Os detectores do Security Health Analytics e do Web Security Scanner geram tipos de descoberta de vulnerabilidades que estão disponíveis no Security Command Center.
Detectores e compliance
As tabelas a seguir descrevem os tipos de detectores e os tipos de detecção de vulnerabilidades específicos que podem ser gerados pelo Security Health Analytics e pelo Web Security Scanner. É possível filtrar as descobertas por nome do detector e pelo tipo de descoberta usando a guia "Vulnerabilidades do Security Command Center" no Console do Google Cloud.
Essas tabelas incluem uma descrição do mapeamento entre os detectores compatíveis e o melhor mapeamento de esforço para os esquemas de conformidade relevantes.
Os mapeamentos do CIS Google Cloud Foundation 1.0 foram revisados e certificados pelo centro para segurança de internet para o comparativo de mercado do CIS Google Computing Foundations v1.0.0. Os mapeamentos de conformidade adicionais estão incluídos para referência e não são fornecidos ou revisados pelo Padrão de segurança de dados da indústria de cartões de pagamento ou pela OWASP Foundation. Consulte o Comparativo de mercado do CIS Google Cloud Foundations v1.0.0 (CIS Google Cloud Foundation 1.0), Padrão de segurança de dados da indústria de cartões de pagamento 3.2 (PCI-DSS v3.2), OWASP Top, Instituto Nacional de Padrões e Tecnologia 800-53 (NIST 800-53) e Organização Internacional de Padronização 27001 (ISO 27001) para saber como verificar essas violações manualmente.
Essa funcionalidade destina-se apenas ao monitoramento de violações de controles de conformidade. Os mapeamentos não são fornecidos para uso como base ou como substitutos para a auditoria, certificação ou relatório de conformidade dos seus produtos ou serviços com comparativos de mercado ou padrões regulatórios ou do setor.
Security Health Analytics
Veja a seguir os tipos identificados pelos detectores da Security Health Analytics.
Descobertas da verificação em duas etapas
O detector 2SV_SCANNER identifica vulnerabilidades relacionadas à verificação em duas etapas
para os usuários.
| Categoria | Como encontrar a descrição | CIS GCP Foundation 1.0 | PCI-DSS v3.2 | 10 principais OWASP | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|
2SV_NOT_ENFORCED |
Há usuários que não estão usando a verificação em duas etapas. | 1.2 | IA-2 | A.9.4.2 |
Descobertas de vulnerabilidade da chave de API
O detector API_KEY_SCANNER identifica vulnerabilidades relacionadas às
chaves de API usadas na implantação na nuvem.
| Categoria | Como encontrar a descrição | CIS GCP Foundation 1.0 | PCI-DSS v3.2 | 10 principais OWASP | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|
API_KEY_APIS_UNRESTRICTED |
Há chaves de API muito usadas. Para resolver isso, limite o uso da chave de API para permitir apenas as APIs necessárias ao aplicativo. | 1,11 | ||||
API_KEY_APPS_UNRESTRICTED |
Há chaves de API sendo usadas de maneira irrestrita, permitindo o uso por qualquer app não confiável. | |||||
API_KEY_EXISTS |
Um projeto está usando chaves de API em vez da autenticação padrão. | 1.10 | ||||
API_KEY_NOT_ROTATED |
A chave de API não é alternada há mais de 90 dias. | 1.13 |
Calcular descobertas de vulnerabilidade de imagem
O detector COMPUTE_IMAGE_SCANNER identifica vulnerabilidades relacionadas às
configurações de imagem do Google Cloud.
| Categoria | Como encontrar a descrição | CIS GCP Foundation 1.0 | PCI-DSS v3.2 | 10 principais OWASP | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|
PUBLIC_COMPUTE_IMAGE |
Uma imagem do Compute Engine pode ser acessada publicamente. |
Descobertas de vulnerabilidade da instância do Compute
O detector COMPUTE_INSTANCE_SCANNER identifica vulnerabilidades relacionadas às
configurações de instâncias do Google Cloud.
