Descobertas de vulnerabilidades

Os detectores do Security Health Analytics e do Web Security Scanner geram descobertas de vulnerabilidades que estão disponíveis no Security Command Center.

Detectores e compliance

As tabelas a seguir descrevem os tipos de detectores e as vulnerabilidades que o Analytics Health Analytics e o Web Security Scanner podem gerar. É possível filtrar as descobertas por nome do detector e tipo de descoberta usando a guia Vulnerabilidades do Security Command Center no Console do Google Cloud.

Essas tabelas incluem uma descrição do mapeamento entre os detectores compatíveis e o melhor mapeamento de esforço para os esquemas de conformidade relevantes.

Os mapeamentos do CIS Google Cloud Foundation 1.0 foram revisados e certificados pelo centro para segurança de internet para o comparativo de mercado do CIS Google Computing Foundations v1.0.0. Os mapeamentos de conformidade adicionais estão incluídos para referência e não são fornecidos ou revisados pelo Padrão de segurança de dados da indústria de cartões de pagamento ou pela OWASP Foundation. Consulte o Comparativo de mercado do CIS Google Cloud Foundations v1.0.0 (CIS Google Cloud Foundation 1.0), Padrão de segurança de dados da indústria de cartões de pagamento 3.2 (PCI-DSS v3.2), OWASP Top, Instituto Nacional de Padrões e Tecnologia 800-53 (NIST 800-53) e Organização Internacional de Padronização 27001 (ISO 27001) para saber como verificar essas violações manualmente.

Essa funcionalidade destina-se apenas ao monitoramento de violações de controles de conformidade. Os mapeamentos não são fornecidos para uso como base ou como substitutos para a auditoria, certificação ou relatório de conformidade dos seus produtos ou serviços com comparativos de mercado ou padrões regulatórios ou do setor.

Security Health Analytics

Os detectores do Security Health Analytics monitoram um subconjunto de recursos do Cloud Asset Inventory (CAI) e recebe notificações de alterações de recursos e gerenciamento de identidade e acesso (IAM, na sigla em inglês). Alguns detectores recuperam dados chamando diretamente as APIs do Google Cloud, conforme indicado nas tabelas posteriores nesta página.

As verificações do Security Health Analytics são executadas de três modos:

Verificação em lote: todos os detectores estão programados para serem executados para todas as organizações inscritas duas ou mais vezes por dia. Os detectores são executados em diferentes programações para atender aos objetivos específicos de nível de serviço (SLO, na sigla em inglês). Para atender aos SLOs de 12 e 24 horas, os detectores executam verificações de lote a cada seis horas ou 12 horas, respectivamente. As alterações de recursos e políticas que ocorrem entre verificações em lote não são capturadas imediatamente e são aplicadas na próxima verificação em lote. Observação: as programações de verificação em lote são objetivos de desempenho, não garantias de serviço.
Verificação em tempo real: os detectores compatíveis iniciam verificações sempre que a CAI informa uma alteração na configuração de um recurso. As descobertas são escritas imediatamente no Security Command Center.
Modo misto: alguns detectores compatíveis com verificações em tempo real podem não detectar alterações em tempo real em todos os recursos compatíveis. Nesses casos, as alterações na configuração de alguns recursos são capturadas imediatamente e outras são capturadas em verificações em lote. As exceções são apresentadas nas tabelas desta página.

As tabelas a seguir descrevem os detectores do Security Health Analytics, os recursos e regimes de conformidade compatíveis, as configurações usadas para verificações e os tipos de descoberta que geram. Consulte Como corrigir as descobertas do Security Health Analytics para instruções sobre como corrigir problemas e proteger seus recursos.

Descobertas de vulnerabilidade da chave de API

O detector API_KEY_SCANNER identifica vulnerabilidades relacionadas às chaves de API usadas na implantação na nuvem.

**Tabela 1.** Leitor de chaves de API
Detector	Resumo	Configurações da verificação de recursos	Padrões de conformidade
`API_KEY_APIS_UNRESTRICTED`	Como encontrar a descrição: há chaves de API que estão sendo muito usadas. Para resolver esse problema, limite o uso da chave de API para permitir somente as APIs necessárias ao aplicativo. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir esta descoberta	Recupera a propriedade `restrictions` de todas as chaves de API em um projeto, verificando se alguma delas está definida como `cloudapis.googleapis.com`. Permissões adicionais do IAM: `roles/serviceusage.apiKeysViewer` Entradas adicionais: recupera chaves de API de um projeto do serviço de chave de API Verificações em lote: a cada 12 horas Verificações em tempo real: não	CIS GCP Foundation 1.0: 1.12
`API_KEY_APPS_UNRESTRICTED`	Como encontrar a descrição: há chaves de API que estão sendo usadas de forma irrestrito, permitindo o uso de qualquer app não confiável. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir esta descoberta	Recupera a propriedade `restrictions` de todas as chaves de API em um projeto, verificando se `browserKeyRestrictions`, `serverKeyRestrictions`, `androidKeyRestrictions` ou `iosKeyRestrictions` está definido. Permissões adicionais do IAM: `roles/serviceusage.apiKeysViewer` Entradas adicionais: recupera chaves de API de um projeto do serviço de chave de API Verificações em lote: a cada 12 horas Verificações em tempo real: não	CIS GCP Foundation 1.0: 1.11
`API_KEY_EXISTS`	Como encontrar a descrição: um projeto está usando chaves de API em vez da autenticação padrão. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir esta descoberta	Recupera todas as chaves de API de um projeto. Permissões adicionais do IAM: `roles/serviceusage.apiKeysViewer` Entradas adicionais: recupera chaves de API de um projeto do serviço de chave de API Verificações em lote: a cada 12 horas Verificações em tempo real: não	CIS GCP Foundation 1.0: 1,10
`API_KEY_NOT_ROTATED`	Encontrar a descrição: a chave de API não foi girada há mais de 90 dias. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir esta descoberta	Recupera o carimbo de data/hora contido na propriedade `createTime` de todas as chaves de API, verificando se 90 dias se passaram. Permissões adicionais do IAM: `roles/serviceusage.apiKeysViewer` Entradas adicionais: recupera chaves de API de um projeto do serviço de chave de API Verificações em lote: a cada 12 horas Verificações em tempo real: não	CIS GCP Foundation 1.0: 1.13

Calcular descobertas de vulnerabilidade de imagem

O detector COMPUTE_IMAGE_SCANNER identifica vulnerabilidades relacionadas às configurações de imagem do Google Cloud.

**Tabela 2.** Leitor de imagens do Compute
Detector	Resumo	Configurações da verificação de recursos	Padrões de conformidade
`PUBLIC_COMPUTE_IMAGE`	Como encontrar a descrição: uma imagem do Compute Engine pode ser acessada publicamente. Nível de preços: Premium ou Standard Recursos compatíveis compute.googleapis.com/Image Corrigir esta descoberta	Verifica a política de IAM nos metadados do recurso para membros públicos, `allUsers` ou `allAuthenticatedUsers`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim

Descobertas de vulnerabilidade da instância do Compute

O detector COMPUTE_INSTANCE_SCANNER identifica vulnerabilidades relacionadas às configurações da instância do Compute Engine.

Os detectores de COMPUTE_INSTANCE_SCANNER não informam as descobertas em instâncias do Compute Engine criadas pelo GKE. Essas instâncias têm nomes que começam com "gke-", que os usuários não podem editar. Para proteger essas instâncias, consulte a seção de descobertas de vulnerabilidades do contêiner.

