Corriger les résultats de Security Health Analytics

Cette page fournit une liste de guides de référence et de techniques permettant de corriger les résultats de Security Health Analytics à l'aide de Security Command Center.

Vous devez disposer des rôles IAM (Identity and Access Management) appropriés pour afficher ou modifier les résultats, et pour accéder aux ressources Google Cloud ou les modifier. Si vous rencontrez les erreurs d'autorisation lors de l'accès à Security Command Center console Google Cloud, demandez à votre administrateur une assistance technique. Pour en savoir plus sur les rôles, consultez Contrôle des accès : Pour résoudre les erreurs de ressources, consultez la documentation concernant les produits concernés.

Correction de Security Health Analytics

Cette section inclut des instructions correctives pour tous les résultats d'analyses de l'état de sécurité.

Pour les types de résultats mappés aux benchmarks CIS, les conseils de résolution provenant du Center for Internet Security (CIS), sauf indication contraire. Pour en savoir plus, consultez Détecteurs et conformité.

Désactivation des résultats après correction

Après avoir corrigé une faille ou une mauvaise configuration, Security Health Analytics définit automatiquement l'état du résultat sur INACTIVE la prochaine fois qu'il recherche le résultat. Combien de temps faut-il à Security Health Analytics pour définir un résultat corrigé sur INACTIVE dépend du moment où le résultat est corrigé et de la planification de l'analyse qui détecte le résultat.

Security Health Analytics définit également l'état d'un résultat sur INACTIVE lorsqu'une analyse détecte que la ressource affectée par le résultat est supprimé. Si vous souhaitez supprimer un résultat pour une ressource supprimée de votre écran pendant que Security Health Analytics détecte que la ressource est supprimée, vous pouvez ignorer le résultat. Pour ignorer un résultat, consultez Ignorez des résultats dans Security Command Center.

N'utilisez pas le paramètre Ignorer pour masquer les résultats corrigés pour les ressources existantes. Si le problème se reproduit et que Security Health Analytics restaure l'ACTIVE l'état du résultat, vous ne verrez peut-être pas le résultat réactivé, car les résultats ignorés sont exclus de toute requête de résultat spécifiant NOT mute="MUTED", comme la requête de résultat par défaut.

Pour en savoir plus sur les intervalles d'analyse, consultez Types d'analyses Security Health Analytics.

Access Transparency disabled

Nom de la catégorie dans l'API : ACCESS_TRANSPARENCY_DISABLED

Access Transparency enregistre les accès des employés Google Cloud aux projets de votre organisation pour vous fournir une assistance. Activer Access Transparency pour indiquer qui, depuis Google Cloud, accède à vos les informations, quand et pourquoi. Pour en savoir plus, consultez Access Transparency :

Pour que vous puissiez activer Access Transparency sur un projet, celui-ci doit être associé à un compte de facturation.

Rôles requis

Pour obtenir les autorisations nécessaires pour effectuer cette tâche, demandez à votre de vous accorder le rôle Administrateur Access Transparency (roles/axt.admin) rôle IAM au niveau de l'organisation. Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.

Ce rôle prédéfini contient les autorisations axt.labels.get et axt.labels.set, qui sont requises pour effectuer cette tâche. Vous pouvez également obtenir ces autorisations avec un rôle personnalisé ou d'autres rôles prédéfinis.

Étapes de résolution

Pour corriger ce résultat, procédez comme suit :

1. Vérifiez les autorisations au niveau de votre organisation :

   1. Accédez à la page Identity and Access Management console Google Cloud.

      Accéder à Identity and Access Management

   2. Si vous y êtes invité, sélectionnez l'organisation Google Cloud dans le dans le menu de sélection.

2. Sélectionnez un projet Google Cloud au sein de l'organisation à l'aide du dans le menu de sélection.

   Même si la configuration d'Access Transparency s'effectue sur une page de projet Google Cloud, la fonctionnalité est activée pour l'ensemble de l'organisation.

3. Accédez à la page IAM et administration > Paramètres.

4. Cliquez sur Activer Access Transparency.

read_more En savoir plus sur les éléments et les paramètres d'analyse compatibles de ce type de résultat.

AlloyDB auto backup disabled

Nom de la catégorie dans l'API : ALLOYDB_AUTO_BACKUP_DISABLED

Les sauvegardes automatiques ne sont pas activées sur un cluster AlloyDB pour PostgreSQL.

Pour éviter de perdre des données, activez les sauvegardes automatiques pour votre cluster. Pour plus d'informations, consultez Configurer des sauvegardes automatiques supplémentaires.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page des clusters AlloyDB pour PostgreSQL dans console Google Cloud.

   Accéder aux clusters AlloyDB pour PostgreSQL

2. Cliquez sur un cluster dans la colonne Nom de la ressource.

3. Cliquez sur Protection des données.

4. Dans la section Règle de sauvegarde automatique, cliquez sur Modifier dans Sauvegardes automatiques.

5. Cochez la case Automatiser les sauvegardes.

6. Cliquez sur Mettre à jour.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

AlloyDB backups disabled

Nom de la catégorie dans l'API : ALLOYDB_BACKUPS_DISABLED

Un cluster AlloyDB pour PostgreSQL ne dispose pas de sauvegardes automatiques ni continues est activé.

Pour éviter de perdre des données, activez les sauvegardes automatiques ou continues pour votre cluster. Pour en savoir plus, consultez Configurer des sauvegardes supplémentaires.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page des clusters AlloyDB pour PostgreSQL dans console Google Cloud.

   Accéder aux clusters AlloyDB pour PostgreSQL

2. Dans la colonne Nom de la ressource, cliquez sur le nom du cluster concerné. identifiées dans le résultat.

3. Cliquez sur Protection des données.

4. Configurez une règle de sauvegarde.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

AlloyDB CMEK disabled

Nom de la catégorie dans l'API : ALLOYDB_CMEK_DISABLED

Un cluster AlloyDB n'utilise pas de clés de chiffrement gérées par le client (CMEK).

Avec CMEK, les clés que vous créez et gérez dans Cloud KMS encapsulent les clés que Google utilise pour chiffrer vos données, vous permettant ainsi de mieux contrôler vos accès. Pour en savoir plus, consultez À propos des clés CMEK. CMEK entraîne des coûts supplémentaires liés à Cloud KMS.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page des clusters AlloyDB pour PostgreSQL dans console Google Cloud.

   Accéder aux clusters AlloyDB pour PostgreSQL

2. Dans la colonne Nom de la ressource, cliquez sur le nom du cluster concerné. identifiées dans le résultat.

3. Cliquez sur Créer une sauvegarde. Définissez un ID de sauvegarde.

4. Cliquez sur Créer.

5. Dans la section Sauvegarde/Restauration, cliquez sur Restaurer à côté de la Entrée Backup ID que vous avez choisie.

6. Définissez un nouvel ID de cluster et un nouveau réseau.

7. Cliquez sur Options de chiffrement avancées. Sélectionnez la clé CMEK à pour chiffrer le nouveau cluster.

8. Cliquez sur Restaurer.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

AlloyDB log min error statement severity

Nom de la catégorie dans l'API : ALLOYDB_LOG_MIN_ERROR_STATEMENT_SEVERITY

Une instance AlloyDB pour PostgreSQL ne dispose pas de l'log_min_error_statement option de base de données définie sur error ou sur une autre valeur recommandée.

L'option log_min_error_statement contrôle si les instructions SQL qui provoquent les conditions d'erreur sont enregistrées dans les journaux du serveur. les instructions SQL des objets ou supérieur sont consignés. Plus le niveau de gravité est élevé, moins il y a de messages sont enregistrés. S'il est défini sur un niveau de gravité trop élevé, il se peut que des messages d'erreur pas être consignés.

Pour en savoir plus, consultez la page Configurer des indicateurs de base de données.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page des clusters AlloyDB pour PostgreSQL dans console Google Cloud.

   Accéder aux clusters AlloyDB pour PostgreSQL

2. Cliquez sur le cluster dans la colonne Nom de la ressource.

3. Dans la section Instances dans votre cluster, cliquez sur Modifier pour la Compute Engine.

4. Cliquez sur Options de configuration avancées.

5. Dans la section Options, définissez le paramètre log_min_error_statement avec l'une des options suivantes recommandées, conformément aux règles de journalisation de votre organisation.

   • debug5
   • debug4
   • debug3
   • debug2
   • debug1
   • info
   • notice
   • warning
   • error

6. Cliquez sur Mettre à jour l'instance.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

AlloyDB log min messages

Nom de la catégorie dans l'API : ALLOYDB_LOG_MIN_MESSAGES

Une instance AlloyDB pour PostgreSQL ne dispose pas de l'log_min_messages option de base de données définie sur warning au minimum.

L'option log_min_messages contrôle les niveaux de message enregistrés les journaux de serveur. Plus le niveau de gravité est élevé, moins le nombre de messages enregistrés est important. Paramètre un seuil trop bas peut entraîner une augmentation de la taille et de la longueur des journaux, ce qui rend difficile la recherche d'erreurs réelles.

Pour en savoir plus, consultez la page Configurer des indicateurs de base de données.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page des clusters AlloyDB pour PostgreSQL dans console Google Cloud.

   Accéder aux clusters AlloyDB pour PostgreSQL

2. Cliquez sur le cluster dans la colonne Nom de la ressource.

3. Dans la section Instances dans votre cluster, cliquez sur Modifier pour la Compute Engine.

4. Cliquez sur Options de configuration avancées.

5. Dans la section Options, définissez le paramètre log_min_messages avec l'une des options suivantes recommandées, conformément aux règles de journalisation de votre organisation.

   • debug5
   • debug4
   • debug3
   • debug2
   • debug1
   • info
   • notice
   • warning

6. Cliquez sur Mettre à jour l'instance.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

AlloyDB log error verbosity

Nom de la catégorie dans l'API : ALLOYDB_LOG_ERROR_VERBOSITY

Une instance AlloyDB pour PostgreSQL ne dispose pas de l'log_error_verbosity l'option de base de données définie sur default ou sur une autre valeur moins restrictive.

L'option log_error_verbosity contrôle la quantité de détails dans les messages consignés. Plus la verbosité est élevée, plus les messages enregistrés contiennent de détails. Nous vous recommandons de définir cette option sur default ou sur une autre valeur moins restrictive.

Pour en savoir plus, consultez la page Configurer des indicateurs de base de données.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page des clusters AlloyDB pour PostgreSQL dans console Google Cloud.

   Accéder aux clusters AlloyDB pour PostgreSQL

2. Cliquez sur le cluster dans la colonne Nom de la ressource.

3. Dans la section Instances dans votre cluster, cliquez sur Modifier pour la Compute Engine.

4. Cliquez sur Options de configuration avancées.

5. Dans la section Options, définissez le paramètre log_error_verbosity avec l'une des options suivantes recommandées, conformément aux règles de journalisation de votre organisation.

   • default
   • verbose

6. Cliquez sur Mettre à jour l'instance.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

AlloyDB Public IP

Nom de la catégorie dans l'API : ALLOYDB_PUBLIC_IP

Une instance de base de données AlloyDB pour PostgreSQL possède une adresse IP publique.

Pour réduire la surface d'attaque de votre organisation, utilisez une adresse IP privée plutôt que publique des adresses IP externes. Les adresses IP privées renforcent la sécurité du réseau et réduisent la latence de votre application.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page des clusters AlloyDB pour PostgreSQL dans console Google Cloud.

   Accéder aux clusters AlloyDB pour PostgreSQL

2. Dans la colonne Nom de la ressource, cliquez sur le nom du cluster concerné. identifiées dans le résultat.

3. Dans la section Instances dans votre cluster, cliquez sur Modifier pour la Compute Engine.

4. Dans la section Connectivité, décochez la case Activer l'adresse IP publique.

5. Cliquez sur Mettre à jour l'instance.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

AlloyDB SSL not enforced

Nom de la catégorie dans l'API : ALLOYDB_SSL_NOT_ENFORCED

Dans une instance de base de données AlloyDB pour PostgreSQL, il n'est pas nécessaire de manière à utiliser SSL.

Pour éviter les fuites de données sensibles en transit via des communications non chiffrées, toutes les connexions entrantes vers votre instance de base de données AlloyDB doivent utiliser SSL. Apprenez-en plus sur la configuration de SSL/TLS.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page des clusters AlloyDB pour PostgreSQL dans console Google Cloud.

   Accéder aux clusters AlloyDB pour PostgreSQL

2. Dans la colonne Nom de la ressource, cliquez sur le nom du cluster concerné. identifiées dans le résultat.

3. Dans la section Instances dans votre cluster, cliquez sur Modifier pour la Compute Engine.

4. Dans la section Sécurité du réseau, cochez la case Exiger le chiffrement SSL

5. Cliquez sur Mettre à jour l'instance.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Admin service account

Nom de la catégorie dans l'API : ADMIN_SERVICE_ACCOUNT

Un compte de service de votre organisation ou de votre projet dispose des rôles Administrateur, Propriétaire ou Éditeur. qui lui est attribuée. Ces rôles disposent d'autorisations étendues et ne doivent pas être attribués à des comptes de service. Pour en savoir plus sur les comptes de service et les rôles disponibles, consultez la page Comptes de service.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page IAM de la console Google Cloud.

   Accéder à la stratégie IAM

2. Pour chaque compte principal identifié dans le résultat :

   1. Cliquez sur edit Modifier le compte principal à côté du compte principal.
   2. Pour supprimer les autorisations, cliquez sur delete Supprimer le rôle à côté de le poste.
   3. Cliquez sur Enregistrer.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Alpha cluster enabled

Nom de la catégorie dans l'API : ALPHA_CLUSTER_ENABLED

Les fonctionnalités de cluster alpha sont activées pour un cluster Google Kubernetes Engine (GKE).

Les clusters alpha permettent aux utilisateurs de la première heure de tester des charges de travail exploitant de nouvelles fonctionnalités avant leur lancement public. Toutes les fonctionnalités de l'API GKE sont activées sur les clusters alpha, mais ceux-ci ne sont pas couverts par le contrat de niveau de service GKE. Ils ne reçoivent pas de mises à jour de sécurité. Les fonctionnalités de mise à niveau et de réparation automatiques des nœuds y sont désactivées, et ils ne peuvent pas être mis à niveau. Ils sont aussi automatiquement supprimés au bout de 30 jours.

Pour corriger ce résultat, procédez comme suit :

Les clusters alpha ne peuvent pas être désactivés. Vous devez créer un cluster avec les fonctionnalités alpha désactivées.

