Behebung von Dienstergebnissen der Secured Landing Zone

Wenn Sicherheitsrichtlinien der bereitgestellten Blueprints verletzt werden, erkennt der Dienst "Secured Landing Zone" diese Verstöße und generiert Ergebnisse. Basierend auf dem identifizierten Sicherheitsstatus löst der Dienst "Secured Landing Zone" automatische Antworten aus, die vollständige oder teilweise Abhilfemaßnahmen ausführen, oder eine Benachrichtigung, die eine manuelle Korrektur des Verstoßes erfordert.

Wenn der Dienst „Secured Landing Zone“ für den Blueprint Secured Data Warehouse aktiviert ist, wird eine Prüfung auf Sicherheitsverstöße des bereitgestellten Blueprints durchgeführt. Wenn ein Verstoß gegen eine Sicherheitsrichtlinie festgestellt wird, zeigt der Dienst der Secured Landing Zone ein Ergebnis an. Als Reaktion auf das Ergebnis geht der Dienst „Secured Landing Zone“ so vor:

• Bei vollständigen Korrekturen wird ein Playbook zur Korrektur ausgelöst, um den Richtlinienverstoß wiederherzustellen. Das entsprechende Security Command Center-Ergebnis wird dann aktualisiert, um Details zur Antwort zu protokollieren.
• Für einige Verstöße wird ein Ergebnis generiert. Für das Ergebnis sind manuelle Abhilfemaßnahmen erforderlich, um den Richtlinienverstoß zu beheben. Informationen zum Generieren automatischer Benachrichtigungen für diese Ergebnisse finden Sie unter Ergebnisbenachrichtigungen für Pub/Sub aktivieren.

Zustandsorientierte Ergebnisse

Diese Ergebnisse entsprechen dem Konfigurations- und Sicherheitslückenzustand der einzelnen Ressourcen, Dienste und Daten innerhalb der Bereitstellung.

Tabelle 1. Dienst "Secured Landing Zone" – zustandsorientierte Ergebnisse

Kategorie	Ergebnisbeschreibung	Weitere Informationen
Domain restricted sharing (DRS) organization policy changed at project level	In der Organisationsrichtlinie wurde eine Änderung vorgenommen, die die Änderung von IAM-Zulassungsrichtlinien für Ressourcen auf die Mitglieder der im Blueprint angegebenen Domains beschränkt.	Vollständige Korrektur Die ursprüngliche DRS-Einstellung wird automatisch auf der Projektebene wiederhergestellt.
Project containing buckets must enforce uniform bucket-level access	Ein höheres Risiko der Daten-Exfiltration ist in diesem Projekt aufgetreten. Aufgrund dieses Verstoßes wird der Zugriff auf Objekte möglicherweise auf der Ebene einzelner Objekte gewährt und nicht über IAM-Berechtigungen auf Bucket-Ebene gesteuert.	Vollständige Korrektur Die ursprüngliche Einstellung für die einheitliche Bucket-Ebene wird automatisch auf Projektebene wiederhergestellt.
Fine grained access control enabled on bucket	Ein höheres Risiko der Daten-Exfiltration ist in diesem Projekt aufgetreten. Aufgrund dieses Verstoßes wird der Zugriff auf Objekte möglicherweise auf der Ebene einzelner Objekte gewährt und nicht über IAM-Berechtigungen auf Bucket-Ebene gesteuert.	Vollständige Korrektur Die ursprüngliche Einstellung für die einheitliche Bucket-Ebene wird automatisch auf Projektebene wiederhergestellt.
Detailed audit log mode disabled at project level	Detaillierte Anfrage- und Antwortinformationen für Cloud Storage-Vorgänge wurden deaktiviert. Dies könnte die Vollständigkeit der erfassten Daten einschränken. Dies kann sich auf die Compliance mit der Speicherressource auswirken.	Vollständige Korrektur Die ursprüngliche detaillierte Audit-Log-Modus-Richtlinie wird automatisch auf Projektebene wiederhergestellt.
Public bucket exposure	Jeder mit Internetzugriff kann Daten aus dem Bucket und/oder einzelnen Objekten suchen, ändern und exfiltrieren und die IAM-Richtlinien für diese Ressource steuern.	Vollständige Korrektur Die Berechtigungen AllUsers und AllAuthenticatedUsers werden automatisch für den Bucket entfernt.
Public resource exposure	Jeder Nutzer mit Internetzugang kann Daten aus den in der Vorlage angegebenen Ressourcen finden, ändern und exfiltrieren (z. B. BigQuery, Pub/Sub, Cloud Storage, Cloud Key Management Service und Data Catalog).	Vollständige Korrektur Die Berechtigungen AllUsers und AllAuthenticatedUsers werden automatisch von der Ressource entfernt.
Cloud Storage bucket Public Access Prevention (PAP) not enforced	Die Organisationsrichtlinie wird erzwungen, um zu verhindern, dass vorhandene und zukünftige Speicherressourcen über das öffentliche Internet aufgerufen werden. Dabei werden ACLs und IAM-Berechtigungen deaktiviert und blockiert, die AllUsers und AllAuthenticatedUsers Zugriff gewähren.	Vollständige Korrektur Die ursprüngliche PAP-Einstellung wird auf Projektebene wiederhergestellt.
CMEK disabled or not in use for service that stores data	CMEK muss für jeden Dienst in der Blueprint-Bereitstellung aktiviert und verwendet werden, die Daten wie BigQuery, Pub/Sub und Cloud Storage speichert.	Es wird ein Ergebnis generiert. Sie müssen die Unterschiede zwischen der erwarteten Richtlinienkonfiguration und dem erkannten Verstoß prüfen. Manuelle Abhilfe Sie haben folgende Möglichkeiten: Stellen Sie den ursprünglichen Terraform-Blueprint noch einmal bereit. Dieses Ergebnis korrigieren build

