Os detectores do Security Health Analytics e do Web Security Scanner geram tipos de descoberta de vulnerabilidades que estão disponíveis no Security Command Center.
Detectores e compliance
As tabelas a seguir descrevem os tipos de detectores e os tipos de detecção de vulnerabilidades específicos que podem ser gerados pelo Security Health Analytics e pelo Web Security Scanner. É possível filtrar as descobertas por nome do detector e pelo tipo de descoberta usando a guia Vulnerabilidades do Security Command Center no Console do Google Cloud.
Essas tabelas incluem uma descrição do mapeamento entre os detectores compatíveis e o melhor mapeamento de esforço para os esquemas de conformidade relevantes.
Os mapeamentos do CIS Google Cloud Foundation 1.0 foram revisados e certificados pelo centro para segurança de internet para o comparativo de mercado do CIS Google Computing Foundations v1.0.0. Os mapeamentos de conformidade adicionais estão incluídos para referência e não são fornecidos ou revisados pelo Padrão de segurança de dados da indústria de cartões de pagamento ou pela OWASP Foundation. Consulte o Comparativo de mercado do CIS Google Cloud Foundations v1.0.0 (CIS Google Cloud Foundation 1.0), Padrão de segurança de dados da indústria de cartões de pagamento 3.2 (PCI-DSS v3.2), OWASP Top, Instituto Nacional de Padrões e Tecnologia 800-53 (NIST 800-53) e Organização Internacional de Padronização 27001 (ISO 27001) para saber como verificar essas violações manualmente.
Essa funcionalidade destina-se apenas ao monitoramento de violações de controles de conformidade. Os mapeamentos não são fornecidos para uso como base ou como substitutos para a auditoria, certificação ou relatório de conformidade dos seus produtos ou serviços com comparativos de mercado ou padrões regulatórios ou do setor.
Security Health Analytics
Veja a seguir os tipos identificados pelos detectores da Security Health Analytics. O Security Health Analytics é compatível com detecções em tempo real, comalgumas exceções.
Descobertas da verificação em duas etapas
O detector 2SV_SCANNER identifica vulnerabilidades relacionadas à verificação em duas etapas
para os usuários.
| Categoria | Como encontrar a descrição | Nível de preços | CIS GCP Foundation 1.0 | PCI-DSS v3.2.1 | 10 principais OWASP | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
2SV_NOT_ENFORCED |
Há usuários que não estão usando a verificação em duas etapas. | Premium ou padrão | 1.2 | 8.3 | IA-2 | A.9.4.2 |
Descobertas de vulnerabilidade da chave de API
O detector API_KEY_SCANNER identifica vulnerabilidades relacionadas às
chaves de API usadas na implantação na nuvem.
| Categoria | Como encontrar a descrição | Nível de preços | CIS GCP Foundation 1.0 | PCI-DSS v3.2.1 | 10 principais OWASP | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
API_KEY_APIS_UNRESTRICTED |
Há chaves de API muito usadas. Para resolver isso, limite o uso da chave de API para permitir apenas as APIs necessárias ao aplicativo. | Premium | 1.12 | ||||
API_KEY_APPS_UNRESTRICTED |
Há chaves de API sendo usadas de maneira irrestrita, permitindo o uso por qualquer app não confiável. | Premium | 1.11 | ||||
API_KEY_EXISTS |
Um projeto está usando chaves de API em vez da autenticação padrão. | Premium | 1.10 | ||||
API_KEY_NOT_ROTATED |
A chave de API não é alternada há mais de 90 dias. | Premium | 1.13 |
Calcular descobertas de vulnerabilidade de imagem
O detector COMPUTE_IMAGE_SCANNER identifica vulnerabilidades relacionadas às
configurações de imagem do Google Cloud.
| Categoria | Como encontrar a descrição | Nível de preços | CIS GCP Foundation 1.0 | PCI-DSS v3.2.1 | 10 principais OWASP | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
PUBLIC_COMPUTE_IMAGE |
Uma imagem do Compute Engine pode ser acessada publicamente. | Premium ou padrão |
Descobertas de vulnerabilidade da instância do Compute
O detector COMPUTE_INSTANCE_SCANNER identifica vulnerabilidades relacionadas às configurações da instância do Compute Engine.
