Descobertas de vulnerabilidades

>

Os detectores do Security Health Analytics e do Web Security Scanner geram tipos de descoberta de vulnerabilidades que estão disponíveis no Security Command Center.

Detectores e compliance

As tabelas a seguir descrevem os tipos de detectores e os tipos de detecção de vulnerabilidades específicos que podem ser gerados pelo Security Health Analytics e pelo Web Security Scanner. É possível filtrar as descobertas por nome do detector e pelo tipo de descoberta usando a guia "Vulnerabilidades do Security Command Center" no Console do Google Cloud.

Essas tabelas incluem uma descrição do mapeamento entre os detectores compatíveis e o melhor mapeamento de esforço para os esquemas de conformidade relevantes.

Os mapeamentos do CIS Google Cloud Foundation 1.0 foram revisados e certificados pelo centro para segurança de internet para o comparativo de mercado do CIS Google Computing Foundations v1.0.0. Os mapeamentos de conformidade adicionais estão incluídos para referência e não são fornecidos ou revisados pelo Padrão de segurança de dados da indústria de cartões de pagamento ou pela OWASP Foundation. Consulte o Comparativo de mercado do CIS Google Cloud Foundations v1.0.0 (CIS Google Cloud Foundation 1.0), Padrão de segurança de dados da indústria de cartões de pagamento 3.2 (PCI-DSS v3.2), OWASP Top, Instituto Nacional de Padrões e Tecnologia 800-53 (NIST 800-53) e Organização Internacional de Padronização 27001 (ISO 27001) para saber como verificar essas violações manualmente.

Essa funcionalidade destina-se apenas ao monitoramento de violações de controles de conformidade. Os mapeamentos não são fornecidos para uso como base ou como substitutos para a auditoria, certificação ou relatório de conformidade dos seus produtos ou serviços com comparativos de mercado ou padrões regulatórios ou do setor.

Security Health Analytics

Veja a seguir os tipos identificados pelos detectores da Security Health Analytics.

Descobertas da verificação em duas etapas

O detector 2SV_SCANNER identifica vulnerabilidades relacionadas à verificação em duas etapas para os usuários.

Tabela 1. Leitor da verificação em duas etapas
Categoria Como encontrar a descrição CIS GCP Foundation 1.0 PCI-DSS v3.2 10 principais OWASP NIST 800-53 ISO-27001
2SV_NOT_ENFORCED Há usuários que não estão usando a verificação em duas etapas. 1.2 IA-2 A.9.4.2

Descobertas de vulnerabilidade da chave de API

O detector API_KEY_SCANNER identifica vulnerabilidades relacionadas às chaves de API usadas na implantação na nuvem.

Tabela 2. Leitor de chave de API
Categoria Como encontrar a descrição CIS GCP Foundation 1.0 PCI-DSS v3.2 10 principais OWASP NIST 800-53 ISO-27001
API_KEY_APIS_UNRESTRICTED Há chaves de API muito usadas. Para resolver isso, limite o uso da chave de API para permitir apenas as APIs necessárias ao aplicativo. 1,11
API_KEY_APPS_UNRESTRICTED Há chaves de API sendo usadas de maneira irrestrita, permitindo o uso por qualquer app não confiável.
API_KEY_EXISTS Um projeto está usando chaves de API em vez da autenticação padrão. 1.10
API_KEY_NOT_ROTATED A chave de API não é alternada há mais de 90 dias. 1.13

Calcular descobertas de vulnerabilidade de imagem

O detector COMPUTE_IMAGE_SCANNER identifica vulnerabilidades relacionadas às configurações de imagem do Google Cloud.

Tabela 3. Compute Scan Scanner
Categoria Como encontrar a descrição CIS GCP Foundation 1.0 PCI-DSS v3.2 10 principais OWASP NIST 800-53 ISO-27001
PUBLIC_COMPUTE_IMAGE Uma imagem do Compute Engine pode ser acessada publicamente.

Descobertas de vulnerabilidade da instância do Compute

O detector COMPUTE_INSTANCE_SCANNER identifica vulnerabilidades relacionadas às configurações de instâncias do Google Cloud.

