Correzione dei risultati del servizio Secured Landing Zone

Quando i criteri di sicurezza dei progetti di cui è stato eseguito il deployment vengono violati, il servizio Secured Landing Zone rileva queste violazioni e genera risultati. In base alla postura di sicurezza identificata, il servizio Secured Landing Zone attiva risposte automatiche che eseguono correzioni complete o parziali oppure un avviso che richiede una correzione manuale della violazione.

Quando il servizio Secured Landing Zone è abilitato per il progetto Secured Data Warehouse, verifica la presenza di eventuali violazioni della sicurezza del progetto di cui è stato eseguito il deployment. Quando un criterio di sicurezza viene violato, il servizio Secured Landing Zone mostra un risultato. In risposta al risultato, il servizio Secured Landing Zone:

• Per correzioni complete, viene attivato un playbook di correzione per ripristinare la violazione dei criteri. Il risultato corrispondente di Security Command Center viene quindi aggiornato in modo da registrare i dettagli della risposta.
• Per alcune violazioni, viene generato un risultato. Il risultato richiede una procedura di correzione manuale per risolvere la violazione delle norme. Per generare avvisi automatici per questi risultati, consulta Abilitare le notifiche sui risultati per Pub/Sub.

Risultati stateful

Questi risultati corrispondono allo stato di configurazione e vulnerabilità di risorse, servizi e dati all'interno del deployment.

Tabella 1. Servizio Secured Landing Zone - Risultati stateful

Categoria	Descrizione del risultato	Passaggi successivi
Domain restricted sharing (DRS) organization policy changed at project level	È stata apportata una modifica al criterio dell'organizzazione che limita la modifica dei criteri di autorizzazione IAM sulle risorse solo ai membri dei domini specificati nel progetto base.	Soluzione completa L'impostazione DRS originale viene ripristinata automaticamente a livello di progetto.
Project containing buckets must enforce uniform bucket-level access	Si è verificato un aumento del rischio di esfiltrazione di dati per i bucket in questo progetto. A causa di questa violazione, l'accesso agli oggetti potrebbe ora essere concesso a livello di singolo oggetto, anziché essere controllato tramite le autorizzazioni IAM a livello di bucket.	Soluzione completa L'impostazione originale a livello di bucket uniforme viene ripristinata automaticamente a livello di progetto.
Fine grained access control enabled on bucket	Si è verificato un aumento del rischio di esfiltrazione di dati per i bucket in questo progetto. A causa di questa violazione, l'accesso agli oggetti potrebbe ora essere concesso a livello di singolo oggetto, anziché essere controllato tramite le autorizzazioni IAM a livello di bucket.	Soluzione completa L'impostazione originale a livello di bucket uniforme viene ripristinata automaticamente a livello di progetto.
Detailed audit log mode disabled at project level	Informazioni dettagliate sulle richieste e sulle risposte per le operazioni di Cloud Storage sono state disabilitate. Ciò potrebbe limitare la completezza dei dati acquisiti. Potrebbe influire sulla conformità normativa della risorsa di archiviazione.	Soluzione completa Il criterio della modalità audit log dettagliato originale viene ripristinato automaticamente a livello di progetto.
Public bucket exposure	Chiunque abbia accesso a internet può trovare, modificare ed esfiltrare i dati dal bucket e/o dai singoli oggetti, nonché controllare i criteri IAM per questa risorsa.	Soluzione completa Le autorizzazioni AllUsers e AllAuthenticatedUsers vengono rimosse automaticamente dal bucket.
Public resource exposure	Chiunque abbia accesso a internet può trovare, modificare ed esfiltrare i dati dalle risorse (ad esempio BigQuery, Pub/Sub, Cloud Storage, Cloud Key Management Service, Data Catalog) specificate nel progetto.	Soluzione completa Le autorizzazioni AllUsers e AllAuthenticatedUsers vengono rimosse automaticamente dalla risorsa.
Cloud Storage bucket Public Access Prevention (PAP) not enforced	Il criterio dell'organizzazione viene applicato per impedire l'accesso alle risorse di archiviazione esistenti e future tramite la rete internet pubblica. Ciò avviene mediante la disattivazione e il blocco degli elenchi di controllo dell'accesso'accesso e delle autorizzazioni IAM che concedono l'accesso a AllUsers e AllAuthenticatedUsers.	Soluzione completa L'impostazione PAP originale viene ripristinata a livello di progetto.
CMEK disabled or not in use for service that stores data	La CMEK deve essere abilitata e utilizzata per ogni servizio nel deployment del progetto che archivia dati come BigQuery, Pub/Sub e Cloud Storage.	Viene generato un risultato. Devi esaminare le differenze tra la configurazione dei criteri prevista e la violazione rilevata. Correzione manuale Scegli una delle opzioni seguenti: Esegui di nuovo il deployment del progetto base di Terraform originale. Correggi questo risultato build