Observe que o detector COMPUTE_INSTANCE_SCANNER não informa descobertas sobre instâncias do Compute Engine
criadas pelo GKE. Essas instâncias têm nomes que começam com "gke-" e
não podem ser editadas diretamente pelos usuários. Para proteger essas instâncias, consulte a seção de descobertas de vulnerabilidades
do contêiner.
| Categoria | Como encontrar a descrição | Nível de preços | CIS GCP Foundation 1.0 | PCI-DSS v3.2.1 | 10 principais OWASP | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
As chaves SSH do projeto são usadas, o que permite o login em todas as instâncias no projeto. | Premium | 4.2 | ||||
COMPUTE_SECURE_BOOT_DISABLED |
Esta VM protegida não tem a inicialização segura ativada. O uso da Inicialização segura ajuda a proteger instâncias de máquina virtual contra ameaças avançadas, como rootkits e bootkits. | Premium | |||||
COMPUTE_SERIAL_PORTS_ENABLED |
As portas seriais de uma instância são ativadas, o que permite conexões com o console serial da instância. | Premium | 4.4 | ||||
DISK_CSEK_DISABLED |
Os discos nesta VM não são criptografados com chaves de criptografia fornecidas pelo cliente (CSEK, na sigla em inglês). Esse
detector requer configuração adicional Para ativar este detector, aplique a
marca de segurança
enforce_customer_supplied_disk_encryption_keys com um valor de true
aos recursos que você quer monitorar.
|
Premium | 4,60 | ||||
FULL_API_ACCESS |
Uma instância é configurada para usar a conta de serviço padrão com acesso total a todas as APIs do Google Cloud. | Premium | 4,1 | 7.1.2 | AC-6 | A.9.2.3 | |
HTTP_LOAD_BALANCER |
Uma instância usa um balanceador de carga configurado para usar um proxy HTTP de destino em vez de um proxy HTTPS de destino. | Premium | 2.3 | ||||
IP_FORWARDING_ENABLED |
O encaminhamento de IP está ativado nas instâncias. | Premium | 4,5 | ||||
OS_LOGIN_DISABLED |
O login do SO está desativado nesta instância. | Premium | 4.3 | ||||
PUBLIC_IP_ADDRESS |
Uma instância tem um endereço IP público. | Premium ou padrão |
1.2.1
1.3.5 |
CA-3
SC-7 |
|||
SHIELDED_VM_DISABLED |
A VM protegida está desativada nesta instância. | Premium | |||||
WEAK_SSL_POLICY |
Uma instância tem uma política de SSL fraca. | Premium | 4,1 | SC-7 | A.14.1.3 | ||
DEFAULT_SERVICE_ACCOUNT_USED |
Uma instância é configurada para usar a conta de serviço padrão. | Premium |
Descobertas da vulnerabilidade do contêiner
Todos esses tipos de localização estão relacionados às configurações de contêiner do GKE
e pertencem ao tipo de detector CONTAINER_SCANNER.
