漏洞发现结果

>

Security Health Analytics 和 Web Security Scanner 检测器会生成 Security Command Center 中提供的漏洞发现结果类型。

检测器与合规性

下表介绍了 Security Health Analytics 和 Web Security Scanner 可以生成的检测器类型和特定漏洞发现结果类型。您可以使用 Google Cloud Console 中的“Security Command Center 漏洞”标签页按检测器名称和发现结果类型过滤结果。

这些表描述了受支持的检测器之间的映射,以及到相关法规遵从机制的最佳映射。

CIS Google Cloud Foundation 1.0 映射已通过 CIS Google Cloud Computing Foundations Benchmark v1.0.0 的互联网安全性校准中心的审核和认证。其中包含其他法规遵从映射以供参考,不会由支付卡行业数据安全标准或 OWASP 基金会提供或审核。如需了解如何手动检查这些违规,您应该参考 CIS Google Cloud Computing Foundations Benchmark v1.0.0 (CIS Google Cloud Foundation 1.0)、支付卡行业数据安全标准 3.2.1 (PCI-DSS v3.2.1)、OWASP Top Ten国家标准和技术研究所 800-53(NIST 800-53) 和国际标准化组织 27001 (ISO 27001)。

此功能仅用于监控法规遵从控制的违反情况。不提供映射作为您的产品或服务是否符合任何监管、行业基准化分析或标准的审计、认证或报告的的基础或替代。

Security Health Analytics

以下是通过 Security Health Analytics 检测器识别的发现结果类型。 Security Health Analytics 支持实时检测,但有一些例外情况

两步验证发现结果

2SV_SCANNER 检测器可为用户识别与两步验证相关的漏洞。

表格 1. 两步验证扫描程序
类别 发现结果说明 CIS GCP Foundation 1.0 PCI-DSS 3.2.1 版 OWASP 排名前 10 NIST 800-53 ISO-27001
2SV_NOT_ENFORCED 有些用户没有使用两步验证。 1.2 IA-2 A.9.4.2

API 密钥漏洞发现结果

API_KEY_SCANNER 检测器可识别与云部署中使用的 API 密钥相关的漏洞。

表格 2. API 密钥扫描程序
类别 发现结果说明 CIS GCP Foundation 1.0 PCI-DSS 3.2.1 版 OWASP 排名前 10 NIST 800-53 ISO-27001
API_KEY_APIS_UNRESTRICTED 有些 API 密钥使用的过于广泛。要解决此问题,请限制 API 密钥用量,以仅允许应用所需的 API。 1.11
API_KEY_APPS_UNRESTRICTED 有些 API 密钥可以不受限制地使用,允许任何不受信任的应用使用。
API_KEY_EXISTS 项目使用 API 密钥,而不是标准身份验证。 1.10
API_KEY_NOT_ROTATED API 密钥已经超过 90 天没有轮替。 1.13

计算映像漏洞发现结果

COMPUTE_IMAGE_SCANNER 检测器可识别与 Google Cloud 映像配置相关的漏洞。

表格 3. 计算映像扫描程序
类别 发现结果说明 CIS GCP Foundation 1.0 PCI-DSS 3.2.1 版 OWASP 排名前 10 NIST 800-53 ISO-27001
PUBLIC_COMPUTE_IMAGE Compute Engine 映像可公开访问。

计算实例漏洞发现结果

COMPUTE_INSTANCE_SCANNER 检测器可识别与 Google Cloud 实例配置相关的漏洞。

请注意,COMPUTE_INSTANCE_SCANNER 检测器不会报告在 GKE 创建的 Compute 实例上的发现结果。此类实例的名称以“gke-”开头,用户无法直接修改。要保护这些实例,请参阅“容器漏洞发现结果”部分。