Risultati comportamentali

Questi risultati corrispondono ai vincoli relativi agli eventi (ad esempio azioni o minacce) che si verificano al, sopra e all'interno delle risorse, dei servizi e dei dati di cui è stato eseguito il deployment.

Tabella 2. Servizio Secured Landing Zone - Risultati comportamentali

Categoria	Descrizione del risultato	Passaggi successivi
Suspicious behavior: Public bucket exposure and bucket logging have been disabled	Si è verificata una combinazione sospetta di eventi nei casi in cui un bucket è stato reso pubblico e il logging è stato disabilitato.	Soluzione completa Le autorizzazioni AllUsers e AllAuthenticatedUsers vengono rimosse automaticamente dal bucket. Il criterio di logging dei bucket viene ripristinato automaticamente a livello di progetto.
Deletion of any resource in a blueprinted deployment	Rileva l'eliminazione di una risorsa creata originale.	Viene generato un risultato. Devi esaminare le differenze tra i vincoli previsti e la violazione rilevata. Correzione manuale Devi eseguire nuovamente il deployment del progetto base di Terraform originale.
Suspicious behavior: Resource exposed publicly and the resource data access logging has been disabled.	Una combinazione sospetta di eventi rilevata quando una risorsa (ad esempio una risorsa Pub/Sub o Cloud Key Management Service) è stata resa pubblica concedendo le autorizzazioni AllUsers e AllAuthenticatedUsers per la risorsa e il relativo logging di accesso ai dati è stato disabilitato.	Correzione parziale Le autorizzazioni AllUsers e AllAuthenticatedUsers vengono rimosse automaticamente dalla risorsa. Devi esaminare le differenze tra la configurazione dei criteri prevista e la violazione rilevata. Correzione manuale Scegli una delle opzioni seguenti: Esegui di nuovo il deployment del progetto base di Terraform originale. Correggi questo risultato build
Event Threat Detection: Possible data exfiltration from BigQuery	Tentativo di query anomalo su una tabella BigQuery.	Viene generato un risultato.
Event Threat Detection: Possible data exfiltration from BigQuery	Una tabella BigQuery è stata copiata in una destinazione esterna.	Viene generato un risultato.

Risultati ambientali

Questi risultati corrispondono ai vincoli, allo stato e al comportamento associati dell'ambiente che circonda le risorse e i dati e che interagisce con il deployment.