1. Accédez à la page des Clusters Kubernetes GKE dans la console Google Cloud.

   Accéder à la page "Clusters Kubernetes"

2. Cliquez sur Create (Créer).

3. Sélectionnez Configurer à côté du type de cluster que vous souhaitez créer.

4. Sous l'onglet Fonctionnalités, assurez-vous que l'option Activer les fonctionnalités alpha Kubernetes dans ce cluster est désactivée.

5. Cliquez sur Create (Créer).

6. Pour déplacer des charges de travail vers le nouveau cluster, consultez la section Migrer des charges de travail vers différents types de machines.

7. Pour supprimer le cluster d'origine, consultez la section Supprimer un cluster.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

API key APIs unrestricted

Nom de la catégorie dans l'API : API_KEY_APIS_UNRESTRICTED

Certaines clés API sont utilisées à trop grande échelle.

Les clés API sans restriction ne sont pas sécurisées, car elles peuvent être récupérées à partir d'appareils sur lesquels elles sont stockées ou visibles publiquement, par exemple à partir d'un navigateur. Conformément au principe du moindre privilège, configurez les clés API pour n'appeler que les API requises par l'application. Pour en savoir plus, consultez Appliquez des restrictions de clés API.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Clés API de la console Google Cloud.

   Accéder aux Clés API

2. Pour chaque clé API :

   1. Dans la section Clés API, sur la ligne de chaque clé API pour laquelle vous devez limiter les API, cliquez sur more_vert Actions.
   2. Dans le menu Actions, cliquez sur Modifier la clé API. La page Modifier la clé API s'affiche.
   3. Dans la section Restrictions relatives aux API, sélectionnez Restreindre des API. Le menu déroulant Sélectionner des API s'affiche.
   4. Dans la liste déroulante Sélectionner des API, choisissez les API que vous souhaitez autoriser.
   5. Cliquez sur Enregistrer. L'application des paramètres peut prendre jusqu'à cinq minutes.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

API key apps unrestricted

Nom de la catégorie dans l'API : API_KEY_APPS_UNRESTRICTED

Des clés API sont utilisées de manière non restreinte, autorisant une utilisation par n'importe quelle application non approuvée.

Les clés API sans restriction ne sont pas sécurisées, car elles peuvent être récupérées sur des appareils qui les stockeront ou les rendront visibles au public, par exemple depuis un navigateur. Conformément au principe du moindre privilège, limitez l'utilisation des clés API aux hôtes, référents HTTP et applications de confiance. Pour en savoir plus, consultez Appliquez des restrictions de clés API.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Clés API de la console Google Cloud.

   Accéder aux Clés API

2. Pour chaque clé API :

   1. Dans la section Clés API, sur la ligne de chaque clé API pour laquelle restreindre les applications, cliquez sur more_vert Actions :
   2. Dans le menu Actions, cliquez sur Modifier la clé API. La page Modifier la clé API s'affiche.
   3. Sur la page Modifier la clé API, sous Restrictions liées aux applications, sélectionnez une catégorie de restriction. Vous pouvez définir une restriction de ce type par clé.
   4. Dans le champ Ajouter un élément, qui s'affiche lorsque vous sélectionnez une restriction, cliquez sur Ajouter un élément pour ajouter des restrictions en fonction des besoins de votre application.
   5. Une fois les éléments ajoutés, cliquez sur Terminé.
   6. Cliquez sur Enregistrer.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

API key exists

Nom de la catégorie dans l'API : API_KEY_EXISTS

Un projet utilise des clés API au lieu de l'authentification standard.

Les clés API sont moins sécurisées que les autres méthodes d'authentification, car elles sont des chaînes cryptées simples et faciles à découvrir et à utiliser pour les autres. Elles peuvent être récupérées sur des appareils qui les stockeront ou les rendront visibles de tous, par exemple dans un navigateur. De plus, les clés API n'identifient pas de manière unique les utilisateurs ou les applications qui effectuent des requêtes. Vous pouvez également utiliser une requête flux d'authentification, avec comptes de service ou comptes utilisateur.

Pour corriger ce résultat, procédez comme suit :

1. Assurez-vous que vos applications sont configurées avec une autre forme d'authentification.

2. Accédez à la page des identifiants d'API dans la console Google Cloud.

   Accéder aux identifiants de l'API

3. Dans la section Clés API, sur la ligne de chaque clé API dont vous avez besoin cliquez sur Actions more_vert.

4. Dans le menu Actions, cliquez sur Supprimer la clé API.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

API key not rotated

Nom de la catégorie dans l'API : API_KEY_NOT_ROTATED

Une clé API n'a pas subi de rotation depuis plus de 90 jours.

Les clés API n'ont pas de date d'expiration. En cas de vol, la clé peut être utilisée indéfiniment, à moins que le propriétaire du projet ne décide de la révoquer ou d'alterner les clés. En régénérant fréquemment vos clés API, vous réduisez la durée pendant laquelle une clé API volée pourrait être utilisée pour accéder à des données depuis un compte compromis ou résilié. Effectuez une rotation des clés API au moins tous les 90 jours. Pour en savoir plus, consultez Sécurisez une clé API.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Clés API de la console Google Cloud.

   Accéder aux Clés API

2. Pour chaque clé API :

   1. Dans la section Clés API, sur la ligne de chaque clé API dont vous avez besoin cliquez sur Actions more_vert.
   2. Dans le menu Actions, cliquez sur Modifier la clé API. La page Modifier la clé API s'affiche.
   3. Sur la page Modifier la clé API, si la date figurant dans le champ Date de création date de plus de 90 jours, cliquez sur refresh. Regénérer la valeur clé. Une nouvelle clé est générée.
   4. Cliquez sur Enregistrer.
   5. Pour vous assurer que vos applications continuent à fonctionner sans interruption, mettez-les à jour afin qu'elles utilisent la nouvelle clé API. L'ancienne clé API fonctionne pendant 24 heures avant d'être définitivement désactivée.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Audit config not monitored

Nom de la catégorie dans l'API : AUDIT_CONFIG_NOT_MONITORED

Les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées à la configuration d'audit.

Cloud Audit Logging génère des journaux sur l'activité des administrateurs et les accès aux données, qui permettent d'effectuer des analyses de sécurité, le suivi des modifications des ressources et des audits de conformité. En surveillant les modifications apportées à la configuration d'audit, vous vous assurez que toutes les activités de votre projet peuvent être auditées à tout moment. Pour en savoir plus, consultez la présentation des métriques basées sur les journaux.

Selon la quantité d'informations, les coûts liés à Cloud Monitoring peuvent être importants. À comprendre votre utilisation du service et ses coûts, consultez Optimisation des coûts: opérations cloud

Pour les activations du niveau Premium de Security Command Center au niveau du projet, ce résultat n'est disponible que si le niveau Standard est activé dans le l'organisation parente.

Pour corriger ce résultat, créez des métriques, si nécessaire, et des règles d'alerte :

Créer une métrique

1. Accédez à la page Métriques basées sur les journaux de la console Google Cloud.

   Accéder aux métriques basées sur les journaux

2. Cliquez sur Créer la métrique.

3. Sous Type de métrique, sélectionnez Compteur.

4. Sous Détails :

   1. Définissez un nom de métrique de journal.
   2. Ajoutez une description.
   3. Définissez le champ Unités sur 1.

5. Sous Sélection du filtre, copiez et collez le texte suivant dans la zone Créer un filtre, en remplaçant le texte existant si nécessaire :

     protoPayload.methodName="SetIamPolicy"
     AND protoPayload.serviceData.policyDelta.auditConfigDeltas:*

6. Cliquez sur Créer la métrique. Un message de confirmation s'affiche.

Créer une règle d'alerte

1. Dans la console Google Cloud, accédez à la page Métriques basées sur les journaux.

   Accéder à la page Métriques basées sur les journaux

   Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Logging.

2. Sous la section Métriques définies par l'utilisateur, sélectionnez la métrique que vous avez créée dans la section précédente.

3. Cliquez sur Plus more_vert, puis sur Créer une alerte à partir de la métrique.

   La boîte de dialogue Nouvelle condition s'affiche, avec les options de métrique et de transformation de données préremplies.

4. Cliquez sur Suivant.
   1. Vérifiez les paramètres préremplis. Vous voudrez peut-être modifier le champ Valeur du seuil.
   2. Cliquez sur Nom de la condition, puis saisissez un nom pour la condition.
5. Cliquez sur Suivant.

6. Pour ajouter des notifications à votre règle d'alerte, cliquez sur Canaux de notification. Dans la boîte de dialogue, sélectionnez un ou plusieurs canaux de notification dans le menu, puis cliquez sur OK.

   Pour recevoir une notification lorsque des incidents sont ouverts ou fermés, cochez Envoyer une notification lors de la clôture de l'incident Par défaut, les notifications ne sont envoyées d'incidents sont ouverts.

7. (Facultatif) Mettez à jour la durée de fermeture automatique de l'incident. Ce champ détermine à quel moment Monitoring ferme les incidents en l'absence de données de métriques.
8. Facultatif : Cliquez sur Documentation, puis ajoutez les informations à inclure dans le message de notification.
9. Cliquez sur Nom de l'alerte et saisissez un nom pour la règle d'alerte.
10. Cliquez sur Créer une règle.

read_more En savoir plus sur les éléments et les paramètres d'analyse compatibles de ce type de résultat.

Audit logging disabled

Nom de la catégorie dans l'API : AUDIT_LOGGING_DISABLED

Ce résultat n'est pas disponible pour les activations au niveau du projet.

Les journaux d'audit sont désactivés pour un ou plusieurs services Google Cloud. un ou plusieurs comptes principaux sont exemptés de la journalisation d'audit des accès aux données.

Activez Cloud Logging pour tous les services afin de suivre l'ensemble des activités d'administration, ainsi que des accès en lecture et en écriture aux données utilisateur. Selon la quantité d'informations, les coûts liés à Cloud Logging peuvent être importants. Pour comprendre votre utilisation du service et son coût, consultez Optimisation des coûts: opérations cloud

Si des comptes principaux sont exemptés de la journalisation d'audit des accès aux données sur l'une des la configuration par défaut des journaux d'audit des accès aux données pour des services individuels, supprimez l'exception.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Configuration par défaut des journaux d'audit des accès aux données dans les console Google Cloud.

   Accéder à la configuration par défaut

2. Dans l'onglet Types de journaux, activez les journaux d'audit des accès aux données dans le la configuration par défaut:

   1. Sélectionnez Lecture administrateur, Lecture de données et Écriture de données.
   2. Cliquez sur Enregistrer.

3. Dans l'onglet Comptes principaux exemptés, supprimez tous les utilisateurs exemptés du configuration par défaut:

   1. Supprimez chaque compte principal répertorié en cliquant sur delete Supprimer. à côté de chaque nom.
   2. Cliquez sur Enregistrer.

4. Accédez à la page Journaux d'audit.

   Accéder aux journaux d'audit

5. Supprimer tous les comptes principaux exemptés des configurations du journal d'audit des accès aux données de services individuels.

   1. Sous Configuration des journaux d'audit des accès aux données, pour chaque service auquel affiche un compte principal exempté, cliquez sur le service. Un journal d'audit de configuration s'ouvre pour le service.
   2. Dans l'onglet Comptes principaux exemptés, supprimez tous les comptes principaux exemptés. en cliquant sur delete Supprimer à côté de chaque nom.
   3. Cliquez sur Enregistrer.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Auto backup disabled

Nom de la catégorie dans l'API : AUTO_BACKUP_DISABLED

Les sauvegardes automatiques ne sont pas activées pour une base de données Cloud SQL.

Pour éviter toute perte de données, activez les sauvegardes automatiques pour vos instances SQL. Pour plus d'informations, consultez la section Créer et gérer des sauvegardes à la demande et automatiques.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Sauvegardes d'instances SQL dans la console Google Cloud.

   Accéder aux sauvegardes d'instance SQL

2. À côté de Paramètres, cliquez sur edit Modifier.

3. Cochez la case Automatiser les sauvegardes.

4. Dans le menu déroulant, choisissez une période de temps pour la sauvegarde automatique de vos données.

5. Cliquez sur Enregistrer.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Auto repair disabled

Nom de la catégorie dans l'API : AUTO_REPAIR_DISABLED

La fonctionnalité de réparation automatique d'un cluster Google Kubernetes Engine (GKE), qui permet de maintenir les nœuds dans un état sain et d'exécution, est désactivée.

Lorsque cette fonction est activée, GKE vérifie périodiquement l'état de chaque nœud de votre cluster. Si les vérifications d'état réalisées sur un nœud échouent de manière consécutive sur une période prolongée, GKE déclenche un processus de réparation pour ce nœud. Pour en savoir plus, consultez la section Réparer automatiquement des nœuds.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page des Clusters Kubernetes GKE dans la console Google Cloud.

   Accéder à la page "Clusters Kubernetes"

2. Cliquez sur l'onglet Nœuds.

3. Pour chaque pool de nœuds :

   1. Cliquez sur le nom du pool de nœuds pour accéder à sa page d'informations.
   2. Cliquez sur edit Modifier.
   3. Dans la section Gestion, sélectionnez Activer la réparation automatique.
   4. Cliquez sur Enregistrer.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Auto upgrade disabled

Nom de la catégorie dans l'API : AUTO_UPGRADE_DISABLED

La fonctionnalité de mise à niveau automatique des clusters GKE, qui conserve les clusters et les pools de nœuds sur la dernière version stable de Kubernetes, est désactivée.

Pour en savoir plus, consultez la page Mettre à niveau automatiquement des nœuds.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page des Clusters Kubernetes GKE dans la console Google Cloud.

   Accéder à la page "Clusters Kubernetes"

2. Dans la liste des clusters, cliquez sur le nom du cluster.

3. Cliquez sur l'onglet Nœuds.

4. Pour chaque pool de nœuds :

   1. Cliquez sur le nom du pool de nœuds pour accéder à sa page d'informations.
   2. Cliquez sur edit Modifier.
   3. Sous Gestion, sélectionnez Activer la mise à niveau automatique.
   4. Cliquez sur Enregistrer.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

BigQuery table CMEK disabled

Nom de la catégorie dans l'API : BIGQUERY_TABLE_CMEK_DISABLED

Une table BigQuery n'est pas configurée pour utiliser une clé de chiffrement gérée par le client (CMEK).