Observe que o detector COMPUTE_INSTANCE_SCANNER não informa descobertas sobre instâncias do Compute
criadas pelo GKE. Essas instâncias têm nomes que começam com "gke-" e
não podem ser editadas diretamente pelos usuários. Para proteger essas instâncias, consulte a seção de descobertas de vulnerabilidades
do contêiner.
| Categoria | Como encontrar a descrição | CIS GCP Foundation 1.0 | PCI-DSS v3.2 | 10 principais OWASP | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
As chaves SSH do projeto são usadas, o que permite o login em todas as instâncias no projeto. | 4.2 | ||||
COMPUTE_SECURE_BOOT_DISABLED |
Esta VM protegida não tem a inicialização segura ativada. O uso da Inicialização segura ajuda a proteger instâncias de máquina virtual contra ameaças avançadas, como rootkits e bootkits. | 4,8 | ||||
COMPUTE_SERIAL_PORTS_ENABLED |
As portas seriais de uma instância são ativadas, o que permite conexões com o console serial da instância. | 4.4 | ||||
DISK_CSEK_DISABLED |
Os discos nesta VM não são criptografados com chaves de criptografia fornecidas pelo cliente (CSEK, na sigla em inglês). Esse
detector requer configuração adicional Para ativar este detector, aplique a
marca de segurança
enforce_customer_supplied_disk_encryption_keys com um valor de true
aos recursos que você quer monitorar.
|
4,60 | ||||
FULL_API_ACCESS |
Uma instância é configurada para usar a conta de serviço padrão com acesso total a todas as APIs do Google Cloud. | 4,1 | AC-6 | A.9.2.3 | ||
IP_FORWARDING_ENABLED |
O encaminhamento de IP está ativado nas instâncias. | 4,5 | ||||
OS_LOGIN_DISABLED |
O login do SO está desativado nesta instância. | 4.3 | ||||
PUBLIC_IP_ADDRESS |
Uma instância tem um endereço IP público. |
1.2.1
1.3.5 |
CA-3
SC-7 |
|||
WEAK_SSL_POLICY |
Uma instância tem uma política de SSL fraca. | SC-7 | A.14.1.3 |
Descobertas da vulnerabilidade do contêiner
Todos esses tipos de localização estão relacionados às configurações de contêiner do GKE
e pertencem ao tipo de detector CONTAINER_SCANNER.
| Categoria | Como encontrar a descrição | CIS GCP Foundation 1.0 | PCI-DSS v3.2 | 10 principais OWASP | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|
AUTO_REPAIR_DISABLED |
O recurso de reparo automático de clusters do GKE, que mantém os nós em um estado íntegro e em execução, é desativado. | 7.7 | ||||
AUTO_UPGRADE_DISABLED |
O recurso de upgrade automático de clusters do GKE, que mantém clusters e pools de nós na versão estável mais recente do Kubernetes, está desativado. | 7,8 | ||||
CLUSTER_LOGGING_DISABLED |
A geração de registros não está ativada para um cluster do GKE. | 7,1 | ||||
CLUSTER_MONITORING_DISABLED |
O Cloud Monitoring é desativado nos clusters do GKE. | 7.2 |
10.2.2
10.2.7 |
|||
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED |
Os hosts de cluster não estão configurados para usar apenas endereços IP internos particulares para acessar as APIs do Google. | 7.16 | 1.3 | |||
COS_NOT_USED |
As VMs do Compute Engine não estão usando o Container-Optimized OS projetado para executar contêineres do Docker no Google Cloud com segurança. | 7.9 | 2.2 | |||
IP_ALIAS_DISABLED |
Um cluster do GKE foi criado com intervalos de IP de alias desativados. | 7.13 |
1.3.4
1.3.7 |
|||
LEGACY_AUTHORIZATION_ENABLED |
A autorização legada é ativada em clusters do GKE. | 7.3 | 4,1 | |||
LEGACY_METADATA_ENABLED |
Os metadados legados são ativados nos clusters do GKE. | |||||
MASTER_AUTHORIZED_NETWORKS_DISABLED |
As redes mestres autorizadas não estão ativadas nos clusters do GKE. | 7.4 | ||||
NETWORK_POLICY_DISABLED |
A política de rede está desativada nos clusters do GKE. | 7.11 | 1.3 | SC-7 | A.13.1.1 | |
OVER_PRIVILEGED_ACCOUNT |
Uma conta de serviço tem acesso excessivamente amplo ao projeto em um cluster. | 7.17 | 2.1 |
AC-6
SC-7 |
A.9.2.3 | |
OVER_PRIVILEGED_SCOPES |
Uma conta de serviço do nó tem escopos de acesso amplos. | 7.18 | ||||
POD_SECURITY_POLICY_DISABLED |
Esse PodSecurityPolicy está desativado em um cluster do GKE.