Tabella 3. Servizio Secured Landing Zone - Risultati ambientali

Categoria	Descrizione del risultato	Passaggi successivi
VPC service perimeter configuration has changed - Progetti eliminati	Uno dei progetti configurati nel deployment del progetto che deve essere protetto da un perimetro di servizio VPC specifico non è più protetto da questo perimetro.	Viene generato un risultato. Devi esaminare le differenze tra i vincoli previsti e la violazione rilevata. Correzione manuale Scegli una delle opzioni seguenti: Esegui di nuovo il deployment del progetto base di Terraform originale. Correggi questo risultato build
VPC service perimeter configuration has been changed. Access to a VPC perimeter for one of the original allowed services GCS enabled in the blueprint has been removed	La risorsa Cloud Storage configurata nel deployment del progetto base per l'accesso al perimetro di servizio è stata rimossa dall'elenco dei servizi consentiti.	Soluzione completa Il servizio rimosso viene ripristinato automaticamente. L'elenco dei servizi limitati per il perimetro specifico dei Controlli di servizio VPC viene aggiornato automaticamente.
VPC service perimeter configuration has been changed. Access to a VPC perimeter for one of the original allowed services BQ enabled in the blueprint has been removed	La risorsa BigQuery configurata nel deployment del progetto base per l'accesso al perimetro di servizio è stata rimossa dall'elenco dei servizi consentiti.	Soluzione completa Il servizio rimosso viene ripristinato automaticamente. L'elenco dei servizi limitati per il perimetro specifico dei Controlli di servizio VPC viene aggiornato automaticamente.
VPC service perimeter configuration has been changed. Access to a VPC perimeter for one of the original allowed services Cloud KMS enabled in the blueprint has been removed	La risorsa Cloud Key Management Service configurata nel deployment del progetto base per l'accesso al perimetro di servizio è stata rimossa dall'elenco dei servizi consentiti.	Soluzione completa Il servizio rimosso viene ripristinato automaticamente. L'elenco dei servizi limitati per il perimetro specifico dei Controlli di servizio VPC viene aggiornato automaticamente.
VPC service perimeter configuration has been changed. Access to a VPC perimeter for one of the original allowed services Pub/Sub enabled in the blueprint has been removed	La risorsa Pub/Sub configurata nel deployment del progetto base per l'accesso al perimetro di servizio è stata rimossa dall'elenco dei servizi consentiti.	Soluzione completa Il servizio rimosso viene ripristinato automaticamente. L'elenco dei servizi limitati per il perimetro specifico dei Controlli di servizio VPC viene aggiornato automaticamente.
VPC service perimeter configuration has been changed. Access to a VPC perimeter for one of the original allowed services Dataflow enabled in the blueprint has been removed	La risorsa Dataflow configurata nel deployment del progetto base per l'accesso al perimetro di servizio è stata rimossa dall'elenco dei servizi consentiti.	Soluzione completa Il servizio rimosso viene ripristinato automaticamente. L'elenco dei servizi limitati per il perimetro specifico dei Controlli di servizio VPC viene aggiornato automaticamente.
VPC service perimeter configuration has been changed. Access to a VPC perimeter for one of the original allowed services Data Catalog enabled in the blueprint has been removed	La risorsa Data Catalog configurata nel deployment del progetto base per l'accesso al perimetro di servizio è stata rimossa dall'elenco dei servizi consentiti.	Soluzione completa Il servizio rimosso viene ripristinato automaticamente. L'elenco dei servizi limitati per il perimetro specifico dei Controlli di servizio VPC viene aggiornato automaticamente.
VPC service perimeter configuration has been changed. Access to a VPC perimeter for one of the original allowed services Sensitive Data Protection enabled in the blueprint has been removed	La risorsa Sensitive Data Protection configurata nel deployment del progetto base per l'accesso al perimetro di servizio è stata rimossa dall'elenco dei servizi consentiti.	Soluzione completa Il servizio rimosso viene ripristinato automaticamente. L'elenco dei servizi limitati per il perimetro specifico dei Controlli di servizio VPC viene aggiornato automaticamente.
Customer specified label has been removed from a blueprint deployed resource	Le etichette specificate dal cliente collegate al momento del deployment del progetto devono essere applicate in modo forzato e non devono essere modificate in fase di runtime.	Soluzione completa Le etichette originali nella risorsa effettiva vengono ripristinate automaticamente.

Procedura di correzione manuale

Questa sezione include istruzioni per i risultati del servizio Secured Landing Zone che richiedono passaggi di correzione manuali.

