Quando as políticas de segurança dos blueprints implantados são violadas, o serviço Zona de destino segura detecta essas violações e gera descobertas. Com base na postura de segurança identificada, o serviço da Zona de destino segura aciona respostas automáticas que executam remediações completas ou parciais ou um alerta que requer uma correção manual para a violação.
Quando o serviço Zona de destino segura está ativado para o blueprint do Secured DataWarehouse, ele verifica se há violações de segurança do blueprint implantado. Quando uma política de segurança é violada, o serviço Zona de destino segura exibe uma descoberta. Em resposta à descoberta, o serviço da Zona de destino segura faz o seguinte:
- Para correções completas, um playbook de correção é acionado para restaurar a violação da política. A descoberta do Security Command Center correspondente é atualizada para registrar detalhes sobre a resposta.
- Para algumas violações, uma descoberta é gerada. A descoberta requer etapas de correção manuais para resolver a violação da política. Para gerar alertas automáticos para essas descobertas, consulte Ativar notificações de descoberta para o Pub/Sub.
Descobertas com estado
Essas descobertas correspondem ao estado de configuração e vulnerabilidade dos recursos, serviços e dados constituintes na implantação.| Categoria | Como encontrar a descrição | Próximas etapas |
|---|---|---|
Domain restricted sharing (DRS) organization policy changed at project level |
Ocorreu uma alteração na política da organização que restringe a modificação das políticas de permissão do IAM nos recursos somente para membros dos domínios especificados no blueprint. | Remediação completa
A configuração original do é restaurada automaticamente no nível do projeto. |
|
|
Ocorreu um aumento no risco de exfiltração de dados para buckets neste projeto. Devido a essa violação, o acesso a objetos agora pode ser concedido em um nível individual do objeto, em vez de ser controlado por permissões do IAM no nível do bucket. | Remediação completa
A configuração original no nível do bucket uniforme é restaurada automaticamente no nível do projeto. |
|
|
Ocorreu um aumento no risco de exfiltração de dados para buckets neste projeto. Devido a essa violação, o acesso a objetos agora pode ser concedido em um nível individual do objeto, em vez de ser controlado por permissões do IAM no nível do bucket. | Remediação completa
A configuração original no nível do bucket uniforme é restaurada automaticamente no nível do projeto. |
Detailed audit log mode disabled at project level |
As informações detalhadas de solicitação e resposta para as operações do Cloud Storage foram desativadas. Isso pode limitar a integridade dos dados capturados. Isso pode afetar a conformidade regulatória do recurso de armazenamento. | Remediação completa
A política original de modo de registro de auditoria detalhado é restaurada automaticamente para envolvidos no projeto. |
Public bucket exposure |
Qualquer pessoa com acesso à Internet pode encontrar, modificar e exfiltrar dados do bucket e/ou objetos individuais, além de controlar as políticas do IAM para esse recurso. | Remediação completa
As permissões AllUsers e AllAuthenticatedUsers são removidas automaticamente no bucket. |
Public resource exposure |
Qualquer pessoa com acesso à Internet pode encontrar, modificar e exfiltrar dados dos recursos (como BigQuery, Pub/Sub, Cloud Storage, Cloud Key Management Service e recursos do Data Catalog) especificados no modelo. | Remediação completa
As permissões AllUsers e AllAuthenticatedUsers são removidas automaticamente do recurso. |
Cloud Storage bucket Public Access Prevention (PAP) not enforced |
A política da organização é aplicada para impedir que recursos de armazenamento atuais e futuros sejam acessados pela Internet pública. Isso é feito por meio da desativação e do bloqueio de listas de controle de acesso e permissões do IAM que concedem acesso a AllUsers e AllAuthenticatedUsers. | Remediação completa
A configuração original de PAP é restaurada no nível do projeto. |
CMEK disabled or not in use for service that stores data |
A CMEK precisa ser ativada e usada para cada serviço na implantação de blueprint que armazena dados como o BigQuery, o Pub/Sub e o Cloud Storage. | Uma descoberta é gerada.
Analise as diferenças entre a configuração de política esperada e a violação detectada. Remediação manual Você tem estas três opções:
|
Descobertas comportamentais
Essas descobertas correspondem a restrições sobre os eventos, como ações ou ameaças, que ocorrem nos recursos, serviços e dados implantados e dentro deles.| Categoria | Como encontrar a descrição | Próximas etapas |
|---|---|---|
Suspicious behavior: Public bucket exposure and bucket logging have been
disabled |
Ocorreu uma combinação suspeita de eventos em que um bucket foi publicado e a geração de registros foi desativada. | Remediação completa
As permissões AllUsers e AllAuthenticatedUsers são removidas automaticamente no bucket. A política de geração de registros de bucket é restaurada automaticamente no nível do projeto. |
Deletion of any resource in a blueprinted deployment |
Detecta uma exclusão de um recurso original projetado. | Uma descoberta é gerada.