表格 4.Compute 实例扫描程序
类别 发现结果说明 CIS GCP Foundation 1.0 PCI-DSS 3.2.1 版 OWASP 排名前 10 NIST 800-53 ISO-27001
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED 使用项目范围的 SSH 密钥,允许登录项目中的所有实例。 4.2
COMPUTE_SECURE_BOOT_DISABLED 安全强化型虚拟机未启用安全启动。使用安全启动功能可帮助保护虚拟机实例免受 rootkit 和 bootkit 等高级威胁。 4.8
COMPUTE_SERIAL_PORTS_ENABLED 为实例启用串行端口,允许连接到实例的串行控制台。 4.4
DISK_CSEK_DISABLED 此虚拟机上的磁盘未使用客户提供的加密密钥 (CSEK) 进行加密。此检测器需要额外配置才能启用。要启用此检测器,请对要监控的资源应用安全标记 enforce_customer_supplied_disk_encryption_keys,其值为 true 4.6
FULL_API_ACCESS 实例配置为使用能够全面访问所有 Google Cloud API 的默认服务帐号。 4.1 AC-6 A.9.2.3
IP_FORWARDING_ENABLED 实例上已启用 IP 转发。 4.5
OS_LOGIN_DISABLED 此实例已停用 OS Login。 4.3
PUBLIC_IP_ADDRESS 实例具有公共 IP 地址。 1.2.1
1.3.5
CA-3
SC-7
WEAK_SSL_POLICY 实例的 SSL 政策较弱。 SC-7 A.14.1.3

容器漏洞发现结果

这些发现结果类型均与 GKE 容器配置相关,并且属于 CONTAINER_SCANNER 检测器类型。

表格 5. 容器扫描程序
类别 发现结果说明 CIS GCP Foundation 1.0 PCI-DSS 3.2.1 版 OWASP 排名前 10 NIST 800-53 ISO-27001
AUTO_REPAIR_DISABLED GKE 集群自动修复功能已停用,该功能可让节点保持良好的运行状态。 7.7
AUTO_UPGRADE_DISABLED GKE 群集自动升级功能已停用,该功能可将群集和节点池保持在最新的 Kubernetes 稳定版本上。 7.8
CLUSTER_LOGGING_DISABLED 没有为 GKE 群集启用日志记录功能。 7.1
CLUSTER_MONITORING_DISABLED GKE 集群上的 Cloud Monitoring 已停用。 7.2 10.2.2
10.2.7
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED 集群主机未配置为仅使用内部专用 IP 地址来访问 Google API。 7.16 1.3
COS_NOT_USED Compute Engine 虚拟机未使用为在 Google Cloud 上安全运行 Docker 容器而设计的容器优化操作系统。 7.9 2.2
IP_ALIAS_DISABLED 创建 GKE 集群时停用了别名 IP 范围。 7.13 1.3.4
1.3.7
LEGACY_AUTHORIZATION_ENABLED 在 GKE 集群上启用旧版授权。 7.3 4.1
LEGACY_METADATA_ENABLED 在 GKE 集群上启用旧版元数据。
MASTER_AUTHORIZED_NETWORKS_DISABLED GKE 集群上未启用主实例授权网络 7.4
NETWORK_POLICY_DISABLED 已在 GKE 集群上停用网络政策。 7.11 1.3 SC-7 A.13.1.1
OVER_PRIVILEGED_ACCOUNT 服务帐号在集群中的项目访问权限过于宽泛。 7.17 2.1 AC-6
SC-7
A.9.2.3
OVER_PRIVILEGED_SCOPES 节点服务帐号具有广泛的访问权限范围。 7.18
POD_SECURITY_POLICY_DISABLED PodSecurityPolicy 在 GKE 集群上已停用。 7.14
PRIVATE_CLUSTER_DISABLED GKE 集群停用了专用集群。 7.15
WEB_UI_ENABLED GKE 网页界面(信息中心)已启用。 7.6 6.5.8
6.6
WORKLOAD_IDENTITY_DISABLED 在 GKE 集群上停用了 Workload Identity。

数据集漏洞发现结果

此检测器类型的漏洞均与 BigQuery 数据集配置相关联,并且属于 DATASET_SCANNER 检测器类型。

表格 6.数据集扫描程序
类别 发现结果说明 CIS GCP Foundation 1.0 PCI-DSS 3.2.1 版 OWASP 排名前 10 NIST 800-53 ISO-27001
PUBLIC_DATASET 数据集配置为开放给公众访问。 AC-3 A.8.2.3
A.14.1.3

DNS 漏洞发现结果

此检测器类型的漏洞均与 Cloud DNS 配置相关联,并且属于 DNS_SCANNER 检测器类型。

表格 7.DNS 扫描程序
类别 发现结果说明 CIS GCP Foundation 1.0 PCI-DSS 3.2.1 版 OWASP 排名前 10 NIST 800-53 ISO-27001
DNSSEC_DISABLED 已为 Cloud DNS 区域停用 DNSSEC。 3.3 A.8.2.3
RSASHA1_FOR_SIGNING RSASHA1 用于 Cloud DNS 区域中的密钥登录。 3.4
3.5