**Tabela 3.** Verificador de instâncias do Compute
Detector	Resumo	Configurações da verificação de recursos	Padrões de conformidade
`COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED`	Como encontrar descrição: são usadas as chaves SSH em todo o projeto, permitindo o login em todas as instâncias do projeto. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Instance Corrigir esta descoberta	Verifica o objeto `metadata.items[]` nos metadados da instância para o par de chave-valor `"key": "block-project-ssh-keys", "value": TRUE`. Recursos excluídos das verificações: instâncias do GKE, job do Dataflow, instância do Windows Permissões adicionais do IAM: `roles/compute.Viewer` Entradas adicionais: lê metadados do Compute Engine Verificações em lote: a cada 12 horas Verificações em tempo real: não	CIS GCP Foundation 1.0: 4.2
`COMPUTE_SECURE_BOOT_DISABLED`	Como encontrar a descrição: a VM protegida não tem a inicialização segura ativada. O uso de inicialização segura ajuda a proteger instâncias de máquina virtual contra ameaças avançadas, como rootkits e bootkits. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Instance Corrigir esta descoberta	Verifica a propriedade `shieldedInstanceConfig` em instâncias do Compute Engine para determinar se `enableIntegrityMonitoring`, `enableSecureBoot`, `enableVtpm` estão definidos como `true`. Os campos indicam se os discos anexados são compatíveis com a Inicialização segura e se a VM protegida está ativada. Recursos excluídos das verificações: instâncias do GKE, discos do Compute Engine que têm aceleradores de GPU e não usam o Container-Optimized OS), Acesso VPC sem servidor Verificações em lote: a cada seis horas Verificações em tempo real: não
`COMPUTE_SERIAL_PORTS_ENABLED`	Como encontrar a descrição: as portas seriais de uma instância, permitindo conexões com o console serial dela. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Instance Corrigir esta descoberta	Verifica o objeto `metadata.items[]` nos metadados da instância para o par de chave-valor `"key": "serial-port-enable", "value": TRUE`. Recursos excluídos das verificações: instâncias do GKE Permissões adicionais do IAM: `roles/compute.Viewer` Entradas adicionais: lê metadados do Compute Engine Verificações em lote: a cada 12 horas Verificações em tempo real: não	CIS GCP Foundation 1.0: 4.4
`DEFAULT_SERVICE_ACCOUNT_USED`	Como encontrar a descrição: uma instância é configurada para usar a conta de serviço padrão. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Instance Corrigir esta descoberta	Verifica a propriedade `serviceAccounts` nos metadados de qualquer endereço de e-mail da conta de serviço com o prefixo `PROJECT_NUMBER-compute@developer.gserviceaccount.com`, indicando a conta de serviço padrão criada pelo Google. Recursos excluídos das verificações: instâncias do GKE, jobs do Dataflow Verificações em lote: a cada seis horas Verificações em tempo real: não
`DISK_CMEK_DISABLED`	Encontrar a descrição: os discos nesta VM não são criptografados com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ser ativado. Para instruções, consulte Ativar detectores de análise de integridade de segurança mais adiante nesta página. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Disk Corrigir esta descoberta	Verifica o campo `kmsKeyName` no objeto `diskEncryptionKey`, nos metadados do disco, para o nome do recurso da CMEK. Verificações em lote: a cada seis horas Verificações em tempo real: não
`DISK_CSEK_DISABLED`	Encontrar a descrição: os discos nesta VM não são criptografados com chaves de criptografia fornecidas pelo cliente (CSEK, na sigla em inglês). Esse detector requer configurações adicionais para ser ativado. Para ver instruções, consulte Ativar o detector. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Disk Corrigir esta descoberta	Verifica o campo `kmsKeyName` no objeto `diskEncryptionKey` para o nome de recurso da CSEK. Recursos excluídos das verificações: discos do Compute Engine com a marca de segurança *enforce_customer_provided_disk_encryption_keys* Permissões adicionais do IAM: `roles/compute.Viewer` Entradas adicionais: lê metadados do Compute Engine Verificações em lote: a cada seis horas Verificações em tempo real: não	CIS GCP Foundation 1.0: 4.6
`FULL_API_ACCESS`	Encontrar a descrição: uma instância é configurada para usar a conta de serviço padrão com acesso total a todas as APIs do Google Cloud. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Instance Corrigir esta descoberta	Recupera o campo `scopes` na propriedade `serviceAccounts` para verificar se uma conta de serviço padrão é usada e se recebeu o escopo `cloud-platform`. Recursos excluídos das verificações: instâncias do GKE, jobs do Dataflow Verificações em lote: a cada seis horas Verificações em tempo real: não	CIS GCP Foundation 1.0: 4.1 PCI-DSS v3.2.1: 7.1.2 NIST 800-53: AC-6 ISO-27001: A.9.2.3
`HTTP_LOAD_BALANCER`	Como encontrar a descrição: uma instância usa um balanceador de carga configurado para usar um proxy HTTP de destino em vez de um proxy HTTPS de destino. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/TargetHttpProxy Corrigir esta descoberta	Determina se a propriedade `selfLink` do recurso `targetHttpProxy` corresponde ao atributo `target` na regra de encaminhamento e se a regra de encaminhamento contém um `loadBalancingScheme` campo definido como `External`. Permissões adicionais do IAM: `roles/compute.Viewer` Entradas adicionais: lê regras de encaminhamento para um proxy HTTP de destino do Compute Engine, verificando regras externas Verificações em lote: a cada seis horas Verificações em tempo real: Sim	PCI-DSS v3.2.1: 2.3
`IP_FORWARDING_ENABLED`	Como encontrar a descrição: o encaminhamento de IP está ativado nas instâncias. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Instance Corrigir esta descoberta	Verifica se a propriedade `canIpForward` da instância está definida como `true`. Recursos excluídos das verificações: instâncias do GKE, acesso VPC sem servidor Verificações em lote: a cada seis horas Verificações em tempo real: Sim	CIS GCP Foundation 1.0: 4,5
`OS_LOGIN_DISABLED`	Encontrar descrição: o login do SO está desativado nesta instância. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Project Corrigir esta descoberta	Verifica o objeto `commonInstanceMetadata.items[]` nos metadados do projeto para o par de chave-valor, `"key"`: `"enable-oslogin"`, `"value"`: `TRUE`. O detector também verifica todas as instâncias de um projeto do Compute Engine para determinar se o Login do SO está desativado em instâncias individuais. Recursos excluídos das verificações: instâncias do GKE Permissões adicionais do IAM: `roles/compute.Viewer` Entradas adicionais: lê metadados do Compute Engine. O detector também examina as instâncias do Compute Engine no projeto Verificações em lote: a cada 12 horas Verificações em tempo real: não	CIS GCP Foundation 1.0: 4.3
`PUBLIC_IP_ADDRESS`	Como encontrar a descrição: uma instância tem um endereço IP público. Nível de preços: Premium ou Standard Recursos compatíveis compute.googleapis.com/Instance Corrigir esta descoberta	Verifica se a propriedade `networkInterfaces` contém um campo `accessConfigs`, indicando que está configurada para usar um endereço IP público. Recursos excluídos das verificações: instâncias do GKE Verificações em lote: a cada seis horas Verificações em tempo real: não	PCI-DSS v3.2.1: 1.2.1, 1.3.5 NIST 800-53 (em inglês): CA-3, SC-7
`SHIELDED_VM_DISABLED`	Descrição da descoberta: a VM protegida está desativada nesta instância. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Instance Corrigir esta descoberta	Verifica a propriedade `shieldedInstanceConfig` em instâncias do Compute Engine para determinar se os campos `enableIntegrityMonitoring`, `enableSecureBoot` e `enableVtpm` estão definidos como `true`. Os campos indicam se os discos anexados são compatíveis com a Inicialização segura e se a VM protegida está ativada. Recursos excluídos das verificações: instâncias do GKE, discos do Compute Engine que têm aceleradores de GPU e não usam o Container-Optimized OS), Acesso VPC sem servidor Verificações em lote: a cada seis horas Verificações em tempo real: Sim
`WEAK_SSL_POLICY`	Encontrar descrição: uma instância tem uma política de SSL fraca. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/TargetHttpsProxy compute.googleapis.com/TargetSslProxy Corrigir esta descoberta	Verifica se `sslPolicy` nos metadados do recurso está vazio e, para o recurso `sslPolicies` anexado, se `profile` está definido como `Restricted` ou `Modern`, `minTlsVersion` é definido como `TLS 1.2` e `customFeatures` está vazio ou não contém as seguintes criptografias: `TLS_RSA_WITH_AES_128_GCM_SHA256`, `TLS_RSA_WITH_AES_256_GCM_SHA384`, `TLS_RSA_WITH_AES_128_CBC_SHA`, `TLS_RSA_WITH_AES_256_CBC_SHA`, `TLS_RSA_WITH_3DES_EDE_CBC_SHA`. Permissões adicionais do IAM: `roles/compute.Viewer` Entradas adicionais: lê políticas SSL para armazenamento de proxies de destino, verificando políticas incorretas Verificações em lote: a cada seis horas Verificações em tempo real: sim, mas somente quando o TargetHttpsProxy do TargetSslProxy for atualizado, não quando a política de SSL for atualizada	PCI-DSS v3.2.1: 4.1 NIST 800-53 (link em inglês): SC-7 ISO-27001: A.14.1.3

Descobertas da vulnerabilidade do contêiner

Todos esses tipos de localização estão relacionados às configurações de contêiner do GKE e pertencem ao tipo de detector CONTAINER_SCANNER.

**Tabela 4.** Scanner de contêineres
Detector	Resumo	Configurações da verificação de recursos	Padrões de conformidade
`AUTO_REPAIR_DISABLED`	Encontrar a descrição: o recurso de reparo automático de um cluster do GKE que mantém os nós em estado íntegro e em execução é desativado. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir esta descoberta	Verifica a propriedade `management` de um pool de nós para o par de chave-valor, `"key":` `"autoRepair"`, `"value":` `true`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim	CIS GCP Foundation 1.0: 7.7 PCI-DSS v3.2.1: 2.2
`AUTO_UPGRADE_DISABLED`	Encontrar a descrição: o recurso de upgrade automático de um cluster do GKE que mantém clusters e pools de nós na versão estável mais recente do Kubernetes está desativado. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir esta descoberta	Verifica a propriedade `management` de um pool de nós para o par de chave-valor, `"key":` `"autoUpgrade"`, `"value":` `true`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim	CIS GCP Foundation 1.0: 7.8 PCI-DSS v3.2.1: 2.2
`CLUSTER_LOGGING_DISABLED`	Como encontrar a descrição: o Logging não está ativado para um cluster do GKE. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir esta descoberta	Verifica se a propriedade `loggingService` de um cluster contém o local que o Cloud Logging precisa usar para gravar registros. Verificações em lote: a cada seis horas Verificações em tempo real: Sim	CIS GCP Foundation 1.0: 7.1 PCI-DSS v3.2.1: 10.2.2, 10.2.7
`CLUSTER_MONITORING_DISABLED`	Encontrar a descrição: o Monitoring é desativado nos clusters do GKE. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir esta descoberta	Verifica se a propriedade `monitoringService` de um cluster contém o local que o Cloud Monitoring precisa usar para gravar métricas. Verificações em lote: a cada seis horas Verificações em tempo real: Sim	CIS GCP Foundation 1.0: 7.2 PCI-DSS v3.2.1: 10.1, 10.2
`CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED`	Encontrar a descrição: os hosts de cluster não estão configurados para usar apenas endereços IP internos e privados para acessar as APIs do Google. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir esta descoberta	Verifica se a propriedade `privateIpGoogleAccess` de uma sub-rede está definida como `false`. Entradas adicionais: lê sub-redes do armazenamento, preenchendo as descobertas somente para clusters com sub-redes Verificações em lote: a cada seis horas Verificações em tempo real: Sim, mas apenas se o cluster for atualizado, não para atualizações de sub-rede	CIS GCP Foundation 1.0: 7.1 PCI-DSS v3.2.1: 1.3
`COS_NOT_USED`	Encontrar a descrição: as VMs do Compute Engine não estão usando o Container-Optimized OS projetado para executar contêineres do Docker no Google Cloud com segurança. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir esta descoberta	Verifica a propriedade `config` de um pool de nós para o par de chave-valor, `"imageType":` `"COS"`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim	CIS GCP Foundation 1.0: 7.9 PCI-DSS v3.2.1: 2.2
`IP_ALIAS_DISABLED`	Encontrar a descrição: um cluster do GKE foi criado com intervalos IP de alias desativados. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir esta descoberta	Verifica se o campo `useIPAliases` de `ipAllocationPolicy` em um cluster está definido como `false`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim	CIS GCP Foundation 1.0: 7.1 PCI-DSS v3.2.1: 1.3.4 e 1.3.7
`LEGACY_AUTHORIZATION_ENABLED`	Como encontrar a descrição: a autorização legada está ativada em clusters do GKE. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir esta descoberta	Verifica a propriedade `legacyAbac` de um cluster para o par de chave-valor, `"enabled"`: `true`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim	CIS GCP Foundation 1.0: 7.3 PCI-DSS v3.2.1: 4.1
`LEGACY_METADATA_ENABLED`	Como encontrar a descrição: os metadados legados são ativados nos clusters do GKE. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir esta descoberta	Verifica a propriedade `config` de um pool de nós para o par de chave-valor, `"disable-legacy-endpoints"`: `"false"`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim
`MASTER_AUTHORIZED_NETWORKS_DISABLED`	Encontrar a descrição: as redes autorizadas do mestre não estão ativadas em clusters do GKE. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir esta descoberta	Verifica a propriedade `masterAuthorizedNetworksConfig` de um cluster para o par de chave-valor, `"enabled"`: `false`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim	CIS GCP Foundation 1.0: 7.4 PCI-DSS v3.2.1: 1.2.1, 1.3.2
`NETWORK_POLICY_DISABLED`	Encontrar a descrição: a política de rede está desativada nos clusters do GKE. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir esta descoberta	Verifica o campo `networkPolicy` da propriedade `addonsConfig` para o par de chave-valor, `"disabled"`: `true`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim	CIS GCP Foundation 1.0: 7.1 PCI-DSS v3.2.1: 1.3 NIST 800-53 (link em inglês): SC-7 ISO-27001: A.13.1.1
`NODEPOOL_BOOT_CMEK_DISABLED`	Encontrar descrição: os discos de inicialização neste pool de nós não são criptografados com chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês). Esse detector requer configurações adicionais para ser ativado. Para instruções, consulte Ativar detectores de análise de integridade de segurança mais adiante nesta página. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir esta descoberta	Verifica a propriedade `bootDiskKmsKey` dos pools de nós para o nome do recurso da CMEK. Verificações em lote: a cada seis horas Verificações em tempo real: Sim
`OVER_PRIVILEGED_ACCOUNT`	Encontrar a descrição: uma conta de serviço tem um acesso de projeto excessivamente amplo em um cluster. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir esta descoberta	Avalia a propriedade `config` de um pool de nós para verificar se nenhuma conta de serviço foi especificada ou se a conta de serviço padrão é usada. Verificações em lote: a cada seis horas Verificações em tempo real: Sim	CIS GCP Foundation 1.0: 7.1 PCI-DSS v3.2.1: 2.1, 7.1.2 NIST 800-53: AC-6, SC-7 ISO-27001: A.9.2.3
`OVER_PRIVILEGED_SCOPES`	Como encontrar a descrição: uma conta de serviço de nó tem escopos de acesso amplos. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir esta descoberta	Verifica se o escopo de acesso listado na propriedade `config.oauthScopes` de um pool de nós é um escopo de acesso limitado da conta de serviço: `https://www.googleapis.com/auth/devstorage.read_only`, `https://www.googleapis.com/auth/logging.write`, ou `https://www.googleapis.com/auth/monitoring`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim	CIS GCP Foundation 1.0: 7.1
`POD_SECURITY_POLICY_DISABLED`	Encontrar a descrição: PodSecurityPolicy está desativado em um cluster do GKE. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir esta descoberta	Verifica a propriedade `podSecurityPolicyConfig` de um cluster para o par de chave-valor, `"enabled"`: `false`. Permissões adicionais do IAM: `roles/container.clusterViewer` Entradas adicionais: lê informações do cluster do GKE, porque as políticas de segurança do pod são um recurso Beta. Este recurso poderá ser removido no futuro Verificações em lote: a cada 12 horas Verificações em tempo real: não	CIS GCP Foundation 1.0: 7.1
`PRIVATE_CLUSTER_DISABLED`	Como encontrar a descrição: um cluster do GKE tem um cluster privado desativado. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir esta descoberta	Verifica se o campo `enablePrivateNodes` da propriedade `privateClusterConfig` está definido como `false`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim	CIS GCP Foundation 1.0: 7.1 PCI-DSS v3.2.1: 1.3.2
`WEB_UI_ENABLED`	Como encontrar a descrição: a IU da Web do GKE (painel) está ativada. Nível de preços: Premium ou Standard Recursos compatíveis container.googleapis.com/Cluster Corrigir esta descoberta	Verifica o campo `kubernetesDashboard` da propriedade `addonsConfig` para o par de chave-valor, `"disabled": false`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim	CIS GCP Foundation 1.0: 7.6 PCI-DSS v3.2.1: 6.6
`WORKLOAD_IDENTITY_DISABLED`	Encontrar a descrição: a Identidade da carga de trabalho está desativada em um cluster do GKE. Nível de preços: Premium Recursos compatíveis container.googleapis.com/Cluster Corrigir esta descoberta	Verifica se a propriedade `workloadIdentityConfig` de um cluster está definida. O detector também verifica se a propriedade `workloadMetadataConfig` de um pool de nós está definida como `GKE_METADATA`. Permissões adicionais do IAM: `roles/container.clusterViewer` Verificações em lote: a cada seis horas Verificações em tempo real: Sim