| Categoria | Como encontrar a descrição | Nível de preços | CIS GCP Foundation 1.0 | PCI-DSS v3.2.1 | 10 principais OWASP | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
AUTO_REPAIR_DISABLED |
O recurso de reparo automático de clusters do GKE, que mantém os nós em um estado íntegro e em execução, é desativado. | Premium | 7.7 | 2.2 | |||
AUTO_UPGRADE_DISABLED |
O recurso de upgrade automático de clusters do GKE, que mantém clusters e pools de nós na versão estável mais recente do Kubernetes, está desativado. | Premium | 7,8 | 2.2 | |||
CLUSTER_LOGGING_DISABLED |
A geração de registros não está ativada para um cluster do GKE. | Premium | 7,1 |
10.2.2
10.2.7 |
|||
CLUSTER_MONITORING_DISABLED |
O Cloud Monitoring é desativado nos clusters do GKE. | Premium | 7.2 |
10.1
10.2 |
|||
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED |
Os hosts de cluster não estão configurados para usar apenas endereços IP internos particulares para acessar as APIs do Google. | Premium | 7,1 | 1.3 | |||
COS_NOT_USED |
As VMs do Compute Engine não estão usando o Container-Optimized OS projetado para executar contêineres do Docker no Google Cloud com segurança. | Premium | 7.9 | 2.2 | |||
IP_ALIAS_DISABLED |
Um cluster do GKE foi criado com intervalos de IP de alias desativados. | Premium | 7,1 |
1.3.4
1.3.7 |
|||
LEGACY_AUTHORIZATION_ENABLED |
A autorização legada é ativada em clusters do GKE. | Premium | 7.3 | 4,1 | |||
LEGACY_METADATA_ENABLED |
Os metadados legados são ativados nos clusters do GKE. | Premium | |||||
MASTER_AUTHORIZED_NETWORKS_DISABLED |
As redes mestres autorizadas não estão ativadas nos clusters do GKE. | Premium | 7.4 |
1.2.1
1.3.2 |
|||
NETWORK_POLICY_DISABLED |
A política de rede está desativada nos clusters do GKE. | Premium | 7,1 | 1.3 | SC-7 | A.13.1.1 | |
OVER_PRIVILEGED_ACCOUNT |
Uma conta de serviço tem acesso excessivamente amplo ao projeto em um cluster. | Premium | 7,1 |
2.1
7.1.2 |
AC-6
SC-7 |
A.9.2.3 | |
OVER_PRIVILEGED_SCOPES |
Uma conta de serviço do nó tem escopos de acesso amplos. | Premium | 7,1 | ||||
POD_SECURITY_POLICY_DISABLED |
Esse PodSecurityPolicy está desativado em um cluster do GKE.
|
Premium | 7,1 | ||||
PRIVATE_CLUSTER_DISABLED |
Um cluster do GKE tem um cluster particular desativado. | Premium | 7,1 | 1.3.2 | |||
WEB_UI_ENABLED |
A IU da Web do GKE (painel) está ativada. | Premium ou padrão | 7.6 | 6.6 | |||
WORKLOAD_IDENTITY_DISABLED |
A Identidade da carga de trabalho está desativada em um cluster do GKE. | Premium |
Descobertas de vulnerabilidade do conjunto de dados
As vulnerabilidades desse tipo de detector estão relacionadas às configurações
do conjunto de dados do BigQuery e pertencem ao tipo de detector DATASET_SCANNER.
| Categoria | Como encontrar a descrição | Nível de preços | CIS GCP Foundation 1.0 | PCI-DSS v3.2.1 | 10 principais OWASP | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
PUBLIC_DATASET |
Um conjunto de dados está configurado para ser aberto para acesso público. | Premium | 7,1 | AC-2 |
A.8.2.3
A.14.1.3 |
Descobertas de vulnerabilidade de DNS
As vulnerabilidades desse tipo de detector estão relacionadas às configurações do Cloud DNS
e pertencem ao tipo de detector DNS_SCANNER.
| Categoria | Como encontrar a descrição | Nível de preços | CIS GCP Foundation 1.0 | PCI-DSS v3.2.1 | 10 principais OWASP | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
DNSSEC_DISABLED |
O DNSSEC está desativado para zonas do Cloud DNS. | Premium | 3.3 | A.8.2.3 | |||
RSASHA1_FOR_SIGNING |
RSASHA1 é usado para assinatura de chaves em zonas do Cloud DNS. | Premium |
3.4
3.5 |
Descobertas de vulnerabilidades de firewall
As vulnerabilidades desse tipo de detector se relacionam com as configurações de firewall e
pertencem ao tipo de detector FIREWALL_SCANNER.