Você precisa analisar as diferenças entre as restrições esperadas e a violação detectada. Remediação manual Implante o blueprint original do Terraform. |
Suspicious behavior: Resource exposed publicly and the resource data
access logging has been disabled. |
Uma combinação suspeita de eventos detectados em que um recurso (como o Pub/Sub ou o recurso de gerenciamento de chaves do Cloud) foi publicado ao conceder permissões AllUsers e AllAuthenticatedUsers no recurso, e a geração de registros de acesso a dados foi desativada. |
Remediação parcial As permissões AllUsers e AllAuthenticatedUsers são removidas automaticamente do recurso. Analise as diferenças entre a configuração de política esperada e a violação detectada. Remediação manual Você tem estas três opções:
|
Event Threat Detection: Possible data exfiltration from BigQuery |
Uma tentativa de consulta anômala em uma tabela do BigQuery. |
Uma descoberta é gerada. |
Event Threat Detection: Possible data exfiltration from BigQuery |
Uma tabela do BigQuery foi copiada para um destino externo. |
Uma descoberta é gerada. |
Descobertas ambientais
Essas descobertas correspondem às restrições e ao estado e comportamento associados do ambiente em torno dos recursos e dados e da interação com a implantação.| Categoria | Como encontrar a descrição | Próximas etapas |
|---|---|---|
VPC service perimeter configuration has changed: projetos excluídos |
Um dos projetos configurados na implantação de blueprint que precisa ser protegido por um perímetro de serviço VPC específico não está mais protegido por esse perímetro. | Uma descoberta é gerada.
Você precisa analisar as diferenças entre as restrições esperadas e a violação detectada. Remediação manual Você tem estas três opções:
|
VPC service perimeter configuration has been changed.
Access to a VPC perimeter for one of the original allowed services
GCS enabled in the blueprint has been removed |
O recurso do Cloud Storage configurado na implantação de blueprints para acesso ao perímetro de serviço foi removido da lista de serviços permitidos. |
Remediação completa O serviço removido é restaurado automaticamente. A lista de serviços restritos para o perímetro específico do VPC Service Controls é atualizada automaticamente. |
VPC service perimeter configuration has been changed.
Access to a VPC perimeter for one of the original allowed services
BQ enabled in the blueprint has been removed |
O recurso do BigQuery configurado na implantação de blueprints para acesso ao perímetro de serviço foi removido da lista de serviços permitidos. |
Remediação completa O serviço removido é restaurado automaticamente. A lista de serviços restritos para o perímetro específico do VPC Service Controls é atualizada automaticamente. |
VPC service perimeter configuration has been changed.
Access to a VPC perimeter for one of the original allowed services
Cloud KMS enabled in the blueprint has been removed |
O recurso do Cloud Key Management Service configurado na implantação de blueprints para acesso ao perímetro de serviço foi removido da lista de serviços permitidos. |
Remediação completa O serviço removido é restaurado automaticamente. A lista de serviços restritos para o perímetro específico do VPC Service Controls é atualizada automaticamente. |
VPC service perimeter configuration has been changed.
Access to a VPC perimeter for one of the original allowed services
Pub/Sub enabled in the blueprint has been removed |
O recurso do Pub/Sub configurado na implantação de blueprints para acesso ao perímetro de serviço foi removido da lista de serviços permitidos. |
Remediação completa O serviço removido é restaurado automaticamente. A lista de serviços restritos para o perímetro específico do VPC Service Controls é atualizada automaticamente. |
VPC service perimeter configuration has been changed.
Access to a VPC perimeter for one of the original allowed services
Dataflow enabled in the blueprint has been removed |
O recurso do Dataflow configurado na implantação de blueprints para acesso ao perímetro de serviço foi removido da lista de serviços permitidos. |
Remediação completa O serviço removido é restaurado automaticamente. A lista de serviços restritos para o perímetro específico do VPC Service Controls é atualizada automaticamente. |
VPC service perimeter configuration has been changed.
Access to a VPC perimeter for one of the original allowed services
Data Catalog enabled in the blueprint has been removed |
O recurso do Data Catalog configurado na implantação de blueprints para acesso ao perímetro de serviço foi removido da lista de serviços permitidos. |
Remediação completa O serviço removido é restaurado automaticamente. A lista de serviços restritos para o perímetro específico do VPC Service Controls é atualizada automaticamente. |
VPC service perimeter configuration has been changed.
