Wenn Sicherheitsrichtlinien der bereitgestellten Blueprints verletzt werden, erkennt der Dienst "Secured Landing Zone" diese Verstöße und generiert Ergebnisse. Basierend auf dem identifizierten Sicherheitsstatus löst der Dienst "Secured Landing Zone" automatische Antworten aus, die vollständige oder teilweise Abhilfemaßnahmen ausführen, oder eine Benachrichtigung, die eine manuelle Korrektur des Verstoßes erfordert.
Wenn der Dienst „Secured Landing Zone“ für den Blueprint Secured Data Warehouse aktiviert ist, wird eine Prüfung auf Sicherheitsverstöße des bereitgestellten Blueprints durchgeführt. Wenn ein Verstoß gegen eine Sicherheitsrichtlinie festgestellt wird, zeigt der Dienst der Secured Landing Zone ein Ergebnis an. Als Reaktion auf das Ergebnis geht der Dienst „Secured Landing Zone“ so vor:
- Bei vollständigen Korrekturen wird ein Playbook zur Korrektur ausgelöst, um den Richtlinienverstoß wiederherzustellen. Das entsprechende Security Command Center-Ergebnis wird dann aktualisiert, um Details zur Antwort zu protokollieren.
- Für einige Verstöße wird ein Ergebnis generiert. Für das Ergebnis sind manuelle Abhilfemaßnahmen erforderlich, um den Richtlinienverstoß zu beheben. Informationen zum Generieren automatischer Benachrichtigungen für diese Ergebnisse finden Sie unter Ergebnisbenachrichtigungen für Pub/Sub aktivieren.
Zustandsorientierte Ergebnisse
Diese Ergebnisse entsprechen dem Konfigurations- und Sicherheitslückenzustand der einzelnen Ressourcen, Dienste und Daten innerhalb der Bereitstellung.Kategorie | Ergebnisbeschreibung | Weitere Informationen |
---|---|---|
Domain restricted sharing (DRS) organization policy changed at project level |
In der Organisationsrichtlinie wurde eine Änderung vorgenommen, die die Änderung von IAM-Zulassungsrichtlinien für Ressourcen auf die Mitglieder der im Blueprint angegebenen Domains beschränkt. | Vollständige Korrektur
Die ursprüngliche DRS-Einstellung wird automatisch auf der Projektebene wiederhergestellt. |
|
Ein höheres Risiko der Daten-Exfiltration ist in diesem Projekt aufgetreten. Aufgrund dieses Verstoßes wird der Zugriff auf Objekte möglicherweise auf der Ebene einzelner Objekte gewährt und nicht über IAM-Berechtigungen auf Bucket-Ebene gesteuert. | Vollständige Korrektur
Die ursprüngliche Einstellung für die einheitliche Bucket-Ebene wird automatisch auf Projektebene wiederhergestellt. |
|
Ein höheres Risiko der Daten-Exfiltration ist in diesem Projekt aufgetreten. Aufgrund dieses Verstoßes wird der Zugriff auf Objekte möglicherweise auf der Ebene einzelner Objekte gewährt und nicht über IAM-Berechtigungen auf Bucket-Ebene gesteuert. | Vollständige Korrektur
Die ursprüngliche Einstellung für die einheitliche Bucket-Ebene wird automatisch auf Projektebene wiederhergestellt. |
Detailed audit log mode disabled at project level |
Detaillierte Anfrage- und Antwortinformationen für Cloud Storage-Vorgänge wurden deaktiviert. Dies könnte die Vollständigkeit der erfassten Daten einschränken. Dies kann sich auf die Compliance mit der Speicherressource auswirken. | Vollständige Korrektur
Die ursprüngliche detaillierte Audit-Log-Modus-Richtlinie wird automatisch auf Projektebene wiederhergestellt. |
Public bucket exposure |
Jeder mit Internetzugriff kann Daten aus dem Bucket und/oder einzelnen Objekten suchen, ändern und exfiltrieren und die IAM-Richtlinien für diese Ressource steuern. | Vollständige Korrektur
Die Berechtigungen AllUsers und AllAuthenticatedUsers werden automatisch für den Bucket entfernt. |
Public resource exposure |
Jeder Nutzer mit Internetzugang kann Daten aus den in der Vorlage angegebenen Ressourcen finden, ändern und exfiltrieren (z. B. BigQuery, Pub/Sub, Cloud Storage, Cloud Key Management Service und Data Catalog). | Vollständige Korrektur
Die Berechtigungen AllUsers und AllAuthenticatedUsers werden automatisch von der Ressource entfernt. |
Cloud Storage bucket Public Access Prevention (PAP) not enforced |
Die Organisationsrichtlinie wird erzwungen, um zu verhindern, dass vorhandene und zukünftige Speicherressourcen über das öffentliche Internet aufgerufen werden. Dabei werden ACLs und IAM-Berechtigungen deaktiviert und blockiert, die AllUsers und AllAuthenticatedUsers Zugriff gewähren. | Vollständige Korrektur
Die ursprüngliche PAP-Einstellung wird auf Projektebene wiederhergestellt. |
CMEK disabled or not in use for service that stores data |
CMEK muss für jeden Dienst in der Blueprint-Bereitstellung aktiviert und verwendet werden, die Daten wie BigQuery, Pub/Sub und Cloud Storage speichert. | Es wird ein Ergebnis generiert.