|
7.14 | ||||
PRIVATE_CLUSTER_DISABLED |
Um cluster do GKE tem um cluster particular desativado. | 7.15 | ||||
WEB_UI_ENABLED |
A IU da Web do GKE (painel) está ativada. | 7.6 |
6.5.8
6.6 |
|||
WORKLOAD_IDENTITY_DISABLED |
A Identidade da carga de trabalho está desativada em um cluster do GKE. |
Descobertas de vulnerabilidade do conjunto de dados
As vulnerabilidades desse tipo de detector estão relacionadas às configurações
do conjunto de dados do BigQuery e pertencem ao tipo de detector DATASET_SCANNER.
| Categoria | Como encontrar a descrição | CIS GCP Foundation 1.0 | PCI-DSS v3.2 | 10 principais OWASP | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|
PUBLIC_DATASET |
Um conjunto de dados está configurado para ser aberto para acesso público. | AC-3 |
A.8.2.3
A.14.1.3 |
Descobertas de vulnerabilidade de DNS
As vulnerabilidades desse tipo de detector estão relacionadas às configurações do Cloud DNS
e pertencem ao tipo de detector DNS_SCANNER.
| Categoria | Como encontrar a descrição | CIS GCP Foundation 1.0 | PCI-DSS v3.2 | 10 principais OWASP | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|
DNSSEC_DISABLED |
O DNSSEC está desativado para zonas do Cloud DNS. | 3.3 | A.8.2.3 | |||
RSASHA1_FOR_SIGNING |
RSASHA1 é usado para assinatura de chaves em zonas do Cloud DNS. |
3.4
3.5 |
Descobertas de vulnerabilidades de firewall
As vulnerabilidades desse tipo de detector se relacionam com as configurações de firewall e
pertencem ao tipo de detector FIREWALL_SCANNER.
| Categoria | Como encontrar a descrição | CIS GCP Foundation 1.0 | PCI-DSS v3.2 | 10 principais OWASP | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|
FIREWALL_RULE_LOGGING_DISABLED |
A geração de registros de regras de firewall está desativada. O registro de regras de firewall deve estar ativado para que seja possível auditar o acesso da rede | 10.1 | SI-4 | A.13.1.1 | ||
OPEN_FIREWALL |
Um firewall está configurado para ser aberto ao acesso público. | 1.2.1 | ||||
OPEN_RDP_PORT |
Um firewall está configurado para ter uma porta RDP aberta que permite acesso genérico. | 3,7 | 1.2.1 | SC-7 | A.13.1.1 | |
OPEN_SSH_PORT |
Um firewall está configurado para ter uma porta SSH aberta que permita o acesso genérico. | 3,6 | 1.2.1 | SC-7 | A.13.1.1 |
Descobertas da vulnerabilidade do IAM
As vulnerabilidades desse tipo de detector estão relacionadas à configuração do gerenciamento de identidade e acesso (IAM, na sigla em inglês)
e pertencem ao tipo de detector IAM_SCANNER.
| Categoria | Como encontrar a descrição | CIS GCP Foundation 1.0 | PCI-DSS v3.2 | 10 principais OWASP | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|
ADMIN_SERVICE_ACCOUNT |
Há uma conta de serviço configurada com papéis de administrador. | 1.4 | ||||
KMS_PROJECT_HAS_OWNER |
Um usuário tem permissões de "Proprietário"; em um projeto que tem chaves criptográficas. | 3,5 |
AC-6
SC-12 |
A.9.2.3
A.10.1.2 |
||
KMS_ROLE_SEPARATION |
A separação de tarefas não é aplicada e um usuário existe com qualquer um dos papéis de: Criptografador/Descriptografador de CryptoKey do Cloud KMS (Cloud KMS), Criptografador ou descriptografador ao mesmo tempo. | 1.9 | AC-5 |
A.9.2.3
A.10.1.2 |
||
NON_ORG_IAM_MEMBER |
Há um usuário que não está usando credenciais organizacionais. | 1.1 | 7.1.2 | AC-3 | A.9.2.3 | |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
Um usuário tem o papel de Usuário da conta de serviço no nível do projeto, em vez de uma conta de serviço específica. | 1.5 | 7.1.2 | AC-6 | A.9.2.3 | |
PRIMITIVE_ROLES_USED |
Um usuário tem o papel primário "Proprietário", "Gravador" ou "Leitor". Esses papéis são muito permissivos e não podem ser usados. | 7.1.2 | AC-6 | A.9.2.3 | ||
REDIS_ROLE_USED_ON_ORG |
Um papel do Redis IAM é atribuído no nível da organização ou da pasta. | 8.7 | A.9.2.3 | |||
SERVICE_ACCOUNT_ROLE_SEPARATION |
Um usuário recebeu os papéis de administrador da conta de serviço e usuário da conta de serviço. Isso viola o princípio de "Separação de tarefas". | 1,7 | AC-5 | |||
SERVICE_ACCOUNT_KEY_NOT_ROTATED |
Uma chave da conta de serviço não foi alternada por mais de 90 dias. | 1.6 | ||||
USER_MANAGED_SERVICE_ACCOUNT_KEY |
Uma chave de conta de serviço é gerenciada por um usuário. | 1.3 |
Descobertas de vulnerabilidade do KMS
As vulnerabilidades desse tipo de detector estão relacionadas às configurações do Cloud KMS
e pertencem ao tipo de detector KMS_SCANNER.
