKE 1.0: 6.3.1
CLUSTER_SHIELDED_NODES_DISABLED

Como encontrar a descrição:: os nós protegidos do GKE não estão ativados para um cluster.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Verifica a propriedade shieldedNodes do par de chave-valor "enabled": true.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim
CIS GKE 1.0: 6.5.5
COS_NOT_USED

Como encontrar a descrição: as VMs do Compute Engine não estão usando o Container-Optimized OS projetado para executar contêineres do Docker no Google Cloud com segurança.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Verifica a propriedade config de um pool de nós para o par de chave-valor, "imageType": "COS".

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 7.9

CIS GKE 1.0: 6.5.1

PCI-DSS v3.2.1: 2.2

INTEGRITY_MONITORING_DISABLED

Como encontrar a descrição: o monitoramento de integridade está desativado para um cluster do GKE.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Verifica a propriedade shieldedInstanceConfig do objeto nodeConfig para o par de chave-valor "enableIntegrityMonitoring": true.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim
CIS GKE 1.0: 6.5.6
INTRANODE_VISIBILITY_DISABLED

Como encontrar a descrição: a visibilidade intranós é desativada para um cluster do GKE.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Verifica a propriedade networkConfig do par de chave-valor "enableIntraNodeVisibility": true.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim
CIS GKE 1.0: 6.6.1
IP_ALIAS_DISABLED

Descrição da descoberta: um cluster do GKE foi criado com intervalos de IP de alias desativados.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Verifica se o campo useIPAliases de ipAllocationPolicy em um cluster está definido como false.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 7.1

CIS GKE 1.0: 6.6.2

PCI-DSS v3.2.1: 1.3.4, 1.3.7

LEGACY_AUTHORIZATION_ENABLED

Descrição da descoberta: a autorização legada está ativada em clusters do GKE.

Nível de preços: Premium ou Standard

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Verifica a propriedade legacyAbac de um cluster para o par de chave-valor, "enabled": true.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 7.3

CIS GKE 1.0: 6.8.3

PCI-DSS v3.2.1: 4.1

LEGACY_METADATA_ENABLED

Como encontrar a descrição: metadados legados são ativados em clusters do GKE.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Verifica a propriedade config de um pool de nós para o par de chave-valor, "disable-legacy-endpoints": "false".

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim
CIS GKE 1.0: 6.4.1
MASTER_AUTHORIZED_NETWORKS_DISABLED

Descrição da descrição: redes autorizadas do plano de controle não está ativado em clusters do GKE.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Verifica a propriedade masterAuthorizedNetworksConfig de um cluster para o par de chave-valor, "enabled": false.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 7.4

CIS GKE 1.0: 6.6.3

PCI-DSS v3.2.1: 1.2.1, 1.3.2

NETWORK_POLICY_DISABLED

Como encontrar a descrição: a política de rede está desativada nos clusters do GKE.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Verifica o campo networkPolicy da propriedade addonsConfig do par de chave-valor "disabled": true.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 7.1

CIS GKE 1.0: 6.6.7

PCI-DSS v3.2.1: 1.3

NIST 800-53: SC-7

ISO-27001: A.13.1.1

NODEPOOL_BOOT_CMEK_DISABLED

Descrição da descoberta: os discos de inicialização neste pool de nós não são criptografados com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Verifica a propriedade bootDiskKmsKey dos pools de nós para o nome do recurso da sua CMEK.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim
NODEPOOL_SECURE_BOOT_DISABLED

Como encontrar a descrição: a Inicialização segura está desativada para um cluster do GKE.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Verifica a propriedade shieldedInstanceConfig do objeto nodeConfig para o par de chave-valor "enableSecureBoot": true.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim
CIS GKE 1.0: 6.5.7

OVER_PRIVILEGED_ACCOUNT

Descrição da descoberta: uma conta de serviço tem acesso excessivamente amplo ao projeto em um cluster.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Avalia a propriedade config de um pool de nós para verificar se nenhuma conta de serviço foi especificada ou se a conta de serviço padrão é usada.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 7.1

CIS GKE 1.0: 6.2.1

PCI-DSS v3.2.1: 2.1, 7.1.2

NIST 800-53: AC-6, SC-7

ISO-27001: A.9.2.3

OVER_PRIVILEGED_SCOPES

Descrição da localização: uma conta de serviço de nó tem escopos de acesso amplo.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Verifica se o escopo de acesso listado na propriedade config.oauthScopes de um pool de nós é limitado por uma conta de serviço: https://www.googleapis.com/auth/devstorage.read_only, https://www.googleapis.com/auth/logging.write, ou https://www.googleapis.com/auth/monitoring.
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 7.1

CIS GKE 1.0: 6.2.1

POD_SECURITY_POLICY_DISABLED

Como encontrar a descrição: PodSecurityPolicy está desativada em um cluster do GKE.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Verifica a propriedade podSecurityPolicyConfig de um cluster para o par de chave-valor, "enabled": false.

  • Permissões adicionais do IAM: roles/container.clusterViewer
  • Entradas adicionais: lê informações de cluster do GKE, porque as políticas de segurança de pods são um recurso Beta. Este recurso pode ser removido no futuro
  • Verificações em lote: a cada 12 horas
  • Verificações em tempo real: não

CIS GCP Foundation 1.0: 7.1

CIS GKE 1.0: 6.10.3

PRIVATE_CLUSTER_DISABLED

Descrição da descoberta: um cluster privado do GKE está desativado.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Verifica se o campo enablePrivateNodes da propriedade privateClusterConfig está definido como false.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 7.1

CIS GKE 1.0: 6.6.5

PCI-DSS v3.2.1: 1.3.2

RELEASE_CHANNEL_DISABLED

Como encontrar a descrição: um cluster do GKE não está inscrito em um canal de lançamento.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Verifica a propriedade releaseChannel do par de chave-valor "channel": UNSPECIFIED.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim
CIS GKE 1.0: 6.5.4
WEB_UI_ENABLED

Como encontrar a descrição: a IU da Web do GKE (painel) está ativada.

Nível de preços: Premium or Standard

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Checks the kubernetesDashboard field of the addonsConfig property for the key-value pair, "disabled": false.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 7.6

CIS GKE 1.0: 6.10.1

PCI-DSS v3.2.1: 6.6

WORKLOAD_IDENTITY_DISABLED

Como encontrar a descrição: a identidade da carga de trabalho está desativada em um cluster do GKE.

Nível de preços: Premium

Recursos compatíveis
container.googleapis.com/Cluster

Corrigir essa descoberta

Verifica se a propriedade workloadIdentityConfig de um cluster está definida. O detector também verifica se a propriedade workloadMetadataConfig de um pool de nós está definida como GKE_METADATA.

  • Permissões adicionais do IAM: roles/container.clusterViewer
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim
CIS GKE 1.0: 6.2.2

Descobertas de vulnerabilidade do conjunto de dados

As vulnerabilidades desse tipo de detector estão relacionadas às configurações do conjunto de dados do BigQuery e pertencem ao tipo de detector DATASET_SCANNER.

Tabela 5. Leitor de conjunto de dados
Detector Resumo Configurações da verificação de recursos Padrões de compliance
DATASET_CMEK_DISABLED

Como encontrar a descrição: um conjunto de dados do BigQuery não está configurado para usar uma chave de criptografia gerenciada pelo cliente padrão (CMEK). Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores.

Nível de preços: Premium

Recursos compatíveis
bigquery.googleapis.com/Dataset

Corrigir essa descoberta

Verifica se o campo kmsKeyName na propriedade defaultEncryptionConfiguration está vazio.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: não
PUBLIC_DATASET

Como encontrar a descrição: um conjunto de dados está configurado para ser aberto ao acesso público.