Sie müssen die Unterschiede zwischen der erwarteten Richtlinienkonfiguration und dem erkannten Verstoß prüfen. Manuelle Abhilfe Sie haben folgende Möglichkeiten:
|
Verhaltensorientierte Ergebnisse
Diese Ergebnisse entsprechen Einschränkungen für die Ereignisse (z. B. Aktionen oder Bedrohungen), die bei, auf und in den bereitgestellten Ressourcen, Diensten und Daten auftreten.Kategorie | Ergebnisbeschreibung | Weitere Informationen |
---|---|---|
Suspicious behavior: Public bucket exposure and bucket logging have been
disabled |
Es ist eine verdächtige Kombination aus Ereignissen aufgetreten, bei der ein Bucket veröffentlicht und das Logging deaktiviert wurde. | Vollständige Korrektur
Die Berechtigungen AllUsers und AllAuthenticatedUsers werden automatisch für den Bucket entfernt. Die Bucket-Logging-Richtlinie wird auf Projektebene automatisch wiederhergestellt. |
Deletion of any resource in a blueprinted deployment |
Erkennt das Löschen einer ursprünglichen Blueprint-Ressource. | Es wird ein Ergebnis generiert.
Prüfen Sie die Unterschiede zwischen den erwarteten Einschränkungen und dem erkannten Verstoß. Manuelle Abhilfe Sie müssen den ursprünglichen Terraform-Blueprint noch einmal bereitstellen. |
Suspicious behavior: Resource exposed publicly and the resource data
access logging has been disabled. |
Eine verdächtige Kombination aus Ereignissen, bei denen eine Ressource (z. B. Pub/Sub oder Cloud Key Management Service) veröffentlicht wurde, indem AllUsers und AllAuthenticatedUsers Berechtigungen für die Ressource und das Datenzugriffs-Logging gewährt wurden. |
Teilweise Abhilfe Die Berechtigungen AllUsers und AllAuthenticatedUsers werden automatisch von der Ressource entfernt. Sie müssen die Unterschiede zwischen der erwarteten Richtlinienkonfiguration und dem erkannten Verstoß prüfen. Manuelle Abhilfe Sie haben folgende Möglichkeiten:
|
Event Threat Detection: Possible data exfiltration from BigQuery |
Ein Ungewöhnlicher Abfrageversuch für eine BigQuery-Tabelle. |
Es wird ein Ergebnis generiert. |
Event Threat Detection: Possible data exfiltration from BigQuery |
Eine BigQuery-Tabelle wurde in ein externes Ziel kopiert. |
Es wird ein Ergebnis generiert. |
Umgebungsergebnisse
Diese Ergebnisse entsprechen den Einschränkungen sowie dem zugehörigen Status und Verhalten der Umgebung, in der sich die Ressourcen und Daten befinden, und die mit der Bereitstellung interagiert.Kategorie | Ergebnisbeschreibung | Weitere Informationen |
---|---|---|
VPC service perimeter configuration has changed – Projekte gelöscht |
Eines der in der Blueprint-Bereitstellung konfigurierten Projekte, die durch einen bestimmten VPC-Dienstperimeter geschützt werden müssen, ist nicht mehr durch diesen Perimeter geschützt. | Es wird ein Ergebnis generiert.
Prüfen Sie die Unterschiede zwischen den erwarteten Einschränkungen und dem erkannten Verstoß. Manuelle Abhilfe Sie haben folgende Möglichkeiten:
|
VPC service perimeter configuration has been changed.