Avec CMEK, les clés que vous créez et gérez dans Cloud KMS encapsulent les clés utilisées par Google Cloud pour chiffrer vos données, ce qui vous permet de mieux contrôler l'accès à vos données. Pour en savoir plus, consultez la page Protéger des données avec des clés Cloud KMS.

Pour corriger ce résultat, procédez comme suit :

1. Créez une table protégée par Cloud Key Management Service.
2. Copiez votre table dans la nouvelle table compatible avec les CMEK.
3. Supprimez la table d'origine.

Pour définir une clé CMEK par défaut qui chiffre toutes les nouvelles tables d'un ensemble de données, consultez la page Définir une clé par défaut de l'ensemble de données.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Binary authorization disabled

Nom de la catégorie dans l'API : BINARY_AUTHORIZATION_DISABLED

L'autorisation binaire est désactivée sur un cluster GKE.

L'autorisation binaire inclut une fonctionnalité facultative qui protège la sécurité de la chaîne d'approvisionnement en n'autorisant que le déploiement des images de conteneurs signées par des autorités de confiance lors du processus de développement dans le cluster. Grâce au déploiement basé sur la signature, vous contrôlez mieux votre environnement de conteneurs, en vous assurant que seules les images validées peuvent être déployées.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page des Clusters Kubernetes GKE dans la console Google Cloud.

   Accéder à la page "Clusters Kubernetes"

2. Dans la section Sécurité, cliquez sur edit Modifier dans la ligne Autorisation binaire.

   Si la configuration du cluster a récemment été modifiée, il est possible que le bouton "Modifier" ne soit pas disponible. Si vous ne pouvez pas modifier les paramètres du cluster, attendez quelques minutes, puis réessayez.

3. Dans la boîte de dialogue, sélectionnez Activer l'autorisation binaire.

4. Cliquez sur Enregistrer les modifications.

5. Accédez à la page de configuration de l'autorisation binaire.

   Accéder à la page "Autorisation binaire"

6. Assurez-vous qu'une stratégie exigeant des certificateurs est configurée et que la règle par défaut du projet n'est pas configurée sur Autoriser toutes les images. Pour en savoir plus, consultez Configurer pour GKE.

   Pour vous assurer que les images qui ne respectent pas la stratégie sont autorisées à être déployées et que les violations sont consignées dans Cloud Audit Logs, vous pouvez activer le mode de simulation.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Bucket CMEK disabled

Nom de la catégorie dans l'API : BUCKET_CMEK_DISABLED

Un bucket n'est pas chiffré avec des clés de chiffrement gérées par le client (CMEK).

La définition d'une clé CMEK par défaut sur un bucket vous permet de mieux contrôler l'accès à vos données. Pour en savoir plus, consultez la page Clés de chiffrement gérées par le client.

Pour corriger ce résultat, utilisez CMEK avec un bucket en suivant la procédure Utiliser des clés de chiffrement gérées par le client. CMEK entraîne des coûts supplémentaires liés à Cloud KMS.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Bucket IAM not monitored

Nom de la catégorie dans l'API : BUCKET_IAM_NOT_MONITORED

Les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées aux autorisations IAM Cloud Storage.

La surveillance des modifications apportées aux autorisations des buckets Cloud Storage vous permet d'identifier les utilisateurs bénéficiant de droits trop élevés ou les activités suspectes. Pour en savoir plus, consultez la présentation des métriques basées sur les journaux.

Selon la quantité d'informations, les coûts liés à Cloud Monitoring peuvent être importants. À comprendre votre utilisation du service et ses coûts, consultez Optimisation des coûts: opérations cloud

Pour les activations du niveau Premium de Security Command Center au niveau du projet, ce résultat n'est disponible que si le niveau Standard est activé dans le l'organisation parente.

Pour corriger ce résultat, procédez comme suit :

Créer une métrique

1. Accédez à la page Métriques basées sur les journaux de la console Google Cloud.

   Accéder aux métriques basées sur les journaux

2. Cliquez sur Créer la métrique.

3. Sous Type de métrique, sélectionnez Compteur.

4. Sous Détails :

   1. Définissez un nom de métrique de journal.
   2. Ajoutez une description.
   3. Définissez le champ Unités sur 1.

5. Sous Sélection du filtre, copiez et collez le texte suivant dans la zone Créer un filtre, en remplaçant le texte existant si nécessaire :

     resource.type=gcs_bucket
     AND protoPayload.methodName="storage.setIamPermissions"

6. Cliquez sur Créer la métrique. Un message de confirmation s'affiche.

Créer une règle d'alerte

1. Dans la console Google Cloud, accédez à la page Métriques basées sur les journaux.

   Accéder à la page Métriques basées sur les journaux

   Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Logging.

2. Sous la section Métriques définies par l'utilisateur, sélectionnez la métrique que vous avez créée dans la section précédente.

3. Cliquez sur Plus more_vert, puis sur Créer une alerte à partir de la métrique.

   La boîte de dialogue Nouvelle condition s'affiche, avec les options de métrique et de transformation de données préremplies.

4. Cliquez sur Suivant.
   1. Vérifiez les paramètres préremplis. Vous voudrez peut-être modifier le champ Valeur du seuil.
   2. Cliquez sur Nom de la condition, puis saisissez un nom pour la condition.
5. Cliquez sur Suivant.

6. Pour ajouter des notifications à votre règle d'alerte, cliquez sur Canaux de notification. Dans la boîte de dialogue, sélectionnez un ou plusieurs canaux de notification dans le menu, puis cliquez sur OK.

   Pour recevoir une notification lorsque des incidents sont ouverts ou fermés, cochez Envoyer une notification lors de la clôture de l'incident Par défaut, les notifications ne sont envoyées d'incidents sont ouverts.

7. (Facultatif) Mettez à jour la durée de fermeture automatique de l'incident. Ce champ détermine à quel moment Monitoring ferme les incidents en l'absence de données de métriques.
8. Facultatif : Cliquez sur Documentation, puis ajoutez les informations à inclure dans le message de notification.
9. Cliquez sur Nom de l'alerte et saisissez un nom pour la règle d'alerte.
10. Cliquez sur Créer une règle.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Bucket logging disabled

Nom de la catégorie dans l'API : BUCKET_LOGGING_DISABLED

La journalisation est désactivée dans un bucket de stockage.

Pour faciliter l'analyse des problèmes de sécurité et surveiller l'utilisation de l'espace de stockage, activez les journaux d'accès et les informations de stockage de vos buckets Cloud Storage. Les journaux d'accès fournissent des informations pour toutes les requêtes effectuées sur un bucket spécifié. Les journaux de stockage fournissent des informations sur l'espace de stockage consommé par ce bucket.

Pour corriger ce résultat, configurez la journalisation pour le bucket indiqué par le résultat de Security Health Analytics en suivant le guide Journaux d'accès et journaux de stockage.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Bucket policy only disabled

Nom de la catégorie dans l'API : BUCKET_POLICY_ONLY_DISABLED

L'accès uniforme au niveau du bucket, précédemment appelé "Stratégie du bucket seulement", n'est pas configuré.

L'accès uniforme au niveau du bucket simplifie le contrôle des accès au bucket en désactivant les autorisations au niveau des objets (LCA). Lorsque les autorisations Cloud IAM au niveau du bucket sont activées sur un bucket donné, elles seules définissent l'accès à ce bucket et aux objets qu'il contient. Pour en savoir plus, consultez la section Accès uniforme au niveau du bucket.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page du navigateur Cloud Storage dans la console Google Cloud.

   Accéder au navigateur Cloud Storage

2. Dans la liste des buckets, cliquez sur le nom du bucket souhaité.

3. Cliquez sur l'onglet Configuration.

4. Sous Autorisations, sur la ligne Contrôle des accès, cliquez sur edit Modifier le modèle de contrôle des accès

5. Dans la boîte de dialogue, sélectionnez Uniforme.

6. Cliquez sur Enregistrer.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Cloud Asset API disabled

Nom de la catégorie dans l'API : CLOUD_ASSET_API_DISABLED

Le service inventaire des éléments cloud n'est pas activé pour le projet.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Bibliothèque d'API de la console Google Cloud.

   Accéder à la bibliothèque d'API

2. Recherchez Cloud Asset Inventory.

3. Sélectionnez le résultat correspondant au service API Cloud Asset.

4. Assurez-vous que API activée s'affiche.

Cluster logging disabled

Nom de la catégorie dans l'API : CLUSTER_LOGGING_DISABLED

La journalisation n'est pas activée pour un cluster GKE.

Pour faciliter l'analyse des problèmes de sécurité et surveiller l'utilisation, activez Cloud Logging sur vos clusters.

Selon la quantité d'informations, les coûts liés à Cloud Logging peuvent être importants. Pour comprendre votre utilisation du service et son coût, consultez la page Optimiser les coûts : opérations cloud.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page des Clusters Kubernetes GKE dans la console Google Cloud.

   Accéder à la page "Clusters Kubernetes"

2. Sélectionnez le cluster répertorié dans le résultat de Security Health Analytics.

3. Cliquez sur edit Modifier.

   Si la configuration du cluster a récemment été modifiée, il est possible que le bouton "Modifier" ne soit pas disponible. Si vous ne pouvez pas modifier les paramètres du cluster, attendez quelques minutes, puis réessayez.

4. Dans la liste déroulante Ancien Stackdriver Logging ou Stackdriver Kubernetes Engine Monitoring, sélectionnez Activé.

   Ces options ne sont pas compatibles. Veillez à utiliser uniquement Stackdriver Kubernetes Engine Monitoring, ou à combiner les options Ancien Stackdriver Logging et Ancien Stackdriver Monitoring.

5. Cliquez sur Enregistrer.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Cluster monitoring disabled

Nom de la catégorie dans l'API : CLUSTER_MONITORING_DISABLED

Monitoring est désactivé sur les clusters GKE.

Pour faciliter l'analyse des problèmes de sécurité et surveiller l'utilisation, activez Cloud Monitoring sur vos clusters.

Selon la quantité d'informations, les coûts liés à Cloud Monitoring peuvent être importants. À comprendre votre utilisation du service et ses coûts, consultez Optimisation des coûts: opérations cloud

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page des Clusters Kubernetes GKE dans la console Google Cloud.

   Accéder à la page "Clusters Kubernetes"

2. Sélectionnez le cluster répertorié dans le résultat de Security Health Analytics.

3. Cliquez sur edit Modifier.

   Si la configuration du cluster a récemment été modifiée, il est possible que le bouton "Modifier" ne soit pas disponible. Si vous ne pouvez pas modifier les paramètres du cluster, attendez quelques minutes, puis réessayez.

4. Dans la liste déroulante Ancien Legacy Stackdriver Monitoring ou Stackdriver Kubernetes Engine Monitoring, sélectionnez Activé.

   Ces options ne sont pas compatibles. Veillez à utiliser uniquement Stackdriver Kubernetes Engine Monitoring, ou à combiner les options Ancien Stackdriver Monitoring et Ancien Stackdriver Logging.

5. Cliquez sur Enregistrer.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Cluster private Google access disabled

Nom de la catégorie dans l'API : CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED

Les hôtes de cluster ne sont pas configurés pour utiliser uniquement des adresses IP internes privées afin d'accéder aux API Google.

L'accès privé à Google permet aux instances de machine virtuelle (VM) disposant uniquement d'adresses IP internes privées d'accéder aux adresses IP publiques des API et services Google. Pour plus d'informations, consultez la section Configurer l'accès privé à Google.

Pour les activations du niveau Premium de Security Command Center au niveau du projet, ce résultat n'est disponible que si le niveau Standard est activé dans le l'organisation parente.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Réseaux de cloud privés virtuel dans la console Google Cloud.

   Accéder aux réseaux VPC

2. Dans la liste des réseaux, cliquez sur le nom du réseau souhaité.

3. Sur la page Détails du réseau VPC, cliquez sur l'onglet Sous-réseaux.

4. Dans la liste des sous-réseaux, cliquez sur le nom du sous-réseau associé au cluster Kubernetes dans le résultat.

5. Sur la page Détails du sous-réseau, cliquez sur edit Modifier.

6. Dans le champ Accès privé à Google, sélectionnez Activé.

7. Cliquez sur Enregistrer.

8. Pour supprimer les adresses IP publiques (externes) des instances de VM dont le seul trafic externe est destiné aux API Google, consultez la section Annuler l'attribution d'une adresse IP externe statique.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Cluster secrets encryption disabled

Nom de la catégorie dans l'API : CLUSTER_SECRETS_ENCRYPTION_DISABLED

Le chiffrement des secrets au niveau de la couche d'application est désactivé sur un cluster GKE.

Le chiffrement des secrets au niveau de la couche d'application garantit que les secrets GKE sont chiffrés à l'aide de clés Cloud KMS. Cette fonctionnalité fournit une couche de sécurité supplémentaire pour les données sensibles, telles que les secrets définis par l'utilisateur et les secrets requis pour le fonctionnement du cluster, par exemple les clés de compte de service, qui sont toutes stockées dans etcd.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Clés Cloud KMS de la console Google Cloud.

   Accéder à la page Clés Cloud KMS

2. Examinez vos clés d'application ou créez une clé de chiffrement de base de données (DEK). Pour en savoir plus, consultez la page Créer une clé Cloud KMS.

3. Accédez à la page des clusters Kubernetes.

   Accéder à la page "Clusters Kubernetes"

4. Sélectionnez le cluster dans le résultat.

5. Sous Sécurité, dans le champ Chiffrement des secrets au niveau de la couche d'application : Cliquez sur edit Modifier le chiffrement des secrets au niveau de la couche d'application.

6. Sélectionnez la case à cocher Activer le chiffrement des secrets au niveau de la couche d'application, puis choisissez la DEK que vous avez créée.

7. Cliquez sur Save Changes (Enregistrer les modifications).

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Cluster shielded nodes disabled

Nom de la catégorie dans l'API : CLUSTER_SHIELDED_NODES_DISABLED

Les nœuds GKE protégés ne sont pas activés pour un cluster.

Sans les nœuds GKE protégés, les pirates informatiques peuvent exploiter une faille d'un pod pour exfiltrer les identifiants d'amorçage et usurper l'identité des nœuds de votre cluster. Cette faille peut donner aux pirates informatiques l'accès aux secrets du cluster.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page des Clusters Kubernetes GKE dans la console Google Cloud.