Observe que o detector COMPUTE_INSTANCE_SCANNER não informa descobertas sobre instâncias do Compute criadas pelo GKE. Essas instâncias têm nomes que começam com "gke-" e não podem ser editadas diretamente pelos usuários. Para proteger essas instâncias, consulte a seção de descobertas de vulnerabilidades do contêiner.

Tabela 4. Leitor de instâncias do Compute
Categoria Como encontrar a descrição CIS GCP Foundation 1.0 PCI-DSS v3.2 10 principais OWASP NIST 800-53 ISO-27001
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED As chaves SSH do projeto são usadas, o que permite o login em todas as instâncias no projeto. 4.2
COMPUTE_SECURE_BOOT_DISABLED Esta VM protegida não tem a inicialização segura ativada. O uso da Inicialização segura ajuda a proteger instâncias de máquina virtual contra ameaças avançadas, como rootkits e bootkits. 4,8
COMPUTE_SERIAL_PORTS_ENABLED As portas seriais de uma instância são ativadas, o que permite conexões com o console serial da instância. 4.4
DISK_CSEK_DISABLED Os discos nesta VM não são criptografados com chaves de criptografia fornecidas pelo cliente (CSEK, na sigla em inglês). Esse detector requer configuração adicional Para ativar este detector, aplique a marca de segurança enforce_customer_supplied_disk_encryption_keys com um valor de true aos recursos que você quer monitorar. 4,60
FULL_API_ACCESS Uma instância é configurada para usar a conta de serviço padrão com acesso total a todas as APIs do Google Cloud. 4,1 AC-6 A.9.2.3
IP_FORWARDING_ENABLED O encaminhamento de IP está ativado nas instâncias. 4,5
OS_LOGIN_DISABLED O login do SO está desativado nesta instância. 4.3
PUBLIC_IP_ADDRESS Uma instância tem um endereço IP público. 1.2.1
1.3.5
CA-3
SC-7
WEAK_SSL_POLICY Uma instância tem uma política de SSL fraca. SC-7 A.14.1.3

Descobertas da vulnerabilidade do contêiner

Todos esses tipos de localização estão relacionados às configurações de contêiner do GKE e pertencem ao tipo de detector CONTAINER_SCANNER.

Tabela 5. Leitor de contêineres
Categoria Como encontrar a descrição CIS GCP Foundation 1.0 PCI-DSS v3.2 10 principais OWASP NIST 800-53 ISO-27001
AUTO_REPAIR_DISABLED O recurso de reparo automático de clusters do GKE, que mantém os nós em um estado íntegro e em execução, é desativado. 7.7
AUTO_UPGRADE_DISABLED O recurso de upgrade automático de clusters do GKE, que mantém clusters e pools de nós na versão estável mais recente do Kubernetes, está desativado. 7,8
CLUSTER_LOGGING_DISABLED A geração de registros não está ativada para um cluster do GKE. 7,1
CLUSTER_MONITORING_DISABLED O Cloud Monitoring é desativado nos clusters do GKE. 7.2 10.2.2
10.2.7
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED Os hosts de cluster não estão configurados para usar apenas endereços IP internos particulares para acessar as APIs do Google. 7.16 1.3
COS_NOT_USED As VMs do Compute Engine não estão usando o Container-Optimized OS projetado para executar contêineres do Docker no Google Cloud com segurança. 7.9 2.2
IP_ALIAS_DISABLED Um cluster do GKE foi criado com intervalos de IP de alias desativados. 7.13 1.3.4
1.3.7
LEGACY_AUTHORIZATION_ENABLED A autorização legada é ativada em clusters do GKE. 7.3 4,1
LEGACY_METADATA_ENABLED Os metadados legados são ativados nos clusters do GKE.
MASTER_AUTHORIZED_NETWORKS_DISABLED As redes mestres autorizadas não estão ativadas nos clusters do GKE. 7.4
NETWORK_POLICY_DISABLED A política de rede está desativada nos clusters do GKE. 7.11 1.3 SC-7 A.13.1.1
OVER_PRIVILEGED_ACCOUNT Uma conta de serviço tem acesso excessivamente amplo ao projeto em um cluster. 7.17 2.1 AC-6
SC-7
A.9.2.3
OVER_PRIVILEGED_SCOPES Uma conta de serviço do nó tem escopos de acesso amplos. 7.18
POD_SECURITY_POLICY_DISABLED Esse PodSecurityPolicy está desativado em um cluster do GKE. 7.14
PRIVATE_CLUSTER_DISABLED Um cluster do GKE tem um cluster particular desativado. 7.15
WEB_UI_ENABLED A IU da Web do GKE (painel) está ativada. 7.6 6.5.8
6.6
WORKLOAD_IDENTITY_DISABLED A Identidade da carga de trabalho está desativada em um cluster do GKE.