Nível de preços: Premium

Recursos compatíveis
bigquery.googleapis.com/Dataset

Corrigir essa descoberta

Verifica a política do IAM nos metadados de recursos para os membros allUsers ou allAuthenticatedUsers, que concedem acesso público.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

PCI-DSS v3.2.1: 7.1

NIST 800-53: AC-2

ISO-27001: A.8.2.3, A.14.1.3

Descobertas de vulnerabilidade de DNS

As vulnerabilidades desse tipo de detector estão relacionadas às configurações do Cloud DNS e pertencem ao tipo de detector DNS_SCANNER.

Tabela 6. Leitor de DNS
Detector Resumo Configurações da verificação de recursos Padrões de compliance
DNSSEC_DISABLED

Encontrando descrição: o DNSSEC está desativado para zonas do Cloud DNS.

Nível de preços: Premium

Recursos compatíveis
dns.googleapis.com/ManagedZone

Corrigir essa descoberta

Verifica se o campo state da propriedade dnssecConfig está definido como off.

  • Recursos excluídos das verificações: zonas do Cloud DNS que não são públicas
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 3.3

CIS GCP Foundation 1.1: 3.3

ISO-27001: A.8.2.3

RSASHA1_FOR_SIGNING

Encontrando descrição: o RSASHA1 é usado para assinatura de chaves em zonas do Cloud DNS.

Nível de preços: Premium

Recursos compatíveis
dns.googleapis.com/ManagedZone

Corrigir essa descoberta

Verifica se o objeto defaultKeySpecs.algorithm da propriedade dnssecConfig está definido como rsasha1.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 3.4, 3.5

CIS GCP Foundation 1.1: 3.4, 3.5

Descobertas de vulnerabilidades de firewall

As vulnerabilidades desse tipo de detector se relacionam com as configurações de firewall e pertencem ao tipo de detector FIREWALL_SCANNER.

Tabela 7. Leitor de firewall
Detector Resumo Configurações da verificação de recursos Padrões de compliance
EGRESS_DENY_RULE_NOT_SET

Como encontrar a descrição: uma regra de negação de saída não é definida em um firewall. As regras de negação de saída precisam ser definidas para bloquear o tráfego de saída indesejado.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Verifica se a propriedade destinationRanges no firewall está definida como 0.0.0.0/0 e se a propriedade denied contém o par de chave-valor, "IPProtocol": "all".

  • Entradas adicionais: lê firewalls de saída de um projeto do armazenamento.
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim, mas somente em alterações de projeto, não de regra de firewall
PCI-DSS v3.2.1: 7.2
FIREWALL_RULE_LOGGING_DISABLED

Encontrando descrição: o registro de regras de firewall está desativado. O registro de regras de firewall deve estar ativado para que seja possível auditar o acesso da rede

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Verifica a propriedade logConfig nos metadados do firewall para ver se ela está vazia ou contém o par de chave-valor "enable": false.

  • Recursos excluídos das verificações: instâncias do GKE, regras de firewall criadas pelo GKE, acesso VPC sem servidor
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

PCI-DSS v3.2.1: 10.1, 10.2

NIST 800-53: SI-4

ISO-27001: A.13.1.1

OPEN_CASSANDRA_PORT

Como encontrar a descrição: um firewall está configurado para ter uma porta CASSANDRA aberta que permita o acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Verifica a propriedade allowed nos metadados de firewall para os seguintes protocolos e portas: TCP:7000-7001, 7199, 8888, 9042, 9160, 61620-61621.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_CISCOSECURE_WEBSM_PORT

Descrição da descoberta: um firewall está configurado para ter uma porta CISCOSECURE_WEBSM aberta que permita acesso genérico.

Nível de preços: Premium ou Standard

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Verifica a propriedade allowed nos metadados do firewall para o seguinte protocolo e porta: TCP:9090.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_DIRECTORY_SERVICES_PORT

Como encontrar a descrição: um firewall está configurado para ter uma porta DIRECTORY_SERVICES aberta que permita o acesso genérico.

Nível de preços: Premium ou Standard

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Verifica a propriedade allowed nos metadados do firewall para os seguintes protocolos e portas: TCP:445 e UDP:445.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_DNS_PORT

Como encontrar a descrição: um firewall está configurado para ter uma porta DNS aberta que permita o acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Verifica a propriedade allowed nos metadados do firewall para os seguintes protocolos e portas: TCP:53 e UDP:53.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_ELASTICSEARCH_PORT

Descrição da descoberta: um firewall está configurado para ter uma porta ELASTICSEARCH aberta que permita acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Verifica a propriedade allowed nos metadados do firewall para os seguintes protocolos e portas: TCP:9200, 9300.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_FIREWALL

Como encontrar a descrição: um firewall está configurado para ser aberto ao acesso público.

Nível de preços: Premium ou Standard

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Verifica as propriedades sourceRanges e allowed para uma das duas configurações:

  • A propriedade sourceRanges contém 0.0.0.0/0, e a propriedade allowed contém uma combinação de regras que inclui qualquer protocol ou protocol:port, exceto:
    • icmp
    • tcp:22
    • tcp:443
    • tcp:3389
    • udp:3389
    • sctp:22
  • A propriedade sourceRanges contém uma combinação de intervalos de IP que inclui qualquer endereço IP não particular, e a propriedade allowed contém uma combinação de regras que permitem todas as portas tcp ou todas as portas udp.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim
PCI-DSS v3.2.1: 1.2.1
OPEN_FTP_PORT

Descrição da descoberta: um firewall está configurado para ter uma porta FTP aberta que permita o acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Verifica a propriedade allowed nos metadados do firewall para o seguinte protocolo e porta: TCP:21.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_HTTP_PORT

Como encontrar a descrição: um firewall está configurado para ter uma porta HTTP aberta que permite acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Verifica a propriedade allowed nos metadados do firewall para os seguintes protocolos e portas: TCP:80.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_LDAP_PORT

Descrição da descoberta: um firewall está configurado para ter uma porta LDAP aberta que permita o acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Verifica a propriedade allowed nos metadados do firewall para os seguintes protocolos e portas: TCP:389, 636 e UDP:389.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_MEMCACHED_PORT

Como encontrar a descrição: um firewall está configurado para ter uma porta MEMCACHED aberta que permite acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Verifica a propriedade allowed nos metadados do firewall para os seguintes protocolos e portas: TCP:11211, 11214-11215 e UDP:11211, 11214-11215.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_MONGODB_PORT

Descrição da descoberta: um firewall está configurado para ter uma porta MONGODB aberta que permita o acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Verifica a propriedade allowed nos metadados do firewall para os seguintes protocolos e portas: TCP:27017-27019.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_MYSQL_PORT

Descrição da descoberta: um firewall está configurado para ter uma porta MYSQL que permita acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Verifica a propriedade allowed nos metadados do firewall para o seguinte protocolo e porta: TCP:3306.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_NETBIOS_PORT

Descrição da descoberta: um firewall está configurado para ter uma porta NETBIOS aberta que permita o acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Verifica a propriedade allowed nos metadados do firewall para os seguintes protocolos e portas: TCP:137-139 e UDP:137-139.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_ORACLEDB_PORT

Como encontrar a descrição: um firewall está configurado para ter uma porta ORACLEDB aberta que permita o acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Verifica a propriedade allowed nos metadados do firewall para os seguintes protocolos e portas: TCP:1521, 2483-2484 e UDP:2483-2484.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_POP3_PORT

Descrição da descoberta: um firewall está configurado para ter uma porta POP3 aberta que permita o acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Verifica a propriedade allowed nos metadados do firewall para o seguinte protocolo e porta: TCP:110.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_POSTGRESQL_PORT

Descrição da descoberta: um firewall está configurado para ter uma porta PostgreSQL aberta que permita acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Verifica a propriedade allowed nos metadados do firewall para os seguintes protocolos e portas: TCP:5432 e UDP:5432.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_RDP_PORT

Descrição da descoberta: um firewall está configurado para ter uma porta RDP aberta que permita o acesso genérico.