   Accéder à la page "Clusters Kubernetes"

2. Sélectionnez le cluster dans le résultat.

3. Sous Sécurité, dans le champ Nœuds GKE protégés, Cliquez sur edit Modifier les nœuds GKE protégés.

4. Cochez la case Activer les nœuds GKE protégés.

5. Cliquez sur Save Changes (Enregistrer les modifications).

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Compute project wide SSH keys allowed

Nom de la catégorie dans l'API : COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

Les clés SSH à l'échelle du projet permettent de se connecter à toutes les instances du projet.

L'utilisation de clés SSH à l'échelle du projet facilite la gestion des clés SSH. En revanche, si elle est compromise, elle présente un risque pour la sécurité, qui peut avoir une incidence sur toutes les instances d'un projet. Vous devez utiliser des clés SSH spécifiques à l'instance, qui limitent la surface d'attaque si les clés SSH sont compromises. Pour en savoir plus, consultez la page Gérer des clés SSH dans les métadonnées.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Instances de VM de la console Google Cloud.

   Accéder à la page Instances de VM

2. Dans la liste des instances, cliquez sur le nom de l'instance dans le résultat.

3. Sur la page Informations sur l'instance de VM, cliquez sur edit Modifier.

4. Sous Clés SSH, sélectionnez Bloquer les clés SSH à l'échelle du projet.

5. Cliquez sur Enregistrer.

read_more En savoir plus sur les éléments et les paramètres d'analyse compatibles de ce type de résultat.

Compute Secure Boot disabled

Nom de la catégorie dans l'API : COMPUTE_SECURE_BOOT_DISABLED

Le démarrage sécurisé n'est pas activé pour cette VM protégée.

Le démarrage sécurisé permet de protéger vos machines virtuelles contre les rootkits et les bootkits. Compute Engine n'active pas le démarrage sécurisé par défaut, car certains pilotes non signés et logiciels de bas niveau ne sont pas compatibles. Si votre VM n'utilise pas de logiciel incompatible et qu'elle démarre avec le démarrage sécurisé activé, Google recommande l'utilisation de cette fonctionnalité. Si vous utilisez des modules tiers avec des pilotes NVIDIA, assurez-vous qu'ils sont compatibles avec le démarrage sécurisé avant de l'activer.

Pour plus d'informations, consultez la section Démarrage sécurisé.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Instances de VM de la console Google Cloud.

   Accéder à la page Instances de VM

2. Dans la liste des instances, cliquez sur le nom de l'instance dans le résultat.

3. Sur la page Informations sur l'instance de VM, cliquez sur stop Arrêter.

4. Une fois l'instance arrêtée, cliquez sur edit Modifier.

5. Sous VM protégée, sélectionnez Activer le démarrage sécurisé.

6. Cliquez sur Enregistrer.

7. Cliquez sur play_arrow Démarrer pour démarrer l'instance.

read_more En savoir plus sur les éléments et les paramètres d'analyse compatibles de ce type de résultat.

Compute serial ports enabled

Nom de la catégorie dans l'API : COMPUTE_SERIAL_PORTS_ENABLED

Les ports série sont activés pour une instance, ce qui permet de se connecter à la console série de l'instance.

Si vous activez l'accès interactif à la console série sur une instance, les clients peuvent tenter de se connecter à cette instance depuis n'importe quelle adresse IP. Par conséquent, l'accès interactif à la console série doit être désactivé. Pour en savoir plus, consultez la section Activer l'accès pour un projet.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Instances de VM de la console Google Cloud.

   Accéder à la page Instances de VM

2. Dans la liste des instances, cliquez sur le nom de l'instance dans le résultat.

3. Sur la page Informations sur l'instance de VM, cliquez sur edit Modifier.

4. Dans la section Accès à distance, cochez la case Activer la connexion aux ports série.

5. Cliquez sur Enregistrer.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Confidential Computing disabled

Nom de la catégorie dans l'API : CONFIDENTIAL_COMPUTING_DISABLED

L'informatique confidentielle n'est pas activée sur une instance Compute Engine.

L'informatique confidentielle ajoute un troisième pilier à la story sur le chiffrement de bout en bout en chiffrant les données pendant qu'ellees sont utilisées. Grâce aux environnements d'exécution confidentiels fournis par l'informatique confidentielle et AMD SEV (Secure Encrypted Virtualization), Google Cloud maintient chiffrés en mémoire le code sensible et les autres données lors de leur traitement.

L'informatique confidentielle ne peut être activée qu'à la création d'une instance. Vous devez donc supprimer l'instance actuelle et en créer une autre.

Pour en savoir plus, consultez Confidential VMs et Compute Engine.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Instances de VM de la console Google Cloud.

   Accéder à la page Instances de VM

2. Dans la liste des instances, cliquez sur le nom de l'instance dans le résultat.

3. Sur la page Informations sur l'instance de VM, cliquez sur delete Supprimer.

4. Créez une Confidential VM à l'aide de la console Google Cloud.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

COS not used

Nom de la catégorie dans l'API : COS_NOT_USED

Les VM Compute Engine n'utilisent pas le système d'exploitation optimisé par conteneur, conçu pour exécuter des conteneurs Docker sur Google Cloud en toute sécurité.

Container-Optimized OS est l'OS recommandé par Google pour héberger et exécuter des conteneurs sur Google Cloud. Le faible encombrement de l'OS minimise les risques liés à la sécurité, et les mises à jour automatiques corrigent les failles au plus vite. Pour en savoir plus, consultez la page Présentation du système d'exploitation optimisé par conteneur.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page des Clusters Kubernetes GKE dans la console Google Cloud.

   Accéder à la page "Clusters Kubernetes"

2. Dans la liste des clusters, cliquez sur le nom du cluster dans le résultat.

3. Cliquez sur l'onglet Nœuds.

4. Pour chaque pool de nœuds :

   1. Cliquez sur le nom du pool de nœuds pour accéder à sa page d'informations.
   2. Cliquez sur edit Modifier .
   3. Sous Nœuds -> Type d'image, cliquez sur Modifier.
   4. Sélectionnez Système d'exploitation optimisé par conteneur, puis cliquez sur Modifier.
   5. Cliquez sur Enregistrer.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Custom role not monitored

Nom de la catégorie dans l'API : CUSTOM_ROLE_NOT_MONITORED

Les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées au rôle personnalisé.

IAM fournit des rôles prédéfinis et personnalisés qui accordent l'accès à des ressources Google Cloud spécifiques. En surveillant les activités de création, de suppression et de mise à jour des rôles, vous pouvez identifier les rôles bénéficiant de droits trop élevés à un stade précoce. Pour en savoir plus, consultez la présentation des métriques basées sur les journaux.

Selon la quantité d'informations, les coûts liés à Cloud Monitoring peuvent être importants. À comprendre votre utilisation du service et ses coûts, consultez Optimisation des coûts: opérations cloud

Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente.

Pour corriger ce résultat, procédez comme suit :

Créer une métrique

1. Accédez à la page Métriques basées sur les journaux de la console Google Cloud.

   Accéder aux métriques basées sur les journaux

2. Cliquez sur Créer la métrique.

3. Sous Type de métrique, sélectionnez Compteur.

4. Sous Détails :

   1. Définissez un nom de métrique de journal.
   2. Ajoutez une description.
   3. Définissez le champ Unités sur 1.

5. Sous Sélection du filtre, copiez et collez le texte suivant dans la zone Créer un filtre, en remplaçant le texte existant si nécessaire :

     resource.type="iam_role"
     AND (protoPayload.methodName="google.iam.admin.v1.CreateRole"
     OR protoPayload.methodName="google.iam.admin.v1.DeleteRole"
     OR protoPayload.methodName="google.iam.admin.v1.UpdateRole")

6. Cliquez sur Créer la métrique. Un message de confirmation s'affiche.

Créer une règle d'alerte

1. Dans la console Google Cloud, accédez à la page Métriques basées sur les journaux.

   Accéder à la page Métriques basées sur les journaux

   Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Logging.

2. Sous la section Métriques définies par l'utilisateur, sélectionnez la métrique que vous avez créée dans la section précédente.

3. Cliquez sur Plus more_vert, puis sur Créer une alerte à partir de la métrique.

   La boîte de dialogue Nouvelle condition s'affiche, avec les options de métrique et de transformation de données préremplies.

4. Cliquez sur Suivant.
   1. Vérifiez les paramètres préremplis. Vous voudrez peut-être modifier le champ Valeur du seuil.
   2. Cliquez sur Nom de la condition, puis saisissez un nom pour la condition.
5. Cliquez sur Suivant.

6. Pour ajouter des notifications à votre règle d'alerte, cliquez sur Canaux de notification. Dans la boîte de dialogue, sélectionnez un ou plusieurs canaux de notification dans le menu, puis cliquez sur OK.

   Pour recevoir une notification lorsque des incidents sont ouverts ou fermés, cochez Envoyer une notification lors de la clôture de l'incident Par défaut, les notifications ne sont envoyées d'incidents sont ouverts.

7. (Facultatif) Mettez à jour la durée de fermeture automatique de l'incident. Ce champ détermine à quel moment Monitoring ferme les incidents en l'absence de données de métriques.
8. Facultatif : Cliquez sur Documentation, puis ajoutez les informations à inclure dans le message de notification.
9. Cliquez sur Nom de l'alerte et saisissez un nom pour la règle d'alerte.
10. Cliquez sur Créer une règle.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Dataproc CMEK disabled

Nom de la catégorie dans l'API : DATAPROC_CMEK_DISABLED

Un cluster Dataproc a été créé sans chiffrement CMEK de configuration. Avec les CMEK, les clés que vous créez et gérez dans Cloud Key Management Service que Google Cloud utilise pour chiffrer vos données. Vous bénéficiez ainsi de contrôler l'accès à vos données.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Cluster Dataproc dans la console Google Cloud.

   Accéder aux clusters Dataproc

2. Sélectionnez votre projet, puis cliquez sur Créer un cluster.

3. Dans la section Gérer la sécurité, cliquez sur Chiffrement, puis sélectionnez Clé gérée par le client.

4. Sélectionnez une clé gérée par le client dans la liste.

   Si vous ne disposez pas d'une clé gérée par le client, vous devez en créer une et l'utiliser. Pour plus plus d'informations, consultez la page Clés de chiffrement gérées par le client.

5. Assurez-vous que la clé KMS sélectionnée possède la CryptoKey Cloud KMS Chiffreur/Déchiffreur rôle attribué au compte de service du cluster Dataproc ("serviceAccount:service-project_number@compute-system.iam.gserviceaccount.com").

6. Une fois le cluster créé, migrez toutes vos charges de travail de l'ancien cluster vers le nouveau.

7. Accédez à "Clusters Dataproc" et sélectionnez votre projet.

8. Sélectionnez l'ancien cluster et cliquez sur delete Supprimer le cluster.

9. Répétez toutes les étapes ci-dessus pour les autres clusters Dataproc disponibles. dans le projet sélectionné.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Dataproc image outdated

Nom de la catégorie dans l'API : DATAPROC_IMAGE_OUTDATED

Un cluster Dataproc a été créé en utilisant une version d'image Dataproc affectée par les failles de sécurité de l'utilitaire Apache Log4j 2 (CVE-2021-44228 et CVE-2021-45046).

Ce détecteur découvre les failles en vérifiant si le champ softwareConfig.imageVersion de la propriété config d'un objet Cluster comporte l'une des versions concernées suivantes :

• Versions d'image antérieures à 1.3.95.
• Versions d'images mineures antérieures à 1.4.77, 1.5.53 et 2.0.27.

Le numéro de version d'une image Dataproc personnalisée peut être remplacé manuellement. Étudions les cas de figure suivants :

• Vous pouvez modifier la version d'une image personnalisée affectée pour qu'elle semble ne pas être affectée. Dans ce cas, le détecteur ne fournit aucun résultat.
• Vous pouvez remplacer le numéro de version d'une image personnalisée non affectée par celui d'une version connue pour présenter la faille. Dans ce cas, ce détecteur fournit un faux positif. Pour supprimer de tels faux positifs, vous pouvez les ignorer.

Pour corriger ce résultat, recréez et mettez à jour le cluster concerné.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Dataset CMEK disabled

Nom de la catégorie dans l'API : DATASET_CMEK_DISABLED

Un ensemble de données BigQuery n'est pas configuré pour utiliser une clé de chiffrement gérée par le client par défaut (CMEK).

Avec CMEK, les clés que vous créez et gérez dans Cloud KMS encapsulent les clés utilisées par Google Cloud pour chiffrer vos données, ce qui vous permet de mieux contrôler l'accès à vos données. Pour en savoir plus, consultez la page Protéger des données avec des clés Cloud KMS.

Pour corriger ce résultat, procédez comme suit :

Vous ne pouvez pas basculer une table en place entre les chiffrements par défaut et le chiffrement CMEK. Pour définir une clé CMEK par défaut avec laquelle chiffrer toutes les nouvelles tables de l'ensemble de données, suivez les instructions de la section Définir une clé par défaut de l'ensemble de données.

Définir une clé par défaut ne rechiffre pas rétroactivement les tables actuelles de l'ensemble de données avec une nouvelle clé. Pour utiliser CMEK pour les données existantes, procédez comme suit :

1. Créez un ensemble de données.
2. Définissez une clé CMEK par défaut sur l'ensemble de données que vous avez créé.
3. Pour copier des tables dans l'ensemble de données compatible avec CMEK, suivez les instructions de la section Copier une table.
4. Une fois les données copiées, supprimer les ensembles de données d'origine.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Default network

Nom de la catégorie dans l'API : DEFAULT_NETWORK

Le réseau par défaut existe dans un projet.

Les réseaux par défaut créent automatiquement des règles de pare-feu et des configurations réseau qui peuvent ne pas être sécurisées. Pour en savoir plus, consultez la section Réseau par défaut.

Pour les activations du niveau Premium de Security Command Center au niveau du projet, ce résultat n'est disponible que si le niveau Standard est activé dans le l'organisation parente.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Réseaux VPC de Google Cloud Console.

   Accéder aux réseaux VPC

2. Dans la liste des réseaux, cliquez sur le nom du réseau par défaut.

3. Sur la page Détails du réseau VPC, cliquez sur delete Supprimer le VPC. Réseau.

4. Pour créer un réseau avec des règles de pare-feu personnalisées, consultez la page Créer des réseaux.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Default service account used

Nom de la catégorie dans l'API : DEFAULT_SERVICE_ACCOUNT_USED

Une instance Compute Engine est configurée pour utiliser le compte de service par défaut.