Verhaltensorientierte Ergebnisse

Diese Ergebnisse entsprechen Einschränkungen für die Ereignisse (z. B. Aktionen oder Bedrohungen), die bei, auf und in den bereitgestellten Ressourcen, Diensten und Daten auftreten.

Tabelle 2. Dienst "Secured Landing Zone" – Verhaltensergebnisse

Kategorie	Ergebnisbeschreibung	Weitere Informationen
Suspicious behavior: Public bucket exposure and bucket logging have been disabled	Es ist eine verdächtige Kombination aus Ereignissen aufgetreten, bei der ein Bucket veröffentlicht und das Logging deaktiviert wurde.	Vollständige Korrektur Die Berechtigungen AllUsers und AllAuthenticatedUsers werden automatisch für den Bucket entfernt. Die Bucket-Logging-Richtlinie wird auf Projektebene automatisch wiederhergestellt.
Deletion of any resource in a blueprinted deployment	Erkennt das Löschen einer ursprünglichen Blueprint-Ressource.	Es wird ein Ergebnis generiert. Prüfen Sie die Unterschiede zwischen den erwarteten Einschränkungen und dem erkannten Verstoß. Manuelle Abhilfe Sie müssen den ursprünglichen Terraform-Blueprint noch einmal bereitstellen.
Suspicious behavior: Resource exposed publicly and the resource data access logging has been disabled.	Eine verdächtige Kombination aus Ereignissen, bei denen eine Ressource (z. B. Pub/Sub oder Cloud Key Management Service) veröffentlicht wurde, indem AllUsers und AllAuthenticatedUsers Berechtigungen für die Ressource und das Datenzugriffs-Logging gewährt wurden.	Teilweise Abhilfe Die Berechtigungen AllUsers und AllAuthenticatedUsers werden automatisch von der Ressource entfernt. Sie müssen die Unterschiede zwischen der erwarteten Richtlinienkonfiguration und dem erkannten Verstoß prüfen. Manuelle Abhilfe Sie haben folgende Möglichkeiten: Stellen Sie den ursprünglichen Terraform-Blueprint noch einmal bereit. Dieses Ergebnis korrigieren build
Event Threat Detection: Possible data exfiltration from BigQuery	Ein Ungewöhnlicher Abfrageversuch für eine BigQuery-Tabelle.	Es wird ein Ergebnis generiert.
Event Threat Detection: Possible data exfiltration from BigQuery	Eine BigQuery-Tabelle wurde in ein externes Ziel kopiert.	Es wird ein Ergebnis generiert.

Umgebungsergebnisse

Diese Ergebnisse entsprechen den Einschränkungen sowie dem zugehörigen Status und Verhalten der Umgebung, in der sich die Ressourcen und Daten befinden, und die mit der Bereitstellung interagiert.