Descobertas de vulnerabilidade do conjunto de dados

As vulnerabilidades desse tipo de detector estão relacionadas às configurações do conjunto de dados do BigQuery e pertencem ao tipo de detector DATASET_SCANNER.

**Tabela 5.** Digitalizador de conjunto de dados
Detector	Resumo	Configurações da verificação de recursos	Padrões de conformidade
`PUBLIC_DATASET`	Como encontrar a descrição: um conjunto de dados está configurado para ser aberto ao público. Nível de preços: Premium Recursos compatíveis bigquery.googleapis.com/Dataset Corrigir esta descoberta	Verifica a política de IAM nos metadados do recurso para membros públicos, `allUsers` ou `allAuthenticatedUsers`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim	PCI-DSS v3.2.1: 7.1 NIST 800-53: AC-2 ISO-27001: A.8.2.3, A.14.1.3

Descobertas de vulnerabilidade de DNS

As vulnerabilidades desse tipo de detector estão relacionadas às configurações do Cloud DNS e pertencem ao tipo de detector DNS_SCANNER.

**Tabela 6.** Verificação de DNS
Detector	Resumo	Configurações da verificação de recursos	Padrões de conformidade
`DNSSEC_DISABLED`	Descrição da descoberta: a DNSSEC está desativada para zonas do Cloud DNS. Nível de preços: Premium Recursos compatíveis dns.googleapis.com/ManagedZone Corrigir esta descoberta	Verifica se o campo `state` da propriedade `dnssecConfig` está definido como `off`. Recursos excluídos das verificações: zonas do Cloud DNS que não são públicas. Verificações em lote: a cada seis horas Verificações em tempo real: Sim	CIS GCP Foundation 1.0: 3.3 ISO-27001: A.8.2.3
`RSASHA1_FOR_SIGNING`	Encontrar a descrição: RSASHA1 é usado para assinatura de chaves em zonas do Cloud DNS. Nível de preços: Premium Recursos compatíveis dns.googleapis.com/ManagedZone Corrigir esta descoberta	Verifica se o objeto `defaultKeySpecs.algorithm` da propriedade `dnssecConfig` está definido como `rsasha1`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim	CIS GCP Foundation 1.0: 3.4 e 3.5

Descobertas de vulnerabilidades de firewall

As vulnerabilidades desse tipo de detector se relacionam com as configurações de firewall e pertencem ao tipo de detector FIREWALL_SCANNER.