Le compte de service Compute Engine par défaut dispose du rôle d'éditeur sur le projet, ce qui permet un accès en lecture et en écriture à la plupart des services Google Cloud. Pour vous protéger des élévations de privilèges et des accès non autorisés, n'utilisez pas le compte de service Compute Engine par défaut. À la place, créez un compte de service et ne lui accorder que les autorisations requises par votre instance. Lue Contrôle des accès pour plus d'informations sur les rôles et autorisations.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Instances de VM de la console Google Cloud.

   Accéder à la page "Instances de VM"

2. Sélectionnez l'instance associée au résultat de Security Health Analytics.

3. Sur la page Détails de l'instance page qui s'affiche, cliquez sur stop Arrêter.

4. Une fois l'instance arrêtée, cliquez sur edit Modifier.

5. Dans la section Compte de service, sélectionnez un compte de service différent du compte de service Compute Engine par défaut. Vous devrez peut-être d'abord créer un nouveau compte de service. Pour plus d'informations sur les rôles et les autorisations IAM, consultez la page Contrôle des accès.

6. Cliquez sur Enregistrer. La nouvelle configuration s'affiche sur la page Détails de l'instance.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Disk CMEK disabled

Nom de la catégorie dans l'API : DISK_CMEK_DISABLED

Les disques de cette VM ne sont pas chiffrés avec des clés de chiffrement gérées par le client.

Avec CMEK, les clés que vous créez et gérez dans Cloud KMS encapsulent les clés utilisées par Google Cloud pour chiffrer vos données, ce qui vous permet de mieux contrôler l'accès à vos données. Pour en savoir plus, consultez la page Protéger des ressources avec des clés Cloud KMS.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Disques Compute Engine dans la console Google Cloud.

   Accéder à la page Disques Compute Engine

2. Dans la liste des disques, cliquez sur le nom du disque indiqué dans le résultat.

3. Sur la page Gérer le disque, cliquez sur delete Supprimer.

4. Pour créer un disque avec CMEK activé, consultez la section Chiffrer un nouveau disque persistant avec vos propres clés. CMEK entraîne des coûts supplémentaires liés à Cloud KMS.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Disk CSEK disabled

Nom de la catégorie dans l'API : DISK_CSEK_DISABLED

Les disques de cette VM ne sont pas chiffrés avec des clés de chiffrement fournies par le client (CSEK). Les disques des VM critiques doivent être chiffrés avec des clés CSEK.

Dans ce cas, Compute Engine utilisera votre clé afin de protéger les clés générées par Google pour chiffrer et déchiffrer vos données. Pour en savoir plus, consultez la page Clés de chiffrement fournies par le client. CSEK engendre des coûts supplémentaires liés à Cloud KMS.

Pour corriger ce résultat, procédez comme suit :

Supprimer et créer un disque

Vous pouvez chiffrer les nouveaux disques persistants avec votre propre clé, mais pas les disques persistants existants.

1. Accédez à la page Disques Compute Engine dans la console Google Cloud.

   Accéder à la page Disques Compute Engine

2. Dans la liste des disques, cliquez sur le nom du disque indiqué dans le résultat.

3. Sur la page Gérer le disque, cliquez sur delete Supprimer.

4. Pour créer un disque avec CSEK activé, consultez la section Chiffrer des disques avec des clés de chiffrement fournies par le client.

5. Suivez le reste de la procédure pour activer le détecteur.

Activer le détecteur

1. Accédez à la page Éléments de Security Command Center dans la console Google Cloud.

   Accéder

2. Dans la section Type de ressource du panneau Filtres rapides, sélectionnez compute.Disk.

   Si compute.Disk ne s'affiche pas, cliquez sur Afficher plus, saisissez Disk dans le champ de recherche, puis cliquez sur Appliquer.

   Le panneau Results (Résultats) est mis à jour pour n'afficher que les instances des Type de ressource compute.Disk.

3. Dans la colonne Nom à afficher, cochez la case nom du disque que vous souhaitez utiliser avec la CSEK, puis cliquez sur Définir des marques de sécurité

4. Dans la boîte de dialogue, cliquez sur Ajouter une marque.

5. Dans le champ key, saisissez enforce_customer_supplied_disk_encryption_keys et, dans le champ valeur, saisissez true.

6. Cliquez sur Enregistrer.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

DNS logging disabled

Nom de la catégorie dans l'API : DNS_LOGGING_DISABLED

La surveillance des journaux Cloud DNS offre une visibilité sur les noms DNS demandés par les clients dans le réseau VPC. Ces journaux peuvent être surveillés pour détecter les anomalies de noms de domaine et évalués selon les renseignements sur les menaces. Nous vous recommandons d'activer la journalisation DNS pour les réseaux VPC.

Selon la quantité d'informations, les coûts de journalisation liés à Cloud DNS peuvent être importants. Pour comprendre votre utilisation du service et son coût, consultez la section Tarifs de Google Cloud Observability : Cloud Logging.

Pour les activations du niveau Premium de Security Command Center au niveau du projet, ce résultat n'est disponible que si le niveau Standard est activé dans le l'organisation parente.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Réseaux VPC de la console Google Cloud.

   Accéder aux réseaux VPC

2. Dans la liste des réseaux, cliquez sur le nom du réseau VPC.

3. Créez une règle de serveur (s'il n'en existe pas) ou modifiez une règle existante :

   • Si le réseau ne dispose pas de règle de serveur DNS, procédez comme suit :

     1. Cliquez sur edit Modifier.
     2. Dans le champ Règle de serveur DNS, cliquez sur Créer une règle de serveur.
     3. Indiquez le nom de la nouvelle règle du serveur.
     4. Définissez Journaux sur Activé.
     5. Cliquez sur Enregistrer.

   • Si le réseau dispose d'une règle de serveur DNS, procédez comme suit :

     1. Dans le champ Règle de serveur DNS, cliquez sur le nom de la règle DNS.
     2. Cliquez sur edit Modifier la règle.
     3. Définissez Journaux sur Activé.
     4. Cliquez sur Enregistrer.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

DNSSEC disabled

Nom de la catégorie dans l'API : DNSSEC_DISABLED

Les extensions de sécurité du système de noms de domaine (DNSSEC, Domain Name System Security Extensions) sont désactivées pour les zones Cloud DNS.

DNSSEC valide les réponses DNS et atténue les risques, tels que le piratage DNS et les attaques de type "MITM" (Man-in-the-middle), en signant de manière cryptographique les enregistrements DNS. Vous devez activer DNSSEC. Pour en savoir plus, consultez la page Présentation des extensions de sécurité DNS (DNSSEC).

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Cloud DNS dans la console Google Cloud.

   Accéder aux réseaux Cloud DNS

2. Recherchez la ligne contenant la zone DNS indiquée dans le résultat.

3. Cliquez sur le paramètre DNSSEC sur la ligne puis, sous DNSSEC, sélectionnez Activée.

4. Lisez la boîte de dialogue qui s'affiche. Si vous êtes satisfait, cliquez sur Activer.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Egress deny rule not set

Nom de la catégorie dans l'API : EGRESS_DENY_RULE_NOT_SET

Une règle de refus du trafic sortant n'est pas définie sur un pare-feu.

Un pare-feu qui refuse tout trafic réseau de sortie empêche toutes les connexions réseau sortantes indésirables, à l'exception des connexions explicitement autorisées. Pour plus d'informations, consultez la section Cas de sortie.

Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Pare-feu de la console Google Cloud.

   Accéder à la page Pare-feu

2. Cliquez sur Create Firewall Rule (Créer une règle de pare-feu).

3. Attribuez un nom et, éventuellement, une description au pare-feu.

4. Pour le champ Sens du trafic, sélectionnez Sortie.

5. Sous Action en cas de correspondance, sélectionnez Refuser.

6. Dans le menu déroulant Cibles, sélectionnez Toutes les instances du réseau.

7. Dans le menu déroulant Filtre de destination, sélectionnez Plages d'adresses IP, puis saisissez 0.0.0.0/0 dans la zone Plages d'adresses IP de destination.

8. Sous Protocoles et ports, sélectionnez Tout refuser.

9. Cliquez sur Désactiver la règle puis, sous Application, sélectionnez Activée.

10. Cliquez sur Créer.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Essential contacts not configured

Nom de la catégorie dans l'API : ESSENTIAL_CONTACTS_NOT_CONFIGURED

Votre organisation n'a désigné aucune personne ni aucun groupe pour recevoir les notifications de Google Cloud à propos d'événements importants tels que des attaques, des failles les incidents liés aux données dans votre organisation Google Cloud. Nous vous recommandons désigner comme contact essentiel une ou plusieurs personnes ou groupes de votre l'organisation de l'entreprise.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Contacts essentiels dans console Google Cloud.

   Accéder aux contacts essentiels

2. Assurez-vous que l'organisation apparaît dans le sélecteur de ressources en haut de la page. Le sélecteur de ressources vous indique quel projet, dossier ou organisation pour laquelle vous gérez actuellement les contacts.

3. Cliquez sur +Ajouter un contact. Le panneau Ajouter un contact s'ouvre.

4. Dans les champs Adresse e-mail et Confirmer l'adresse e-mail, saisissez l'adresse e-mail. du contact.

5. Dans la section Catégories de notifications, sélectionnez les catégories de notification que vous souhaitez envoyer au contact de communication. Assurez-vous que les adresses e-mail appropriées sont configurées pour chacune des catégories de notification suivantes :

   1. Juridique
   2. Sécurité
   3. Suspension
   4. Technique

6. Cliquez sur Enregistrer.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Firewall not monitored

Nom de la catégorie dans l'API : FIREWALL_NOT_MONITORED

Les statistiques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées aux règles de pare-feu de réseau VPC.

La surveillance des événements de création et de mise à jour des règles de pare-feu vous donne le détail des modifications d'accès au réseau, et vous permet de détecter rapidement les activités suspectes. Pour en savoir plus, consultez la présentation des métriques basées sur les journaux.

Selon la quantité d'informations, les coûts liés à Cloud Monitoring peuvent être importants. À comprendre votre utilisation du service et ses coûts, consultez Optimisation des coûts: opérations cloud

Pour les activations du niveau Premium de Security Command Center au niveau du projet, ce résultat n'est disponible que si le niveau Standard est activé dans le l'organisation parente.

Pour corriger ce résultat, procédez comme suit :

Créer une métrique

1. Accédez à la page Métriques basées sur les journaux de la console Google Cloud.

   Accéder aux métriques basées sur les journaux

2. Cliquez sur Créer la métrique.

3. Sous Type de métrique, sélectionnez Compteur.

4. Sous Détails :

   1. Définissez un nom de métrique de journal.
   2. Ajoutez une description.
   3. Définissez le champ Unités sur 1.

5. Sous Sélection du filtre, copiez et collez le texte suivant dans la zone Créer un filtre, en remplaçant le texte existant si nécessaire :

     resource.type="gce_firewall_rule"
     AND (protoPayload.methodName:"compute.firewalls.insert"
     OR protoPayload.methodName:"compute.firewalls.patch"
     OR protoPayload.methodName:"compute.firewalls.delete")

6. Cliquez sur Créer la métrique. Un message de confirmation s'affiche.

Créer une règle d'alerte

1. Dans la console Google Cloud, accédez à la page Métriques basées sur les journaux.

   Accéder à la page Métriques basées sur les journaux

   Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Logging.

2. Sous la section Métriques définies par l'utilisateur, sélectionnez la métrique que vous avez créée dans la section précédente.

3. Cliquez sur Plus more_vert, puis sur Créer une alerte à partir de la métrique.

   La boîte de dialogue Nouvelle condition s'affiche, avec les options de métrique et de transformation de données préremplies.

4. Cliquez sur Suivant.
   1. Vérifiez les paramètres préremplis. Vous voudrez peut-être modifier le champ Valeur du seuil.
   2. Cliquez sur Nom de la condition, puis saisissez un nom pour la condition.
5. Cliquez sur Suivant.

6. Pour ajouter des notifications à votre règle d'alerte, cliquez sur Canaux de notification. Dans la boîte de dialogue, sélectionnez un ou plusieurs canaux de notification dans le menu, puis cliquez sur OK.

   Pour recevoir une notification lorsque des incidents sont ouverts ou fermés, cochez Envoyer une notification lors de la clôture de l'incident Par défaut, les notifications ne sont envoyées d'incidents sont ouverts.

7. (Facultatif) Mettez à jour la durée de fermeture automatique de l'incident. Ce champ détermine à quel moment Monitoring ferme les incidents en l'absence de données de métriques.
8. Facultatif : Cliquez sur Documentation, puis ajoutez les informations à inclure dans le message de notification.
9. Cliquez sur Nom de l'alerte et saisissez un nom pour la règle d'alerte.
10. Cliquez sur Créer une règle.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Firewall rule logging disabled

Nom de la catégorie dans l'API : FIREWALL_RULE_LOGGING_DISABLED

La journalisation des règles de pare-feu est désactivée.

La journalisation des règles de pare-feu vous permet de réaliser des audits, des vérifications et des analyses sur les effets de vos règles de pare-feu. Cela peut vous être utile pour auditer l'accès au réseau ou pour identifier le plus tôt possible les cas d'utilisation non approuvée du réseau. Le coût des journaux peut être important. Pour en savoir plus sur la journalisation des règles de pare-feu et son coût, consultez la page Utiliser la journalisation des règles de pare-feu.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Pare-feu de la console Google Cloud.

   Accéder à la page "Pare-feu"

2. Dans la liste des règles de pare-feu, cliquez sur le nom de la règle de pare-feu souhaitée.

3. Cliquez sur edit Modifier.

4. Sous Journaux, sélectionnez Activé.

5. Cliquez sur Enregistrer.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Flow logs disabled

Nom de la catégorie dans l'API : FLOW_LOGS_DISABLED

Les journaux de flux sont désactivés dans un sous-réseau VPC.

Les journaux de flux VPC enregistrent un échantillon des flux réseau envoyés et reçus par les instances de VM. Ces journaux peuvent être utilisés pour la surveillance et l'investigation des réseaux, l'analyse de la sécurité en temps réel et l'optimisation des dépenses. Pour en savoir plus sur les journaux de flux et leur coût, consultez la page Utiliser des journaux de flux VPC.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Réseaux VPC dans Google Cloud Console.