Nível de preços: Premium ou Standard

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Verifica a propriedade allowed nos metadados do firewall para os seguintes protocolos e portas: TCP:3389 e UDP:3389.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 3.7

CIS GCP Foundation 1.1: 3.7

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_REDIS_PORT

Como encontrar a descrição: um firewall está configurado para ter uma porta REDIS aberta que permite acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Verifica se a propriedade allowed nos metadados de firewall contém o seguinte protocolo e porta: TCP:6379.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_SMTP_PORT

Descrição da descoberta: um firewall está configurado para ter uma porta SMTP aberta que permita o acesso genérico.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Verifica se a propriedade allowed nos metadados de firewall contém o seguinte protocolo e porta: TCP:25.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_SSH_PORT

Como encontrar a descrição: um firewall está configurado para ter uma porta SSH aberta que permita o acesso genérico.

Nível de preços: Premium ou Standard

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Verifica se a propriedade allowed nos metadados de firewall contém os seguintes protocolos e portas: TCP:22 e SCTP:22.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 3.6

CIS GCP Foundation 1.1: 3.6

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

OPEN_TELNET_PORT

Descrição da descoberta: um firewall está configurado para ter uma porta TELNET aberta que permita o acesso genérico.

Nível de preços: Premium ou Standard

Recursos compatíveis
compute.googleapis.com/Firewall

Corrigir essa descoberta

Verifica se a propriedade allowed nos metadados de firewall contém o seguinte protocolo e porta: TCP:23.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: SC-7

ISO-27001: A.13.1.1

Descobertas da vulnerabilidade do IAM

As vulnerabilidades desse tipo de detector estão relacionadas à configuração do gerenciamento de identidade e acesso (IAM, na sigla em inglês) e pertencem ao tipo de detector IAM_SCANNER.

Tabela 8. Leitor do IAM
Detector Resumo Configurações da verificação de recursos Padrões de compliance
ADMIN_SERVICE_ACCOUNT

Como encontrar a descrição: uma conta de serviço tem os privilégios de Administrador, Proprietário ou Editor. Esses papéis não devem ser atribuídos a contas de serviço criadas pelo usuário.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Verifica a política do IAM nos metadados do recurso em busca de qualquer conta de serviço criada pelo usuário (indicada pelo prefixo iam.gserviceaccount.com), que recebem roles/Owner ou roles/Editor, ou um código de papel que contém admin.

  • Recursos excluídos das verificações: conta de serviço do Container Registry (containerregistry.iam.gserviceaccount.com) e conta de serviço do Security Command Center (security-center-api.iam.gserviceaccount.com)
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim, a menos que a atualização do IAM seja feita em uma pasta

CIS GCP Foundation 1.0: 1.4

CIS GCP Foundation 1.1: 1.5

KMS_ROLE_SEPARATION

Como encontrar a descrição: a separação de tarefas não é aplicada e existe um usuário que tem um dos seguintes papéis do Cloud Key Management Service (Cloud KMS) ao mesmo tempo: Criptografador/Descriptografador de CryptoKey, Criptografador ou Descriptografador.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Verifica as políticas do IAM nos metadados de recursos e recupera os membros atribuídos a qualquer um dos papéis a seguir ao mesmo tempo: roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter e roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer, roles/cloudkms.signerVerifier, roles/cloudkms.publicKeyViewer.
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 1.9

CIS GCP Foundation 1.1: 1.11

NIST 800-53: AC-5

ISO-27001: A.9.2.3, A.10.1.2

NON_ORG_IAM_MEMBER

Encontrando descrição: há um usuário que não está usando credenciais organizacionais. De acordo com o CIS GCP Foundations 1.0, atualmente apenas identidades com endereços de e-mail @gmail.com acionam esse detector.

Nível de preços: Premium ou Standard

Recursos compatíveis
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Compara os endereços de e-mail @gmail.com no campo user nos metadados da política do IAM com uma lista de identidades aprovadas para sua organização.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 1.1

PCI-DSS v3.2.1: 7.1.2

NIST 800-53: AC-3

ISO-27001: A.9.2.3

OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Como encontrar a descrição: um usuário tem o papel Usuário da conta de serviço ou Criador de token da conta de serviço para envolvidos no projeto, em vez de para uma conta de serviço específica.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Verifica a política do IAM nos metadados de recursos para qualquer membro atribuído roles/iam.serviceAccountUser ou roles/iam.serviceAccountTokenCreator no nível do projeto.
  • Recursos excluídos das verificações: contas de serviço do Cloud Build
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 1.5

PCI-DSS v3.2.1: 7.1.2

NIST 800-53: AC-6

ISO-27001: A.9.2.3

PRIMITIVE_ROLES_USED

Como encontrar a descrição: um usuário tem o papel básico, Proprietário, Gravador ou Leitor. Esses papéis são muito permissivos e não podem ser usados.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Verifica a política do IAM nos metadados de recursos para qualquer membro atribuído roles/Owner, roles/Writer ou roles/Reader.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

PCI-DSS v3.2.1: 7.1.2

NIST 800-53: AC-6

ISO-27001: A.9.2.3

REDIS_ROLE_USED_ON_ORG

Descrição da descoberta: um papel do IAM do Redis é atribuído ao nível da organização ou da pasta.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Organization

Corrigir essa descoberta

Verifica a política do IAM nos metadados de recursos para membros atribuídos a roles/redis.admin, roles/redis.editor, roles/redis.viewer na organização ou no nível da pasta.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

PCI-DSS v3.2.1: 7.1.2

ISO-27001: A.9.2.3

SERVICE_ACCOUNT_ROLE_SEPARATION

Como encontrar a descrição: um usuário recebeu os papéis Administrador da conta de serviço e Usuário da conta de serviço. Isso viola o princípio de "Separação de tarefas".

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Verifica a política do IAM nos metadados de recursos para qualquer membro com roles/iam.serviceAccountUser e roles/iam.serviceAccountAdmin atribuídos.
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 1.7

NIST 800-53: AC-5

ISO-27001: A.9.2.3

SERVICE_ACCOUNT_KEY_NOT_ROTATED

Como encontrar a descrição: uma chave da conta de serviço não foi alternada por mais de 90 dias.

Nível de preços: Premium

Recursos compatíveis
iam.googleapis.com/ServiceAccountKey

Corrigir essa descoberta

Avalia o carimbo de data/hora de criação da chave capturado na propriedade validAfterTime nos metadados de chave das contas de serviço.

  • Recursos excluídos das verificações: chaves de contas de serviço expiradas e chaves não gerenciadas pelos usuários
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim
CIS GCP Foundation 1.0: 1.6
USER_MANAGED_SERVICE_ACCOUNT_KEY

Como encontrar a descrição: um usuário gerencia uma chave de conta de serviço.

Nível de preços: Premium

Recursos compatíveis
iam.googleapis.com/ServiceAccountKey

Corrigir essa descoberta

Verifica se a propriedade keyType nos metadados da chave da conta de serviço está definida como User_Managed.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim
CIS GCP Foundation 1.0: 1.3

Descobertas de vulnerabilidade do KMS

As vulnerabilidades desse tipo de detector estão relacionadas às configurações do Cloud KMS e pertencem ao tipo de detector KMS_SCANNER.

Tabela 9. Leitor do KMS
Detector Resumo Configurações da verificação de recursos Padrões de compliance
KMS_KEY_NOT_ROTATED

Como encontrar a descrição: a rotação não está configurada em uma chave de criptografia do Cloud KMS. As chaves de criptografia precisam ser trocadas dentro de um período de 90 dias

Nível de preços: Premium

Recursos compatíveis
cloudkms.googleapis.com/CryptoKey

Corrigir essa descoberta

Verifica os metadados do recurso para a existência de propriedades rotationPeriod ou nextRotationTime.

  • Recursos excluídos das verificações: chaves e chaves assimétricas com versões primárias desativadas ou destruídas
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 1.8

PCI-DSS v3.2.1: 3.5

NIST 800-53: SC-12

ISO-27001: A.10.1.2

KMS_PROJECT_HAS_OWNER

Como encontrar a descrição: um usuário tem permissões de Proprietário em um projeto que tem chaves criptográficas.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Verifica a política do IAM nos metadados do projeto para os membros atribuídos roles/Owner.