Tabelle 3. Dienst "Secured Landing Zone Service" – Umgebungsergebnisse

Kategorie	Ergebnisbeschreibung	Weitere Informationen
VPC service perimeter configuration has changed – Projekte gelöscht	Eines der in der Blueprint-Bereitstellung konfigurierten Projekte, die durch einen bestimmten VPC-Dienstperimeter geschützt werden müssen, ist nicht mehr durch diesen Perimeter geschützt.	Es wird ein Ergebnis generiert. Prüfen Sie die Unterschiede zwischen den erwarteten Einschränkungen und dem erkannten Verstoß. Manuelle Abhilfe Sie haben folgende Möglichkeiten: Stellen Sie den ursprünglichen Terraform-Blueprint noch einmal bereit. Dieses Ergebnis korrigieren build
VPC service perimeter configuration has been changed. Access to a VPC perimeter for one of the original allowed services GCS enabled in the blueprint has been removed	Die in der Blueprint-Bereitstellung konfigurierte Cloud Storage-Ressource für den Zugriff auf den Dienstperimeter wurde aus der Liste der zulässigen Dienste entfernt.	Vollständige Korrektur Der entfernte Dienst wird automatisch wiederhergestellt. Die Liste der eingeschränkten Dienste für den jeweiligen VPC Service Controls-Perimeter wird automatisch aktualisiert.
VPC service perimeter configuration has been changed. Access to a VPC perimeter for one of the original allowed services BQ enabled in the blueprint has been removed	Die BigQuery-Ressource, die in der Blueprint-Bereitstellung für den Zugriff auf den Dienstperimeter konfiguriert wurde, wurde aus der Liste der zulässigen Dienste entfernt.	Vollständige Korrektur Der entfernte Dienst wird automatisch wiederhergestellt. Die Liste der eingeschränkten Dienste für den jeweiligen VPC Service Controls-Perimeter wird automatisch aktualisiert.
VPC service perimeter configuration has been changed. Access to a VPC perimeter for one of the original allowed services Cloud KMS enabled in the blueprint has been removed	Die Cloud Key Management Service-Ressource, die in der Blueprint-Bereitstellung für den Zugriff auf den Dienstperimeter konfiguriert wurde, wurde aus der Liste der zulässigen Dienste entfernt.	Vollständige Korrektur Der entfernte Dienst wird automatisch wiederhergestellt. Die Liste der eingeschränkten Dienste für den jeweiligen VPC Service Controls-Perimeter wird automatisch aktualisiert.
VPC service perimeter configuration has been changed. Access to a VPC perimeter for one of the original allowed services Pub/Sub enabled in the blueprint has been removed	Die PubSub-Ressource, die in der Blueprint-Bereitstellung für den Zugriff auf den Dienstperimeter konfiguriert wurde, wurde aus der Liste der zulässigen Dienste entfernt.	Vollständige Korrektur Der entfernte Dienst wird automatisch wiederhergestellt. Die Liste der eingeschränkten Dienste für den jeweiligen VPC Service Controls-Perimeter wird automatisch aktualisiert.
VPC service perimeter configuration has been changed. Access to a VPC perimeter for one of the original allowed services Dataflow enabled in the blueprint has been removed	Die Dataflow-Ressource, die in der Blueprint-Bereitstellung für den Zugriff auf den Dienstperimeter konfiguriert wurde, wurde aus der Liste der zulässigen Dienste entfernt.	Vollständige Korrektur Der entfernte Dienst wird automatisch wiederhergestellt. Die Liste der eingeschränkten Dienste für den jeweiligen VPC Service Controls-Perimeter wird automatisch aktualisiert.
VPC service perimeter configuration has been changed. Access to a VPC perimeter for one of the original allowed services Data Catalog enabled in the blueprint has been removed	Die Data Catalog-Ressource, die in der Blueprint-Bereitstellung für den Zugriff auf den Dienstperimeter konfiguriert wurde, wurde aus der Liste der zulässigen Dienste entfernt.	Vollständige Korrektur Der entfernte Dienst wird automatisch wiederhergestellt. Die Liste der eingeschränkten Dienste für den jeweiligen VPC Service Controls-Perimeter wird automatisch aktualisiert.
VPC service perimeter configuration has been changed. Access to a VPC perimeter for one of the original allowed services Sensitive Data Protection enabled in the blueprint has been removed	Die Ressource für den Schutz sensibler Daten, die in der Blueprint-Bereitstellung für den Zugriff auf den Dienstperimeter konfiguriert wurde, wurde aus der Liste der zulässigen Dienste entfernt.	Vollständige Korrektur Der entfernte Dienst wird automatisch wiederhergestellt. Die Liste der eingeschränkten Dienste für den jeweiligen VPC Service Controls-Perimeter wird automatisch aktualisiert.
Customer specified label has been removed from a blueprint deployed resource	Vom Kunden angegebene Labels, die zum Zeitpunkt der Blueprint-Bereitstellung angehängt wurden, sollten erzwungen und nicht zur Laufzeit geändert werden.	Vollständige Korrektur Die ursprünglichen Labels der tatsächlichen Ressource werden automatisch wiederhergestellt.

Manuelle Abhilfemaßnahmen

Dieser Abschnitt enthält eine Anleitung für Ergebnisse des Dienstes "Secured Landing Zone", die manuelle Schritte erfordern.