   Accéder aux réseaux VPC

2. Dans la liste des réseaux, cliquez sur le nom du réseau souhaité.

3. Sur la page Détails du réseau VPC, cliquez sur l'onglet Sous-réseaux.

4. Dans la liste des sous-réseaux, cliquez sur le nom du sous-réseau indiqué dans le résultat.

5. Sur la page Détails du sous-réseau, cliquez sur edit Modifier.

6. Sous Journaux de flux, sélectionnez Activé.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Flow logs settings not recommended

Nom de la catégorie dans l'API : VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Dans la configuration d'un sous-réseau dans un réseau VPC, le service de journaux de flux VPC désactivée ou n'est pas configurée conformément aux recommandations du benchmark CIS 1.3. Les journaux de flux VPC enregistrent un échantillon des flux réseau envoyés et reçus par les instances de VM, lequel peut être utilisé pour détecter des menaces.

Pour en savoir plus sur les journaux de flux VPC et leur coût, consultez la section Utiliser Journaux de flux VPC

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Réseaux VPC dans Google Cloud Console.

   Accéder aux réseaux VPC

2. Dans la liste des réseaux, cliquez sur le nom du réseau.

3. Sur la page Détails du réseau VPC, cliquez sur l'onglet Sous-réseaux.

4. Dans la liste des sous-réseaux, cliquez sur le nom du sous-réseau indiqué dans le résultat.

5. Sur la page Détails du sous-réseau, cliquez sur edit Modifier.

6. Sous Journaux de flux, sélectionnez Activé.

   1. Vous pouvez aussi modifier la configuration des journaux en cliquant sur le bouton Configurer les journaux pour développer l'onglet. Les benchmarks CIS recommandent les paramètres suivants:
      1. Définissez l'intervalle d'agrégation sur 5 secondes.
      2. Dans la case Champs supplémentaires, cochez les Option Inclure les métadonnées.
      3. Définissez le taux d'échantillonnage sur 100%.
      4. Cliquez sur le bouton ENREGISTRER.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Full API access

Nom de la catégorie dans l'API : FULL_API_ACCESS

Une instance Compute Engine est configurée pour utiliser le compte de service par défaut avec un accès complet à toutes les API Google Cloud.

Une instance configurée avec le compte de service par défaut et l'accès à l'API défini sur Autoriser l'accès complet à l'ensemble des API Cloud peut permettre aux utilisateurs d'effectuer des opérations ou des appels d'API pour lesquels ils ne disposent pas autorisations. Pour plus d'informations, consultez la section Compte de service Compute Engine par défaut.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Instances de VM de la console Google Cloud.

   Accéder à la page Instances de VM

2. Dans la liste des instances, cliquez sur le nom de l'instance dans le résultat.

3. Si l'instance est en cours d'exécution, cliquez sur stop Arrêter.

4. Lorsque l'instance est arrêtée, cliquez sur edit Modifier.

5. Dans la section Sécurité et accès, sous Comptes de service : sélectionnez Compte de service Compute Engine par défaut.

6. Sous Niveaux d'accès, sélectionnez Autoriser l'accès par défaut ou Définissez l'accès pour chaque API. Cela limite les API que tout processus ou charge de travail qui utilise le compte de service de VM par défaut.

7. Si vous avez sélectionné Définir l'accès pour chaque API, procédez comme suit:

   • Désactivez Cloud Platform en le définissant sur Aucun.
   • Activer les API spécifiques requises par le compte de service de VM par défaut y accéder.

8. Cliquez sur Enregistrer.

9. Cliquez sur play_arrow Démarrer pour démarrer l'instance.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

HTTP load balancer

Nom de la catégorie dans l'API : HTTP_LOAD_BALANCER

Une instance utilise un équilibreur de charge configuré pour utiliser un proxy HTTP au lieu d'un proxy HTTPS comme cible.

Pour protéger l'intégrité de vos données et empêcher des intrus de falsifier vos communications, configurez vos équilibreurs de charge HTTP(S) de manière à autoriser uniquement le trafic HTTPS. Pour plus d'informations, consultez la page Présentation de l'équilibrage de charge HTTP(S) externe.

Pour les activations du niveau Premium de Security Command Center au niveau du projet, ce résultat n'est disponible que si le niveau Standard est activé dans le l'organisation parente.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Proxies cibles de la console Google Cloud.

   Accéder aux proxys cibles

2. Dans la liste des proxys cibles, cliquez sur le nom du proxy cible dans le résultat.

3. Cliquez sur le lien dans la section Mappage d'URL.

4. Cliquez sur edit Modifier.

5. Cliquez sur Frontend configuration (Configuration du frontend).

6. Supprimez toutes les configurations IP frontend et de port qui autorisent le trafic HTTP et créez-en de nouvelles qui autorisent le trafic HTTPS.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Instance OS login disabled

Nom de la catégorie dans l'API : INSTANCE_OS_LOGIN_DISABLED

OS Login est désactivé sur cette instance Compute Engine.

OS Login active la gestion centralisée des clés SSH avec IAM et désactive les configurations de clés SSH basées sur les métadonnées dans toutes les instances d'un projet. Découvrez comment Configurer OS Login.

Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Instances de VM de la console Google Cloud.

   Accéder à la page Instances de VM

2. Dans la liste des instances, cliquez sur le nom de l'instance dans le résultat.

3. Sur la page Détails de l'instance qui s'affiche, cliquez sur stop Arrêter.

4. Une fois l'instance arrêtée, cliquez sur edit Modifier.

5. Dans la section Métadonnées personnalisées, assurez-vous que l'élément associé à la clé enable-oslogin a la valeur TRUE.

6. Cliquez sur Enregistrer.

7. Cliquez sur play_arrow Démarrer pour démarrer l'instance.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Integrity monitoring disabled

Nom de la catégorie dans l'API : INTEGRITY_MONITORING_DISABLED

La surveillance de l'intégrité est désactivée sur un cluster GKE.

La surveillance de l'intégrité vous permet de contrôler et de valider l'intégrité, au démarrage de l'environnement d'exécution, de vos nœuds protégés avec Cloud Monitoring. Vous pouvez ainsi réagir aux échecs d'intégrité et empêcher le déploiement de nœuds compromis dans le cluster.

Pour corriger ce résultat, procédez comme suit :

Une fois qu'un nœud est provisionné, il ne peut pas être mis à jour pour activer la surveillance de l'intégrité. Vous devez créer un pool de nœuds dans lequel la surveillance de l'intégrité est activée.

1. Accédez à la page des Clusters Kubernetes GKE dans la console Google Cloud.

   Accéder à la page "Clusters Kubernetes"

2. Cliquez sur le nom du cluster dans le résultat.

3. Cliquez sur Aouter un pool de nœuds.

4. Dans l'onglet Sécurité, assurez-vous que l'option Activer la surveillance de l'intégrité est activée.

5. Cliquez sur Create (Créer).

6. Pour migrer vos charges de travail des pools de nœuds non conformes existants vers les nouveaux pools de nœuds, consultez la page Migrer des charges de travail vers différents types de machines.

7. Une fois les charges de travail déplacées, supprimez le pool de nœuds non conforme d'origine.

   1. Sur la page du cluster Kubernetes, dans le menu Pools de nœuds, cliquez sur le nom du pool que vous voulez supprimer.
   2. Cliquez sur Supprimer le pool de nœuds.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Intranode visibility disabled

Nom de la catégorie dans l'API : INTRANODE_VISIBILITY_DISABLED

La visibilité intranœud est désactivée pour un cluster GKE.

L'activation de la visibilité intranœud rend le trafic intranœud entre pods visible par la structure de mise en réseau. Grâce à cette fonctionnalité, vous pouvez utiliser la journalisation de flux VPC ou d'autres fonctionnalités de VPC pour surveiller ou contrôler le trafic intranœud. Pour obtenir les journaux, vous devez activer les journaux de flux VPC dans le sous-réseau sélectionné. Pour plus d'informations, consultez la page Utiliser des journaux de flux VPC.

Pour corriger ce résultat, procédez comme suit :

Une fois qu'un nœud est provisionné, il ne peut pas être mis à jour pour activer la surveillance de l'intégrité. Vous devez créer un pool de nœuds dans lequel la surveillance de l'intégrité est activée.

1. Accédez à la page des Clusters Kubernetes GKE dans la console Google Cloud.

   Accéder à la page "Clusters Kubernetes"

2. Dans la section Mise en réseau, cliquez sur edit Modifier la visibilité intranœud dans la ligne Visibilité intranœud.

   Si la configuration du cluster a récemment été modifiée, il est possible que le bouton "Modifier" ne soit pas disponible. Si vous ne pouvez pas modifier les paramètres du cluster, attendez quelques minutes, puis réessayez.

3. Dans la boîte de dialogue, sélectionnez Activer la visibilité intranœud.

4. Cliquez sur Save Changes (Enregistrer les modifications).

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

IP alias disabled

Nom de la catégorie dans l'API : IP_ALIAS_DISABLED

Un cluster GKE a été créé avec des plages d'adresses IP d'alias désactivées.

Lorsque vous activez les plages d'adresses IP d'alias, les clusters GKE allouent des adresses IP provenant d'un bloc CIDR connu, pour que votre cluster soit évolutif et interagisse plus facilement avec les produits et entités Google Cloud. Pour plus d'informations, consultez la page Présentation des plages d'adresses IP d'alias.

Pour corriger ce résultat, procédez comme suit :

Il n'est pas possible de migrer un cluster existant pour qu'il utilise des adresses IP d'alias. Pour créer un nouveau cluster avec les adresses IP d'alias activées, procédez comme suit :

1. Accédez à la page des Clusters Kubernetes GKE dans la console Google Cloud.

   Accéder à la page "Clusters Kubernetes"

2. Cliquez sur Create (Créer).

3. Dans le volet de navigation, sous Cluster, cliquez sur Réseau.

4. Sous Options de mise en réseau avancées, sélectionnez Activer le routage du trafic de VPC natif (utilisation d'une adresse IP d'alias).

5. Cliquez sur Create (Créer).

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

IP forwarding enabled

Nom de la catégorie dans l'API : IP_FORWARDING_ENABLED

Le transfert IP est activé sur les instances Compute Engine.

Évitez les pertes de données et la divulgation d'informations en désactivant le transfert IP des paquets de données pour vos VM.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Instances de VM de la console Google Cloud.

   Accéder à la page Instances de VM

2. Dans la liste des instances, cochez la case située à côté du nom de l'instance dans le résultat.

3. Cliquez sur delete Supprimer.

4. Sélectionnez Créer une instance pour créer une instance afin de remplacer celle que vous avez supprimée.

5. Pour vous assurer que le transfert IP est désactivé, cliquez sur Gestion, disques, réseau, clés SSH, puis sur Réseau.

6. Sous Interfaces réseau, cliquez sur edit Modifier.

7. Sous Transfert IP, dans le menu déroulant, assurez-vous que l'option Désactivé est sélectionnée.

8. Renseignez les autres paramètres d'instance, puis cliquez sur Créer. Pour en savoir plus, consultez la page Créer et démarrer une instance de VM.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

KMS key not rotated

Nom de la catégorie dans l'API : KMS_KEY_NOT_ROTATED

La rotation n'est pas configurée sur une clé de chiffrement Cloud KMS.

La rotation de vos clés de chiffrement offre régulièrement une protection en cas de compromission d'une clé et limite le nombre de messages chiffrés disponibles à la cryptanalyse pour une version de clé spécifique. Pour en savoir plus, consultez la page Rotation des clés.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Clés Cloud KMS de la console Google Cloud.

   Accéder à la page Clés Cloud KMS

2. Cliquez sur le nom du trousseau de clés indiqué dans le résultat.

3. Cliquez sur le nom de la clé indiquée dans le résultat.

4. Cliquez sur Modifier la période de rotation.

5. Définissez la période de rotation sur 90 jours au maximum.

6. Cliquez sur Enregistrer.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

KMS project has owner

Nom de la catégorie dans l'API : KMS_PROJECT_HAS_OWNER

Un utilisateur dispose des autorisations roles/Owner sur un projet disposant de clés cryptographiques. Pour en savoir plus, consultez la section Autorisations et rôles.

Pour les activations du niveau Premium de Security Command Center au niveau du projet, ce résultat n'est disponible que si le niveau Standard est activé dans le l'organisation parente.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page "IAM" de Google Cloud Console.

   Accéder à la page IAM

2. Si nécessaire, sélectionnez le projet dans les résultats.

3. Pour chaque compte principal auquel le rôle Propriétaire a été attribué :

   1. Cliquez sur edit Modifier.
   2. Dans le panneau Modifier les autorisations, à côté du rôle Propriétaire, cliquez sur delete Supprimer.
   3. Cliquez sur Enregistrer.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

KMS public key

Nom de la catégorie dans l'API : KMS_PUBLIC_KEY

Une clé Cryptokey Cloud KMS ou un trousseau de clés Cloud KMS est public et accessible à tous les internautes. Pour en savoir plus, consultez la page Utiliser IAM avec Cloud KMS.

Pour corriger ce résultat, s'il est lié à une clé Cryptokey :

1. Accédez à la page des clés de chiffrement dans la console Google Cloud.

   Cryptographic Keys

2. Sous Nom, sélectionnez le trousseau de clés contenant la clé cryptographique associée au résultat de Security Health Analytics.

3. Sur la page Informations sur le trousseau qui s'affiche, cochez la case en regard de la clé cryptographique.

4. Si le PANNEAU D'INFORMATIONS n'apparaît pas, cliquez sur le bouton AFFICHER LE PANNEAU D'INFORMATIONS.

5. Utilisez la zone de filtre qui précède Rôle / Compte principal pour rechercher les comptes principaux allUsers et allAuthenticatedUsers, puis cliquez sur delete Supprimer pour supprimer l'accès de ces comptes principaux.

Pour corriger ce résultat, s'il est lié à un trousseau de clés :

1. Accédez à la page des clés de chiffrement dans la console Google Cloud.

   Cryptographic Keys

2. Recherchez la ligne contenant le trousseau de clés dans le résultat, puis cochez la case correspondante.

3. Si le PANNEAU D'INFORMATIONS n'apparaît pas, cliquez sur le bouton AFFICHER LE PANNEAU D'INFORMATIONS.

4. Utilisez la zone de filtre qui précède Rôle / Compte principal pour rechercher les comptes principaux allUsers et allAuthenticatedUsers, puis cliquez sur delete Supprimer pour supprimer l'accès de ces comptes principaux.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

KMS role separation

Nom de la catégorie dans l'API : KMS_ROLE_SEPARATION

Ce résultat n'est pas disponible pour les activations au niveau du projet.