Descobertas de vulnerabilidade do conjunto de dados

As vulnerabilidades desse tipo de detector estão relacionadas às configurações do conjunto de dados do BigQuery e pertencem ao tipo de detector DATASET_SCANNER.

Tabela 6. Leitor de conjunto de dados
Categoria Como encontrar a descrição CIS GCP Foundation 1.0 PCI-DSS v3.2 10 principais OWASP NIST 800-53 ISO-27001
PUBLIC_DATASET Um conjunto de dados está configurado para ser aberto para acesso público. AC-3 A.8.2.3
A.14.1.3

Descobertas de vulnerabilidade de DNS

As vulnerabilidades desse tipo de detector estão relacionadas às configurações do Cloud DNS e pertencem ao tipo de detector DNS_SCANNER.

Tabela 7. Leitor de DNS
Categoria Como encontrar a descrição CIS GCP Foundation 1.0 PCI-DSS v3.2 10 principais OWASP NIST 800-53 ISO-27001
DNSSEC_DISABLED O DNSSEC está desativado para zonas do Cloud DNS. 3.3 A.8.2.3
RSASHA1_FOR_SIGNING RSASHA1 é usado para assinatura de chaves em zonas do Cloud DNS. 3.4
3.5

Descobertas de vulnerabilidades de firewall

As vulnerabilidades desse tipo de detector se relacionam com as configurações de firewall e pertencem ao tipo de detector FIREWALL_SCANNER.

Tabela 8. Leitor de firewall
Categoria Como encontrar a descrição CIS GCP Foundation 1.0 PCI-DSS v3.2 10 principais OWASP NIST 800-53 ISO-27001
FIREWALL_RULE_LOGGING_DISABLED A geração de registros de regras de firewall está desativada. O registro de regras de firewall deve estar ativado para que seja possível auditar o acesso da rede 10.1 SI-4 A.13.1.1
OPEN_FIREWALL Um firewall está configurado para ser aberto ao acesso público. 1.2.1
OPEN_RDP_PORT Um firewall está configurado para ter uma porta RDP aberta que permite acesso genérico. 3,7 1.2.1 SC-7 A.13.1.1
OPEN_SSH_PORT Um firewall está configurado para ter uma porta SSH aberta que permita o acesso genérico. 3,6 1.2.1 SC-7 A.13.1.1

Descobertas da vulnerabilidade do IAM

As vulnerabilidades desse tipo de detector estão relacionadas à configuração do gerenciamento de identidade e acesso (IAM, na sigla em inglês) e pertencem ao tipo de detector IAM_SCANNER.

Tabela 9. Leitor do IAM
Categoria Como encontrar a descrição CIS GCP Foundation 1.0 PCI-DSS v3.2 10 principais OWASP NIST 800-53 ISO-27001
ADMIN_SERVICE_ACCOUNT Há uma conta de serviço configurada com papéis de administrador. 1.4
KMS_PROJECT_HAS_OWNER Um usuário tem permissões de "Proprietário"; em um projeto que tem chaves criptográficas. 3,5 AC-6
SC-12
A.9.2.3
A.10.1.2
KMS_ROLE_SEPARATION A separação de tarefas não é aplicada e um usuário existe com qualquer um dos papéis de: Criptografador/Descriptografador de CryptoKey do Cloud KMS (Cloud KMS), Criptografador ou descriptografador ao mesmo tempo. 1.9 AC-5 A.9.2.3
A.10.1.2
NON_ORG_IAM_MEMBER Há um usuário que não está usando credenciais organizacionais. 1.1 7.1.2 AC-3 A.9.2.3
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER Um usuário tem o papel de Usuário da conta de serviço no nível do projeto, em vez de uma conta de serviço específica. 1.5 7.1.2 AC-6 A.9.2.3
PRIMITIVE_ROLES_USED Um usuário tem o papel primário "Proprietário", "Gravador" ou "Leitor". Esses papéis são muito permissivos e não podem ser usados. 7.1.2 AC-6 A.9.2.3
REDIS_ROLE_USED_ON_ORG Um papel do Redis IAM é atribuído no nível da organização ou da pasta. 8.7 A.9.2.3
SERVICE_ACCOUNT_ROLE_SEPARATION Um usuário recebeu os papéis de administrador da conta de serviço e usuário da conta de serviço. Isso viola o princípio de "Separação de tarefas". 1,7 AC-5
SERVICE_ACCOUNT_KEY_NOT_ROTATED Uma chave da conta de serviço não foi alternada por mais de 90 dias. 1.6
USER_MANAGED_SERVICE_ACCOUNT_KEY Uma chave de conta de serviço é gerenciada por um usuário. 1.3