| Categoria | Como encontrar a descrição | CIS GCP Foundation 1.0 | PCI-DSS v3.2 | 10 principais OWASP | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|
KMS_KEY_NOT_ROTATED |
A rotação não está configurada em uma chave de criptografia do Cloud KMS. | 1,8 | SC-12 | A.10.1.2 | ||
TOO_MANY_KMS_USERS |
Há mais de três usuários de chaves criptográficas. | 3.5.2 | A.9.2.3 |
Descobertas de vulnerabilidade de geração de registros
As vulnerabilidades desse tipo de detector estão relacionadas às configurações de geração de registros e
pertencem ao tipo de detector LOGGING_SCANNER.
| Categoria | Como encontrar a descrição | CIS GCP Foundation 1.0 | PCI-DSS v3.2 | 10 principais OWASP | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|
AUDIT_LOGGING_DISABLED |
A geração de registros de auditoria foi desativada para este recurso. | 2.1 | 10.2.3 | AU-2 |
A.12.4.1
A.16.1.7 |
|
BUCKET_LOGGING_DISABLED |
Há um bucket de armazenamento sem a geração de registros ativada. | 5.3 | ||||
LOG_NOT_EXPORTED |
Há um recurso que não tem um coletor de registros apropriado configurado. | 2.2 | 10.2.3 | A.18.1.3 | ||
OBJECT_VERSIONING_DISABLED |
O controle de versão de objeto não está ativado em um bucket de armazenamento em que os coletores são configurados. | 2,3 | 10.2.3 | |||
PUBLIC_LOG_BUCKET |
Buckets de armazenamento usados como coletores de registros não podem ficar acessíveis publicamente. | 10,5 | AU-9 |
A.8.2.3
A.12.4.2 A.18.1.3 |
Como monitorar descobertas de vulnerabilidade
Todas as vulnerabilidades desse tipo de detector estão relacionadas às configurações de monitoramento
e pertencem ao tipo MONITORING_SCANNER. Todas as propriedades de descoberta
do detector do Monitoring incluem:
-
O
RecommendedLogFiltera ser usado na criação das métricas de registro. -
O
QualifiedLogMetricNamesque abrange as condições listadas no filtro de registro recomendado. -
O
AlertPolicyFailureReasonsque indica se o projeto não tem políticas de alerta criadas para nenhuma das métricas de registro qualificadas ou se as políticas de alerta atuais não têm as configurações recomendadas.
| Categoria | Como encontrar a descrição | CIS GCP Foundation 1.0 | PCI-DSS v3.2 | 10 principais OWASP | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|
AUDIT_CONFIG_NOT_MONITORED |
As métricas e os alertas de registros não estão configurados para monitorar as alterações de configuração de auditoria. | 2,5 | ||||
BUCKET_IAM_NOT_MONITORED |
As métricas e os alertas de registros não estão configurados para monitorar as alterações de permissão do IAM do Cloud Storage. | 2.10 | 1.3.2 | |||
CUSTOM_ROLE_NOT_MONITORED |
As métricas e os alertas de registro não estão configurados para monitorar as alterações de papéis personalizados. | 2,6 | ||||
FIREWALL_NOT_MONITORED |
As métricas e os alertas de registro não são configurados para monitorar alterações de regras do Firewall da rede VPC. | 2,7 | ||||
NETWORK_NOT_MONITORED |
As métricas e os alertas de registro não estão configurados para monitorar alterações de rede VPC. | 2,9 | ||||
OWNER_NOT_MONITORED |
Métricas e alertas de registros não são configurados para monitorar atribuições ou alterações de propriedade do projeto. | 2.4 | ||||
ROUTE_NOT_MONITORED |
As métricas e os alertas de registros não estão configurados para monitorar as alterações na rota da rede VPC. | 2,8 | ||||
SQL_INSTANCE_NOT_MONITORED |
As métricas e os alertas de registro não são configurados para monitorar alterações na configuração da instância do Cloud SQL. | 2.11 |
Descobertas de vulnerabilidades de rede
As vulnerabilidades desse tipo de detector estão relacionadas às configurações de rede
de uma organização e pertencem ao tipo NETWORK_SCANNER.