Plusieurs autorisations Cloud KMS sont attribuées à un ou plusieurs comptes principaux. Nous vous recommandons de ne pas attribuer simultanément l'autorisation Administrateur Cloud KMS avec d'autres autorisations Cloud KMS. Pour en savoir plus, consultez la section Autorisations et rôles.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page "IAM" de Google Cloud Console.

   Accéder à IAM

2. Pour chaque compte principal répertorié dans le résultat, procédez comme suit :

   1. Pour vérifier si le rôle a été hérité d'un dossier ou d'une ressource d'organisation, consultez la colonne Héritage. Si la colonne contient un lien vers une ressource parente, cliquez sur ce lien pour accéder à la page IAM de la ressource parente.
   2. Cliquez sur edit Modifier à côté d'un compte principal.
   3. Pour supprimer les autorisations, cliquez sur delete Supprimer à côté de Administrateur Cloud KMS. Si vous souhaitez supprimer toutes les autorisations cliquez sur Supprimer à côté de toutes les autres autorisations.

3. Cliquez sur Enregistrer.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Legacy authorization enabled

Nom de la catégorie dans l'API : LEGACY_AUTHORIZATION_ENABLED

L'ancienne autorisation est activée sur les clusters GKE.

Dans Kubernetes, le contrôle des accès basé sur les rôles permet de définir des rôles avec des règles contenant un ensemble d'autorisations, et d'accorder des autorisations au niveau du cluster et de l'espace de noms. Ce mécanisme renforce la sécurité en garantissant que les utilisateurs n'ont accès qu'à des ressources spécifiques. Envisagez de désactiver l'ancien contrôle des accès basé sur les attributs (ABAC).

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page des Clusters Kubernetes GKE dans la console Google Cloud.

   Accéder à la page "Clusters Kubernetes"

2. Sélectionnez le cluster répertorié dans le résultat de Security Health Analytics.

3. Cliquez sur edit Modifier.

   Si la configuration du cluster a récemment été modifiée, il est possible que le bouton "Modifier" ne soit pas disponible. Si vous ne pouvez pas modifier les paramètres du cluster, attendez quelques minutes, puis réessayez.

4. Dans la liste déroulante Ancienne autorisation, sélectionnez Désactivée.

5. Cliquez sur Enregistrer.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Legacy metadata enabled

Nom de la catégorie dans l'API : LEGACY_METADATA_ENABLED

Les anciennes métadonnées sont activées sur les clusters GKE.

Le serveur de métadonnées d'instance de Compute Engine expose les anciens points de terminaison /0.1/ et /v1beta1/ qui n'appliquent pas les en-têtes de requête de métadonnées. Il s'agit d'une fonctionnalité des API /v1/ qui rend plus difficile la récupération de métadonnées d'instance par un éventuel pirate informatique. Sauf indication contraire, nous vous recommandons de désactiver ces anciennes API /0.1/ et /v1beta1/.

Pour en savoir plus, consultez la section Désactiver les anciennes API de métadonnées et effectuer une migration.

Pour corriger ce résultat, procédez comme suit :

Vous ne pouvez désactiver les anciennes API de métadonnées que lorsque vous créez un cluster ou lorsque vous ajoutez un nouveau pool de nœuds à un cluster existant. Pour mettre à jour un cluster existant afin de désactiver les anciennes API de métadonnées, consultez la section Migrer des charges de travail vers différents types de machines.

read_more En savoir plus sur les éléments et les paramètres d'analyse compatibles de ce type de résultat.

Legacy network

Nom de la catégorie dans l'API : LEGACY_NETWORK

Un ancien réseau existe dans un projet.

Les anciens réseaux ne sont pas recommandés, car de nombreuses nouvelles fonctionnalités de sécurité Google Cloud ne sont pas compatibles avec les anciens réseaux. Utilisez plutôt les réseaux VPC. Pour en savoir plus, consultez la section Anciens réseaux.

Pour les activations du niveau Premium de Security Command Center au niveau du projet, ce résultat n'est disponible que si le niveau Standard est activé dans le l'organisation parente.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Réseaux VPC dans Google Cloud Console.

   Accéder aux réseaux VPC

2. Pour créer un réseau non hérité, cliquez sur Créer un réseau.

3. Revenez à la page VPC networks (Réseaux VPC).

4. Dans la liste des réseaux, cliquez sur legacy_network.

5. Sur la page Détails du réseau VPC, cliquez sur delete Supprimer le VPC. Réseau.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Load balancer logging disabled

Nom de la catégorie dans l'API : LOAD_BALANCER_LOGGING_DISABLED

La journalisation est désactivée pour le service de backend dans un équilibreur de charge.

L'activation de la journalisation pour un équilibreur de charge vous permet d'afficher le trafic réseau HTTP(S) pour vos applications Web. Pour en savoir plus, consultez Équilibreur de charge.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Cloud Load Balancing console Google Cloud.

   Accéder à Cloud Load Balancing

2. Cliquez sur le nom de votre équilibreur de charge.

3. Cliquez sur edit Modifier.

4. Cliquez sur Configuration du backend.

5. Sur la page Configuration du backend, cliquez sur edit Modifier.

6. Dans la section Journalisation, sélectionnez Activer la journalisation et choisissez l'option le taux d'échantillonnage de votre projet.

7. Pour terminer la modification du service de backend, cliquez sur Mettre à jour.

8. Pour terminer la modification de l'équilibreur de charge, cliquez sur Mettre à jour.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Locked retention policy not set

Nom de la catégorie dans l'API : LOCKED_RETENTION_POLICY_NOT_SET

Une règle de conservation verrouillée n'est pas définie pour les journaux.

Une règle de conservation verrouillée empêche d'écraser des journaux et de supprimer le bucket de journaux. Pour en savoir plus, consultez la page Bucket Verrouiller.

Pour les activations du niveau Premium de Security Command Center au niveau du projet, ce résultat n'est disponible que si le niveau Standard est activé dans le l'organisation parente.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Navigateur de stockage de la console Google Cloud.

   Accéder au navigateur Cloud Storage

2. Sélectionnez le bucket répertorié dans le résultat de Security Health Analytics.

3. Sur la page Informations sur le bucket, cliquez sur l'onglet Autorisations.

4. Si aucune règle de conservation n'a été définie, cliquez sur Définir une règle de conservation.

5. Indiquez une durée de conservation.

6. Cliquez sur Enregistrer. La règle de conservation s'affiche dans l'onglet Conservation.

7. Cliquez sur Verrouiller pour vous assurer que la durée de conservation n'est pas raccourcie ni supprimée.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Log not exported

Nom de la catégorie dans l'API : LOG_NOT_EXPORTED

Aucun récepteur de journaux approprié n'est configuré pour une ressource.

Cloud Logging vous aide à trouver rapidement la cause des problèmes dans votre système et vos applications. Toutefois, la plupart des journaux ne sont conservés par défaut que pendant 30 jours. Exportez des copies de toutes les entrées de journal pour prolonger la période de stockage. Pour en savoir plus, consultez la section Présentation des exportations de journaux.

Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Routeur de journaux de la console Google Cloud.

   Accéder au Routeur de journaux

2. Cliquez sur Créer un récepteur.

3. Pour exporter tous les journaux, laissez les filtres d'inclusion et d'exclusion vides.

4. Cliquez sur Créer un récepteur.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Master authorized networks disabled

Nom de la catégorie dans l'API : MASTER_AUTHORIZED_NETWORKS_DISABLED

Les réseaux autorisés du plan de contrôle ne sont pas activés sur les clusters GKE.

Les réseaux autorisés du plan de contrôle améliorent la sécurité de votre cluster de conteneurs en empêchant des adresses IP spécifiées d'accéder au plan de contrôle du cluster. Pour en savoir plus, consultez la section Ajouter des réseaux autorisés pour l'accès au plan de contrôle.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page des Clusters Kubernetes GKE dans la console Google Cloud.

   Accéder à la page "Clusters Kubernetes"

2. Sélectionnez le cluster répertorié dans le résultat de Security Health Analytics.

3. Cliquez sur edit Modifier.

   Si la configuration du cluster a récemment été modifiée, il est possible que le bouton "Modifier" ne soit pas disponible. Si vous ne pouvez pas modifier les paramètres du cluster, attendez quelques minutes, puis réessayez.

4. Dans la liste déroulante Réseaux autorisés pour le plan de contrôle, sélectionnez Activés.

5. Cliquez sur Add authorized network (Ajouter un réseau autorisé).

6. Spécifiez les réseaux autorisés que vous souhaitez utiliser.

7. Cliquez sur Enregistrer.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

MFA not enforced

Nom de la catégorie dans l'API : MFA_NOT_ENFORCED

Ce résultat n'est pas disponible pour les activations au niveau du projet.

L'authentification multifacteur, plus précisément la validation en deux étapes, est désactivée pour certains utilisateurs de votre organisation.

Vous pouvez utiliser l'authentification multifacteur pour protéger les comptes contre les accès non autorisés. C'est l'outil le plus important pour protéger votre organisation en cas d'identifiants de connexion compromis. Pour en savoir plus, consultez la page Protéger votre entreprise avec la validation en deux étapes.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Console d'administration de la console Google Cloud.

   Accéder à la console d'administration

2. Appliquez la validation en deux étapes pour toutes les unités organisationnelles.

Supprimer les résultats de ce type

Pour supprimer les résultats de ce type, définissez une règle Ignorer qui coupe automatiquement le son les résultats futurs de ce type. Pour en savoir plus, consultez Ignorez des résultats dans Security Command Center.

Bien qu'il ne s'agisse pas d'une méthode recommandée pour supprimer les résultats, vous pouvez également ajouter des marques de sécurité dédiées aux ressources, de sorte que les détecteurs Security Health Analytics les résultats pour ces éléments.

• Pour empêcher la réactivation de ce résultat, ajoutez la marque de sécurité allow_mfa_not_enforced avec la valeur true à l'élément.
• Pour ignorer les violations potentielles pour des unités organisationnelles spécifiques, ajoutez la marque de sécurité excluded_orgunits à l'élément avec une liste de chemins d'accès des unités organisationnelles séparés par des virgules dans le champ valeur. Exemple : excluded_orgunits:/people/vendors/vendorA,/people/contractors/contractorA.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Network not monitored

Nom de la catégorie dans l'API : NETWORK_NOT_MONITORED

Les statistiques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées au réseau VPC.

Pour détecter les modifications incorrectes ou non autorisées apportées à la configuration réseau, surveillez les modifications du réseau VPC. Pour en savoir plus, consultez la présentation des métriques basées sur les journaux.

Selon la quantité d'informations, les coûts liés à Cloud Monitoring peuvent être importants. À comprendre votre utilisation du service et ses coûts, consultez Optimisation des coûts: opérations cloud

Pour les activations du niveau Premium de Security Command Center au niveau du projet, ce résultat n'est disponible que si le niveau Standard est activé dans le l'organisation parente.

Pour corriger ce résultat, procédez comme suit :

Créer une métrique

1. Accédez à la page Métriques basées sur les journaux de la console Google Cloud.

   Accéder aux métriques basées sur les journaux

2. Cliquez sur Créer la métrique.

3. Sous Type de métrique, sélectionnez Compteur.

4. Sous Détails :

   1. Définissez un nom de métrique de journal.
   2. Ajoutez une description.
   3. Définissez le champ Unités sur 1.

5. Sous Sélection du filtre, copiez et collez le texte suivant dans la zone Créer un filtre, en remplaçant le texte existant si nécessaire :

     resource.type="gce_network"
     AND (protoPayload.methodName:"compute.networks.insert"
     OR protoPayload.methodName:"compute.networks.patch"
     OR protoPayload.methodName:"compute.networks.delete"
     OR protoPayload.methodName:"compute.networks.removePeering"
     OR protoPayload.methodName:"compute.networks.addPeering")

6. Cliquez sur Créer la métrique. Un message de confirmation s'affiche.

Créer une règle d'alerte

1. Dans la console Google Cloud, accédez à la page Métriques basées sur les journaux.

   Accéder à la page Métriques basées sur les journaux

   Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Logging.

2. Sous la section Métriques définies par l'utilisateur, sélectionnez la métrique que vous avez créée dans la section précédente.

3. Cliquez sur Plus more_vert, puis sur Créer une alerte à partir de la métrique.

   La boîte de dialogue Nouvelle condition s'affiche, avec les options de métrique et de transformation de données préremplies.

4. Cliquez sur Suivant.
   1. Vérifiez les paramètres préremplis. Vous voudrez peut-être modifier le champ Valeur du seuil.
   2. Cliquez sur Nom de la condition, puis saisissez un nom pour la condition.
5. Cliquez sur Suivant.

6. Pour ajouter des notifications à votre règle d'alerte, cliquez sur Canaux de notification. Dans la boîte de dialogue, sélectionnez un ou plusieurs canaux de notification dans le menu, puis cliquez sur OK.

   Pour recevoir une notification lorsque des incidents sont ouverts ou fermés, cochez Envoyer une notification lors de la clôture de l'incident Par défaut, les notifications ne sont envoyées d'incidents sont ouverts.

7. (Facultatif) Mettez à jour la durée de fermeture automatique de l'incident. Ce champ détermine à quel moment Monitoring ferme les incidents en l'absence de données de métriques.
8. Facultatif : Cliquez sur Documentation, puis ajoutez les informations à inclure dans le message de notification.
9. Cliquez sur Nom de l'alerte et saisissez un nom pour la règle d'alerte.
10. Cliquez sur Créer une règle.

read_more En savoir plus sur les éléments et les paramètres d'analyse compatibles de ce type de résultat.

Network policy disabled

Nom de la catégorie dans l'API : NETWORK_POLICY_DISABLED

La stratégie de réseau est désactivée sur les clusters GKE.

La communication entre les pods est ouverte par défaut. Une communication ouverte permet aux pods de se connecter directement aux nœuds, avec ou sans traduction d'adresse réseau. Une ressource NetworkPolicy est semblable à un pare-feu au niveau du pod qui restreint les connexions entre les pods, sauf si la ressource NetworkPolicy autorise explicitement la connexion. Découvrez comment définir une règle de réseau.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page des Clusters Kubernetes GKE dans la console Google Cloud.

   Accéder à la page "Clusters Kubernetes"

2. Cliquez sur le nom du cluster répertorié dans le résultat de Security Health Analytics.

3. Sous Mise en réseau, sur la ligne Règle de réseau Kubernetes pour Calico, cliquez sur edit Modifier.

   Si la configuration du cluster a récemment été modifiée, il est possible que le bouton "Modifier" ne soit pas disponible. Si vous ne pouvez pas modifier les paramètres du cluster, attendez quelques minutes, puis réessayez.