| Categoria | Como encontrar a descrição | Nível de preços | CIS GCP Foundation 1.0 | PCI-DSS v3.2.1 | 10 principais OWASP | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
EGRESS_DENY_RULE_NOT_SET |
Uma regra de negação de saída não é definida em um firewall. As regras de negação de saída precisam ser definidas para bloquear o tráfego de saída indesejado. | Premium | 7.2 | ||||
FIREWALL_RULE_LOGGING_DISABLED |
A geração de registros de regras de firewall está desativada. O registro de regras de firewall deve estar ativado para que seja possível auditar o acesso da rede | Premium |
10.1
10.2 |
SI-4 | A.13.1.1 | ||
OPEN_CASSANDRA_PORT |
Um firewall está configurado para ter uma porta CASSANDRA aberta que permita o acesso genérico. | Premium | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_CISCOSECURE_WEBSM_PORT |
Um firewall está configurado para ter uma porta CISESECURE_WEBSM aberta que permita o acesso genérico. | Premium | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_DIRECTORY_SERVICES_PORT |
Um firewall está configurado para ter uma porta DIRECTORY_SERVICES aberta que permita o acesso genérico. | Premium | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_DNS_PORT |
Um firewall está configurado para ter uma porta DNS aberta que permita o acesso genérico. | Premium | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_ELASTICSEARCH_PORT |
Um firewall está configurado para ter uma porta ELASTICSEARCH aberta que permita o acesso genérico. | Premium | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_FIREWALL |
Um firewall está configurado para ser aberto ao acesso público. | Premium ou padrão | 1.2.1 | ||||
OPEN_FTP_PORT |
Um firewall está configurado para ter uma porta FTP aberta que permite acesso genérico. | Premium | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_HTTP_PORT |
Um firewall está configurado para ter uma porta HTTP aberta que permite acesso genérico. | Premium | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_LDAP_PORT |
Um firewall está configurado para ter uma porta LDAP aberta que permite acesso genérico. | Premium | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_MEMCACHED_PORT |
Um firewall está configurado para ter uma porta MEMCACHED aberta que permite acesso genérico. | Premium | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_MONGODB_PORT |
Um firewall está configurado para ter uma porta MONGODB aberta que permite acesso genérico. | Premium | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_MYSQL_PORT |
Um firewall está configurado para ter uma porta MYSQL aberta que permite acesso genérico. | Premium | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_NETBIOS_PORT |
Um firewall está configurado para ter uma porta NETBIOS aberta que permite acesso genérico. | Premium | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_ORACLEDB_PORT |
Um firewall está configurado para ter uma porta ORACLEDB aberta que permite acesso genérico. | Premium | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_POP3_PORT |
Um firewall está configurado para ter uma porta POP3 aberta que permite acesso genérico. | Premium | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_POSTGRESQL_PORT |
Um firewall está configurado para ter uma porta POSTGRESQL aberta que permite acesso genérico. | Premium | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_RDP_PORT |
Um firewall está configurado para ter uma porta RDP aberta que permite acesso genérico. | Premium ou padrão | 3,7 | 1.2.1 | SC-7 | A.13.1.1 | |
OPEN_REDIS_PORT |
Um firewall está configurado para ter uma porta REDIS aberta que permite acesso genérico. | Premium | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_SMTP_PORT |
Um firewall está configurado para ter uma porta SMTP aberta que permite acesso genérico. | Premium | 1.2.1 | SC-7 | A.13.1.1 | ||
OPEN_SSH_PORT |
Um firewall está configurado para ter uma porta SSH aberta que permita o acesso genérico. | Premium ou padrão | 3,6 | 1.2.1 | SC-7 | A.13.1.1 | |
OPEN_TELNET_PORT |
Um firewall está configurado para ter uma porta TELNET aberta que permite acesso genérico. | Premium | 1.2.1 | SC-7 | A.13.1.1 |
Descobertas da vulnerabilidade do IAM
As vulnerabilidades desse tipo de detector estão relacionadas à configuração do gerenciamento de identidade e acesso (IAM, na sigla em inglês)
e pertencem ao tipo de detector IAM_SCANNER.