| Categoria | Como encontrar a descrição | CIS GCP Foundation 1.0 | PCI-DSS v3.2 | 10 principais OWASP | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|
DEFAULT_NETWORK |
A rede padrão existe em um projeto. | 3,1 | ||||
LEGACY_NETWORK |
Existe uma rede legada em um projeto. | 3,2 |
Descobertas de vulnerabilidade de senha SSH
As vulnerabilidades desse tipo de detector estão relacionadas às senhas e pertencem ao
tipo SSH_PASSWORD.
| Categoria | Como encontrar a descrição | CIS GCP Foundation 1.0 | PCI-DSS v3.2 | 10 principais OWASP | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|
WEAK_SSH_PASSWORD |
Um recurso tem uma senha SSH fraca. |
Descobertas de vulnerabilidade SQL
As vulnerabilidades desse tipo de detector estão relacionadas às configurações
do Cloud SQL e pertencem ao tipo SQL_SCANNER.
| Categoria | Como encontrar a descrição | CIS GCP Foundation 1.0 | PCI-DSS v3.2 | 10 principais OWASP | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|
AUTO_BACKUP_DISABLED |
Um banco de dados do Cloud SQL não tem backups automáticos ativados. | 10.2.1 | CA-3 | A.12.3.1 | ||
PUBLIC_SQL_INSTANCE |
Uma instância de banco de dados do Cloud SQL aceita conexões de todos os endereços IP. | 6,2 | 1.2.1 |
CA-3
SC-7 |
A.8.2.3
A.13.1.3 A.14.1.3 |
|
SSL_NOT_ENFORCED |
Uma instância de banco de dados do Cloud SQL não requer que todas as conexões de entrada usem SSL. | 6.1 | 2,3 | SC-7 |
A.8.2.3
A.13.2.1 A.14.1.3 |
|
SQL_NO_ROOT_PASSWORD |
Um banco de dados do Cloud SQL não tem uma senha configurada para a conta raiz. | |||||
SQL_WEAK_ROOT_PASSWORD |
Um banco de dados do Cloud SQL tem uma senha fraca configurada para a conta raiz. |
Descobertas de vulnerabilidade do armazenamento
As vulnerabilidades desse tipo de detector estão relacionadas às configurações dos buckets do Cloud Storage
e pertencem ao tipo STORAGE_SCANNER.
| Categoria | Como encontrar a descrição | CIS GCP Foundation 1.0 | PCI-DSS v3.2 | 10 principais OWASP | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|
BUCKET_POLICY_ONLY_DISABLED |
Uniform bucket-level access, anteriormente chamado de Bucket Policy Only,
não está configurado.
|
|||||
LOGGING_DISABLED |
A geração de registros está desativada para um bucket do Cloud Storage. | |||||
PUBLIC_BUCKET_ACL |
Um bucket do Cloud Storage é acessível publicamente. | 5.1 | 7,1 | AC-2 |
A.8.2.3
A.14.1.3 |
Descobertas de vulnerabilidades de sub-rede
As vulnerabilidades desse tipo de detector estão relacionadas às configurações
de sub-rede da organização e pertencem ao tipo SUBNETWORK_SCANNER.
| Categoria | Como encontrar a descrição | CIS GCP Foundation 1.0 | PCI-DSS v3.2 | 10 principais OWASP | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|
FLOW_LOGS_DISABLED |
Há uma sub-rede VPC com registros de fluxo desativados. | 3,9 | SI-4 | A.13.1.1 | ||
PRIVATE_GOOGLE_ACCESS_DISABLED |
Há sub-redes privadas sem acesso às APIs públicas do Google. | 3,8 |
Descobertas do Web Security Scanner
Veja a seguir os tipos que são identificados pelos leitores personalizados e gerenciados do Web Security Scanner.