  • Entradas adicionais: lê criptochaves para um projeto do armazenamento, registrando descobertas apenas para projetos com criptochaves
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim, mas somente em alterações na política do IAM, não em alterações nas chaves do KMS

PCI-DSS v3.2.1: 3.5

NIST 800-53: AC-6 e SC-12

ISO-27001: A.9.2.3, A.10.1.2

KMS_PUBLIC_KEY

Como encontrar a descrição: uma chave criptográfica do Cloud KMS é acessível publicamente.

Nível de preços: Premium

Recursos compatíveis
cloudkms.googleapis.com/CryptoKey
cloudkms.googleapis.com/KeyRing

Corrigir essa descoberta

Verifica a política do IAM nos metadados de recursos para os membros allUsers ou allAuthenticatedUsers, que concedem acesso público.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.1: 1.9

TOO_MANY_KMS_USERS

Como encontrar a descrição: há mais de três usuários de chaves criptográficas.

Nível de preços: Premium

Recursos compatíveis
cloudkms.googleapis.com/CryptoKey

Corrigir essa descoberta

Verifica as políticas do IAM quanto a keyrings, projetos e organizações e recupera membros com papéis que permitem criptografar, descriptografar ou assinar dados usando as chaves do Cloud KMS: roles/owner, roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter, roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer e roles/cloudkms.signerVerifier.
  • Entradas adicionais: lê versões de criptografia para uma chave de criptografia do armazenamento, preenchendo descobertas apenas para chaves com versões ativas. O detector também lê as políticas de IAM do conjunto de chaves, projetos e organizações do armazenamento
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

PCI-DSS v3.2.1: 3.5.2

ISO-27001: A.9.2.3

Descobertas de vulnerabilidade de geração de registros

As vulnerabilidades desse tipo de detector estão relacionadas às configurações de geração de registros e pertencem ao tipo de detector LOGGING_SCANNER.

Tabela 10. Leitor de geração de registros
Detector Resumo Configurações da verificação de recursos Padrões de compliance
AUDIT_LOGGING_DISABLED

Descrição da descoberta: a geração de registros de auditoria foi desativada para este recurso.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Verifica a política do IAM nos metadados do recurso para a existência de um objeto auditLogConfigs.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim, mas somente em alterações na política de IAM do projeto, não em alterações de pasta ou organização

CIS GCP Foundation 1.0: 2.1

CIS GCP Foundation 1.1: 2.1

PCI-DSS v3.2.1: 10.1, 10.2

NIST 800-53: AC-2 e AU-2

ISO-27001: A.12.4.1, A.16.1.7

BUCKET_LOGGING_DISABLED

Como encontrar a descrição: há um bucket de armazenamento sem o registro ativado.

Nível de preços: Premium

Recursos compatíveis
storage.googleapis.com/Bucket

Corrigir essa descoberta

Verifica se o campo logBucket, na propriedade logging do bucket, está vazio.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim
CIS GCP Foundation 1.0: 5.3
LOCKED_RETENTION_POLICY_NOT_SET

Como encontrar a descrição: uma política de retenção bloqueada não está definida para os registros.

Nível de preços: Premium

Recursos compatíveis
storage.googleapis.com/Bucket

Corrigir essa descoberta

Verifica se o campo isLocked na propriedade retentionPolicy do intervalo está definido como true.

  • Entradas adicionais: lê o coletor de registros (o filtro e o destino do registro) de um bucket para determinar se é um bucket de registro.
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.1: 2.3

PCI-DSS v3.2.1: 10.5

NIST 800-53: AU-11

ISO-27001: A.12.4.2, A.18.1.3

LOG_NOT_EXPORTED

Como encontrar a descrição: há um recurso que não tem um coletor de registros apropriado configurado.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Recupera um objeto logSink em um projeto, verificando se o campo includeChildren está definido como true, o campo destination inclui o local para gravar registros, e o campo filter é preenchido.

  • Entradas adicionais: lê o coletor de registros (o filtro e o destino do registro) de um bucket para determinar se é um bucket de registro
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim, mas somente em alterações de projeto, não se a exportação de registros estiver configurada na pasta ou na organização

CIS GCP Foundation 1.0: 2.2

CIS GCP Foundation 1.1: 2.2

ISO-27001: A.18.1.3

OBJECT_VERSIONING_DISABLED

Como encontrar a descrição: o controle de versão de objeto não está ativado em um bucket de armazenamento em que os coletores são configurados.

Nível de preços: Premium

Recursos compatíveis
storage.googleapis.com/Bucket

Corrigir essa descoberta

Verifica se o campo enabled, na propriedade versioning do bucket, está definido como true.

  • Recursos excluídos das verificações: intervalos do Cloud Storage com uma política de retenção bloqueada
  • Entradas adicionais: lê o coletor de registros (o filtro e o destino do registro) de um bucket para determinar se é um bucket de registro.
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim, mas somente se o controle de versões de objetos for alterado, não se os intervalos de registros forem criados

CIS GCP Foundation 1.0: 2.3

PCI-DSS v3.2.1: 10.5

NIST 800-53: AU-11

ISO-27001: A.12.4.2, A.18.1.3

Como monitorar descobertas de vulnerabilidade

Todas as vulnerabilidades desse tipo de detector estão relacionadas às configurações de monitoramento e pertencem ao tipo MONITORING_SCANNER. Todas as propriedades de descoberta do detector do Monitoring incluem:

  • O RecommendedLogFilter a ser usado na criação das métricas de registro.
  • O QualifiedLogMetricNames que abrange as condições listadas no filtro de registro recomendado.
  • OAlertPolicyFailureReasonsque indica se o projeto não tem políticas de alerta criadas para nenhuma das métricas de registro qualificadas ou se as políticas de alerta atuais não têm as configurações recomendadas.
Tabela 11. Leitor de monitoramento
Detector Resumo Configurações da verificação de recursos Padrões de compliance
AUDIT_CONFIG_NOT_MONITORED

Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar mudanças na configuração de auditoria.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.auditConfigDeltas:* e, se resource.type for especificado, se o valor é global , O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente
  • Permissões adicionais do IAM: roles/monitoring.alertPolicyViewer
  • Entradas adicionais: lê métricas de registro para o projeto do armazenamento. Lê as informações da conta do pacote de operações do Google Cloud, arquivando descobertas apenas para projetos com contas ativas
  • Verificações em lote: a cada 12 horas
  • Verificações em tempo real: sim, mas somente em alterações de projeto, não em métricas de registro e de alertas

CIS GCP Foundation 1.0: 2.5

CIS GCP Foundation 1.1: 2.5

BUCKET_IAM_NOT_MONITORED

Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar alterações de permissão do IAM do Cloud Storage.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como resource.type=gcs_bucket AND protoPayload.methodName="storage.setIamPermissions". O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
  • Permissões adicionais do IAM: roles/monitoring.alertPolicyViewer
  • Entradas adicionais: lê métricas de registro para o projeto do armazenamento. Lê as informações da conta do pacote de operações do Google Cloud, arquivando descobertas apenas para projetos com contas ativas
  • Verificações em lote: a cada 12 horas
  • Verificações em tempo real: sim, mas somente em alterações de projeto, não de métricas de registro e de alertas

CIS GCP Foundation 1.0: 2.10

CIS GCP Foundation 1.1: 2.10

CUSTOM_ROLE_NOT_MONITORED

Como encontrar a descrição: métricas e alertas de registro não são configurados para monitorar alterações de Papéis personalizados.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como resource.type="iam_role" AND protoPayload.methodName="google.iam.admin.v1.CreateRole" OR protoPayload.methodName="google.iam.admin.v1.DeleteRole" OR protoPayload.methodName="google.iam.admin.v1.UpdateRole". O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
  • Permissões adicionais do IAM: roles/monitoring.alertPolicyViewer
  • Entradas adicionais: lê métricas de registro para o projeto do armazenamento. Lê as informações da conta do pacote de operações do Google Cloud, arquivando descobertas apenas para projetos com contas ativas
  • Verificações em lote: a cada 12 horas
  • Verificações em tempo real: sim, mas somente em alterações de projeto, não em métricas de registro e de alertas