**Tabela 7.** Verificador de firewall
Detector	Resumo	Configurações da verificação de recursos	Padrões de conformidade
`EGRESS_DENY_RULE_NOT_SET`	Encontrar a descrição: uma regra de negação de saída não está definida em um firewall. As regras de negação de saída precisam ser definidas para bloquear o tráfego de saída indesejado. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir esta descoberta	Verifica se a propriedade `destinationRanges` no firewall está definida como `0.0.0.0/0` e se a propriedade `denied` contém o par de chave-valor, `"IPProtocol"`: `"all"`. Entradas adicionais: lê firewalls de saída para um projeto do armazenamento Verificações em lote: a cada seis horas Verificações em tempo real: sim, mas apenas em alterações do projeto, não em regras de firewall	PCI-DSS v3.2.1: 7.2
`FIREWALL_RULE_LOGGING_DISABLED`	Encontrar descrição: o registro de regras de firewall está desativado. O registro de regras de firewall deve estar ativado para que seja possível auditar o acesso da rede. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir esta descoberta	Verifica a propriedade `logConfig` nos metadados do firewall para ver se ela está vazia ou contém o par de chave-valor `"enable"`: `false`. Recursos excluídos das verificações: instâncias do GKE, regras de firewall criadas pelo GKE, acesso VPC sem servidor Verificações em lote: a cada seis horas Verificações em tempo real: Sim	PCI-DSS v3.2.1: 10.1, 10.2 NIST 800-53 (em inglês): SI-4 ISO-27001: A.13.1.1
`OPEN_CASSANDRA_PORT`	Descrição da descoberta: um firewall é configurado para ter uma porta CASSANDRA aberta que permita acesso genérico. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir esta descoberta	Verifica a propriedade `allowed` nos metadados do firewall para os seguintes protocolos e portas: `TCP:7000-7001, 7199, 8888, 9042, 9160, 61620-61621`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim	PCI-DSS v3.2.1: 1.2.1 NIST 800-53 (link em inglês): SC-7 ISO-27001: A.13.1.1
`OPEN_CISCOSECURE_WEBSM_PORT`	Como localizar a descrição: um firewall está configurado para ter uma porta CISECOSECURE_WEBSM aberta que permita acesso genérico. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir esta descoberta	Verifica a propriedade `allowed` nos metadados do firewall para o seguinte protocolo e a porta: `TCP:9090`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim	PCI-DSS v3.2.1: 1.2.1 NIST 800-53 (link em inglês): SC-7 ISO-27001: A.13.1.1
`OPEN_DIRECTORY_SERVICES_PORT`	Encontrando a descrição: um firewall está configurado para ter uma porta aberta DIRECTORY_SERVICES que permite acesso genérico. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir esta descoberta	Verifica a propriedade `allowed` nos metadados do firewall para os seguintes protocolos e portas: `TCP:445` e `UDP:445`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim	PCI-DSS v3.2.1: 1.2.1 NIST 800-53 (link em inglês): SC-7 ISO-27001: A.13.1.1
`OPEN_DNS_PORT`	Encontrar a descrição: um firewall é configurado para ter uma porta DNS aberta que permita o acesso genérico. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir esta descoberta	Verifica a propriedade `allowed` nos metadados do firewall para os seguintes protocolos e portas: `TCP:53` e `UDP:53`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim	PCI-DSS v3.2.1: 1.2.1 NIST 800-53 (link em inglês): SC-7 ISO-27001: A.13.1.1
`OPEN_ELASTICSEARCH_PORT`	Encontrar a descrição: Um firewall está configurado para ter uma porta ELASTICSEARCH aberta que permita acesso genérico. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir esta descoberta	Verifica a propriedade `allowed` nos metadados do firewall para os seguintes protocolos e portas: `TCP:9200, 9300`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim	PCI-DSS v3.2.1: 1.2.1 NIST 800-53 (link em inglês): SC-7 ISO-27001: A.13.1.1
`OPEN_FIREWALL`	Descoberta de descrição: um firewall está configurado para acesso público. Nível de preços: Premium ou Standard Recursos compatíveis compute.googleapis.com/Firewall Corrigir esta descoberta	Verifica se a propriedade `sourceRanges` está definida como `0.0.0.0/0` e a propriedade `allowed` para o par de chave-valor, `"IPProtocol"`: `"all"`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim	PCI-DSS v3.2.1: 1.2.1
`OPEN_FTP_PORT`	Encontrar a descrição: um firewall é configurado para ter uma porta FTP aberta que permita acesso genérico. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir esta descoberta	Verifica a propriedade `allowed` nos metadados do firewall para o seguinte protocolo e a porta: `TCP:21`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim	PCI-DSS v3.2.1: 1.2.1 NIST 800-53 (link em inglês): SC-7 ISO-27001: A.13.1.1
`OPEN_HTTP_PORT`	Encontrar a descrição: um firewall é configurado para ter uma porta HTTP aberta que permita acesso genérico. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir esta descoberta	Verifica a propriedade `allowed` nos metadados do firewall para os seguintes protocolos e portas: `TCP:80`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim	PCI-DSS v3.2.1: 1.2.1 NIST 800-53 (link em inglês): SC-7 ISO-27001: A.13.1.1
`OPEN_LDAP_PORT`	Encontrar a descrição: um firewall é configurado para ter uma porta LDAP aberta que permita acesso genérico. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir esta descoberta	Verifica a propriedade `allowed` nos metadados do firewall para os seguintes protocolos e portas: `TCP:389, 636` e `UDP:389`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim	PCI-DSS v3.2.1: 1.2.1 NIST 800-53 (link em inglês): SC-7 ISO-27001: A.13.1.1
`OPEN_MEMCACHED_PORT`	Encontrar a descrição: um firewall é configurado para ter uma porta MEMCACHED aberta que permita acesso genérico. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir esta descoberta	Verifica a propriedade `allowed` nos metadados do firewall para os seguintes protocolos e portas: `TCP:11211, 11214-11215` e `UDP:11211, 11214-11215`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim	PCI-DSS v3.2.1: 1.2.1 NIST 800-53 (link em inglês): SC-7 ISO-27001: A.13.1.1
`OPEN_MONGODB_PORT`	Encontrar a descrição: um firewall é configurado para ter uma porta aberta MONGODB que permita acesso genérico. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir esta descoberta	Verifica a propriedade `allowed` nos metadados do firewall para os seguintes protocolos e portas: `TCP:27017-27019`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim	PCI-DSS v3.2.1: 1.2.1 NIST 800-53 (link em inglês): SC-7 ISO-27001: A.13.1.1
`OPEN_MYSQL_PORT`	Encontrar a descrição: um firewall é configurado para ter uma porta MYSQL aberta que permita acesso genérico. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir esta descoberta	Verifica a propriedade `allowed` nos metadados do firewall para o seguinte protocolo e a porta: `TCP:3306`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim	PCI-DSS v3.2.1: 1.2.1 NIST 800-53 (link em inglês): SC-7 ISO-27001: A.13.1.1
`OPEN_NETBIOS_PORT`	Como localizar a descrição: um firewall está configurado para ter uma porta aberta NETBIOS que permita acesso genérico. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir esta descoberta	Verifica a propriedade `allowed` nos metadados do firewall para os seguintes protocolos e portas: `TCP:137-139` e `UDP:137-139`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim	PCI-DSS v3.2.1: 1.2.1 NIST 800-53 (link em inglês): SC-7 ISO-27001: A.13.1.1
`OPEN_ORACLEDB_PORT`	Encontrar a descrição: um firewall está configurado para ter uma porta ORACEDB aberta que permita acesso genérico. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir esta descoberta	Verifica a propriedade `allowed` nos metadados do firewall para os seguintes protocolos e portas: `TCP:1521, 2483-2484` e `UDP:2483-2484`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim	PCI-DSS v3.2.1: 1.2.1 NIST 800-53 (link em inglês): SC-7 ISO-27001: A.13.1.1
`OPEN_POP3_PORT`	Encontrar descrição: um firewall é configurado para ter uma porta POP3 aberta que permita acesso genérico. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir esta descoberta	Verifica a propriedade `allowed` nos metadados do firewall para o seguinte protocolo e a porta: `TCP:110`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim	PCI-DSS v3.2.1: 1.2.1 NIST 800-53 (link em inglês): SC-7 ISO-27001: A.13.1.1
`OPEN_POSTGRESQL_PORT`	Como localizar a descrição: um firewall é configurado para ter uma porta aberta do PostgreSQL que permita acesso genérico. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir esta descoberta	Verifica a propriedade `allowed` nos metadados do firewall para os seguintes protocolos e portas: `TCP:5432` e `UDP:5432`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim	PCI-DSS v3.2.1: 1.2.1 NIST 800-53 (link em inglês): SC-7 ISO-27001: A.13.1.1
`OPEN_RDP_PORT`	Encontrar a descrição: um firewall é configurado para ter uma porta RDP aberta que permita acesso genérico. Nível de preços: Premium ou Standard Recursos compatíveis compute.googleapis.com/Firewall Corrigir esta descoberta	Verifica a propriedade `allowed` nos metadados do firewall para os seguintes protocolos e portas: `TCP:3389` e `UDP:3389`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim	CIS GCP Foundation 1.0: 3.7 PCI-DSS v3.2.1: 1.2.1 NIST 800-53 (link em inglês): SC-7 ISO-27001: A.13.1.1
`OPEN_REDIS_PORT`	Encontrar a descrição: um firewall é configurado para ter uma porta REDIS aberta que permita acesso genérico. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir esta descoberta	Verifica se a propriedade `allowed` nos metadados do firewall contém o seguinte protocolo e a porta: `TCP:6379`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim	PCI-DSS v3.2.1: 1.2.1 NIST 800-53 (link em inglês): SC-7 ISO-27001: A.13.1.1
`OPEN_SMTP_PORT`	Encontrar a descrição: um firewall é configurado para ter uma porta SMTP aberta que permita acesso genérico. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir esta descoberta	Verifica se a propriedade `allowed` nos metadados do firewall contém o seguinte protocolo e a porta: `TCP:25`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim	PCI-DSS v3.2.1: 1.2.1 NIST 800-53 (link em inglês): SC-7 ISO-27001: A.13.1.1
`OPEN_SSH_PORT`	Encontrar a descrição: um firewall é configurado para ter uma porta SSH aberta que permita acesso genérico. Nível de preços: Premium ou Standard Recursos compatíveis compute.googleapis.com/Firewall Corrigir esta descoberta	Verifica se a propriedade `allowed` nos metadados do firewall contém os seguintes protocolos e portas: `TCP:22` e `SCTP:22`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim	CIS GCP Foundation 1.0: 3.6 PCI-DSS v3.2.1: 1.2.1 NIST 800-53 (link em inglês): SC-7 ISO-27001: A.13.1.1
`OPEN_TELNET_PORT`	Encontrar a descrição: um firewall está configurado para ter uma porta TELNET aberta que permita acesso genérico. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Firewall Corrigir esta descoberta	Verifica se a propriedade `allowed` nos metadados do firewall contém o seguinte protocolo e a porta: `TCP:23`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim	PCI-DSS v3.2.1: 1.2.1 NIST 800-53 (link em inglês): SC-7 ISO-27001: A.13.1.1

Descobertas da vulnerabilidade do IAM

As vulnerabilidades desse tipo de detector estão relacionadas à configuração do gerenciamento de identidade e acesso (IAM, na sigla em inglês) e pertencem ao tipo de detector IAM_SCANNER.

**Tabela 8.** IAM Scanner
Detector	Resumo	Configurações da verificação de recursos	Padrões de conformidade
`ADMIN_SERVICE_ACCOUNT`	Como encontrar a descrição: uma conta de serviço tem privilégios de Administrador, Proprietário ou Editor. Esses papéis não podem ser atribuídos a contas de serviço criadas pelo usuário. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/projeto Corrigir esta descoberta	Verifica a política de IAM nos metadados de recursos de qualquer conta de serviço criada pelo usuário, indicada pelo prefixo *iam.gserviceaccount.com, que recebem `roles/Owner` ou `roles/Editor` ou um ID de papel que contém `admin`. Recursos excluídos das verificações: conta de serviço do Container Registry (containerregistry.iam.gserviceaccount.com) e segurança Conta de serviço do Command Center (security-center-api.iam.gserviceaccount.com) Verificações em lote: a cada seis horas Verificações em tempo real*: Sim, a menos que a atualização do IAM seja feita em uma pasta	CIS GCP Foundation 1.0: 1.4
`KMS_ROLE_SEPARATION`	Encontrar a descrição: a separação de tarefas não é aplicada, e existe um usuário com qualquer um dos papéis do Cloud Key Management Service (Cloud KMS) ao mesmo tempo: CryptoKey Encrypter/Decrypter, Encrypter ou Decrypter do CryptoKey. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/projeto Corrigir esta descoberta	Verifica as políticas do IAM nos metadados do recurso e recupera os membros atribuídos a um dos seguintes papéis ao mesmo tempo: `roles/cloudkms.cryptoKeyEncrypterDecrypter`, `roles/cloudkms.cryptoKeyEncrypter` e `roles/cloudkms.cryptoKeyDecrypter` , `roles/cloudkms.signer`, `roles/cloudkms.signerVerifier`, `roles/cloudkms.publicKeyViewer`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim	CIS GCP Foundation 1.0: 1.9 NIST 800-53: AC-5 ISO-27001: A.9.2.3, A.10.1.2
`NON_ORG_IAM_MEMBER`	Como encontrar a descrição: há um usuário que não está usando credenciais organizacionais. Conforme o CIS GCP Foundation 1.0, atualmente, apenas identidades com endereços de e-mail @gmail.com acionam esse detector. Nível de preços: Premium ou Standard Recursos compatíveis cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/projeto Corrigir esta descoberta	Compara os endereços de e-mail @gmail.com no campo `user` nos metadados da política de IAM com uma lista de identidades aprovadas para sua organização. Verificações em lote: a cada seis horas Verificações em tempo real: Sim	CIS GCP Foundation 1.0: 1.1 PCI-DSS v3.2.1: 7.1.2 NIST 800-53: AC-3 ISO-27001: A.9.2.3
`OVER_PRIVILEGED_SERVICE_ACCOUNT_USER`	Como encontrar a descrição: um usuário tem o papel Usuário da conta de serviço ou Criador do token da conta de serviço no nível do projeto. em vez de uma conta de serviço específica. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/projeto Corrigir esta descoberta	Verifica a política de IAM nos metadados do recurso para qualquer membro atribuído `roles/iam.serviceAccountUser` ou `roles/iam.serviceAccountTokenCreator` para envolvidos no projeto. Recursos excluídos das verificações: contas de serviço do Cloud Build Verificações em lote: a cada seis horas Verificações em tempo real: Sim	CIS GCP Foundation 1.0: 1,5 PCI-DSS v3.2.1: 7.1.2 NIST 800-53: AC-6 ISO-27001: A.9.2.3
`PRIMITIVE_ROLES_USED`	Encontrar a descrição: um usuário tem o papel básico, Proprietário, Gravador ou Leitor. para começar. Esses papéis são muito permissivos e não podem ser usados. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/projeto Corrigir esta descoberta	Verifica a política de IAM nos metadados do recurso para qualquer membro atribuído `roles/Owner`, `roles/Writer` ou `roles/Reader`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim	PCI-DSS v3.2.1: 7.1.2 NIST 800-53: AC-6 ISO-27001: A.9.2.3
`REDIS_ROLE_USED_ON_ORG`	Encontrar a descrição: um papel do Redis IAM é atribuído no nível da organização ou da pasta. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Organization Corrigir esta descoberta	Verifica a política de IAM nos metadados do recurso dos membros atribuídos a `roles/redis.admin`, `roles/redis.editor`, `roles/redis.viewer` no nível da organização ou da pasta. Verificações em lote: a cada seis horas Verificações em tempo real: Sim	PCI-DSS v3.2.1: 7.1.2 ISO-27001: A.9.2.3
`SERVICE_ACCOUNT_ROLE_SEPARATION`	Encontrar a descrição: um usuário recebeu os papéis Administrador da conta de serviço e Usuário da conta de serviço. Isso viola o princípio "Separação de dados". Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/projeto Corrigir esta descoberta	Verifica a política de IAM nos metadados do recurso para qualquer membro atribuído `roles/iam.serviceAccountUser` e `roles/iam.serviceAccountAdmin`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim	CIS GCP Foundation 1.0: 1.7 NIST 800-53: AC-5 ISO-27001: A.9.2.3
`SERVICE_ACCOUNT_KEY_NOT_ROTATED`	Como encontrar a descrição: uma chave da conta de serviço não foi girada há mais de 90 dias. Nível de preços: Premium Recursos compatíveis iam.googleapis.com/ServiceAccountKey Corrigir esta descoberta	Avalia o carimbo de data/hora de criação da chave capturado na propriedade `validAfterTime` nos metadados da chave das contas de serviço. Recursos excluídos das verificações: chaves e contas de conta de serviço expiradas que não são gerenciadas pelos usuários. Verificações em lote: a cada seis horas Verificações em tempo real: Sim	CIS GCP Foundation 1.0: 1.6
`USER_MANAGED_SERVICE_ACCOUNT_KEY`	Como encontrar a descrição: um usuário gerencia uma chave de conta de serviço. Nível de preços: Premium Recursos compatíveis iam.googleapis.com/ServiceAccountKey Corrigir esta descoberta	Verifica se a propriedade `keyType` nos metadados da chave da conta de serviço está definida como `User_Managed`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim	CIS GCP Foundation 1.0: 1.3