Descobertas de vulnerabilidade do KMS

As vulnerabilidades desse tipo de detector estão relacionadas às configurações do Cloud KMS e pertencem ao tipo de detector KMS_SCANNER.

Tabela 10. Leitor do KMS
Categoria Como encontrar a descrição CIS GCP Foundation 1.0 PCI-DSS v3.2 10 principais OWASP NIST 800-53 ISO-27001
KMS_KEY_NOT_ROTATED A rotação não está configurada em uma chave de criptografia do Cloud KMS. 1,8 SC-12 A.10.1.2
TOO_MANY_KMS_USERS Há mais de três usuários de chaves criptográficas. 3.5.2 A.9.2.3

Descobertas de vulnerabilidade de geração de registros

As vulnerabilidades desse tipo de detector estão relacionadas às configurações de geração de registros e pertencem ao tipo de detector LOGGING_SCANNER.

Tabela 11. Leitor de geração de registros
Categoria Como encontrar a descrição CIS GCP Foundation 1.0 PCI-DSS v3.2 10 principais OWASP NIST 800-53 ISO-27001
AUDIT_LOGGING_DISABLED A geração de registros de auditoria foi desativada para este recurso. 2.1 10.2.3 AU-2 A.12.4.1
A.16.1.7
BUCKET_LOGGING_DISABLED Há um bucket de armazenamento sem a geração de registros ativada. 5.3
LOG_NOT_EXPORTED Há um recurso que não tem um coletor de registros apropriado configurado. 2.2 10.2.3 A.18.1.3
OBJECT_VERSIONING_DISABLED O controle de versão de objeto não está ativado em um bucket de armazenamento em que os coletores são configurados. 2,3 10.2.3
PUBLIC_LOG_BUCKET Buckets de armazenamento usados como coletores de registros não podem ficar acessíveis publicamente. 10,5 AU-9 A.8.2.3
A.12.4.2
A.18.1.3

Como monitorar descobertas de vulnerabilidade

Todas as vulnerabilidades desse tipo de detector estão relacionadas às configurações de monitoramento e pertencem ao tipo MONITORING_SCANNER. Todas as propriedades de descoberta do detector do Monitoring incluem:

  • O RecommendedLogFilter a ser usado na criação das métricas de registro.
  • O QualifiedLogMetricNames que abrange as condições listadas no filtro de registro recomendado.
  • OAlertPolicyFailureReasonsque indica se o projeto não tem políticas de alerta criadas para nenhuma das métricas de registro qualificadas ou se as políticas de alerta atuais não têm as configurações recomendadas.
Tabela 12. Leitor de monitoramento
Categoria Como encontrar a descrição CIS GCP Foundation 1.0 PCI-DSS v3.2 10 principais OWASP NIST 800-53 ISO-27001
AUDIT_CONFIG_NOT_MONITORED As métricas e os alertas de registros não estão configurados para monitorar as alterações de configuração de auditoria. 2,5
BUCKET_IAM_NOT_MONITORED As métricas e os alertas de registros não estão configurados para monitorar as alterações de permissão do IAM do Cloud Storage. 2.10 1.3.2
CUSTOM_ROLE_NOT_MONITORED As métricas e os alertas de registro não estão configurados para monitorar as alterações de papéis personalizados. 2,6
FIREWALL_NOT_MONITORED As métricas e os alertas de registro não são configurados para monitorar alterações de regras do Firewall da rede VPC. 2,7
NETWORK_NOT_MONITORED As métricas e os alertas de registro não estão configurados para monitorar alterações de rede VPC. 2,9
OWNER_NOT_MONITORED Métricas e alertas de registros não são configurados para monitorar atribuições ou alterações de propriedade do projeto. 2.4
ROUTE_NOT_MONITORED As métricas e os alertas de registros não estão configurados para monitorar as alterações na rota da rede VPC. 2,8
SQL_INSTANCE_NOT_MONITORED As métricas e os alertas de registro não são configurados para monitorar alterações na configuração da instância do Cloud SQL. 2.11