Access to a VPC perimeter for one of the original allowed services
GCS enabled in the blueprint has been removed |
Die in der Blueprint-Bereitstellung konfigurierte Cloud Storage-Ressource für den Zugriff auf den Dienstperimeter wurde aus der Liste der zulässigen Dienste entfernt. |
Vollständige Korrektur Der entfernte Dienst wird automatisch wiederhergestellt. Die Liste der eingeschränkten Dienste für den jeweiligen VPC Service Controls-Perimeter wird automatisch aktualisiert. |
VPC service perimeter configuration has been changed.
Access to a VPC perimeter for one of the original allowed services
BQ enabled in the blueprint has been removed |
Die BigQuery-Ressource, die in der Blueprint-Bereitstellung für den Zugriff auf den Dienstperimeter konfiguriert wurde, wurde aus der Liste der zulässigen Dienste entfernt. |
Vollständige Korrektur Der entfernte Dienst wird automatisch wiederhergestellt. Die Liste der eingeschränkten Dienste für den jeweiligen VPC Service Controls-Perimeter wird automatisch aktualisiert. |
VPC service perimeter configuration has been changed.
Access to a VPC perimeter for one of the original allowed services
Cloud KMS enabled in the blueprint has been removed |
Die Cloud Key Management Service-Ressource, die in der Blueprint-Bereitstellung für den Zugriff auf den Dienstperimeter konfiguriert wurde, wurde aus der Liste der zulässigen Dienste entfernt. |
Vollständige Korrektur Der entfernte Dienst wird automatisch wiederhergestellt. Die Liste der eingeschränkten Dienste für den jeweiligen VPC Service Controls-Perimeter wird automatisch aktualisiert. |
VPC service perimeter configuration has been changed.
Access to a VPC perimeter for one of the original allowed services
Pub/Sub enabled in the blueprint has been removed |
Die PubSub-Ressource, die in der Blueprint-Bereitstellung für den Zugriff auf den Dienstperimeter konfiguriert wurde, wurde aus der Liste der zulässigen Dienste entfernt. |
Vollständige Korrektur Der entfernte Dienst wird automatisch wiederhergestellt. Die Liste der eingeschränkten Dienste für den jeweiligen VPC Service Controls-Perimeter wird automatisch aktualisiert. |
VPC service perimeter configuration has been changed.
Access to a VPC perimeter for one of the original allowed services
Dataflow enabled in the blueprint has been removed |
Die Dataflow-Ressource, die in der Blueprint-Bereitstellung für den Zugriff auf den Dienstperimeter konfiguriert wurde, wurde aus der Liste der zulässigen Dienste entfernt. |
Vollständige Korrektur Der entfernte Dienst wird automatisch wiederhergestellt. Die Liste der eingeschränkten Dienste für den jeweiligen VPC Service Controls-Perimeter wird automatisch aktualisiert. |
VPC service perimeter configuration has been changed.
Access to a VPC perimeter for one of the original allowed services
Data Catalog enabled in the blueprint has been removed |
Die Data Catalog-Ressource, die in der Blueprint-Bereitstellung für den Zugriff auf den Dienstperimeter konfiguriert wurde, wurde aus der Liste der zulässigen Dienste entfernt. |
Vollständige Korrektur Der entfernte Dienst wird automatisch wiederhergestellt. Die Liste der eingeschränkten Dienste für den jeweiligen VPC Service Controls-Perimeter wird automatisch aktualisiert. |
VPC service perimeter configuration has been changed.
Access to a VPC perimeter for one of the original allowed services
Sensitive Data Protection enabled in the blueprint has been removed |
Die Ressource für den Schutz sensibler Daten, die in der Blueprint-Bereitstellung für den Zugriff auf den Dienstperimeter konfiguriert wurde, wurde aus der Liste der zulässigen Dienste entfernt. |
Vollständige Korrektur Der entfernte Dienst wird automatisch wiederhergestellt. Die Liste der eingeschränkten Dienste für den jeweiligen VPC Service Controls-Perimeter wird automatisch aktualisiert. |
Customer specified label has been removed from a blueprint deployed
resource |
Vom Kunden angegebene Labels, die zum Zeitpunkt der Blueprint-Bereitstellung angehängt wurden, sollten erzwungen und nicht zur Laufzeit geändert werden. |
Vollständige Korrektur Die ursprünglichen Labels der tatsächlichen Ressource werden automatisch wiederhergestellt. |
Manuelle Abhilfemaßnahmen
Dieser Abschnitt enthält eine Anleitung für Ergebnisse des Dienstes "Secured Landing Zone", die manuelle Schritte erfordern.