CIS GCP Foundation 1.0: 2.6

CIS GCP Foundation 1.1: 2.6

FIREWALL_NOT_MONITORED

Como encontrar a descrição: métricas e alertas de registro não são configurados para monitorar alterações na regra do firewall de rede VPC.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como resource.type="gce_firewall_rule" AND (protoPayload.methodName:"compute.firewalls.insert" OR protoPayload.methodName:"compute.firewalls.patch" OR protoPayload.methodName:"compute.firewalls.delete"). O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
  • Permissões adicionais do IAM: roles/monitoring.alertPolicyViewer
  • Entradas adicionais: lê métricas de registro para o projeto do armazenamento. Lê as informações da conta do pacote de operações do Google Cloud, arquivando descobertas apenas para projetos com contas ativas
  • Verificações em lote: a cada 12 horas
  • Verificações em tempo real: sim, mas somente em alterações de projeto, não de métricas de registro e de alertas

CIS GCP Foundation 1.0: 2.7

CIS GCP Foundation 1.1: 2.7

NETWORK_NOT_MONITORED

Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar mudanças da rede VPC.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como resource.type="gce_network" AND (protoPayload.methodName:"compute.networks.insert" OR protoPayload.methodName:"compute.networks.patch" OR protoPayload.methodName:"compute.networks.delete" OR protoPayload.methodName:"compute.networks.removePeering" OR protoPayload.methodName:"compute.networks.addPeering"). O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
  • Permissões adicionais do IAM: roles/monitoring.alertPolicyViewer
  • Entradas adicionais: lê métricas de registro para o projeto do armazenamento. Lê as informações da conta do pacote de operações do Google Cloud, arquivando descobertas apenas para projetos com contas ativas
  • Verificações em lote: a cada 12 horas
  • Verificações em tempo real: sim, mas somente em alterações de projeto, não em métricas de registro e de alertas

CIS GCP Foundation 1.0: 2.9

CIS GCP Foundation 1.1: 2.9

OWNER_NOT_MONITORED

Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar atribuições ou alterações de propriedade do projeto.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como (protoPayload.serviceName="cloudresourcemanager.googleapis.com") AND (ProjectOwnership OR projectOwnerInvitee) OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") e, se resource.type for especificado, se o valor é global. O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
  • Permissões adicionais do IAM: roles/monitoring.alertPolicyViewer
  • Entradas adicionais: lê métricas de registro para o projeto do armazenamento. Lê as informações da conta do pacote de operações do Google Cloud, arquivando descobertas apenas para projetos com contas ativas
  • Verificações em lote: a cada 12 horas
  • Verificações em tempo real: sim, mas somente em alterações de projeto, não de métricas de registro e de alertas

CIS GCP Foundation 1.0: 2.4

CIS GCP Foundation 1.1: 2.4

ROUTE_NOT_MONITORED

Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar mudanças na rota de rede VPC.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como resource.type="gce_route" AND (protoPayload.methodName:"compute.routes.delete" OR protoPayload.methodName:"compute.routes.insert"). O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
  • Permissões adicionais do IAM: roles/monitoring.alertPolicyViewer
  • Entradas adicionais: lê métricas de registro para o projeto do armazenamento. Lê as informações da conta do pacote de operações do Google Cloud, arquivando descobertas apenas para projetos com contas ativas
  • Verificações em lote: a cada 12 horas
  • Verificações em tempo real: sim, mas somente em alterações de projeto, não em métricas de registro e de alertas

CIS GCP Foundation 1.0: 2.8

CIS GCP Foundation 1.1: 2.8

SQL_INSTANCE_NOT_MONITORED

Como encontrar a descrição: métricas e alertas de registro não são configurados para monitorar alterações na configuração da instância do Cloud SQL.

Nível de preços: Premium

Recursos compatíveis
cloudresourcemanager.googleapis.com/Project

Corrigir essa descoberta

Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como protoPayload.methodName="cloudsql.instances.update" OR protoPayload.methodName="cloudsql.instances.create" OR protoPayload.methodName="cloudsql.instances.delete" e, se resource.type for especificado, se o valor é global. O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
  • Permissões adicionais do IAM: roles/monitoring.alertPolicyViewer
  • Entradas adicionais: lê métricas de registro para o projeto do armazenamento. Lê as informações da conta do pacote de operações do Google Cloud, arquivando descobertas apenas para projetos com contas ativas
  • Verificações em lote: a cada 12 horas
  • Verificações em tempo real: sim, mas somente em alterações de projeto, não em métricas de registro e de alertas

CIS GCP Foundation 1.0: 2.11

CIS GCP Foundation 1.1: 2.11

Descobertas da autenticação multifator

O detector MFA_SCANNER identifica vulnerabilidades relacionadas à autenticação multifator para usuários.

Tabela 12. Verificador de autenticação multifator
Detector Resumo Configurações da verificação de recursos Padrões de compliance
MFA_NOT_ENFORCED

Há usuários que não estão usando a verificação em duas etapas.

Nível de preços: Premium ou Standard

Recursos compatíveis
cloudresourcemanager.googleapis.com/Organization

Corrigir essa descoberta

Avalia políticas de gerenciamento de identidade em organizações e configurações de usuários para contas gerenciadas no Cloud Identity.

  • Recursos excluídos das verificações: as unidades organizacionais receberam exceções à política
  • Entradas adicionais: lê dados do Google Workspace.
  • Verificações em lote: a cada 12 horas
  • Verificações em tempo real: não

CIS GCP Foundation 1.0: 1.2

CIS GCP Foundation 1.1: 1.2

PCI-DSS v3.2.1: 8.3

NIST 800-53: IA-2

ISO-27001: A.9.4.2

Descobertas de vulnerabilidades de rede

As vulnerabilidades desse tipo de detector estão relacionadas às configurações de rede de uma organização e pertencem ao tipo NETWORK_SCANNER.

Tabela 13. Leitor de rede
Detector Resumo Configurações da verificação de recursos Padrões de compliance
DEFAULT_NETWORK

Como encontrar a descrição: a rede padrão existe em um projeto.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Network

Corrigir essa descoberta

Verifica se a propriedade name nos metadados da rede está definida como default

  • Recursos excluídos das verificações: projetos em que a API Compute Engine está desativada e os recursos do Compute Engine estão em um estado congelado
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 3.1

CIS GCP Foundation 1.1: 3.1

LEGACY_NETWORK

Como encontrar a descrição: há uma rede legada em um projeto.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Network

Corrigir essa descoberta

Verifica a existência de metadados de rede na propriedade IPv4Range.

  • Recursos excluídos das verificações: projetos em que a API Compute Engine está desativada e os recursos do Compute Engine estão em um estado congelado
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 3.2

CIS GCP Foundation 1.1: 3.2

Descobertas da vulnerabilidade da política da organização

As vulnerabilidades desse tipo de detector estão relacionadas às configurações de política da organização e pertencem ao tipo ORG_POLICY.

Tabela 14. Verificador de políticas da organização
Detector Resumo Configurações da verificação de recursos Padrões de compliance
ORG_POLICY_CONFIDENTIAL_VM_POLICY Como encontrar a descrição: um recurso do Compute Engine não está em conformidade com a política da organização constraints/compute.restrictNonConfidentialComputing. Para mais informações sobre essa restrição da política da organização, consulte Como aplicar restrições de políticas da organização na documentação da VM confidencial.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Instance

Corrigir essa descoberta

Verifica se a propriedade enableConfidentialCompute de uma instância do Compute Engine está definida como true.