| Categoria | Como encontrar a descrição | Nível de preços | CIS GCP Foundation 1.0 | PCI-DSS v3.2.1 | 10 principais OWASP | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
ADMIN_SERVICE_ACCOUNT |
Uma conta de serviço tem privilégios de administrador, proprietário ou editor. Esses papéis não devem ser atribuídos a contas de serviço criadas pelo usuário. | Premium | 1.4 | ||||
KMS_ROLE_SEPARATION |
A separação de tarefas não é aplicada e um usuário existe com qualquer um dos papéis de: Criptografador/Descriptografador de CryptoKey do Cloud KMS (Cloud KMS), Criptografador ou descriptografador ao mesmo tempo. | Premium | 1.9 | AC-5 |
A.9.2.3
A.10.1.2 |
||
NON_ORG_IAM_MEMBER |
Há um usuário que não está usando credenciais organizacionais. De acordo com o CIS GCP Foundations 1.0, no momento, este detector só é acionado por identidades com endereços de e-mail @gmail.com. | Premium ou padrão | 1.1 | 7.1.2 | AC-3 | A.9.2.3 | |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
Um usuário tem o papel Criador de conta de serviço ou Criador de token de conta de serviço no nível do projeto, e não para uma conta de serviço específica. | Premium | 1.5 | 7.1.2 | AC-6 | A.9.2.3 | |
PRIMITIVE_ROLES_USED |
Um usuário tem o papel básico Proprietário, Gravador ou Leitor. Esses papéis são muito permissivos e não podem ser usados. | Premium | 7.1.2 | AC-6 | A.9.2.3 | ||
REDIS_ROLE_USED_ON_ORG |
Um papel do Redis IAM é atribuído no nível da organização ou da pasta. | Premium | 7.1.2 | A.9.2.3 | |||
SERVICE_ACCOUNT_ROLE_SEPARATION |
Um usuário recebeu os papéis de administrador da conta de serviço e usuário da conta de serviço. Isso viola o princípio de "Separação de tarefas". | Premium | 1,7 | AC-5 | A.9.2.3 | ||
SERVICE_ACCOUNT_KEY_NOT_ROTATED |
Uma chave da conta de serviço não foi alternada por mais de 90 dias. | Premium | 1.6 | ||||
USER_MANAGED_SERVICE_ACCOUNT_KEY |
Uma chave de conta de serviço é gerenciada por um usuário. | Premium | 1.3 |
Descobertas de vulnerabilidade do KMS
As vulnerabilidades desse tipo de detector estão relacionadas às configurações do Cloud KMS
e pertencem ao tipo de detector KMS_SCANNER.
| Categoria | Como encontrar a descrição | Nível de preços | CIS GCP Foundation 1.0 | PCI-DSS v3.2.1 | 10 principais OWASP | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
KMS_KEY_NOT_ROTATED |
A rotação não está configurada em uma chave de criptografia do Cloud KMS. As chaves de criptografia precisam ser trocadas dentro de um período de 90 dias | Premium | 1,8 | 3,5 | SC-12 | A.10.1.2 | |
KMS_PROJECT_HAS_OWNER |
Um usuário tem permissões de "Proprietário"; em um projeto que tem chaves criptográficas. | Premium | 3,5 |
AC-6
SC-12 |
A.9.2.3
A.10.1.2 |
||
TOO_MANY_KMS_USERS |
Há mais de três usuários de chaves criptográficas. | Premium | 3.5.2 | A.9.2.3 | |||
KMS_PUBLIC_KEY |
Uma chave criptográfica do Cloud KMS pode ser acessada publicamente. | Premium |
Descobertas de vulnerabilidade de geração de registros
As vulnerabilidades desse tipo de detector estão relacionadas às configurações de geração de registros e
pertencem ao tipo de detector LOGGING_SCANNER.
