Corrige los hallazgos del servicio de Secured Landing Zone

Cuando se infringen las políticas de seguridad de los planos implementados, el servicio de Secured Landing Zone detecta estos incumplimientos y genera hallazgos. Según la postura de seguridad identificada, el servicio de Secured Landing Zone activa respuestas automáticas que realizan soluciones completas o parciales, o una alerta que requiere una corrección manual de la infracción.

Cuando el servicio de Secured Landing Zone está habilitado para el plano Secured Data Warehouse, comprueba si hay algún incumplimiento de seguridad del plano implementado. Cuando se descubre que se infringe una política de seguridad, el servicio de Secured Landing Zone muestra un hallazgo. Como respuesta al hallazgo, el servicio de Secured Landing Zone realiza lo siguiente:

  • Para las soluciones completas, se activa una guía de soluciones a fin de restablecer el incumplimiento de política. El hallazgo correspondiente de Security Command Center se actualiza para registrar los detalles de la respuesta.
  • Para algunas infracciones, se genera un hallazgo. El hallazgo requiere pasos de solución manuales para resolver el incumplimiento de política. Si deseas generar alertas automáticas para estos resultados, consulta Habilita notificaciones de hallazgos para Pub/Sub.

Hallazgos con estado

Estos resultados corresponden al estado de configuración y vulnerabilidad de los servicios, datos y recursos constituyentes de la implementación.
Tabla 1: Servicio de Secured Landing Zone: Hallazgos con estado
Categoría Descripción del resultado Próximos pasos
Domain restricted sharing (DRS) organization policy changed at project level Se produjo un cambio en la política de la organización que restringe la modificación de las políticas de permiso de IAM en los recursos solo a los miembros de los dominios especificados en el plano. Solución completa

La configuración de DRS original se restablece a nivel de proyecto de forma automática.

Project containing buckets must enforce uniform bucket-level access

Hubo un aumento en el riesgo de robo de datos en los buckets de este proyecto. Debido a este incumplimiento, el acceso a los objetos podría otorgarse a nivel de objeto individual en lugar de controlarse a través de permisos de IAM a nivel de bucket. Solución completa

La configuración original a nivel de bucket se restablece automáticamente a nivel de proyecto.

Fine grained access control enabled on bucket

Hubo un aumento en el riesgo de robo de datos en los buckets de este proyecto. Debido a este incumplimiento, el acceso a los objetos podría otorgarse a nivel de objeto individual en lugar de controlarse a través de permisos de IAM a nivel de bucket. Solución completa

La configuración original a nivel de bucket se restablece automáticamente a nivel de proyecto.

Detailed audit log mode disabled at project level Se inhabilitó la información detallada de las solicitudes y respuestas de las operaciones de Cloud Storage. Esto podría limitar la integridad de los datos capturados. Podría afectar el cumplimiento de las normativas del recurso de almacenamiento. Solución completa

La política del modo de registro de auditoría detallada y original se restablece automáticamente a nivel de proyecto.

Public bucket exposure Cualquier persona con acceso a Internet puede encontrar, modificar y robar datos del bucket o los objetos individuales, y controlar las políticas de IAM para este recurso. Solución completa

Los permisos AllUsers y AllAuthenticatedUsers se quitan de forma automática en el bucket.

Public resource exposure Cualquier persona con acceso a Internet puede encontrar, modificar y robar datos de los recursos (como recursos de Data Catalog, BigQuery, Pub/Sub, Cloud Storage o Cloud Key Management Service) especificados en el plano. Solución completa

Los permisos AllUsers y AllAuthenticatedUsers se quitan del recurso de forma automática.

Cloud Storage bucket Public Access Prevention (PAP) not enforced La política de la organización se aplica para evitar que se acceda a los recursos de almacenamiento existentes y futuros a través de la Internet pública. Para ello, inhabilita y bloquea las listas de control de acceso y los permisos de IAM que otorgan acceso a AllUsers y AllAuthenticatedUsers. Solución completa

La configuración original de PAP se restablece a nivel de proyecto.

CMEK disabled or not in use for service that stores data Las CMEK deben estar habilitadas y usarse para cada servicio en la implementación de plano que almacena datos como BigQuery, Pub/Sub y Cloud Storage. Se genera un hallazgo.

Debes revisar las diferencias entre la configuración de la política esperada y el incumplimiento detectado.

Corrección manual

Puedes realizar una de las siguientes acciones:

Hallazgos de comportamiento

Estos resultados corresponden a las restricciones de los eventos (como acciones o amenazas) que ocurren en los datos, servicios y recursos implementados.
Tabla 2. Servicio de Secured Landing Zone: hallazgos de comportamiento
Categoría Descripción del resultado Próximos pasos
Suspicious behavior: Public bucket exposure and bucket logging have been disabled Se produjo una combinación sospechosa de eventos en la que un bucket se hizo público y el registro se inhabilitó. Solución completa

Los permisos AllUsers y AllAuthenticatedUsers se quitan de forma automática en el bucket. La política de registro de depósitos se restablece de forma automática a nivel de proyecto.