Descobertas de vulnerabilidades de rede

As vulnerabilidades desse tipo de detector estão relacionadas às configurações de rede de uma organização e pertencem ao tipo NETWORK_SCANNER.

Tabela 13. Leitor de rede
Categoria Como encontrar a descrição CIS GCP Foundation 1.0 PCI-DSS v3.2 10 principais OWASP NIST 800-53 ISO-27001
DEFAULT_NETWORK A rede padrão existe em um projeto. 3,1
LEGACY_NETWORK Existe uma rede legada em um projeto. 3,2

Descobertas de vulnerabilidade de senha SSH

As vulnerabilidades desse tipo de detector estão relacionadas às senhas e pertencem ao tipo SSH_PASSWORD.

Tabela 14. Leitor de senhas SSH
Categoria Como encontrar a descrição CIS GCP Foundation 1.0 PCI-DSS v3.2 10 principais OWASP NIST 800-53 ISO-27001
WEAK_SSH_PASSWORD Um recurso tem uma senha SSH fraca.

Descobertas de vulnerabilidade SQL

As vulnerabilidades desse tipo de detector estão relacionadas às configurações do Cloud SQL e pertencem ao tipo SQL_SCANNER.

Tabela 15. Leitor SQL
Categoria Como encontrar a descrição CIS GCP Foundation 1.0 PCI-DSS v3.2 10 principais OWASP NIST 800-53 ISO-27001
AUTO_BACKUP_DISABLED Um banco de dados do Cloud SQL não tem backups automáticos ativados. 10.2.1 CA-3 A.12.3.1
PUBLIC_SQL_INSTANCE Uma instância de banco de dados do Cloud SQL aceita conexões de todos os endereços IP. 6,2 1.2.1 CA-3
SC-7
A.8.2.3
A.13.1.3
A.14.1.3
SSL_NOT_ENFORCED Uma instância de banco de dados do Cloud SQL não requer que todas as conexões de entrada usem SSL. 6.1 2,3 SC-7 A.8.2.3
A.13.2.1
A.14.1.3
SQL_NO_ROOT_PASSWORD Um banco de dados do Cloud SQL não tem uma senha configurada para a conta raiz.
SQL_WEAK_ROOT_PASSWORD Um banco de dados do Cloud SQL tem uma senha fraca configurada para a conta raiz.

Descobertas de vulnerabilidade do armazenamento

As vulnerabilidades desse tipo de detector estão relacionadas às configurações dos buckets do Cloud Storage e pertencem ao tipo STORAGE_SCANNER.

Tabela 16. Leitor de armazenamento
Categoria Como encontrar a descrição CIS GCP Foundation 1.0 PCI-DSS v3.2 10 principais OWASP NIST 800-53 ISO-27001
BUCKET_POLICY_ONLY_DISABLED Uniform bucket-level access, anteriormente chamado de Bucket Policy Only, não está configurado.
LOGGING_DISABLED A geração de registros está desativada para um bucket do Cloud Storage.
PUBLIC_BUCKET_ACL Um bucket do Cloud Storage é acessível publicamente. 5.1 7,1 AC-2 A.8.2.3
A.14.1.3

Descobertas de vulnerabilidades de sub-rede

As vulnerabilidades desse tipo de detector estão relacionadas às configurações de sub-rede da organização e pertencem ao tipo SUBNETWORK_SCANNER.