CMEK ist deaktiviert oder wird nicht für den Dienst verwendet, der Daten speichert

Mit CMEK werden die von Ihnen in Cloud KMS erstellten und verwalteten Schlüssel mit den Schlüsseln umschlossen, die Google Cloud zum Verschlüsseln Ihrer Daten verwendet. Dadurch haben Sie mehr Kontrolle über den Zugriff auf Ihre Daten. Weitere Informationen finden Sie unter Daten mit Cloud KMS-Schlüsseln schützen.

CMEK wird nicht für den Dienst verwendet, der Daten speichert

Eine BigQuery-Tabelle ist nicht für die Verwendung eines vom Kunden verwalteten Verschlüsselungsschlüssels (Customer-Managed Encryption Key) konfiguriert.

So können Sie dieses Ergebnis beheben:

1. Erstellen Sie eine durch Cloud Key Management Service geschützte Tabelle.
2. Kopieren Sie die Tabelle in die neue CMEK-fähige Tabelle.
3. Löschen Sie die ursprüngliche Tabelle.

Informationen zum Festlegen eines Standard-CMEK, der alle neuen Tabellen in einem Dataset verschlüsselt, finden Sie unter Dataset-Standardschlüssel festlegen.

CMEK deaktiviert

Ein BigQuery-Dataset ist nicht für die Verwendung eines vom Kunden verwalteten Standardverschlüsselungsschlüssels (Customer-Managed Encryption Key, CMEK) konfiguriert.

So können Sie dieses Ergebnis beheben:

Sie können eine Tabelle nicht zwischen der Standardverschlüsselung und der CMEK-Verschlüsselung wechseln. Folgen Sie der Anleitung unter Dataset-Standardschlüssel festlegen, um einen Standard-CMEK-Schlüssel für die Verschlüsselung aller neuen Tabellen im Dataset festzulegen.

Durch das Festlegen eines Standardschlüssels werden Tabellen, die sich derzeit im Dataset befinden, nicht rückwirkend mit einem neuen Schlüssel neu verschlüsselt. So verwenden Sie CMEK für vorhandene Daten:

1. Erstellen Sie ein neues Dataset.
2. Legen Sie einen Standard-CMEK-Schlüssel für das von Ihnen erstellte Dataset fest.
3. Wie Sie Tabellen in Ihr CMEK-fähiges Dataset kopieren, erfahren Sie in der Anleitung unter Tabelle kopieren.
4. Löschen Sie die ursprünglichen Datasets nach dem erfolgreichen Kopieren der Daten.

Verdächtiges Verhalten: Die Ressource wurde öffentlich freigegeben und das Logging des Ressourcendatenzugriffs wurde deaktiviert

Audit-Logging wurde für diese Ressource deaktiviert.

Aktivieren Sie Cloud Logging für alle Dienste, um alle Administratoraktivitäten, Lesezugriff und Schreibzugriff auf Nutzerdaten zu verfolgen. Je nach Menge der Informationen können erhebliche Cloud Logging-Kosten anfallen. Weitere Informationen zur Nutzung des Dienstes und zu seinen Kosten finden Sie unter Kostenoptimierung für die Beobachtbarkeit von Google Cloud. .

So können Sie dieses Ergebnis beheben:

1. Rufen Sie in der Google Cloud Console die Seite Standard-Audit-Konfiguration auf.

   Zur Audit-Standardkonfiguration

2. Wählen Sie auf dem Tab Logtype die Option Administrator lesen, Daten lesen und Daten schreiben aus.

3. Klicken Sie auf Speichern.

4. Auf dem Tab Ausgenommene Nutzer entfernen Sie alle aufgelisteten Nutzer. Dazu klicken Sie neben jedem Namen auf deleteLöschen.

5. Klicken Sie auf Speichern.

Konfiguration des VPC-Dienstperimeters hat sich geändert – gelöschte Projekte

Wenn ein Projekt aus einem Dienstperimeter gelöscht wurde, gehen Sie so vor, um das gelöschte Projekt wiederherzustellen:

1. Klicken Sie im Navigationsmenü der Google Cloud Console auf Sicherheit und dann auf VPC Service Controls.

   Zur Seite „VPC Service Controls“

2. Wählen Sie Ihre Organisation aus, wenn Sie dazu aufgefordert werden.

3. Klicken Sie in der Tabelle auf der Seite Security Command Center auf den Namen des Dienstperimeters, den Sie ändern möchten.

4. Die Seite VPC-Dienstperimeter bearbeiten wird geöffnet und Sie können den Dienstperimeter aktualisieren.

5. So stellen Sie die Projekte wieder her, die aus dem Dienstperimeter gelöscht wurden:

   1. Klicken Sie auf Projekte.
   2. Klicken Sie im Bereich Projekte auf Projekte hinzufügen.
   3. Fügen Sie das gelöschte Projekt wieder zur Projektliste hinzu.

6. Klicken Sie auf Speichern.