  • Recursos excluídos das verificações: instâncias do GKE
  • Permissões adicionais do IAM: permissions/orgpolicy.policy.get
  • Entradas adicionais: lê a política da organização efetiva do serviço de política da organização
  • Verificações em lote: a cada 12 horas
  • Verificações em tempo real: não
ORG_POLICY_LOCATION_RESTRICTION Como encontrar a descrição: um recurso do Compute Engine está fora da conformidade com a restrição constraints/gcp.resourceLocations. Para mais informações sobre essa restrição da política da organização, consulte Como aplicar restrições da política da organização.

Nível de preços: Premium

Recursos compatíveis
Veja abaixo.

Corrigir essa descoberta

Verifica a propriedade listPolicy nos metadados dos recursos compatíveis para ver uma lista de locais permitidos ou negados.

  • Permissões adicionais do IAM: permissions/orgpolicy.policy.get
  • Entradas adicionais: lê a política da organização efetiva do serviço de política da organização
  • Verificações em lote: a cada 12 horas
  • Verificações em tempo real: não

Recursos compatíveis para ORG_POLICY_LOCATION_RESTRICTION

Compute Engine
compute.googleapis.com/Autoscaler
compute.googleapis.com/Address
compute.googleapis.com/Commitment
compute.googleapis.com/Disk
compute.googleapis.com/ForwardingRule
compute.googleapis.com/HealthCheck
compute.googleapis.com/Image
compute.googleapis.com/Instance
compute.googleapis.com/InstanceGroup
compute.googleapis.com/InstanceGroupManager
compute.googleapis.com/InterconnectAttachment
compute.googleapis.com/NetworkEndpointGroup
compute.googleapis.com/NodeGroup
compute.googleapis.com/NodeTemplate
compute.googleapis.com/PacketMirroring
compute.googleapis.com/RegionBackendService
compute.googleapis.com/RegionDisk
compute.googleapis.com/ResourcePolicy
compute.googleapis.com/Reservation
compute.googleapis.com/Router
compute.googleapis.com/Snapshot
compute.googleapis.com/SslCertificate
compute.googleapis.com/Subnetwork
compute.googleapis.com/TargetHttpProxy
compute.google.apis.com/TargetHttpsProxy
compute.googleapis.com/TargetInstance
compute.googleapis.com/TargetPool
compute.googleapis.com/TargetVpnGateway
compute.googleapis.com/UrlMap
compute.googleapis.com/VpnGateway
compute.googleapis.com/VpnTunnel

Cloud Storage
storage.googleapis.com/Bucket

Cloud KMS
cloudkms.googleapis.com/CryptoKey1
cloudkms.googleapis.com/CryptoKeyVersion1
cloudkms.googleapis.com/ImportJob2
cloudkms.googleapis.com/KeyRing1

Dataproc
dataproc.googleapis.com/Cluster

BigQuery
bigquery.googleapis.com/Dataset

Dataflow
dataflow.googleapis.com/Job3

Cloud SQL
sqladmin.googleapis.com/Instance

Cloud Composer
compositor.googleapis.com/Environment

Geração de registros
logging.googleapis.com/LogBucket

Pub/Sub
pubsub.googleapis.com/Topic

Vertex AI
aiplatform.googleapis.com/BatchPredictionJob
aiplatform.googleapis.com/CustomJob
aiplatform.googleapis.com/DataLabelingJob
aiplatform.googleapis.com/Dataset
aiplatform.googleapis.com/Endpoint
aiplatform.googleapis.com/HyperparameterTuningJob
aiplatform.googleapis.com/Model
aiplatform.googleapis.com/SpecialistPool
aiplatform.googleapis.com/TrainingPipeline

Registro do artefato
artifactregistry.googleapis.com/Repository

1 Como não é possível excluir os recursos do Cloud KMS, eles não serão considerados fora da região se os dados deles tiverem sido destruídos.

2 Como os jobs de importação do Cloud KMS têm um ciclo de vida controlado e não podem ser encerrados antecipadamente, um ImportJob não é considerado fora da região se o job expirar e não puder mais ser usado para importar chaves.

3 Como o ciclo de vida dos jobs do Dataflow não pode ser gerenciado, um job não é considerado fora da região depois de atingir um estado terminal (interrompido ou drenado), em que pode não serão mais usados para processar dados.

Descobertas de vulnerabilidades do Pub/Sub

As vulnerabilidades desse tipo de detector estão relacionadas às configurações do Pub/Sub e pertencem ao tipo PUBSUB_SCANNER.

Tabela 15. Verificador do Pub/Sub
Detector Resumo Configurações da verificação de recursos Padrões de compliance
PUBSUB_CMEK_DISABLED

Como encontrar a descrição: um tópico do Pub/Sub não é criptografado com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores.

Nível de preços: Premium

Recursos compatíveis
pubsub.googleapis.com/Topic

Corrigir essa descoberta

Verifica o campo kmsKeyName para o nome do recurso do CMEK.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: não

Descobertas de vulnerabilidade SQL

As vulnerabilidades desse tipo de detector estão relacionadas às configurações do Cloud SQL e pertencem ao tipo SQL_SCANNER.

Tabela 16. Leitor SQL
Detector Resumo Configurações da verificação de recursos Padrões de compliance
AUTO_BACKUP_DISABLED

Descrição da descoberta: um banco de dados do Cloud SQL não tem backups automáticos ativados.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Verifica se a propriedade backupConfiguration.enabled de um dado do Cloud SQL está definida como true.

  • Recursos excluídos das verificações: réplicas do Cloud SQL
  • Entradas adicionais: lê políticas do IAM para ancestrais do armazenamento de recursos do Security Health Analytics
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.1: 6.7

NIST 800-53: CP-9

ISO-27001: A.12.3.1

PUBLIC_SQL_INSTANCE

Como encontrar a descrição: uma instância de banco de dados do Cloud SQL aceita conexões de todos os endereços IP.

Nível de preços: Premium ou Standard

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Verifica se a propriedade authorizedNetworks das instâncias do Cloud SQL está definida como um único endereço IP ou intervalo de endereços IP.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 6.2

CIS GCP Foundation 1.1: 6.5

PCI-DSS v3.2.1: 1.2.1

NIST 800-53: CA-3, SC-7

ISO-27001: A.8.2.3, A.13.1.3, A.14.1.3

SSL_NOT_ENFORCED

Descrição da descoberta: uma instância de banco de dados do Cloud SQL não requer que todas as conexões de entrada usem SSL.

Nível de preços: Premium ou Standard

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Verifica se a propriedade requireSsl da instância do Cloud SQL está definida como true.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 6.1

CIS GCP Foundation 1.1: 6.4

PCI-DSS v3.2.1: 4.1

NIST 800-53: SC-7

ISO-27001: A.8.2.3, A.13.2.1, A.14.1.3

SQL_CMEK_DISABLED

Descrição da descoberta: uma instância de banco de dados SQL não é criptografada com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Verifica o campo kmsKeyName no objeto diskEncryptionKey, nos metadados da instância, para o nome do recurso da CMEK.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim
SQL_CONTAINED_DATABASE_AUTHENTICATION

Como encontrar a descrição: a sinalização do banco de dados contained database authentication para uma instância do Cloud SQL para SQL Server não está definida como off.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor, "name": "contained database authentication", "value": "on" ou se está ativado por padrão.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.1: 6.3.2

SQL_CROSS_DB_OWNERSHIP_CHAINING

Descoberta de localização: a sinalização do banco de dados cross_db_ownership_chaining para uma instância do Cloud SQL para SQL Server não está definida como off.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor "name": "cross_db_ownership_chaining", "value": "on".

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.1: 6.3.1

SQL_LOCAL_INFILE

Encontrando descrição: a sinalização do banco de dados local_infile para uma instância do Cloud SQL para MySQL não está definida como off.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor "name": "local_infile", "value": "on".