Deletion of any resource in a blueprinted deployment Detecta la eliminación de un recurso de plano original. Se genera un hallazgo.

Debes revisar las diferencias entre las restricciones esperadas y el incumplimiento detectado.

Corrección manual

Debes volver a implementar el plano original de Terraform.

Suspicious behavior: Resource exposed publicly and the resource data access logging has been disabled. Una combinación sospechosa de eventos detectados en los que un recurso (como un recurso de Cloud Key Management Service o Pub/Sub) se hizo público debido a que se otorgó a AllUsers y AllAuthenticatedUsers permiso en el recurso y se inhabilitó su registro de acceso a los datos.

Solución parcial

Los permisos AllUsers y AllAuthenticatedUsers se quitan del recurso de forma automática.

Debes revisar las diferencias entre la configuración de la política esperada y el incumplimiento detectado.

Corrección manual

Puedes realizar una de las siguientes acciones:

Event Threat Detection: Possible data exfiltration from BigQuery Un intento de consulta anómalo en una tabla de BigQuery.

Se genera un hallazgo.

Event Threat Detection: Possible data exfiltration from BigQuery Se copió una tabla de BigQuery a un destino externo.

Se genera un hallazgo.

Hallazgos ambientales

Estos hallazgos corresponden a las restricciones y al estado y comportamiento asociados del entorno que rodea a los recursos y los datos, y que interactúa con la implementación.
Tabla 3. Servicio de Secured Landing Zone: Hallazgos ambientales
Category Descripción del resultado Próximos pasos
VPC service perimeter configuration has changed: Proyectos borrados Uno de los proyectos configurados en la implementación de plano técnico que debe estar protegido por un perímetro de servicio de VPC específico ya no está protegido por ese perímetro. Se genera un hallazgo.

Debes revisar las diferencias entre las restricciones esperadas y el incumplimiento detectado.

Corrección manual

Puedes realizar una de las siguientes acciones:
VPC service perimeter configuration has been changed. Access to a VPC perimeter for one of the original allowed services GCS enabled in the blueprint has been removed El recurso de Cloud Storage configurado en la implementación de plano para el acceso al perímetro de servicio se quitó de la lista de servicios permitidos.

Solución completa

El servicio que se quitó se restablece automáticamente. La lista de servicios restringidos para el perímetro de los Controles del servicio de VPC específico se actualiza de forma automática.

VPC service perimeter configuration has been changed. Access to a VPC perimeter for one of the original allowed services BQ enabled in the blueprint has been removed El recurso de BigQuery configurado en la implementación de plano para el acceso al perímetro de servicio se quitó de la lista de servicios permitidos.

Solución completa

El servicio que se quitó se restablece automáticamente. La lista de servicios restringidos para el perímetro específico de los Controles del servicio de VPC se actualiza de forma automática.

VPC service perimeter configuration has been changed. Access to a VPC perimeter for one of the original allowed services Cloud KMS enabled in the blueprint has been removed El recurso de Cloud Key Management Service configurado en la implementación de plano para el acceso al perímetro de servicio se quitó de la lista de servicios permitidos.

Solución completa

El servicio que se quitó se restablece automáticamente. La lista de servicios restringidos para el perímetro específico de los Controles del servicio de VPC se actualiza de forma automática.

VPC service perimeter configuration has been changed. Access to a VPC perimeter for one of the original allowed services Pub/Sub enabled in the blueprint has been removed El recurso de Pub/Sub configurado en la implementación de plano para el acceso al perímetro de servicio se quitó de la lista de servicios permitidos.

Solución completa

El servicio que se quitó se restablece automáticamente. La lista de servicios restringidos para el perímetro específico de los Controles del servicio de VPC se actualiza de forma automática.

VPC service perimeter configuration has been changed. Access to a VPC perimeter for one of the original allowed services Dataflow enabled in the blueprint has been removed El recurso de Dataflow configurado en la implementación de plano para el acceso al perímetro de servicio se quitó de la lista de servicios permitidos.

Solución completa

El servicio que se quitó se restablece automáticamente. La lista de servicios restringidos para el perímetro específico de los Controles del servicio de VPC se actualiza de forma automática.

VPC service perimeter configuration has been changed. Access to a VPC perimeter for one of the original allowed services Data Catalog enabled in the blueprint has been removed El recurso de Data Catalog configurado en la implementación de plano para el acceso al perímetro de servicio se quitó de la lista de servicios permitidos.

Solución completa

El servicio que se quitó se restablece automáticamente. La lista de servicios restringidos para el perímetro específico de los Controles del servicio de VPC se actualiza de forma automática.