CMEK disabilitata o non in uso per il servizio che archivia i dati

Con CMEK, le chiavi che crei e gestisci in Cloud KMS eseguono il wrapping delle chiavi utilizzate da Google Cloud per criptare i tuoi dati, offrendoti un maggiore controllo sull'accesso ai dati. Per ulteriori informazioni, consulta Protezione dei dati con le chiavi Cloud KMS.

CMEK non in uso per il servizio che archivia i dati

Una tabella BigQuery non è configurata per l'utilizzo di una chiave di crittografia gestita dal cliente (CMEK).

Per risolvere il problema:

1. Crea una tabella protetta da Cloud Key Management Service.
2. Copia la tua tabella nella nuova tabella abilitata per CMEK.
3. Elimina la tabella originale.

Per impostare una chiave CMEK predefinita che cripta tutte le nuove tabelle in un set di dati, vedi Imposta una chiave predefinita del set di dati.

CMEK disattivata

Un set di dati BigQuery non è configurato per utilizzare una chiave di crittografia gestita dal cliente (CMEK) predefinita.

Per risolvere il problema:

Non puoi passare da una tabella all'altra tra le crittografia predefinite e la crittografia CMEK. Per impostare una chiave CMEK predefinita con cui criptare tutte le nuove tabelle nel set di dati, segui le istruzioni per impostare una chiave predefinita del set di dati.

L'impostazione di una chiave predefinita non cripterà nuovamente in modo retroattivo le tabelle attualmente nel set di dati con una nuova chiave. Per utilizzare CMEK per i dati esistenti:

1. Crea un nuovo set di dati.
2. Imposta una chiave CMEK predefinita sul set di dati che hai creato.
3. Per copiare le tabelle nel set di dati abilitato per CMEK, segui le istruzioni per copiare una tabella.
4. Dopo aver copiato i dati, elimina i set di dati originali.

Comportamento sospetto: la risorsa esposta pubblicamente e il logging dell'accesso ai dati alle risorse è stato disabilitato

L'audit logging è stato disabilitato per questa risorsa.

Abilita Cloud Logging per tutti i servizi al fine di tenere traccia di tutte le attività di amministrazione, l'accesso in lettura e l'accesso in scrittura ai dati utente.A seconda della quantità di informazioni, i costi di Cloud Logging possono essere significativi. Per comprendere l'utilizzo del servizio e il relativo costo, consulta Ottimizzazione dei costi per l'osservabilità di Google Cloud. .

Per risolvere il problema:

1. Vai alla pagina Configurazione predefinita dell'audit nella console Google Cloud.

   Vai a Configurazione predefinita dell'audit

2. Nella scheda Tipo di log, seleziona Lettura amministratore, Lettura dati e Scrittura dati.

3. Fai clic su Salva.

4. Nella scheda Utenti esenti, rimuovi tutti gli utenti elencati facendo clic su Elimina delete accanto a ciascun nome.

5. Fai clic su Salva.

La configurazione del perimetro di servizio VPC è stata modificata: progetti eliminati

Se un progetto è stato eliminato da un perimetro di servizio, segui questi passaggi per ripristinare il progetto eliminato:

1. Nel menu di navigazione della console Google Cloud, fai clic su Sicurezza, quindi su Controlli di servizio VPC.

   Vai alla pagina Controlli di servizio VPC

2. Se richiesto, seleziona la tua organizzazione.

3. Nella tabella della pagina Security Command Center, fai clic sul nome del perimetro di servizio che vuoi modificare.

4. Nella pagina Modifica perimetro di servizio VPC, aggiorna il perimetro di servizio.

5. Per ripristinare i progetti eliminati dal perimetro di servizio:

   1. Fai clic su Progetti.
   2. Nel riquadro Progetti, fai clic su Aggiungi progetti.
   3. Aggiungi di nuovo il progetto eliminato all'elenco dei progetti.

6. Fai clic su Salva.