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.1: 6.1.2

SQL_LOG_CHECKPOINTS_DISABLED

Como encontrar a descrição: a sinalização de banco de dados log_checkpoints para uma instância do Cloud SQL para PostgreSQL não está definida como on.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor "name": "log_checkpoints", "value": "on".

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.1: 6.2.1

SQL_LOG_CONNECTIONS_DISABLED

Como encontrar a descrição: a sinalização de banco de dados log_connections para uma instância do Cloud SQL para PostgreSQL não está definida como on.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor "name": "log_connections", "value": "on".

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.1: 6.2.2

SQL_LOG_DISCONNECTIONS_DISABLED

Descoberta de localização: a sinalização do banco de dados log_disconnections para uma instância do Cloud SQL para PostgreSQL não está definida como on.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor "name": "log_disconnections", "value": "on".

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.1: 6.2.3

SQL_LOG_LOCK_WAITS_DISABLED

Como encontrar a descrição: a sinalização de banco de dados log_lock_waits para uma instância do Cloud SQL para PostgreSQL não está definida como on.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor "name": "log_lock_waits", "value": "on".

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.1: 6.2.4

SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

Como encontrar a descrição: a sinalização do banco de dados log_min_duration_statement para uma instância do Cloud SQL para PostgreSQL não está definida como "-1".

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor "name": "log_min_duration_statement", "value": "-1".

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.1: 6.2.7

SQL_LOG_MIN_ERROR_STATEMENT

Encontrando descrição a sinalização do banco de dados log_min_error_statement para uma instância do Cloud SQL para PostgreSQL não está definida corretamente.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Verifica se o campo log_min_error_statement da propriedade databaseFlags está definido como um dos seguintes valores: debug5, debug4, debug3, debug2, debug1, info, notice, warning ou o valor padrão error.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.1: 6.2.5

SQL_LOG_TEMP_FILES

Descoberta de localização: a sinalização do banco de dados log_temp_files para uma instância do Cloud SQL para PostgreSQL não está definida como "0".

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Verifica a propriedade databaseFlags dos metadados da instância para o par de chave-valor "name": "log_temp_files", "value": "0".

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.1: 6.2.6

SQL_NO_ROOT_PASSWORD

Descrição da descoberta: um banco de dados do Cloud SQL não tem uma senha configurada para a conta raiz. Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Verifica se a propriedade rootPassword da conta raiz está vazia.

  • Permissões adicionais do IAM: roles/cloudsql.client
  • Entradas adicionais: consulta instâncias ativas
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: não

CIS GCP Foundation 1.0: 6.3

CIS GCP Foundation 1.1: 6.1.1

PCI-DSS v3.2.1: 2.1

NIST 800-53: AC-3

ISO-27001: A.8.2.3, A.9.4.2

SQL_PUBLIC_IP

Como encontrar a descrição: um banco de dados do Cloud SQL tem um endereço IP público.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Verifica se o tipo de endereço IP de um banco de dados do Cloud SQL está definido como Primary, indicando que ele é público.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.1: 6.6

SQL_WEAK_ROOT_PASSWORD

Como encontrar a descrição: um banco de dados do Cloud SQL tem uma senha fraca configurada para a conta raiz. Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores.

Nível de preços: Premium

Recursos compatíveis
sqladmin.googleapis.com/Instance

Corrigir essa descoberta

Compara a senha da conta raiz do banco de dados do Cloud SQL com uma lista de senhas comuns.

  • Permissões adicionais do IAM: roles/cloudsql.client
  • Entradas adicionais: consulta instâncias ativas
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: não

Descobertas de vulnerabilidade do armazenamento

As vulnerabilidades desse tipo de detector estão relacionadas às configurações dos buckets do Cloud Storage e pertencem ao tipo STORAGE_SCANNER.

Tabela 17. Leitor de armazenamento
Detector Resumo Configurações da verificação de recursos Padrões de compliance
BUCKET_CMEK_DISABLED

Descrição da descoberta: um bucket não é criptografado com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar. Para instruções, consulte Ativar e desativar detectores.

Nível de preços: Premium

Recursos compatíveis
storage.googleapis.com/Bucket

Corrigir essa descoberta

Verifica o campo encryption nos metadados do bucket para o nome do recurso de sua CMEK.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim
BUCKET_POLICY_ONLY_DISABLED

Como encontrar a descrição: o acesso uniforme no nível do bucket, anteriormente chamado de Somente política do bucket, não está configurado.

Nível de preços: Premium

Recursos compatíveis
storage.googleapis.com/Bucket

Corrigir essa descoberta

Verifica se a propriedade uniformBucketLevelAccess em um bucket está definida como "enabled":false

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim
PUBLIC_BUCKET_ACL

Como encontrar a descrição: um bucket do Cloud Storage é acessível publicamente.

Nível de preços: Premium ou Standard

Recursos compatíveis
storage.googleapis.com/Bucket

Corrigir essa descoberta

Verifica a política do IAM de um bucket para papéis públicos, allUsers ou allAuthenticatedUsers, com privilégios de administrador ou editor.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 5.1

CIS GCP Foundation 1.1: 5.1

PCI-DSS v3.2.1: 7.1

NIST 800-53: AC-2

ISO-27001: A.8.2.3, A.14.1.3

PUBLIC_LOG_BUCKET

Como encontrar a descrição: um bucket de armazenamento usado como coletor de registros é acessível publicamente.

Nível de preços: Premium ou Standard

Recursos compatíveis
storage.googleapis.com/Bucket

Corrigir essa descoberta

Verifica a política do IAM de um bucket para os membros allUsers ou allAuthenticatedUsers, que concedem acesso público.

  • Entradas adicionais: lê o coletor de registros (o filtro e o destino do registro) de um bucket para determinar se é um bucket de registro
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim, mas somente se a política do IAM em intervalos for alterada, não se o coletor de registros for alterado

PCI-DSS v3.2.1: 10.5

NIST 800-53: AU-9

ISO-27001: A.8.2.3, A.12.4.2, A.18.1.3

Descobertas de vulnerabilidades de sub-rede

As vulnerabilidades desse tipo de detector estão relacionadas às configurações de sub-rede da organização e pertencem ao tipo SUBNETWORK_SCANNER.

Tabela 18. Leitor de sub-rede
Detector Resumo Configurações da verificação de recursos Padrões de compliance
FLOW_LOGS_DISABLED

Como encontrar a descrição: há uma sub-rede VPC com registros de fluxo desativados.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Subnet

Corrigir essa descoberta

Verifica se a propriedade enableFlowLogs das sub-redes do Compute Engine está ausente ou definida como false.

  • Recursos excluídos das verificações: acesso VPC sem servidor, sub-redes do balanceador de carga
  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim

CIS GCP Foundation 1.0: 3.9

CIS GCP Foundation 1.1: 3.8

PCI-DSS v3.2.1: 10.1, 10.2

NIST 800-53: SI-4

ISO-27001: A.13.1.1

PRIVATE_GOOGLE_ACCESS_DISABLED

Descrição da descoberta: há sub-redes particulares sem acesso às APIs públicas do Google.

Nível de preços: Premium

Recursos compatíveis
storage.googleapis.com/Bucket
compute.googleapis.com/Subnetwork

Corrigir essa descoberta

Verifica se a propriedade privateIpGoogleAccess das sub-redes do Compute Engine está definida como false.

  • Verificações em lote: a cada seis horas
  • Verificações em tempo real: sim
CIS GCP Foundation 1.0: 3.8

VM Manager

O VM Manager é um conjunto de ferramentas que podem ser usadas para gerenciar sistemas operacionais para grandes frotas de máquinas virtuais (VMs) que executam o Windows e o Linux no Compute Engine.

Se você ativar o VM Manager e tiver uma assinatura do Security Command Center Premium, o VM Manager gravará as descobertas dos relatórios de vulnerabilidade que estão em pré-lançamento no Security Command Center. Os relatórios identificam vulnerabilidades nos sistemas operacionais instalados em VMs, incluindo Vulnerabilidades e exposições comuns (CVEs, na sigla em inglês).