| Categoria | Como encontrar a descrição | Nível de preços | CIS GCP Foundation 1.0 | PCI-DSS v3.2.1 | 10 principais OWASP | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
AUDIT_LOGGING_DISABLED |
A geração de registros de auditoria foi desativada para este recurso. | Premium | 2.1 |
10.1
10.2 |
AC-2
AU-2 |
A.12.4.1
A.16.1.7 |
|
BUCKET_LOGGING_DISABLED |
Há um bucket de armazenamento sem a geração de registros ativada. | Premium | 5.3 | ||||
LOG_NOT_EXPORTED |
Há um recurso que não tem um coletor de registros apropriado configurado. | Premium | 2.2 | A.18.1.3 | |||
LOCKED_RETENTION_POLICY_NOT_SET |
Uma política de retenção bloqueada não é definida para registros. | Premium | 10,5 | AU-11 |
A.12.4.2
A.18.1.3 |
||
OBJECT_VERSIONING_DISABLED |
O controle de versão de objeto não está ativado em um bucket de armazenamento em que os coletores são configurados. | Premium | 2.3 | 10,5 | AU-11 |
A.12.4.2
A.18.1.3 |
Como monitorar descobertas de vulnerabilidade
Todas as vulnerabilidades desse tipo de detector estão relacionadas às configurações de monitoramento
e pertencem ao tipo MONITORING_SCANNER. Todas as propriedades de descoberta
do detector do Monitoring incluem:
-
O
RecommendedLogFiltera ser usado na criação das métricas de registro. -
O
QualifiedLogMetricNamesque abrange as condições listadas no filtro de registro recomendado. -
O
AlertPolicyFailureReasonsque indica se o projeto não tem políticas de alerta criadas para nenhuma das métricas de registro qualificadas ou se as políticas de alerta atuais não têm as configurações recomendadas.
| Categoria | Como encontrar a descrição | Nível de preços | CIS GCP Foundation 1.0 | PCI-DSS v3.2.1 | 10 principais OWASP | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
AUDIT_CONFIG_NOT_MONITORED |
As métricas e os alertas de registros não estão configurados para monitorar as alterações de configuração de auditoria. | Premium | 2,5 | ||||
BUCKET_IAM_NOT_MONITORED |
As métricas e os alertas de registros não estão configurados para monitorar as alterações de permissão do IAM do Cloud Storage. | Premium | 2.10 | ||||
CUSTOM_ROLE_NOT_MONITORED |
As métricas e os alertas de registro não estão configurados para monitorar as alterações de papéis personalizados. | Premium | 2,6 | ||||
FIREWALL_NOT_MONITORED |
As métricas e os alertas de registro não são configurados para monitorar alterações de regras do Firewall da rede VPC. | Premium | 2,7 | ||||
NETWORK_NOT_MONITORED |
As métricas e os alertas de registro não estão configurados para monitorar alterações de rede VPC. | Premium | 2,9 | ||||
OWNER_NOT_MONITORED |
Métricas e alertas de registros não são configurados para monitorar atribuições ou alterações de propriedade do projeto. | Premium | 2.4 | ||||
ROUTE_NOT_MONITORED |
As métricas e os alertas de registros não estão configurados para monitorar as alterações na rota da rede VPC. | Premium | 2,8 | ||||
SQL_INSTANCE_NOT_MONITORED |
As métricas e os alertas de registro não são configurados para monitorar alterações na configuração da instância do Cloud SQL. | Premium | 2.11 |
Descobertas de vulnerabilidades de rede
As vulnerabilidades desse tipo de detector estão relacionadas às configurações de rede
de uma organização e pertencem ao tipo NETWORK_SCANNER.
| Categoria | Como encontrar a descrição | Nível de preços | CIS GCP Foundation 1.0 | PCI-DSS v3.2.1 | 10 principais OWASP | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
DEFAULT_NETWORK |
A rede padrão existe em um projeto. | Premium | 3,1 | ||||
LEGACY_NETWORK |
Existe uma rede legada em um projeto. | Premium | 3.2 |
Descobertas da vulnerabilidade da política de ORG
As vulnerabilidades desse tipo de detector estão relacionadas às configurações das políticas da organização e pertencem ao tipo ORG_POLICY.
| Categoria | Como encontrar a descrição | Nível de preços | CIS GCP Foundation 1.0 | PCI-DSS v3.2.1 | 10 principais OWASP | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
ORG_POLICY_CONFIDENTIAL_VM_POLICY |
Um recurso do Compute Engine não está em conformidade com a política da organização constraints/compute.restrictNonConfidentialComputing. Para mais informações sobre essa restrição da política da organização, consulte
Como aplicar restrições de políticas da organização na documentação da VM confidencial.