Descobertas de vulnerabilidade do KMS

As vulnerabilidades desse tipo de detector estão relacionadas às configurações do Cloud KMS e pertencem ao tipo de detector KMS_SCANNER.

**Tabela 9.** Leitor do KMS
Detector	Resumo	Configurações da verificação de recursos	Padrões de conformidade
`KMS_KEY_NOT_ROTATED`	Encontrar a descrição: a rotação não é configurada em uma chave de criptografia do Cloud KMS. As chaves precisam ser giradas dentro de um período de 90 dias. Nível de preços: Premium Recursos compatíveis cloudkms.googleapis.com/CryptoKey Corrigir esta descoberta	Verifica os metadados do recurso quanto à existência de propriedades `rotationPeriod` ou `nextRotationTime`. Recursos excluídos das verificações: chaves e chaves assimétricas com versões primárias desativadas ou destruídas Verificações em lote: a cada seis horas Verificações em tempo real: Sim	CIS GCP Foundation 1.0: 1.8 PCI-DSS v3.2.1: 3.5 NIST 800-53 (link em inglês): SC-12 ISO-27001: A.10.1.1.2
`KMS_PROJECT_HAS_OWNER`	Encontrar a descrição: um usuário tem permissões de proprietário em um projeto que tem chaves criptográficas. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir esta descoberta	Verifica a política de IAM nos metadados do projeto para membros atribuídos a `roles/Owner`. Entradas adicionais: lê chaves criptográficas para um projeto a partir do armazenamento, preenchendo as descobertas apenas para projetos com chaves criptográficas. Verificações em lote: a cada seis horas Verificações em tempo real: sim, mas apenas em alterações na política do IAM, não em alterações em chaves do KMS	PCI-DSS v3.2.1: 3.5 NIST 800-53: AC-6, SC-12 ISO-27001: A.9.2.3, A.10.1.2
`KMS_PUBLIC_KEY`	Encontrar a descrição: uma chave criptográfica do Cloud KMS é acessível publicamente. Nível de preços: Premium Recursos compatíveis cloudkms.googleapis.com/CryptoKey cloudkms.googleapis.com/KeyRing Corrigir esta descoberta	Verifica a política de IAM nos metadados do recurso para membros públicos, `allUsers` ou `allAuthenticatedUsers`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim
`TOO_MANY_KMS_USERS`	Como encontrar a descrição: há mais de três usuários de chaves criptográficas. Nível de preços: Premium Recursos compatíveis cloudkms.googleapis.com/CryptoKey Corrigir esta descoberta	verifica políticas do IAM para keyrings, projetos e organizações e recupera membros com papéis que permitem criptografar, descriptografar ou assinar dados usando chaves do Cloud KMS: `roles/owner`, `roles/cloudkms.cryptoKeyEncrypterDecrypter`, `roles/cloudkms.cryptoKeyEncrypter`, `roles/cloudkms.cryptoKeyDecrypter`, `roles/cloudkms.signer` e `roles/cloudkms.signerVerifier`. Entradas adicionais: lê versões de cryptokey para uma cryptokey do armazenamento, preenchendo as descobertas apenas para chaves com versões ativas. O detector também lê as políticas de IAM do keyring, do projeto e da organização do armazenamento Verificações em lote: a cada seis horas Verificações em tempo real: Sim	PCI-DSS v3.2.1: 3.5.2 ISO-27001: A.9.2.3

Descobertas de vulnerabilidade de geração de registros

As vulnerabilidades desse tipo de detector estão relacionadas às configurações de geração de registros e pertencem ao tipo de detector LOGGING_SCANNER.

**Tabela 10.** Verificação de registros
Detector	Resumo	Configurações da verificação de recursos	Padrões de conformidade
`AUDIT_LOGGING_DISABLED`	Encontrar descrição: o registro de auditoria foi desativado para este recurso. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/projeto Corrigir esta descoberta	Verifica a política de IAM nos metadados do recurso para verificar a existência de um objeto `auditLogConfigs`. Verificações em lote: a cada seis horas Verificações em tempo real: sim, mas apenas na alteração da política do IAM do projeto, não nas alterações de pastas ou organizações	CIS GCP Foundation 1.0: 2.1 PCI-DSS v3.2.1: 10.1, 10.2 NIST 800-53: AC-2, AU-2 ISO-27001: A.12.4.1, A.16.7.
`BUCKET_LOGGING_DISABLED`	Encontrar descrição: há um bucket de armazenamento sem a geração de registros ativada. Nível de preços: Premium Recursos compatíveis storage.googleapis.com/Bucket Corrigir esta descoberta	Verifica se o campo `logBucket` na propriedade `logging` do intervalo está vazio. Verificações em lote: a cada seis horas Verificações em tempo real: Sim	CIS GCP Foundation 1.0: 5.3
`LOCKED_RETENTION_POLICY_NOT_SET`	Como encontrar a descrição: uma política de retenção bloqueada não está definida para registros. Nível de preços: Premium Recursos compatíveis storage.googleapis.com/Bucket Corrigir esta descoberta	Verifica se o campo `isLocked` na propriedade `retentionPolicy` do intervalo está definido como `true`. Entradas adicionais: lê o coletor de registro (o filtro de registro e o destino do registro) de um bucket para determinar se é um bucket de registros Verificações em lote: a cada seis horas Verificações em tempo real: Sim	PCI-DSS v3.2.1: 10,5 NIST 800-53: AU-11 ISO-27001: A.12.4.2, A.18.1.3
`LOG_NOT_EXPORTED`	Como encontrar a descrição: há um recurso que não tem um coletor de registros apropriado configurado. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir esta descoberta	Recupera um objeto `logSink` em um projeto, verificando se o campo `includeChildren` está definido como `true`, o campo `destination` inclui o local para gravar registros, e o campo `filter` é preenchido. Entradas adicionais: lê o coletor de registro (o filtro de registro e o destino do registro) de um bucket para determinar se é um bucket de registros Verificações em lote: a cada seis horas Verificações em tempo real: sim, mas apenas nas alterações do projeto, não se a exportação de registros estiver configurada em pasta ou organização	CIS GCP Foundation 1.0: 2.2 ISO-27001: A.18.1.3
`OBJECT_VERSIONING_DISABLED`	Encontrar a descrição: o controle de versão de objeto não está ativado em um bucket de armazenamento em que os coletores estão configurados. Nível de preços: Premium Recursos compatíveis storage.googleapis.com/Bucket Corrigir esta descoberta	Verifica se o campo `enabled` na propriedade `versioning` do intervalo está definido como `true`. Recursos excluídos das verificações: buckets do Cloud Storage com uma política de retenção bloqueada Entradas adicionais: lê o coletor de registro (o filtro de registro e o destino do registro) de um bucket para determinar se é um bucket de registros Verificações em lote: a cada seis horas Verificações em tempo real: sim, mas apenas se o controle de versão de objeto for alterado, não se os buckets de registro forem criados	CIS GCP Foundation 1.0: 2.3 PCI-DSS v3.2.1: 10,5 NIST 800-53: AU-11 ISO-27001: A.12.4.2, A.18.1.3

Como monitorar descobertas de vulnerabilidade

Todas as vulnerabilidades desse tipo de detector estão relacionadas às configurações de monitoramento e pertencem ao tipo MONITORING_SCANNER. Todas as propriedades de descoberta do detector do Monitoring incluem:

O RecommendedLogFilter a ser usado na criação das métricas de registro.
O QualifiedLogMetricNames que abrange as condições listadas no filtro de registro recomendado.
A AlertPolicyFailureReasons que indica se o projeto não tem políticas de alerta criadas para qualquer uma das métricas de registro qualificadas ou se as políticas de alertas existentes não têm as configurações recomendadas.