Tabela 17. Leitor de sub-rede
Categoria Como encontrar a descrição CIS GCP Foundation 1.0 PCI-DSS v3.2 10 principais OWASP NIST 800-53 ISO-27001
FLOW_LOGS_DISABLED Há uma sub-rede VPC com registros de fluxo desativados. 3,9 SI-4 A.13.1.1
PRIVATE_GOOGLE_ACCESS_DISABLED Há sub-redes privadas sem acesso às APIs públicas do Google. 3,8

Descobertas do Web Security Scanner

Veja a seguir os tipos que são identificados pelos leitores personalizados e gerenciados do Web Security Scanner.

Tabela 18.Descobertas do Web Security Scanner
Categoria Como encontrar a descrição CIS GCP Foundation 1.0 PCI-DSS v3.2 10 principais OWASP NIST 800-53 ISO-27001
ACCESSIBLE_GIT_REPOSITORY Um repositório GIT é exposto publicamente. Para resolver esse problema, remova o acesso público não intencional ao repositório do GIT. A3
ACCESSIBLE_SVN_REPOSITORY Um repositório SVN é exposto publicamente. Para resolver isso, remova o acesso não intencional público ao repositório SVN. A3
CLEAR_TEXT_PASSWORD As senhas estão sendo transmitidas em texto não criptografado e podem ser interceptadas. Para resolver isso, criptografe a senha transmitida pela rede. A3
INVALID_CONTENT_TYPE Um recurso foi carregado e ele não corresponde ao cabeçalho HTTP da resposta Content-Type. Para resolver isso, defina o cabeçalho HTTP "X-Content-Type-Options" com o valor correto. A6
INVALID_HEADER Um cabeçalho de segurança tem um erro de sintaxe e será ignorado pelos navegadores. Para resolver isso, defina os cabeçalhos de segurança HTTP corretamente. A6
MISMATCHING_SECURITY_HEADER_VALUES Um cabeçalho de segurança tem valores duplicados e incompatíveis, o que resulta em um comportamento indefinido. Para resolver isso, defina os cabeçalhos de segurança HTTP corretamente. A6
MISSPELLED_SECURITY_HEADER_NAME Um cabeçalho de segurança é escrito incorretamente e é ignorado. Para resolver isso, defina os cabeçalhos de segurança HTTP corretamente. A6
MIXED_CONTENT Os recursos são exibidos por HTTP em uma página HTTPS. Para resolver isso, todos os recursos precisam ser exibidos por HTTPS. A6
OUTDATED_LIBRARY Foi detectada uma biblioteca com vulnerabilidades conhecidas. Para resolver isso, faça o upgrade das bibliotecas para uma versão mais recente. A9
XSS Um campo nesse aplicativo da Web é vulnerável a um ataque de script entre sites (XSS). Para resolver isso, valide e escapar os dados não confiáveis fornecidos pelo usuário. A7
XSS_ANGULAR_CALLBACK Uma string fornecida pelo usuário não tem escape e pode ser interpolada pelo AngularJS. Para resolver isso, valide e escape dados não confiáveis fornecidos pelo usuário manipulados pela estrutura Angular. A7
XSS_ERROR Um campo neste aplicativo da Web é vulnerável a um ataque de scripting em vários locais. Para resolver isso, valide e evite escape dados não confiáveis fornecidos pelo usuário. A7

Comparativo de mercado do CIS

O Centro para segurança da internet (CIS, na sigla em inglês) inclui os seguintes comparativos de mercado que, no momento, não são compatíveis com os detectores do Web Security Scanner ou do Security Health Analytics:

Tabela 19. Comparativo de mercado do CIS
Categoria Como encontrar a descrição CIS GCP Foundation 1.0 NIST 800-53 ISO-27001
BASIC_AUTHENTICATION_ENABLED O IAM ou a autenticação de certificados do cliente precisam ser ativados em clusters do Kubernetes. 7.10
CLIENT_CERT_AUTHENTICATION_DISABLED Clusters do Kubernetes precisam ser criados com certificados do cliente ativados. 7.12
LABELS_NOT_USED Rótulos podem ser usados para decompor informações de faturamento. 7,5
PUBLIC_STORAGE_OBJECT A ACL de objetos de armazenamento não pode conceder acesso a AllUsers. 5.2
SQL_BROAD_ROOT_LOGIN O acesso root a um banco de dados SQL precisa ser limitado a IPs confiáveis com permissão para serem listados. 6.4

A seguir