CMEK ist deaktiviert oder wird nicht für den Dienst verwendet, der Daten speichert
Mit CMEK werden die von Ihnen in Cloud KMS erstellten und verwalteten Schlüssel mit den Schlüsseln umschlossen, die Google Cloud zum Verschlüsseln Ihrer Daten verwendet. Dadurch haben Sie mehr Kontrolle über den Zugriff auf Ihre Daten. Weitere Informationen finden Sie unter Daten mit Cloud KMS-Schlüsseln schützen.
CMEK wird nicht für den Dienst verwendet, der Daten speichert
Eine BigQuery-Tabelle ist nicht für die Verwendung eines vom Kunden verwalteten Verschlüsselungsschlüssels (Customer-Managed Encryption Key) konfiguriert.
So können Sie dieses Ergebnis beheben:
- Erstellen Sie eine durch Cloud Key Management Service geschützte Tabelle.
- Kopieren Sie die Tabelle in die neue CMEK-fähige Tabelle.
- Löschen Sie die ursprüngliche Tabelle.
Informationen zum Festlegen eines Standard-CMEK, der alle neuen Tabellen in einem Dataset verschlüsselt, finden Sie unter Dataset-Standardschlüssel festlegen.
CMEK deaktiviert
Ein BigQuery-Dataset ist nicht für die Verwendung eines vom Kunden verwalteten Standardverschlüsselungsschlüssels (Customer-Managed Encryption Key, CMEK) konfiguriert.
So können Sie dieses Ergebnis beheben:
Sie können eine Tabelle nicht zwischen der Standardverschlüsselung und der CMEK-Verschlüsselung wechseln. Folgen Sie der Anleitung unter Dataset-Standardschlüssel festlegen, um einen Standard-CMEK-Schlüssel für die Verschlüsselung aller neuen Tabellen im Dataset festzulegen.
Durch das Festlegen eines Standardschlüssels werden Tabellen, die sich derzeit im Dataset befinden, nicht rückwirkend mit einem neuen Schlüssel neu verschlüsselt. So verwenden Sie CMEK für vorhandene Daten:
- Erstellen Sie ein neues Dataset.
- Legen Sie einen Standard-CMEK-Schlüssel für das von Ihnen erstellte Dataset fest.
- Wie Sie Tabellen in Ihr CMEK-fähiges Dataset kopieren, erfahren Sie in der Anleitung unter Tabelle kopieren.
- Löschen Sie die ursprünglichen Datasets nach dem erfolgreichen Kopieren der Daten.
Verdächtiges Verhalten: Die Ressource wurde öffentlich freigegeben und das Logging des Ressourcendatenzugriffs wurde deaktiviert
Audit-Logging wurde für diese Ressource deaktiviert.
Aktivieren Sie Cloud Logging für alle Dienste, um alle Administratoraktivitäten, Lesezugriff und Schreibzugriff auf Nutzerdaten zu verfolgen. Je nach Menge der Informationen können erhebliche Cloud Logging-Kosten anfallen. Weitere Informationen zur Nutzung des Dienstes und zu seinen Kosten finden Sie unter Kostenoptimierung für die Beobachtbarkeit von Google Cloud. .
So können Sie dieses Ergebnis beheben:
Rufen Sie in der Google Cloud Console die Seite Standard-Audit-Konfiguration auf.
Wählen Sie auf dem Tab Logtype die Option Administrator lesen, Daten lesen und Daten schreiben aus.
Klicken Sie auf Speichern.
Auf dem Tab Ausgenommene Nutzer entfernen Sie alle aufgelisteten Nutzer. Dazu klicken Sie neben jedem Namen auf deleteLöschen.
Klicken Sie auf Speichern.
Konfiguration des VPC-Dienstperimeters hat sich geändert – gelöschte Projekte
Wenn ein Projekt aus einem Dienstperimeter gelöscht wurde, gehen Sie so vor, um das gelöschte Projekt wiederherzustellen:
Klicken Sie im Navigationsmenü der Google Cloud Console auf Sicherheit und dann auf VPC Service Controls.
Wählen Sie Ihre Organisation aus, wenn Sie dazu aufgefordert werden.
Klicken Sie in der Tabelle auf der Seite Security Command Center auf den Namen des Dienstperimeters, den Sie ändern möchten.
Die Seite VPC-Dienstperimeter bearbeiten wird geöffnet und Sie können den Dienstperimeter aktualisieren.
So stellen Sie die Projekte wieder her, die aus dem Dienstperimeter gelöscht wurden:
- Klicken Sie auf Projekte.
- Klicken Sie im Bereich Projekte auf Projekte hinzufügen.
- Fügen Sie das gelöschte Projekt wieder zur Projektliste hinzu.
Klicken Sie auf Speichern.