**Tabela 11.** Leitor do Monitoring
Detector	Resumo	Configurações da verificação de recursos	Padrões de conformidade
`AUDIT_CONFIG_NOT_MONITORED`	Como encontrar a descrição: as métricas e os alertas do registro não estão configurados para monitorar as alterações na configuração de auditoria. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir esta descoberta	Verifica se a propriedade `filter` do recurso `LogsMetric` do projeto está definida como `protoPayload.methodName=\"SetIamPolicy\" AND protoPayload.serviceData.policyDelta.auditConfigDeltas:`. O detector também pesquisa um recurso `alertPolicy` correspondente, verificando se as propriedades `conditions` e `notificationChannels` estão configuradas corretamente. Permissões adicionais do IAM: `roles/monitoring.alertPolicyViewer` Entradas adicionais: lê métricas de registro para o projeto a partir do armazenamento. Lê as informações da conta do conjunto de operações do Google Cloud do pacote de operações do Google Cloud, preenchendo as descobertas apenas para projetos com contas ativas Verificações em lote: a cada 12 horas Verificações em tempo real*: Sim, mas somente nas alterações do projeto, não nas métricas de registro e em alertas	CIS GCP Foundation 1.0: 2,5
`BUCKET_IAM_NOT_MONITORED`	Encontrar descrição: as métricas e os alertas do registro não estão configurados para monitorar as alterações de permissão do IAM do Cloud Storage. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir esta descoberta	Verifica se a propriedade `filter` do recurso `LogsMetric` do projeto está definida como `resource.type=gcs_bucket AND protoPayload.methodName=\"storage.setIamPermissions\"`. O detector também pesquisa um recurso `alertPolicy` correspondente, verificando se as propriedades `conditions` e `notificationChannels` estão configuradas corretamente. Permissões adicionais do IAM: `roles/monitoring.alertPolicyViewer` Entradas adicionais: lê métricas de registro para o projeto a partir do armazenamento. Lê as informações da conta do conjunto de operações do Google Cloud do pacote de operações do Google Cloud, preenchendo as descobertas apenas para projetos com contas ativas Verificações em lote: a cada 12 horas Verificações em tempo real: Sim, mas somente nas alterações do projeto, não nas métricas de registro e em alertas	CIS GCP Foundation 1.0: 2.10
`CUSTOM_ROLE_NOT_MONITORED`	Encontrar a descrição: as métricas e os alertas do registro não estão configurados para monitorar as alterações do papel personalizado. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir esta descoberta	Verifica se a propriedade `filter` do recurso `LogsMetric` do projeto está definida como `resource.type=\"iam_role\" AND protoPayload.methodName=\"google.iam.admin.v1.CreateRole\" OR protoPayload.methodName=\"google.iam.admin.v1.DeleteRole\" OR protoPayload.methodName=\"google.iam.admin.v1.UpdateRole\"`. O detector também pesquisa um recurso `alertPolicy` correspondente, verificando se as propriedades `conditions` e `notificationChannels` estão configuradas corretamente. Permissões adicionais do IAM: `roles/monitoring.alertPolicyViewer` Entradas adicionais: lê métricas de registro para o projeto a partir do armazenamento. Lê as informações da conta do conjunto de operações do Google Cloud do pacote de operações do Google Cloud, preenchendo as descobertas apenas para projetos com contas ativas Verificações em lote: a cada 12 horas Verificações em tempo real: Sim, mas somente nas alterações do projeto, não nas métricas de registro e em alertas	CIS GCP Foundation 1.0: 2.6
`FIREWALL_NOT_MONITORED`	Descrição da descoberta: as métricas e os alertas do registro não são configurados para monitorar as alterações da regra do Firewall de rede VPC. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir esta descoberta	Verifica se a propriedade `filter` do recurso `LogsMetric` do projeto está definida como `resource.type=\"gce_firewall_rule\" AND jsonPayload.event_subtype=\"compute.firewalls.patch\" OR jsonPayload.event_subtype=\"compute.firewalls.insert\"`. O detector também pesquisa um recurso `alertPolicy` correspondente, verificando se as propriedades `conditions` e `notificationChannels` estão configuradas corretamente. Permissões adicionais do IAM: `roles/monitoring.alertPolicyViewer` Entradas adicionais: lê métricas de registro para o projeto a partir do armazenamento. Lê as informações da conta do conjunto de operações do Google Cloud do pacote de operações do Google Cloud, preenchendo as descobertas apenas para projetos com contas ativas Verificações em lote: a cada 12 horas Verificações em tempo real: Sim, mas somente nas alterações do projeto, não nas métricas de registro e em alertas	CIS GCP Foundation 1.0: 2.7
`NETWORK_NOT_MONITORED`	Encontrar a descrição: as métricas e os alertas do registro não estão configurados para monitorar as alterações na rede VPC. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir esta descoberta	Verifica se a propriedade `filter` do recurso `LogsMetric` do projeto está definida como `resource.type=gce_network AND jsonPayload.event_subtype=\"compute.networks.insert\" OR jsonPayload.event_subtype=\"compute.networks.patch\" OR jsonPayload.event_subtype=\"compute.networks.delete\" OR jsonPayload.event_subtype=\"compute.networks.removePeering\" OR jsonPayload.event_subtype=\"compute.networks.addPeering\"`. O detector também pesquisa um recurso `alertPolicy` correspondente, verificando se as propriedades `conditions` e `notificationChannels` estão configuradas corretamente. Permissões adicionais do IAM: `roles/monitoring.alertPolicyViewer` Entradas adicionais: lê métricas de registro para o projeto a partir do armazenamento. Lê as informações da conta do conjunto de operações do Google Cloud do pacote de operações do Google Cloud, preenchendo as descobertas apenas para projetos com contas ativas Verificações em lote: a cada 12 horas Verificações em tempo real: Sim, mas somente nas alterações do projeto, não nas métricas de registro e em alertas	CIS GCP Foundation 1.0: 2.9
`OWNER_NOT_MONITORED`	Encontrar a descrição: as métricas e os alertas do registro não estão configurados para monitorar as alterações ou atribuições da propriedade do projeto. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir esta descoberta	Verifica se a propriedade `filter` do recurso `LogsMetric` do projeto está definida como `(protoPayload.serviceName=\"cloudresourcemanager.googleapis.com\") AND (ProjectOwnership OR projectOwnerInvitee) OR (protoPayload.serviceData.policyDelta.bindingDeltas.action=\"REMOVE\" AND protoPayload.serviceData.policyDelta.bindingDeltas.role=\"roles/owner\") OR (protoPayload.serviceData.policyDelta.bindingDeltas.action=\"ADD\" AND protoPayload.serviceData.policyDelta.bindingDeltas.role=\"roles/owner\")`. O detector também pesquisa um recurso `alertPolicy` correspondente, verificando se as propriedades `conditions` e `notificationChannels` estão configuradas corretamente. Permissões adicionais do IAM: `roles/monitoring.alertPolicyViewer` Entradas adicionais: lê métricas de registro para o projeto a partir do armazenamento. Lê as informações da conta do conjunto de operações do Google Cloud do pacote de operações do Google Cloud, preenchendo as descobertas apenas para projetos com contas ativas Verificações em lote: a cada 12 horas Verificações em tempo real: Sim, mas somente nas alterações do projeto, não nas métricas de registro e em alertas	CIS GCP Foundation 1.0: 2,4
`ROUTE_NOT_MONITORED`	Como encontrar a descrição: as métricas e os alertas do registro não são configurados para monitorar as alterações da rota da rede VPC. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir esta descoberta	Verifica se a propriedade `filter` do recurso `LogsMetric` do projeto está definida como `resource.type=\"gce_route\" AND jsonPayload.event_subtype=\"compute.routes.delete\" OR jsonPayload.event_subtype=\"compute.routes.insert\"`. O detector também pesquisa um recurso `alertPolicy` correspondente, verificando se as propriedades `conditions` e `notificationChannels` estão configuradas corretamente. Permissões adicionais do IAM: `roles/monitoring.alertPolicyViewer` Entradas adicionais: lê métricas de registro para o projeto a partir do armazenamento. Lê as informações da conta do conjunto de operações do Google Cloud do pacote de operações do Google Cloud, preenchendo as descobertas apenas para projetos com contas ativas Verificações em lote: a cada 12 horas Verificações em tempo real: Sim, mas somente nas alterações do projeto, não nas métricas de registro e em alertas	CIS GCP Foundation 1.0: 2.8
`SQL_INSTANCE_NOT_MONITORED`	Encontrar descrição: as métricas e os alertas do registro não estão configurados para monitorar as alterações de configuração da instância do Cloud SQL. Nível de preços: Premium Recursos compatíveis cloudresourcemanager.googleapis.com/Project Corrigir esta descoberta	Verifica se a propriedade `filter` do recurso `LogsMetric` do projeto está definida como `protoPayload.methodName=\"cloudsql.instances.update\"`. O detector também pesquisa um recurso `alertPolicy` correspondente, verificando se as propriedades `conditions` e `notificationChannels` estão configuradas corretamente. Permissões adicionais do IAM: `roles/monitoring.alertPolicyViewer` Entradas adicionais: lê métricas de registro para o projeto a partir do armazenamento. Lê as informações da conta do conjunto de operações do Google Cloud do pacote de operações do Google Cloud, preenchendo as descobertas apenas para projetos com contas ativas Verificações em lote: a cada 12 horas Verificações em tempo real: Sim, mas somente nas alterações do projeto, não nas métricas de registro e em alertas	CIS GCP Foundation 1.0: 2.11

Resultados da autenticação multifator

O detector MFA_SCANNER identifica vulnerabilidades relacionadas à autenticação multifator para usuários.

**Tabela 12.** Verificador de autenticação multifator
Detector	Resumo	Configurações da verificação de recursos	Padrões de conformidade
`MFA_NOT_ENFORCED`	Alguns usuários não estão usando a verificação em duas etapas. Nível de preços: Premium ou Standard Recursos compatíveis cloudresourcemanager.googleapis.com/Organization Corrigir esta descoberta	Avalia as políticas de gerenciamento de identidade em organizações e configurações de usuário para contas gerenciadas no Cloud Identity. Recursos excluídos das verificações: unidades organizacionais que concederam exceções à política Entradas adicionais: lê dados do espaço de trabalho do Google Verificações em lote: a cada 12 horas Verificações em tempo real: não	CIS GCP Foundation 1.0: 1.2 PCI-DSS v3.2.1: 8.3 NIST 800-53 (em inglês): IA-2 ISO-27001: A.9.4.2

Descobertas de vulnerabilidades de rede

As vulnerabilidades desse tipo de detector estão relacionadas às configurações de rede de uma organização e pertencem ao tipo NETWORK_SCANNER.

**Tabela 13.** Scanner de rede
Detector	Resumo	Configurações da verificação de recursos	Padrões de conformidade
`DEFAULT_NETWORK`	Como encontrar a descrição: a rede padrão existe em um projeto. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Network Corrigir esta descoberta	Verifica se a propriedade `name` nos metadados da rede está definida como `default`. Recursos excluídos das verificações: projetos em que a API Compute Engine está desativada e os recursos do Compute Engine estão em um estado congelado Verificações em lote: a cada seis horas Verificações em tempo real: Sim	CIS GCP Foundation 1.0: 3.1
`LEGACY_NETWORK`	Encontrar a descrição: existe uma rede legada em um projeto. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Network Corrigir esta descoberta	Verifica se há metadados de rede na existência da propriedade `IPv4Range`. Recursos excluídos das verificações: projetos em que a API Compute Engine está desativada e os recursos do Compute Engine estão em um estado congelado Verificações em lote: a cada seis horas Verificações em tempo real: Sim	CIS GCP Foundation 1.0: 3.2

Descobertas de vulnerabilidade de políticas da organização

As vulnerabilidades desse tipo de detector estão relacionadas às configurações de restrições da política da organização e pertencem ao tipo ORG_POLICY.