防火墙漏洞发现结果

此检测器类型的漏洞均与防火墙配置相关,并且属于 FIREWALL_SCANNER 检测器类型。

表格 8.防火墙扫描程序
类别 发现结果说明 CIS GCP Foundation 1.0 PCI-DSS 3.2.1 版 OWASP 排名前 10 NIST 800-53 ISO-27001
FIREWALL_RULE_LOGGING_DISABLED 防火墙规则日志记录已停用。应启用防火墙规则日志记录,以便您可以审核网络访问权限。 10.1 SI-4 A.13.1.1
OPEN_FIREWALL 防火墙配置为开放给公众访问。 1.2.1
OPEN_RDP_PORT 防火墙配置为具有允许通用访问的开放 RDP 端口。 3.7 1.2.1 SC-7 A.13.1.1
OPEN_SSH_PORT 防火墙配置为具有允许通用访问的开放 SSH 端口。 3.6 1.2.1 SC-7 A.13.1.1

IAM 漏洞发现结果

此检测器类型的漏洞均与身份和访问权限管理 (IAM) 配置相关,并属于 IAM_SCANNER 检测器类型。

表格 9.IAM 扫描程序
类别 发现结果说明 CIS GCP Foundation 1.0 PCI-DSS 3.2.1 版 OWASP 排名前 10 NIST 800-53 ISO-27001
ADMIN_SERVICE_ACCOUNT 有一个配置了管理员角色的服务帐号。 1.4
KMS_PROJECT_HAS_OWNER 用户对具有加密密钥的项目拥有“所有者”权限。 3.5 AC-6
SC-12
A.9.2.3
A.10.1.2
KMS_ROLE_SEPARATION 职责分离不是强制执行的,并且存在同时具有以下任何:Cloud Key Management Service(Cloud KMS)CryptoKey 加密者/解密者、加密者或解密者角色的用户。 1.9 AC-5 A.9.2.3
A.10.1.2
NON_ORG_IAM_MEMBER 有用户不使用组织凭据。目前,根据 CIS GCP Foundations 1.0,此检测器只能由具有 @gmail.com 电子邮件地址的身份触发。 1.1 7.1.2 AC-3 A.9.2.3
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER 用户在项目级层(而不是特定服务帐号)具有服务帐号用户角色 1.5 7.1.2 AC-6 A.9.2.3
PRIMITIVE_ROLES_USED 用户具有原初角色所有者、写入者或读取者。这些角色权限过于宽松,不应使用。 7.1.2 AC-6 A.9.2.3
REDIS_ROLE_USED_ON_ORG Redis IAM 角色在组织或文件夹级层分配。 8.7 A.9.2.3
SERVICE_ACCOUNT_ROLE_SEPARATION 为用户分配了服务帐号管理员和服务帐号用户角色。这违反了“职责分离”原则。 1.7 AC-5
SERVICE_ACCOUNT_KEY_NOT_ROTATED 服务帐号密钥已经超过 90 天没有轮替。 1.6
USER_MANAGED_SERVICE_ACCOUNT_KEY 服务帐号密钥由用户管理。 1.3

KMS 漏洞发现结果

此检测器类型的漏洞均与 Cloud KMS 配置相关联,并且属于 KMS_SCANNER 检测器类型。

表格 10.KMS 扫描程序
类别 发现结果说明 CIS GCP Foundation 1.0 PCI-DSS 3.2.1 版 OWASP 排名前 10 NIST 800-53 ISO-27001
KMS_KEY_NOT_ROTATED 没有在 Cloud KMS 加密密钥上配置轮替。 1.8 SC-12 A.10.1.2
TOO_MANY_KMS_USERS 有 3 个以上的加密密钥用户 3.5.2 A.9.2.3

日志记录漏洞发现结果

此检测器类型的漏洞均与日志记录配置相关,并且属于 LOGGING_SCANNER 检测器类型。

表格 11.日志记录扫描程序
类别 发现结果说明 CIS GCP Foundation 1.0 PCI-DSS 3.2.1 版 OWASP 排名前 10 NIST 800-53 ISO-27001
AUDIT_LOGGING_DISABLED 已停用此资源的审核日志记录功能。 2.1 10.2.3 AU-2 A.12.4.1
A.16.1.7
BUCKET_LOGGING_DISABLED 有一个存储分区未启用日志记录。 5.3
LOG_NOT_EXPORTED 有一个资源未配置适当的日志接收器。 2.2 10.2.3 A.18.1.3
OBJECT_VERSIONING_DISABLED 在配置了接收器的存储分区上未启用对象版本控制 2.3 10.2.3
PUBLIC_LOG_BUCKET 用作日志接收器的存储分区不应允许公开访问 10.5 AU-9 A.8.2.3
A.12.4.2
A.18.1.3