Access to a VPC perimeter for one of the original allowed services
Sensitive Data Protection enabled in the blueprint has been removed |
O recurso da Proteção de dados sensíveis configurado na implantação de blueprint para acesso ao perímetro de serviço foi removido da lista de serviços permitidos. |
Remediação completa O serviço removido é restaurado automaticamente. A lista de serviços restritos para o perímetro específico do VPC Service Controls é atualizada automaticamente. |
Customer specified label has been removed from a blueprint deployed
resource |
Os rótulos especificados pelo cliente e anexados no momento da implantação do blueprint devem ser aplicados e não podem ser alterados no ambiente de execução. |
Remediação completa Os rótulos originais no recurso real são restaurados automaticamente. |
Etapas de correção manual
Esta seção inclui instruções para descobertas do serviço de Zona de destino segura que exigem etapas de correção manuais.
A CMEK foi desativada ou não está em uso para o serviço que armazena dados
Com a CMEK, as chaves que você cria e gerencia no Cloud KMS encapsulam as chaves que o Google Cloud usa para criptografar seus dados, oferecendo mais controle sobre o acesso a eles. Para mais informações, consulte Como proteger dados com chaves do Cloud KMS.
A CMEK não está em uso para o serviço que armazena dados
Uma tabela do BigQuery não está configurada para usar uma chave de criptografia gerenciada pelo cliente (CMEK).
Para corrigir essa descoberta, faça o seguinte:
- Crie uma tabela protegida pelo Cloud Key Management Service.
- Copie sua tabela para a nova tabela ativada para CMEK.
- Exclua a tabela original.
Para definir uma chave CMEK padrão que criptografa todas as novas tabelas em um conjunto de dados, consulte Definir uma chave padrão do conjunto de dados.
CMEK desativada
Um conjunto de dados do BigQuery não está configurado para usar uma chave de criptografia gerenciada pelo cliente (CMEK, na sigla em inglês) padrão.
Para corrigir essa descoberta, faça o seguinte:
Não é possível alternar uma tabela no local entre as criptografias padrão e a criptografia CMEK. Para definir uma chave padrão de CMEK com a qual criptografar todas as novas tabelas no conjunto de dados, siga as instruções para Definir uma chave padrão de conjunto de dados.
Definir uma chave padrão não recriptografará retroativamente tabelas atualmente no conjunto de dados com uma nova chave. Para usar a CMEK para dados atuais:
- Crie um novo conjunto de dados.
- Defina uma chave de CMEK padrão no conjunto de dados que você criou.
- Para copiar tabelas para o conjunto de dados ativado da CMEK, siga as instruções em Como copiar uma tabela.
- Depois de copiar os dados, exclua os conjuntos de dados originais.
Comportamento suspeito: o recurso exposto publicamente e o registro de acesso a dados de recursos foram desativados
A geração de registros de auditoria foi desativada para este recurso.
Ative o Cloud Logging em todos os serviços para rastrear todas as atividades administrativas, o acesso de leitura e o acesso de gravação aos dados do usuário. Dependendo da quantidade de informações, os custos do Cloud Logging podem ser significativos. Para entender o uso do serviço e os custos dele, consulte Otimização de custos para observabilidade do Google Cloud. .
Para corrigir essa descoberta, faça o seguinte:
Acesse a página Configuração de auditoria padrão no console do Google Cloud.
Na guia Tipo de registro, selecione Leitura de administrador, Leitura de dados e Gravação de dados.
Clique em Salvar.
Na guia Usuários isentos, remova todos os usuários listados clicando em Excluir deleteao lado de cada nome.
Clique em Salvar.
A configuração do perímetro de serviço da VPC foi alterada: projetos excluídos
Se um projeto tiver sido excluído de um perímetro de serviço, faça o seguinte para restaurar o projeto excluído:
No menu de navegação do Console do Google Cloud, clique em Segurança e em VPC Service Controls.
Se solicitado, selecione a organização.
Na página do Security Command Center, na tabela, clique no nome do perímetro de serviço que você quer modificar.
Na página Editar perímetro de serviço da VPC, atualize o perímetro de serviço.
Para restaurar os projetos que foram excluídos do perímetro de serviço, faça o seguinte:
- Clique em Projetos.
- No painel Projetos, clique em Adicionar projetos.
- Adicione o projeto excluído de volta à lista de projetos.
Clique em Salvar.