**Tabela 14.** Verificação de políticas da organização
Detector	Resumo	Configurações da verificação de recursos
`ORG_POLICY_CONFIDENTIAL_VM_POLICY`	Encontrar a descrição: um recurso do Compute Engine não está em conformidade com a política da organização `constraints/compute.restrictNonConfidentialComputing`. Para mais informações sobre essa restrição de política da organização, consulte Como aplicar restrições da política da organização na VM confidencial. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Instance Corrigir esta descoberta	Verifica se a propriedade `enableConfidentialCompute` de uma instância do Compute Engine está definida como `true`. Recursos excluídos das verificações: instâncias do GKE Permissões adicionais do IAM: `permissions/orgpolicy.policy.get` Entradas adicionais: lê a política da organização no serviço de política da organização. Verificações em lote: a cada 12 horas Verificações em tempo real: não
`ORG_POLICY_LOCATION_RESTRICTION`	Encontrar a descrição: um recurso do Compute Engine não está em conformidade com a restrição `constraints/gcp.resourceLocations`. Para mais informações sobre essa restrição de política da organização, consulte Como aplicar restrições da política da organização. Nível de preços: Premium Recursos compatíveis Veja abaixo Corrigir esta descoberta	Verifica a propriedade `listPolicy` nos metadados dos recursos compatíveis para ver uma lista de locais permitidos ou negados. Permissões adicionais do IAM: `permissions/orgpolicy.policy.get` Entradas adicionais: lê a política da organização no serviço de política da organização. Verificações em lote: a cada 12 horas Verificações em tempo real: não
Recursos compatíveis com ORG_POLICY_LOCATION_RESTRICTION dependente do AD compute.googleapis.com/Autoscaler compute.googleapis.com/Address compute.googleapis.com/Disk compute.googleapis.com/ForwardingRule compute.googleapis.com/HealthCheck compute.googleapis.com/Image compute.googleapis.com/Instance compute.googleapis.com/InstanceGroup compute.googleapis.com/InstanceGroupManager compute.googleapis.com/InterconnectAttachment compute.googleapis.com/NetworkEndpointGroup compute.googleapis.com/NodeGroup compute.googleapis.com/NodeTemplate compute.googleapis.com/PacketMirroring compute.googleapis.com/RegionBackendService compute.googleapis.com/RegionDisk compute.googleapis.com/ResourcePolicy compute.googleapis.com/Router compute.googleapis.com/Snapshot compute.googleapis.com/SslCertificate compute.googleapis.com/Sub-rede compute.googleapis.com/TargetHttpProxy compute.google.apis.com/TargetHttpsProxy compute.googleapis.com/TargetInstance compute.googleapis.com/TargetPool compute.googleapis.com/TargetVpnGateway compute.googleapis.com/UrlMap compute.googleapis.com/VpnGateway compute.googleapis.com/VpnTunnel Cloud Storage storage.googleapis.com/bucket Cloud KMS cloudkms.googleapis.com/CryptoKey¹ cloudkms.googleapis.com/CryptoKeyVersion¹ cloudkms.googleapis.com/ImportJob² cloudkms.googleapis.com/KeyRing¹ Dataproc dataproc.googleapis.com/Cluster BigQuery bigquery.googleapis.com/Dataset Dataflow dataflow.googleapis.com/Job³ ¹ Como os recursos do Cloud KMS não podem ser excluídos, o recurso não será considerado fora de região se os dados do recurso tiverem sido destruídos. ² Como os jobs de importação do Cloud KMS têm um ciclo de vida controlado e não podem ser encerrados com antecedência, um ImportJob não é considerado fora de região se o job tiver expirado e não puder mais ser usado. para importar chaves. ³Como o ciclo de vida dos jobs do Dataflow não pode ser gerenciado, um job não é considerado fora de região quando atinge o estado do terminal (interrompido ou drenado), quando pode não será mais usada para processar dados.

Descobertas de vulnerabilidades do Pub/Sub

As vulnerabilidades desse tipo de detector estão relacionadas às configurações do Pub/Sub e pertencem ao tipo PUBSUB_SCANNER.

**Tabela 15.** Leitor do Pub/Sub
Detector	Resumo	Configurações da verificação de recursos	Padrões de conformidade
`PUBSUB_CMEK_DISABLED`	Como encontrar a descrição: um tópico do Pub/Sub não é criptografado com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ser ativado. Para instruções, consulte Ativar detectores de análise de integridade de segurança mais adiante nesta página. Nível de preços: Premium Recursos compatíveis pubsub.googleapis.com/Topic Corrigir esta descoberta	Verifica o campo `kmsKeyName` para o nome do recurso da CMEK. Verificações em lote: a cada seis horas Verificações em tempo real: não

Descobertas de vulnerabilidade SQL

As vulnerabilidades desse tipo de detector estão relacionadas às configurações do Cloud SQL e pertencem ao tipo SQL_SCANNER.

**Tabela 16.** Verificador de SQL
Detector	Resumo	Configurações da verificação de recursos	Padrões de conformidade
`AUTO_BACKUP_DISABLED`	Encontrar a descrição: um banco de dados do Cloud SQL não tem backups automáticos ativados. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir esta descoberta	Verifica se a propriedade `backupConfiguration.enabled` de dados do Cloud SQL está definida como `true`. Recursos excluídos das verificações: réplicas do Cloud SQL Entradas adicionais: lê políticas de IAM para ancestrais do armazenamento de recursos do Security Health Analytics Verificações em lote: a cada seis horas Verificações em tempo real: Sim	NIST 800-53: CP-9 ISO-27001: A.12.1.1
`PUBLIC_SQL_INSTANCE`	Encontrar a descrição: uma instância de banco de dados do Cloud SQL aceita conexões de todos os endereços IP. Nível de preços: Premium ou Standard Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir esta descoberta	Verifica se a propriedade `authorizedNetworks` das instâncias do Cloud SQL está definida como um único endereço IP ou intervalo de endereços IP. Verificações em lote: a cada seis horas Verificações em tempo real: Sim	CIS GCP Foundation 1.0: 6.2 PCI-DSS v3.2.1: 1.2.1 NIST 800-53 (em inglês): CA-3, SC-7 ISO-27001: A.8.2.3, A.13.1.3, A.14.1.3
`SSL_NOT_ENFORCED`	Encontrar a descrição: uma instância de banco de dados do Cloud SQL não exige que todas as conexões de entrada usem SSL. Nível de preços: Premium ou Standard Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir esta descoberta	Verifica se a propriedade `requireSsl` da instância do Cloud SQL está definida como `true`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim	CIS GCP Foundation 1.0: 6.1 PCI-DSS v3.2.1: 4.1 NIST 800-53 (link em inglês): SC-7 ISO-27001: A.8.2.3, A.13.2.1, A.14.1.3
`SQL_CMEK_DISABLED`	Encontrar a descrição: uma instância de banco de dados SQL não é criptografada com chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês). Esse detector requer configuração adicional para ser ativado. Para instruções, consulte Ativar detectores de análise de integridade de segurança mais adiante nesta página. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir esta descoberta	Verifica o campo `kmsKeyName` no objeto `diskEncryptionKey`, nos metadados da instância, para ver o nome do recurso da CMEK. Verificações em lote: a cada seis horas Verificações em tempo real: Sim
`SQL_CONTAINED_DATABASE_AUTHENTICATION`	Encontrar a descrição: A sinalização do banco de dados `contained database authentication` para uma instância do Cloud SQL para SQL Server não está definida como `off`. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir esta descoberta	Verifica a propriedade `databaseFlags` dos metadados da instância para o par de chave-valor, `"name"`: `"contained database authentication"`, `"value"`: `"on"` ou se está ativado por padrão. Verificações em lote: a cada seis horas Verificações em tempo real: Sim
`SQL_CROSS_DB_OWNERSHIP_CHAINING`	Como encontrar a descrição: a sinalização do banco de dados `cross_db_ownership_chaining` para uma instância do Cloud SQL para SQL Server não está definida como `off`. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir esta descoberta	Verifica a propriedade `databaseFlags` dos metadados da instância para o par de chave-valor `"name"`: `"cross_db_ownership_chaining"`, `"value": "on"`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim
`SQL_LOCAL_INFILE`	Encontrar a descrição: a sinalização do banco de dados `local_infile` para uma instância do Cloud SQL para MySQL não está definida como `off`. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir esta descoberta	Verifica a propriedade `databaseFlags` dos metadados da instância para o par de chave-valor `"name"`: `"local_infile"`, `"value": "on"`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim
`SQL_LOG_CHECKPOINTS_DISABLED`	Encontrar a descrição: A sinalização de banco de dados `log_checkpoints` para uma instância do Cloud SQL para PostgreSQL não está definida como `on`. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir esta descoberta	Verifica a propriedade `databaseFlags` dos metadados da instância para o par de chave-valor `"name"`: `"log_checkpoints"`, `"value": "on"`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim
`SQL_LOG_CONNECTIONS_DISABLED`	Encontrar a descrição: A sinalização de banco de dados `log_connections` para uma instância do Cloud SQL para PostgreSQL não está definida como `on`. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir esta descoberta	Verifica a propriedade `databaseFlags` dos metadados da instância para o par de chave-valor `"name"`: `"log_connections"`, `"value": "on"`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim
`SQL_LOG_DISCONNECTIONS_DISABLED`	Como encontrar a descrição: a sinalização do banco de dados `log_disconnections` para uma instância do Cloud SQL para PostgreSQL não está definida como `on`. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir esta descoberta	Verifica a propriedade `databaseFlags` dos metadados da instância para o par de chave-valor `"name"`: `"log_disconnections"`, `"value": "on"`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim
`SQL_LOG_LOCK_WAITS_DISABLED`	Encontrar a descrição: A sinalização de banco de dados `log_lock_waits` para uma instância do Cloud SQL para PostgreSQL não está definida como `on`. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir esta descoberta	Verifica a propriedade `databaseFlags` dos metadados da instância para o par de chave-valor `"name"`: `"log_lock_waits"`, `"value": "on"`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim
`SQL_LOG_MIN_DURATION_STATEMENT_ENABLED`	Como encontrar a descrição: a sinalização do banco de dados `log_min_duration_statement` para uma instância do Cloud SQL para PostgreSQL não está definida como "-1". Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir esta descoberta	Verifica a propriedade `databaseFlags` dos metadados da instância para o par de chave-valor `"name"`: `"log_min_duration_statement"`, `"value": "-1"`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim
`SQL_LOG_MIN_ERROR_STATEMENT`	Como encontrar a descrição: a sinalização do banco de dados `log_min_error_statement` para uma instância do Cloud SQL para PostgreSQL não está definida corretamente. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir esta descoberta	Verifica se o`log_min_error_statement` campo do`databaseFlags` é definida como um dos seguintes valores:`debug5` ,`debug4` ,`debug3` ,`debug2` ,`debug1` ,`info` ,`notice` ,`warning` ou o valor padrão`error` para começar. Verificações em lote: a cada seis horas Verificações em tempo real: Sim
`SQL_LOG_TEMP_FILES`	Como encontrar a descrição: a sinalização do banco de dados `log_temp_files` para uma instância do Cloud SQL para PostgreSQL não está definida como "0". Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir esta descoberta	Verifica a propriedade `databaseFlags` dos metadados da instância para o par de chave-valor `"name"`: `"log_temp_files"`, `"value": "0"`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim
`SQL_NO_ROOT_PASSWORD`	Encontrar a descrição: um banco de dados do Cloud SQL não tem uma senha configurada para a conta raiz. Esse detector requer configurações adicionais para ser ativado. Para instruções, consulte Ativar detectores de análise de integridade de segurança mais adiante nesta página. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir esta descoberta	Verifica se a propriedade `rootPassword` da conta raiz está vazia. Permissões adicionais do IAM: `roles/cloudsql.client` Entradas adicionais: consulta instâncias ativas Verificações em lote: a cada seis horas Verificações em tempo real: não	CIS GCP Foundation 1.0: 6.3 PCI-DSS v3.2.1: 2.1 NIST 800-53: AC-3 ISO-27001: A.8.2.3, A.9.4.2
`SQL_PUBLIC_IP`	Encontrar a descrição: um banco de dados do Cloud SQL tem um endereço IP público. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir esta descoberta	Verifica se o tipo de endereço IP de um banco de dados do Cloud SQL está definido como `Primary`, indicando que ele é público. Verificações em lote: a cada seis horas Verificações em tempo real: Sim
`SQL_WEAK_ROOT_PASSWORD`	Encontrar a descrição: um banco de dados do Cloud SQL tem uma senha fraca configurada para a conta raiz. Esse detector requer configuração adicional para ser ativado. Para instruções, consulte Ativar detectores de análise de integridade de segurança mais adiante nesta página. Nível de preços: Premium Recursos compatíveis sqladmin.googleapis.com/Instance Corrigir esta descoberta	Compara a senha da conta raiz do seu banco de dados do Cloud SQL com uma lista de senhas comuns. Permissões adicionais do IAM: `roles/cloudsql.client` Entradas adicionais: consulta instâncias ativas Verificações em lote: a cada seis horas Verificações em tempo real: não