|
Premium |
Descobertas de vulnerabilidade SQL
As vulnerabilidades desse tipo de detector estão relacionadas às configurações
do Cloud SQL e pertencem ao tipo SQL_SCANNER.
| Categoria | Como encontrar a descrição | Nível de preços | CIS GCP Foundation 1.0 | PCI-DSS v3.2.1 | 10 principais OWASP | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
AUTO_BACKUP_DISABLED |
Um banco de dados do Cloud SQL não tem backups automáticos ativados. | Premium | CP-9 | A.12.3.1 | |||
PUBLIC_SQL_INSTANCE |
Uma instância de banco de dados do Cloud SQL aceita conexões de todos os endereços IP. | Premium ou padrão | 6,2 | 1.2.1 |
CA-3
SC-7 |
A.8.2.3
A.13.1.3 A.14.1.3 |
|
SSL_NOT_ENFORCED |
Uma instância de banco de dados do Cloud SQL não requer que todas as conexões de entrada usem SSL. | Premium ou padrão | 6.1 | 4,1 | SC-7 |
A.8.2.3
A.13.2.1 A.14.1.3 |
|
SQL_NO_ROOT_PASSWORD |
Um banco de dados do Cloud SQL não tem uma senha configurada para a conta raiz. | Premium | 6.3 | 2.1 | AC-3 |
A.8.2.3
A.9.4.2 |
|
SQL_PUBLIC_IP |
Um banco de dados do Cloud SQL tem um endereço IP público. | Premium | |||||
SQL_WEAK_ROOT_PASSWORD |
Um banco de dados do Cloud SQL tem uma senha fraca configurada para a conta raiz. | Premium |
Descobertas de vulnerabilidade do armazenamento
As vulnerabilidades desse tipo de detector estão relacionadas às configurações dos buckets do Cloud Storage
e pertencem ao tipo STORAGE_SCANNER.
| Categoria | Como encontrar a descrição | Nível de preços | CIS GCP Foundation 1.0 | PCI-DSS v3.2.1 | 10 principais OWASP | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
BUCKET_POLICY_ONLY_DISABLED |
Uniform bucket-level access, anteriormente chamado de Bucket Policy Only,
não está configurado.
|
Premium | |||||
PUBLIC_BUCKET_ACL |
Um bucket do Cloud Storage é acessível publicamente. | Premium ou padrão | 5.1 | 7,1 | AC-2 |
A.8.2.3
A.14.1.3 |
|
PUBLIC_LOG_BUCKET |
Buckets de armazenamento usados como coletores de registros não podem ficar acessíveis publicamente. | Premium ou padrão | 10,5 | AU-9 |
A.8.2.3
A.12.4.2 A.18.1.3 |
Descobertas de vulnerabilidades de sub-rede
As vulnerabilidades desse tipo de detector estão relacionadas às configurações
de sub-rede da organização e pertencem ao tipo SUBNETWORK_SCANNER.
| Categoria | Como encontrar a descrição | Nível de preços | CIS GCP Foundation 1.0 | PCI-DSS v3.2.1 | 10 principais OWASP | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|---|
FLOW_LOGS_DISABLED |
Há uma sub-rede VPC com registros de fluxo desativados. | Premium | 3.9 |
10.1
10.2 |
SI-4 | A.13.1.1 | |
PRIVATE_GOOGLE_ACCESS_DISABLED |
Há sub-redes privadas sem acesso às APIs públicas do Google. | Premium | 3,8 |
Descobertas do Web Security Scanner
Veja a seguir os tipos que são identificados pelos leitores personalizados e gerenciados do Web Security Scanner. No nível Standard, o Web Security Scanner é compatível com verificações personalizadas de aplicativos implantados com URLs e IPs públicos que não estão atrás de um firewall.