监控漏洞发现结果

此检测器类型的漏洞均与监控配置相关,并且属于 MONITORING_SCANNER 类型。所有 Monitoring 检测器发现结果属性都将包括:

  • 用于创建日志指标的 RecommendedLogFilter
  • 满足建议日志过滤条件中列出的条件的 QualifiedLogMetricNames
  • AlertPolicyFailureReasons 指示是否没有为任何合格日志指标创建提醒政策,或者现有提醒政策是否没有建议的设置。
表格 12.Monitoring 扫描程序
类别 发现结果说明 CIS GCP Foundation 1.0 PCI-DSS 3.2.1 版 OWASP 排名前 10 NIST 800-53 ISO-27001
AUDIT_CONFIG_NOT_MONITORED 日志指标和提醒未配置为监控审核配置更改。 2.5
BUCKET_IAM_NOT_MONITORED 日志指标和提醒未配置为监控 Cloud Storage IAM 权限更改。 2.10 1.3.2
CUSTOM_ROLE_NOT_MONITORED 日志指标和提醒未配置为监控自定义角色更改。 2.6
FIREWALL_NOT_MONITORED 日志指标和提醒未配置为监控 VPC 网络防火墙规则更改。 2.7
NETWORK_NOT_MONITORED 日志指标和提醒未配置为监控 VPC 网络更改。 2.9
OWNER_NOT_MONITORED 日志指标和提醒未配置为监控项目所有权分配或更改。 2.4
ROUTE_NOT_MONITORED 日志指标和提醒未配置为监控 VPC 网络路由更改。 2.8
SQL_INSTANCE_NOT_MONITORED 日志指标和提醒未配置为监控 Cloud SQL实例配置更改。 2.11

网络漏洞发现结果

此检测器类型的漏洞均与组织的网络配置相关,属于 NETWORK_SCANNER 类型。

表格 13.网络扫描程序
类别 发现结果说明 CIS GCP Foundation 1.0 PCI-DSS 3.2.1 版 OWASP 排名前 10 NIST 800-53 ISO-27001
DEFAULT_NETWORK 项目中存在默认网络。 3.1
LEGACY_NETWORK 项目中存在旧版网络。 3.2

SSH 密码漏洞发现结果

此检测器类型的漏洞均与密码相关,并且属于 SSH_PASSWORD 类型。

表格 14.SSH 密码扫描程序
类别 发现结果说明 CIS GCP Foundation 1.0 PCI-DSS 3.2.1 版 OWASP 排名前 10 NIST 800-53 ISO-27001
WEAK_SSH_PASSWORD 资源的 SSH 密码安全系数较低。

SQL 漏洞发现结果

此检测器类型的漏洞均与 Cloud SQL 配置相关,并且属于 SQL_SCANNER 类型。

表格 15.SQL 扫描程序
类别 发现结果说明 CIS GCP Foundation 1.0 PCI-DSS 3.2.1 版 OWASP 排名前 10 NIST 800-53 ISO-27001
AUTO_BACKUP_DISABLED Cloud SQL 数据库未启用自动备份。 10.2.1 CA-3 A.12.3.1
PUBLIC_SQL_INSTANCE Cloud SQL 数据库实例接受来自所有 IP 地址的连接。 6.2 1.2.1 CA-3
SC-7
A.8.2.3
A.13.1.3
A.14.1.3
SSL_NOT_ENFORCED Cloud SQL 数据库实例并不要求所有传入连接都使用 SSL。 6.1 2.3 SC-7 A.8.2.3
A.13.2.1
A.14.1.3
SQL_NO_ROOT_PASSWORD Cloud SQL 数据库没有为根帐号配置密码。
SQL_WEAK_ROOT_PASSWORD Cloud SQL 数据库为根帐号配置了安全系数低的密码。