VPC service perimeter configuration has been changed. Access to a VPC perimeter for one of the original allowed services Sensitive Data Protection enabled in the blueprint has been removed Se quitó de la lista de servicios permitidos el recurso de protección de datos sensibles configurado en la implementación del plano para acceder al perímetro de servicio.

Solución completa

El servicio que se quitó se restablece automáticamente. La lista de servicios restringidos para el perímetro específico de los Controles del servicio de VPC se actualiza de forma automática.

Customer specified label has been removed from a blueprint deployed resource Las etiquetas especificadas por el cliente que se adjuntan en el momento de la implementación del plano deben aplicarse de manera forzosa y no deben cambiarse en el entorno de ejecución.

Solución completa

Las etiquetas originales del recurso real se restablecen automáticamente.

Pasos manuales para solucionar el problema

En esta sección, se incluyen instrucciones para los resultados del servicio de Secured Landing Zone que requieren pasos de solución manual.

CMEK inhabilitadas o sin usar para el servicio que almacena datos

Con CMEK, las claves que creas y administras en Cloud KMS envuelven las claves que usa Google Cloud para encriptar tus datos, lo que te brinda más control sobre el acceso a tus datos. Para obtener más información, consulta Protege datos con claves de Cloud KMS.

Las CMEK no se usan para el servicio que almacena datos

Una tabla de BigQuery no está configurada para usar una clave de encriptación administrada por el cliente (CMEK).

Para solucionar el problema, haz lo siguiente:

  1. Crea una tabla protegida por Cloud Key Management Service.
  2. Copia la tabla en la nueva tabla con CMEK habilitada.
  3. Borra la tabla original.

Para establecer una clave CMEK predeterminada que encripte todas las tablas nuevas de un conjunto de datos, consulta Configura una clave predeterminada de conjunto de datos.

CMEK inhabilitadas

Un conjunto de datos de BigQuery no está configurado para usar una clave de encriptación predeterminada administrada por el cliente (CMEK).

Para solucionar el problema, haz lo siguiente:

No puedes cambiar una tabla entre las encriptaciones predeterminadas y la encriptación de CMEK. A fin de establecer una clave CMEK predeterminada para encriptar todas las tablas nuevas en el conjunto de datos, sigue las instrucciones de modo que puedas configurar una clave predeterminada del conjunto de datos.

Si configuras una clave predeterminada, no se volverán a encriptar de forma retroactiva las tablas que están en el conjunto de datos con una clave nueva. Sigue estos pasos si quieres usar CMEK en los datos existentes:

  1. Crea un nuevo conjunto de datos.
  2. Establece una clave CMEK predeterminada en el conjunto de datos que creaste.
  3. Si deseas copiar las tablas en tu conjunto de datos habilitado para CMEK, sigue las instrucciones para copiar una tabla.
  4. Después de copiar los datos correctamente, borra los conjuntos de datos originales.

Comportamiento sospechoso: El recurso se expone de manera pública y el registro de acceso a los datos del recurso se inhabilitó

Se inhabilitó el registro de auditoría para este recurso.

Habilita Cloud Logging para que todos los servicios realicen un seguimiento de todas las actividades de administrador, el acceso de lectura y el acceso de escritura a los datos del usuario. Según la cantidad de información, los costos de Cloud Logging pueden ser significativos. Para comprender el uso del servicio y su costo, consulta Optimización de costos para la observabilidad de Google Cloud. .

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Configuración de auditoría predeterminada en la consola de Google Cloud.

    Ve a Configuración de auditoría predeterminada

  2. En la pestaña TIPO DE REGISTRO, selecciona Lectura del administrador, Lectura de datos y Escritura de datos.

  3. Haz clic en Guardar.

  4. En la pestaña Usuarios exentos, haz clic en Borrar junto a cada nombre para quitar a todos los usuarios de la lista.

  5. Haz clic en Guardar.

Se modificó la configuración del perímetro de servicio de VPC: proyectos borrados

Si se borró un proyecto de un perímetro de servicio, haz lo siguiente para restablecer el proyecto borrado:

  1. En el menú de navegación de la consola de Google Cloud, haz clic en Seguridad y, luego, en Controles del servicio de VPC.

    Ir a la página Controles del servicio de VPC

  2. Si se te solicita, selecciona tu organización.

  3. En la página Security Command Center, en la tabla, haz clic en el nombre del perímetro de servicio que deseas modificar.

  4. En la página Editar perímetro de servicio de VPC, actualiza el perímetro de servicio.

  5. Para restablecer los proyectos que se borraron del perímetro de servicio, haz lo siguiente:

    1. Haz clic en Proyectos.
    2. En el panel Projects (Proyectos), haz clic en Add projects (Agregar proyectos).
    3. Vuelve a agregar el proyecto borrado a la lista de proyectos.

  6. Haz clic en Guardar.