Descobertas de vulnerabilidade do armazenamento

As vulnerabilidades desse tipo de detector estão relacionadas às configurações dos buckets do Cloud Storage e pertencem ao tipo STORAGE_SCANNER.

**Tabela 17.** Leitor de armazenamento
Detector	Resumo	Configurações da verificação de recursos	Padrões de conformidade
`BUCKET_CMEK_DISABLED`	Encontrar a descrição: um bucket não é criptografado com chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês). Esse detector requer configuração adicional para ser ativado. Para instruções, consulte Ativar detectores de análise de integridade de segurança posteriormente nesta página. Nível de preços: Premium Recursos compatíveis storage.googleapis.com/Bucket Corrigir esta descoberta	Verifica o campo `encryption` nos metadados do bucket para o nome do recurso da CMEK. Verificações em lote: a cada seis horas Verificações em tempo real: Sim
`BUCKET_POLICY_ONLY_DISABLED`	Encontrar a descrição: o acesso uniforme no nível do bucket, anteriormente chamado de Somente política do bucket, não está configurado. Nível de preços: Premium Recursos compatíveis storage.googleapis.com/Bucket Corrigir esta descoberta	Verifica se a propriedade `uniformBucketLevelAccess` em um bucket está definida como `"enabled":false`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim
`PUBLIC_BUCKET_ACL`	Encontrar a descrição: um bucket do Cloud Storage é acessível publicamente. Nível de preços: Premium ou Standard Recursos compatíveis storage.googleapis.com/Bucket Corrigir esta descoberta	Verifica a política de IAM de um bucket para papéis públicos, `allUsers` ou `allAuthenticatedUsers`, com privilégios de administrador ou editor. Verificações em lote: a cada seis horas Verificações em tempo real: Sim	CIS GCP Foundation 1.0: 5.1 PCI-DSS v3.2.1: 7.1 NIST 800-53: AC-2 ISO-27001: A.8.2.3, A.14.1.3
`PUBLIC_LOG_BUCKET`	Encontrar a descrição: um bucket de armazenamento usado como coletor de registros pode ser acessado publicamente. Nível de preços: Premium ou Standard Recursos compatíveis storage.googleapis.com/Bucket Corrigir esta descoberta	Verifica a política de IAM de um bucket para membros públicos, `allUsers` ou `allAuthenticatedUsers`. Entradas adicionais: lê o coletor de registro (o filtro de registro e o destino do registro) de um bucket para determinar se é um bucket de registros Verificações em lote: a cada seis horas Verificações em tempo real: sim, mas apenas se a política do IAM for alterada no bucket, não se o coletor de registro for alterado	PCI-DSS v3.2.1: 10,5 NIST 800-53: AU-9 ISO-27001: A.8.2.3, A.12.4.2, A.18.1.3

Descobertas de vulnerabilidades de sub-rede

As vulnerabilidades desse tipo de detector estão relacionadas às configurações de sub-rede da organização e pertencem ao tipo SUBNETWORK_SCANNER.

**Tabela 18.** Leitor de sub-rede
Detector	Resumo	Configurações da verificação de recursos	Padrões de conformidade
`FLOW_LOGS_DISABLED`	Encontrar a descrição: há uma sub-rede VPC com registros de fluxo desativados. Nível de preços: Premium Recursos compatíveis compute.googleapis.com/Sub-rede Corrigir esta descoberta	Verifica se a propriedade `enableFlowLogs` das sub-redes do Compute Engine está ausente ou definida como `false`. Recursos excluídos das verificações: acesso VPC sem servidor, sub-redes do balanceador de carga Verificações em lote: a cada seis horas Verificações em tempo real: Sim	CIS GCP Foundation 1.0: 3.9 PCI-DSS v3.2.1: 10.1, 10.2 NIST 800-53 (em inglês): SI-4 ISO-27001: A.13.1.1
`PRIVATE_GOOGLE_ACCESS_DISABLED`	Como encontrar a descrição: há sub-redes privadas sem acesso às APIs públicas do Google. Nível de preços: Premium Recursos compatíveis storage.googleapis.com/Bucket compute.googleapis.com/sub-rede Corrigir esta descoberta	Verifica se a propriedade `privateIpGoogleAccess` das sub-redes do Compute Engine está definida como `false`. Verificações em lote: a cada seis horas Verificações em tempo real: Sim	CIS GCP Foundation 1.0: 3.8

Ativar detectores do Security Health Analytics

Os seguintes detectores do Security Health Analytics não estão ativados por padrão:

BUCKET_CMEK_DISABLED
DISK_CMEK_DISABLED
DISK_CSEK_DISABLED
NODEPOOL_BOOT_CMEK_DISABLED
PUBSUB_CMEK_DISABLED
SQL_CMEK_DISABLED
SQL_NO_ROOT_PASSWORD
SQL_WEAK_ROOT_PASSWORD

Para ativar um detector, também conhecido como módulo, execute o seguinte comando Alfa da gcloud na ferramenta de linha de comando gcloud.

  gcloud alpha scc settings services modules enable \
    --organization=ORGANIZATION_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR

Substitua:

ORGANIZATION_ID: o ID da organização
DETECTOR: o nome do detector que você quer ativar

Descobertas do Web Security Scanner

As verificações personalizadas e gerenciadas do Web Security Scanner identificam os tipos de descoberta a seguir. No nível Standard, o Web Security Scanner é compatível com verificações personalizadas de aplicativos implantados com URLs e IPs públicos que não estão atrás de um firewall.

**Tabela 18.**Descobertas do Web Security Scanner
Categoria	Como encontrar a descrição	10 principais OWASP
`ACCESSIBLE_GIT_REPOSITORY`	Um repositório Git é exposto publicamente. Para resolver essa descoberta, remova o acesso público não intencional ao repositório do GIT.	A3
`ACCESSIBLE_SVN_REPOSITORY`	Um repositório SVN é exposto publicamente. Para resolver essa descoberta, remova o acesso não intencional público ao repositório SVN.	A3
`CLEAR_TEXT_PASSWORD`	As senhas estão sendo transmitidas em texto não criptografado e podem ser interceptadas. Para resolver essa descoberta, criptografe a senha transmitida pela rede.	A3
`INVALID_CONTENT_TYPE`	Um recurso foi carregado e ele não corresponde ao cabeçalho HTTP da resposta Content-Type. Para resolver essa descoberta, defina o cabeçalho HTTP `X-Content-Type-Options` com o valor correto.	A6
`INVALID_HEADER`	Um cabeçalho de segurança tem um erro de sintaxe e é ignorado pelos navegadores. Para resolver essa descoberta, defina cabeçalhos de segurança HTTP corretamente.	A6
`MISMATCHING_SECURITY_HEADER_VALUES`	Um cabeçalho de segurança tem valores duplicados e incompatíveis, o que resulta em comportamento indefinido. Para resolver essa descoberta, defina cabeçalhos de segurança HTTP corretamente.	A6
`MISSPELLED_SECURITY_HEADER_NAME`	Um cabeçalho de segurança foi escrito incorretamente e é ignorado. Para resolver essa descoberta, defina cabeçalhos de segurança HTTP corretamente.	A6
`MIXED_CONTENT`	Os recursos são exibidos por HTTP em uma página HTTPS. Para resolver essa questão, certifique-se de que todos os recursos sejam atendidos por HTTPS.	A6
`OUTDATED_LIBRARY`	Foi detectada uma biblioteca com vulnerabilidades conhecidas. Para resolver essa descoberta, faça upgrade das bibliotecas para uma versão mais recente.	A9
`XSS`	Um campo nesse aplicativo da Web é vulnerável a um ataque de script entre sites (XSS). Para resolver essa questão, valide e libere dados não confiáveis fornecidos pelo usuário.	A7
`XSS_ANGULAR_CALLBACK`	Uma string fornecida pelo usuário não tem escape, e o MVC pode interpolá-la. Para resolver essa descoberta, valide e libere dados não confiáveis fornecidos pelo usuário manipulados pela framework Angular.	A7
`XSS_ERROR`	Um campo neste aplicativo da Web é vulnerável a um ataque de scripting em vários locais. Para resolver essa descoberta, valide e faça o escape de dados não confiáveis fornecidos pelo usuário.	A7

Comparativos de mercado CIS

O Center for Internet Security (CIS) inclui os seguintes comparativos de mercado que, no momento, os detectores de segurança da Web ou do Security Health Analytics não são compatíveis:

**Tabela 19.** Comparativo de mercado do CIS
Categoria	Como encontrar a descrição	CIS GCP Foundation 1.0
`BASIC_AUTHENTICATION_ENABLED`	O IAM ou a autenticação de certificados do cliente precisam ser ativados em clusters do Kubernetes.	7.10
`CLIENT_CERT_AUTHENTICATION_DISABLED`	Clusters do Kubernetes precisam ser criados com certificados do cliente ativados.	7.12
`LABELS_NOT_USED`	Rótulos podem ser usados para decompor informações de faturamento.	7,5
`PUBLIC_STORAGE_OBJECT`	A ACL de objetos de armazenamento não pode conceder acesso a allUsers.	5.2
`SQL_BROAD_ROOT_LOGIN`	O acesso root a um banco de dados SQL precisa ser limitado a IPs confiáveis com permissão para serem listados.	6.4

A seguir

Saiba como usar o Security Health Analytics e como usar o Web Security Scanner.
Leia sugestões para saber como corrigir as descobertas do Security Health Analytics e como corrigir as descobertas do Web Security Scanner.