存储漏洞发现结果

此检测器类型的漏洞均与 Cloud Storage 存储分区配置相关,并且属于 STORAGE_SCANNER 类型。

表格 16.存储扫描程序
类别 发现结果说明 CIS GCP Foundation 1.0 PCI-DSS 3.2.1 版 OWASP 排名前 10 NIST 800-53 ISO-27001
BUCKET_POLICY_ONLY_DISABLED 未配置 Uniform bucket-level access(以前称为 Bucket Policy Only)。
LOGGING_DISABLED 对 Cloud Storage 存储分区停用日志记录功能。
PUBLIC_BUCKET_ACL Cloud Storage 存储分区可公开访问。 5.1 7.1 AC-2 A.8.2.3
A.14.1.3

子网漏洞发现结果

此检测器类型的漏洞均与组织的子网配置相关,属于 SUBNETWORK_SCANNER 类型。

表格 17.子网扫描程序
类别 发现结果说明 CIS GCP Foundation 1.0 PCI-DSS 3.2.1 版 OWASP 排名前 10 NIST 800-53 ISO-27001
FLOW_LOGS_DISABLED 有一个 VPC 子网已停用流日志。 3.9 SI-4 A.13.1.1
PRIVATE_GOOGLE_ACCESS_DISABLED 有一些专用子网无权访问 Google 公共 API。 3.8

Web Security Scanner 发现结果

以下是 Web Security Scanner 自定义和代管式扫描识别的发现结果类型。

表格 18. Web Security Scanner 发现结果
类别 发现结果说明 CIS GCP Foundation 1.0 PCI-DSS 3.2.1 版 OWASP 排名前 10 NIST 800-53 ISO-27001
ACCESSIBLE_GIT_REPOSITORY GIT 代码库会公开。要解决此问题,请移除对 GIT 代码库的意外公开访问权限。 A3
ACCESSIBLE_SVN_REPOSITORY SVN 代码库会公开。要解决此问题,请移除对 SVN 代码库的意外公开访问权限。 A3
CLEAR_TEXT_PASSWORD 密码以明文形式传输,可以被拦截。要解决此问题,请对通过网络传输的密码进行加密。 A3
INVALID_CONTENT_TYPE 加载的资源与响应的 Content-Type HTTP 标头不匹配。 要解决此问题,请将 `X-Content-Type-Options` HTTP 标头设置为正确的值。 A6
INVALID_HEADER 安全标头存在语法错误,并且会被浏览器忽略。要解决此问题,请正确设置 HTTP 安全标头。 A6
MISMATCHING_SECURITY_HEADER_VALUES 安全标头具有重复的、不匹配的值,这会导致未定义的行为。要解决此问题,请正确设置 HTTP 安全标头。 A6
MISSPELLED_SECURITY_HEADER_NAME 安全标头拼写错误,并且将被忽略。要解决此问题,请正确设置 HTTP 安全标头。 A6
MIXED_CONTENT 资源是通过 HTTPS 页面上的 HTTP 提供的。要解决此问题,请确保所有资源是通过 HTTPS 提供的。 A6
OUTDATED_LIBRARY 检测到有已知漏洞的库。要解决此问题,请将库升级到新版本。 A9
XSS 此 Web 应用中的字段容易受到跨站脚本 (XSS) 攻击。要解决此问题,请验证和转义不受信任的用户提供的数据。 A7
XSS_ANGULAR_CALLBACK 用户提供的字符串没有转义,并且可由 AngularJS 插入。要解决此问题,请验证并转义由 Angular 框架处理的不受信任用户提供的数据。 A7
XSS_ERROR 此 Web 应用中的字段容易受到跨站脚本攻击。要解决此问题,请验证和转义不受信任的用户提供的数据。 A7

CIS 基准

互联网安全中心 (CIS) 包含以下基准,Web Security Scanner 或 Security Health Analytics 检测器目前不支持这些基准:

表格 19.CIS 基准
类别 发现结果说明 CIS GCP Foundation 1.0 NIST 800-53 ISO-27001
BASIC_AUTHENTICATION_ENABLED 应在 Kubernetes 集群上启用 IAM 或客户端证书身份验证 7.10
CLIENT_CERT_AUTHENTICATION_DISABLED 应在启用客户端证书的情况下创建 Kubernetes 集群 7.12
LABELS_NOT_USED 标签可用于细分结算信息 7.5
PUBLIC_STORAGE_OBJECT 存储对象 ACL 不应向 AllUsers 授予访问权限 5.2
SQL_BROAD_ROOT_LOGIN 对 SQL 数据库的根权限应限于允许列出的可信 IP 地址 6.4

后续步骤