Os relatórios de vulnerabilidades não estão disponíveis para o Security Command Center Standard.

As descobertas simplificam o processo de uso do recurso Conformidade com o patch do VM Manager, que está em fase de pré-lançamento. O recurso permite realizar o gerenciamento de patches no nível da organização em todos os projetos. Atualmente, o VM Manager é compatível com o gerenciamento de patches no nível do projeto único.

Descobertas do VM Manager

Todas as vulnerabilidades desse tipo estão relacionadas aos pacotes de sistema operacional instalados nas VMs do Compute Engine compatíveis.

Tabela 19. Relatórios de vulnerabilidades do VM Manager
Detector Resumo Configurações da verificação de recursos Padrões de compliance
OS_VULNERABILITY

Como encontrar a descrição: o VM Manager detectou uma vulnerabilidade no pacote do sistema operacional (SO) instalado de uma VM do Compute Engine.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Instance

Corrigir essa descoberta

Os relatórios de vulnerabilidade do VM Manager detalham as vulnerabilidades em pacotes de sistema operacional instalados em VMs do Compute Engine, incluindo Vulnerabilidades e exposições comuns (CVEs, na sigla em inglês).

  • Recursos excluídos das verificações: SUSE Linux Enterprise Server (SLES, na sigla em inglês), sistemas operacionais Windows
  • As descobertas são exibidas no Security Command Center pouco depois que as vulnerabilidades são detectadas. Os relatórios de vulnerabilidades no VM Manager são gerados da seguinte maneira:

    • Para a maioria das vulnerabilidades no pacote do sistema operacional instalado, a API OS Config gera um relatório de vulnerabilidade em alguns minutos após a alteração.
    • Para CVEs, a API OS Config gera o relatório de vulnerabilidades dentro de três a quatro horas após a publicação da CVE no SO.

Como corrigir as descobertas do VM Manager

Uma descoberta OS_VULNERABILITY indica que o VM Manager encontrou uma vulnerabilidade nos pacotes do sistema operacional instalados em uma VM do Compute Engine.

Para corrigir essa descoberta, faça o seguinte:

  1. Acesse a página Descobertas no Security Command Center.

    Acesse Descobertas

  2. Ao lado de Visualizar por, selecione Tipo de origem.

  3. Na lista Tipo de origem, selecione VM Manager.

    Uma tabela será preenchida com as descobertas para o tipo de origem selecionado.

  4. Em categoria, clique no nome de uma descoberta.

  5. No painel Detalhes da descoberta, selecione Propriedades de origem.

  6. Para saber mais sobre a vulnerabilidade, observe os seguintes campos:

    1. properties: contém uma descrição da vulnerabilidade e opções de mitigação.
    2. severity: o nível de risco atribuído à descoberta.
    3. vulnerability: contém um link para um repositório CVE público com mais detalhes sobre a vulnerabilidade.
    4. references: contém links de informações adicionais, incluindo fontes do setor.
    5. id: o ID da CVE, por exemplo, CVE-2021-33200. Use o ID para filtrar descobertas e encontrar outras VMs afetadas pela CVE.
  7. Para criar um job de patch para o SO no Console do Cloud, clique no link em external_uri.

    Para instruções sobre como implantar patches, consulte Gerenciamento de correções do SO.

Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Como desativar relatórios de vulnerabilidade do VM Manager

Para impedir que os relatórios de vulnerabilidade sejam gravados no Security Command Center, desative a API de serviço OS Config nos seus projetos.

  1. Acesse a página API OS Config no Console do Cloud.

    Acessar a API OS Config

  2. Se necessário, selecione o projeto.

  3. Clique em Desativar API e, na caixa de diálogo, clique em Desativar.

Descobertas do Web Security Scanner

As verificações personalizadas e gerenciadas do Web Security Scanner identificam os seguintes tipos de descobertas. No nível Standard, o Web Security Scanner é compatível com verificações personalizadas de aplicativos implantados com URLs e IPs públicos que não estão atrás de um firewall.

Tabela 20. Descobertas do Web Security Scanner
Categoria Como encontrar a descrição 10 principais OWASP de 2017 10 principais OWASP de 2021
ACCESSIBLE_GIT_REPOSITORY Um repositório GIT é exposto publicamente. Para resolver esse problema, remova o acesso público não intencional ao repositório do GIT. A5 A01
ACCESSIBLE_SVN_REPOSITORY Um repositório SVN é exposto publicamente. Para resolver isso, remova o acesso não intencional público ao repositório SVN. A5 A01
CLEAR_TEXT_PASSWORD As senhas estão sendo transmitidas em texto não criptografado e podem ser interceptadas. Para resolver isso, criptografe a senha transmitida pela rede. A3 A02
INVALID_CONTENT_TYPE Um recurso foi carregado e ele não corresponde ao cabeçalho HTTP da resposta Content-Type. Para resolver isso, defina o cabeçalho HTTP "X-Content-Type-Options" com o valor correto. A6 A05
INVALID_HEADER Um cabeçalho de segurança tem um erro de sintaxe e é ignorado pelos navegadores. Para resolver isso, defina os cabeçalhos de segurança HTTP corretamente. A6 A05
MISMATCHING_SECURITY_HEADER_VALUES Um cabeçalho de segurança tem valores duplicados e incompatíveis, o que resulta em comportamento indefinido. Para resolver isso, defina os cabeçalhos de segurança HTTP corretamente. A6 A05
MISSPELLED_SECURITY_HEADER_NAME Um cabeçalho de segurança está incorreto e foi ignorado. Para resolver isso, defina os cabeçalhos de segurança HTTP corretamente. A6 A05
MIXED_CONTENT Os recursos são exibidos por HTTP em uma página HTTPS. Para resolver essa descoberta, verifique se todos os recursos são exibidos por HTTPS. A6 A05
OUTDATED_LIBRARY Foi detectada uma biblioteca com vulnerabilidades conhecidas. Para resolver essa descoberta, faça upgrade das bibliotecas para uma versão mais recente. A9 A06
SERVER_SIDE_REQUEST_FORGERY Uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF, na sigla em inglês) foi detectada. Para resolver essa descoberta, use uma lista de permissões para limitar os domínios e os endereços IP aos quais o aplicativo da Web pode fazer solicitações. Não relevante A10
XSS Um campo nesse aplicativo da Web é vulnerável a um ataque de scripting em vários locais (XSS). Para resolver isso, valide e escape dados não confiáveis fornecidos pelo usuário. A7 A03
XSS_ANGULAR_CALLBACK Uma string fornecida pelo usuário não tem escape e o AngularJS pode intercalá-la. Para resolver isso, valide e escape dados não confiáveis fornecidos pelo usuário e manipulados pelo framework Angular. A7 A03
XSS_ERROR Um campo neste aplicativo da Web é vulnerável a um ataque de scripting em vários locais. Para resolver isso, valide e escape dados não confiáveis fornecidos pelo usuário. A7 A03

Comparativos de mercado CIS

O Center for Internet Security (CIS) inclui os seguintes comparativos de mercado que, atualmente, os detectores de Web Security Scanner ou Security Health Analytics não oferecem:

Tabela 21. Comparativos do CIS
Categoria Como encontrar a descrição CIS GCP Foundation 1.0 NIST 800-53 ISO-27001
BASIC_AUTHENTICATION_ENABLED O IAM ou a autenticação de certificados do cliente precisam ser ativados em clusters do Kubernetes. 7.10
CLIENT_CERT_AUTHENTICATION_DISABLED Clusters do Kubernetes precisam ser criados com certificados do cliente ativados. 7.12
LABELS_NOT_USED Rótulos podem ser usados para decompor informações de faturamento 7.5
PUBLIC_STORAGE_OBJECT A ACL de objetos de armazenamento não pode conceder acesso a AllUsers 5.2
SQL_BROAD_ROOT_LOGIN O acesso root a um banco de dados SQL precisa ser limitado a IPs confiáveis com permissão para serem listados 6.4

A seguir