| Categoria | Como encontrar a descrição | CIS GCP Foundation 1.0 | PCI-DSS v3.2.1 | 10 principais OWASP | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|---|---|
ACCESSIBLE_GIT_REPOSITORY |
Um repositório GIT é exposto publicamente. Para resolver esse problema, remova o acesso público não intencional ao repositório do GIT. | A3 | ||||
ACCESSIBLE_SVN_REPOSITORY |
Um repositório SVN é exposto publicamente. Para resolver isso, remova o acesso não intencional público ao repositório SVN. | A3 | ||||
CLEAR_TEXT_PASSWORD |
As senhas estão sendo transmitidas em texto não criptografado e podem ser interceptadas. Para resolver isso, criptografe a senha transmitida pela rede. | A3 | ||||
INVALID_CONTENT_TYPE |
Um recurso foi carregado e ele não corresponde ao cabeçalho HTTP da resposta Content-Type. Para resolver isso, defina o cabeçalho HTTP "X-Content-Type-Options" com o valor correto. | A6 | ||||
INVALID_HEADER |
Um cabeçalho de segurança tem um erro de sintaxe e será ignorado pelos navegadores. Para resolver isso, defina os cabeçalhos de segurança HTTP corretamente. | A6 | ||||
MISMATCHING_SECURITY_HEADER_VALUES |
Um cabeçalho de segurança tem valores duplicados e incompatíveis, o que resulta em comportamento indefinido. Para resolver isso, defina os cabeçalhos de segurança HTTP corretamente. | A6 | ||||
MISSPELLED_SECURITY_HEADER_NAME |
Um cabeçalho de segurança é escrito incorretamente e é ignorado. Para resolver isso, defina os cabeçalhos de segurança HTTP corretamente. | A6 | ||||
MIXED_CONTENT |
Os recursos são exibidos por HTTP em uma página HTTPS. Para resolver isso, todos os recursos precisam ser exibidos por HTTPS. | A6 | ||||
OUTDATED_LIBRARY |
Foi detectada uma biblioteca com vulnerabilidades conhecidas. Para resolver isso, faça o upgrade das bibliotecas para uma versão mais recente. | A9 | ||||
XSS |
Um campo nesse aplicativo da Web é vulnerável a um ataque de script entre sites (XSS). Para resolver isso, valide e escapar os dados não confiáveis fornecidos pelo usuário. | A7 | ||||
XSS_ANGULAR_CALLBACK |
Uma string fornecida pelo usuário não tem escape e pode ser interpolada pelo AngularJS. Para resolver isso, valide e escape dados não confiáveis fornecidos pelo usuário manipulados pela estrutura Angular. | A7 | ||||
XSS_ERROR |
Um campo neste aplicativo da Web é vulnerável a um ataque de scripting em vários locais. Para resolver isso, valide e evite escape dados não confiáveis fornecidos pelo usuário. | A7 |
Comparativo de mercado do CIS
O Centro para segurança da internet (CIS, na sigla em inglês) inclui os seguintes comparativos de mercado que, no momento, não são compatíveis com os detectores do Web Security Scanner ou do Security Health Analytics:
| Categoria | Como encontrar a descrição | CIS GCP Foundation 1.0 | NIST 800-53 | ISO-27001 |
|---|---|---|---|---|
BASIC_AUTHENTICATION_ENABLED |
O IAM ou a autenticação de certificados do cliente precisam ser ativados em clusters do Kubernetes. | 7.10 | ||
CLIENT_CERT_AUTHENTICATION_DISABLED |
Clusters do Kubernetes precisam ser criados com certificados do cliente ativados. | 7.12 | ||
LABELS_NOT_USED |
Rótulos podem ser usados para decompor informações de faturamento. | 7,5 | ||
PUBLIC_STORAGE_OBJECT |
A ACL de objetos de armazenamento não pode conceder acesso a AllUsers. | 5.2 | ||
SQL_BROAD_ROOT_LOGIN |
O acesso root a um banco de dados SQL precisa ser limitado a IPs confiáveis com permissão para serem listados. | 6.4 |
A seguir
- Saiba como usar o Security Health Analytics e como usar o Web Security Scanner.
- Leia sugestões para saber como corrigir as descobertas do Security Health Analytics e como corrigir as descobertas do Web Security Scanner.