| Categoria | Como encontrar a descrição | CIS GCP Foundation 1.0 | PCI-DSS v3.2 | 10 principais OWASP | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|
ACCESSIBLE_GIT_REPOSITORY |
Um repositório GIT é exposto publicamente. Para resolver esse problema, remova o acesso público não intencional ao repositório do GIT. | A3 | ||||
ACCESSIBLE_SVN_REPOSITORY |
Um repositório SVN é exposto publicamente. Para resolver isso, remova o acesso não intencional público ao repositório SVN. | A3 | ||||
CLEAR_TEXT_PASSWORD |
As senhas estão sendo transmitidas em texto não criptografado e podem ser interceptadas. Para resolver isso, criptografe a senha transmitida pela rede. | A3 | ||||
INVALID_CONTENT_TYPE |
Um recurso foi carregado e ele não corresponde ao cabeçalho HTTP da resposta Content-Type. Para resolver isso, defina o cabeçalho HTTP "X-Content-Type-Options" com o valor correto. | A6 | ||||
INVALID_HEADER |
Um cabeçalho de segurança tem um erro de sintaxe e será ignorado pelos navegadores. Para resolver isso, defina os cabeçalhos de segurança HTTP corretamente. | A6 | ||||
MISMATCHING_SECURITY_HEADER_VALUES |
Um cabeçalho de segurança tem valores duplicados e incompatíveis, o que resulta em um comportamento indefinido. Para resolver isso, defina os cabeçalhos de segurança HTTP corretamente. | A6 | ||||
MISSPELLED_SECURITY_HEADER_NAME |
Um cabeçalho de segurança é escrito incorretamente e é ignorado. Para resolver isso, defina os cabeçalhos de segurança HTTP corretamente. | A6 | ||||
MIXED_CONTENT |
Os recursos são exibidos por HTTP em uma página HTTPS. Para resolver isso, todos os recursos precisam ser exibidos por HTTPS. | A6 | ||||
OUTDATED_LIBRARY |
Foi detectada uma biblioteca com vulnerabilidades conhecidas. Para resolver isso, faça o upgrade das bibliotecas para uma versão mais recente. | A9 | ||||
XSS |
Um campo nesse aplicativo da Web é vulnerável a um ataque de script entre sites (XSS). Para resolver isso, valide e escapar os dados não confiáveis fornecidos pelo usuário. | A7 | ||||
XSS_ANGULAR_CALLBACK |
Uma string fornecida pelo usuário não tem escape e pode ser interpolada pelo AngularJS. Para resolver isso, valide e escape dados não confiáveis fornecidos pelo usuário manipulados pela estrutura Angular. | A7 | ||||
XSS_ERROR |
Um campo neste aplicativo da Web é vulnerável a um ataque de scripting em vários locais. Para resolver isso, valide e evite escape dados não confiáveis fornecidos pelo usuário. | A7 |
Comparativo de mercado do CIS
O Centro para segurança da internet (CIS, na sigla em inglês) inclui os seguintes comparativos de mercado que, no momento, não são compatíveis com os detectores do Web Security Scanner ou do Security Health Analytics:
| Categoria | Como encontrar a descrição | CIS GCP Foundation 1.0 | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|
BASIC_AUTHENTICATION_ENABLED |
O IAM ou a autenticação de certificados do cliente precisam ser ativados em clusters do Kubernetes. | 7.10 | ||
CLIENT_CERT_AUTHENTICATION_DISABLED |
Clusters do Kubernetes precisam ser criados com certificados do cliente ativados. | 7.12 | ||
LABELS_NOT_USED |
Rótulos podem ser usados para decompor informações de faturamento. | 7,5 | ||
PUBLIC_STORAGE_OBJECT |
A ACL de objetos de armazenamento não pode conceder acesso a AllUsers. | 5.2 | ||
SQL_BROAD_ROOT_LOGIN |
O acesso root a um banco de dados SQL precisa ser limitado a IPs confiáveis com permissão para serem listados. | 6.4 |
A seguir
- Saiba como usar o Security Health Analytics e como usar o Web Security Scanner.
- Leia sugestões para saber como corrigir as descobertas do Security Health Analytics e como corrigir as descobertas do Web Security Scanner.