4. Dans la boîte de dialogue, sélectionnez Activer la règle de réseau Kubernetes pour Calico pour le plan de contrôle. Activez la règle de réseau Kubernetes pour Calico pour les nœuds.

5. Cliquez sur Save Changes (Enregistrer les modifications).

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Nodepool boot CMEK disabled

Nom de la catégorie dans l'API : NODEPOOL_BOOT_CMEK_DISABLED

Les disques de démarrage de ce pool de nœuds ne sont pas chiffrés avec des clés de chiffrement gérées par le client (CMEK). La fonctionnalité CMEK permet à l'utilisateur de configurer les clés de chiffrement par défaut pour les disques de démarrage d'un pool de nœuds.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page des Clusters Kubernetes GKE dans la console Google Cloud.

   Accéder à la page "Clusters Kubernetes"

2. Dans la liste des clusters, cliquez sur le nom du cluster dans le résultat.

3. Cliquez sur l'onglet Nœuds.

4. Pour chaque pool de nœuds default-pool, cliquez sur delete Supprimer.

5. Lorsque vous êtes invité à confirmer votre choix, cliquez sur Supprimer.

6. Pour créer des pools de nœuds à l'aide de CMEK, consultez la page Utiliser des clés de chiffrement gérées par le client (CMEK). CMEK entraîne des coûts supplémentaires liés à Cloud KMS.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Nodepool secure boot disabled

Nom de la catégorie dans l'API : NODEPOOL_SECURE_BOOT_DISABLED

Le démarrage sécurisé est désactivé pour un cluster GKE.

Activez le démarrage sécurisé pour les nœuds GKE protégés afin de valider les signatures numériques des composants de démarrage des nœuds. Pour plus d'informations, consultez la section Démarrage sécurisé.

Pour corriger ce résultat, procédez comme suit :

Une fois un pool de nœuds provisionné, il ne peut plus être mis à jour pour activer le démarrage sécurisé. Vous devez créer un pool de nœuds avec le démarrage sécurisé activé.

1. Accédez à la page des Clusters Kubernetes GKE dans la console Google Cloud.

   Accéder à la page "Clusters Kubernetes"

2. Cliquez sur le nom du cluster dans le résultat.

3. Cliquez sur Aouter un pool de nœuds.

4. Dans le menu Pools de nœuds, procédez comme suit :

   1. Cliquez sur le nom du nouveau pool de nœuds pour développer l'onglet.
   2. Sélectionnez Sécurité puis, sous Options protégées, sélectionnez Activer le démarrage sécurisé.
   3. Cliquez sur Create (Créer).
   4. Pour migrer vos charges de travail des pools de nœuds non conformes existants vers les nouveaux pools de nœuds, consultez la page Migrer des charges de travail vers différents types de machines.
   5. Une fois les charges de travail déplacées, supprimez le pool de nœuds non conforme d'origine.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Non org IAM member

Nom de la catégorie dans l'API : NON_ORG_IAM_MEMBER

Un utilisateur externe à votre organisation ou à votre projet dispose d'autorisations IAM sur un projet ou organisation. Découvrez les autorisations IAM.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page "IAM" de Google Cloud Console.

   Accéder à IAM

2. Cochez les cases correspondant aux utilisateurs externes à votre organisation ou à votre projet.

3. Cliquez sur Supprimer.

read_more En savoir plus sur les éléments et les paramètres d'analyse compatibles de ce type de résultat.

Object versioning disabled

Nom de la catégorie dans l'API : OBJECT_VERSIONING_DISABLED

La gestion des versions d'objets n'est pas activée sur un bucket de stockage dans lequel les récepteurs sont configurés.

Pour permettre la récupération des objets supprimés ou écrasés, Cloud Storage propose la fonctionnalité de gestion des versions d'objets. Activez la gestion des versions d'objets pour éviter que vos données Cloud Storage ne soient accidentellement écrasées ou supprimées. Découvrez comment Activer la gestion des versions d'objets.

Pour les activations du niveau Premium de Security Command Center au niveau du projet, ce résultat n'est disponible que si le niveau Standard est activé dans le l'organisation parente.

Pour corriger ce résultat, utilisez l'indicateur --versioning dans une gcloud storage buckets update avec la valeur appropriée:

    gcloud storage buckets update gs://finding.assetDisplayName --versioning

Remplacez finding.assetDisplayName par le nom du bucket concerné.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Open Cassandra port

Nom de la catégorie dans l'API : OPEN_CASSANDRA_PORT

Les règles de pare-feu autorisant toute adresse IP à se connecter aux ports Cassandra peuvent exposer vos services Cassandra aux attaques. Pour en savoir plus, consultez la page Présentation des règles de pare-feu VPC.

Les ports de service Cassandra sont les suivants :

• TCP - 7000, 7001, 7199, 8888, 9042, 9160, 61620, 61621

Ce résultat est généré pour les règles de pare-feu vulnérables, même si vous désactivez intentionnellement les règles. Les résultats actifs des règles de pare-feu désactivées vous avertissent des configurations non sécurisées qui autoriseront le trafic indésirable si elles sont activées.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Pare-feu de la console Google Cloud.

   Accéder à la page "Pare-feu"

2. Dans la liste des règles de pare-feu, cliquez sur le nom de la règle de pare-feu dans le résultat.

3. Cliquez sur edit Modifier.

4. Sous Plages d'adresses IP sources, supprimez 0.0.0.0/0.

5. Ajoutez des adresses IP ou des plages d'adresses IP spécifiques pour permettre les connexions à l'instance à partir de ces adresses

6. Ajoutez les protocoles et ports spécifiques que vous souhaitez ouvrir sur votre instance.

7. Cliquez sur Enregistrer.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Open ciscosecure websm port

Nom de la catégorie dans l'API : OPEN_CISCOSECURE_WEBSM_PORT

Les règles de pare-feu autorisant toute adresse IP à se connecter aux ports CiscoSecure/WebSM peuvent exposer vos services CiscoSecure/WebSM à des pirates informatiques. Pour en savoir plus, consultez la page Présentation des règles de pare-feu VPC.

Les ports de service CiscoSecure/WebSM sont les suivants :

• TCP - 9090

Ce résultat est généré pour les règles de pare-feu vulnérables, même si vous désactivez intentionnellement les règles. Les résultats actifs des règles de pare-feu désactivées vous avertissent des configurations non sécurisées qui autoriseront le trafic indésirable si elles sont activées.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Pare-feu de la console Google Cloud.

   Accéder à la page "Pare-feu"

2. Dans la liste des règles de pare-feu, cliquez sur le nom de la règle de pare-feu dans le résultat.

3. Cliquez sur edit Modifier.

4. Sous Plages d'adresses IP sources, supprimez 0.0.0.0/0.

5. Ajoutez des adresses IP ou des plages d'adresses IP spécifiques pour permettre les connexions à l'instance à partir de ces adresses

6. Ajoutez les protocoles et ports spécifiques que vous souhaitez ouvrir sur votre instance.

7. Cliquez sur Enregistrer.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Open directory services port

Nom de la catégorie dans l'API : OPEN_DIRECTORY_SERVICES_PORT

Les règles de pare-feu autorisant toute adresse IP à se connecter aux ports d'annuaire risquent d'exposer vos services d'annuaire aux attaques. Pour en savoir plus, consultez la page Présentation des règles de pare-feu VPC.

Les ports du service d'annuaire sont les suivants :

• TCP - 445
• UDP - 445

Ce résultat est généré pour les règles de pare-feu vulnérables, même si vous désactivez intentionnellement les règles. Les résultats actifs des règles de pare-feu désactivées vous avertissent des configurations non sécurisées qui autoriseront le trafic indésirable si elles sont activées.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Pare-feu de la console Google Cloud.

   Accéder à la page "Pare-feu"

2. Dans la liste des règles de pare-feu, cliquez sur le nom de la règle de pare-feu dans le résultat.

3. Cliquez sur edit Modifier.

4. Sous Plages d'adresses IP sources, supprimez 0.0.0.0/0.

5. Ajoutez des adresses IP ou des plages d'adresses IP spécifiques pour permettre les connexions à l'instance à partir de ces adresses

6. Ajoutez les protocoles et ports spécifiques que vous souhaitez ouvrir sur votre instance.

7. Cliquez sur Enregistrer.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Open DNS port

Nom de la catégorie dans l'API : OPEN_DNS_PORT

Les règles de pare-feu autorisant toute adresse IP à se connecter aux ports DNS peuvent exposer vos services DNS aux attaques. Pour en savoir plus, consultez la page Présentation des règles de pare-feu VPC.

Les ports de service DNS sont les suivants :

• TCP - 53
• UDP - 53

Ce résultat est généré pour les règles de pare-feu vulnérables, même si vous désactivez intentionnellement les règles. Les résultats actifs des règles de pare-feu désactivées vous avertissent des configurations non sécurisées qui autoriseront le trafic indésirable si elles sont activées.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Pare-feu de la console Google Cloud.

   Accéder à la page "Pare-feu"

2. Dans la liste des règles de pare-feu, cliquez sur le nom de la règle de pare-feu dans le résultat.

3. Cliquez sur edit Modifier.

4. Sous Plages d'adresses IP sources, supprimez 0.0.0.0/0.

5. Ajoutez des adresses IP ou des plages d'adresses IP spécifiques pour permettre les connexions à l'instance à partir de ces adresses

6. Ajoutez les protocoles et ports spécifiques que vous souhaitez ouvrir sur votre instance.

7. Cliquez sur Enregistrer.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Open Elasticsearch port

Nom de la catégorie dans l'API : OPEN_ELASTICSEARCH_PORT

Les règles de pare-feu autorisant toute adresse IP à se connecter aux ports Elasticsearch peuvent exposer vos services Elasticsearch aux attaques. Pour en savoir plus, consultez la page Présentation des règles de pare-feu VPC.

Les ports du service Elasticsearch sont les suivants :

• TCP - 9200, 9300

Ce résultat est généré pour les règles de pare-feu vulnérables, même si vous désactivez intentionnellement les règles. Les résultats actifs des règles de pare-feu désactivées vous avertissent des configurations non sécurisées qui autoriseront le trafic indésirable si elles sont activées.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Pare-feu de la console Google Cloud.

   Accéder à la page "Pare-feu"

2. Dans la liste des règles de pare-feu, cliquez sur le nom de la règle de pare-feu dans le résultat.

3. Cliquez sur edit Modifier.

4. Sous Plages d'adresses IP sources, supprimez 0.0.0.0/0.

5. Ajoutez des adresses IP ou des plages d'adresses IP spécifiques pour permettre les connexions à l'instance à partir de ces adresses

6. Ajoutez les protocoles et ports spécifiques que vous souhaitez ouvrir sur votre instance.

7. Cliquez sur Enregistrer.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Open firewall

Nom de la catégorie dans l'API : OPEN_FIREWALL

Les règles de pare-feu qui autorisent les connexions à partir de toutes les adresses IP (telles que 0.0.0.0/0) ou de tous les ports peuvent exposer inutilement les ressources à des attaques d'origine imprévue. Ces règles doivent être supprimées ou appliquées de façon explicite aux plages d'adresses IP sources ou aux ports prévus. Par exemple, dans les applications destinées à être publiques, envisagez de limiter les ports autorisés à ceux nécessaires à l'application, comme 80 et 443. Si votre application doit autoriser les connexions à partir de tous les ports ou adresses IP, vous pouvez ajouter l'élément à une liste d'autorisation. En savoir plus sur la mise à jour des règles de pare-feu.

Ce résultat est généré pour les règles de pare-feu vulnérables, même si vous désactivez intentionnellement les règles. Les résultats actifs des règles de pare-feu désactivées vous avertissent des configurations non sécurisées qui autoriseront le trafic indésirable si elles sont activées.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Règles de pare-feu de la console Google Cloud.

   Accéder aux règles de pare-feu

2. Cliquez sur la règle de pare-feu répertoriée dans le résultat de Security Health Analytics, puis sur edit Modifier.

3. Sous Plages d'adresses IP sources, modifiez les valeurs de d'adresse IP pour restreindre la plage d'adresses IP autorisées.

4. Dans la section Protocoles et ports, sélectionnez Protocoles et ports spécifiés, sélectionnez les protocoles autorisés et saisissez les ports autorisés.

5. Cliquez sur Enregistrer.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Open FTP port

Nom de la catégorie dans l'API : OPEN_FTP_PORT

Les règles de pare-feu autorisant toute adresse IP à se connecter aux ports FTP peuvent exposer vos services FTP aux attaques. Pour en savoir plus, consultez la page Présentation des règles de pare-feu VPC.

Les ports de service FTP sont les suivants :

• TCP - 21

Ce résultat est généré pour les règles de pare-feu vulnérables, même si vous désactivez intentionnellement les règles. Les résultats actifs des règles de pare-feu désactivées vous avertissent des configurations non sécurisées qui autoriseront le trafic indésirable si elles sont activées.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Pare-feu de la console Google Cloud.

   Accéder à la page "Pare-feu"

2. Dans la liste des règles de pare-feu, cliquez sur le nom de la règle de pare-feu dans le résultat.

3. Cliquez sur edit Modifier.

4. Sous Plages d'adresses IP sources, supprimez 0.0.0.0/0.

5. Ajoutez des adresses IP ou des plages d'adresses IP spécifiques pour permettre les connexions à l'instance à partir de ces adresses

6. Ajoutez les protocoles et ports spécifiques que vous souhaitez ouvrir sur votre instance.

7. Cliquez sur Enregistrer.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Open group IAM member

Nom de la catégorie dans l'API : OPEN_GROUP_IAM_MEMBER

Un ou plusieurs comptes principaux ayant accès à une organisation, un projet ou un dossier sont des comptes Google Groupes pouvant être associés sans approbation.

Les clients Google Cloud peuvent utiliser des groupes Google pour gérer les rôles et les autorisations des membres de leur organisation, ou appliquer des règles d'accès à des groupes d'utilisateurs. Au lieu d'attribuer des rôles directement aux membres, les administrateurs peuvent attribuer des rôles et des autorisations à des groupes Google, puis ajouter des membres à des groupes spécifiques. Les membres du groupe héritent de l'ensemble des rôles et des autorisations de ce groupe, ce qui leur permet d'accéder à des ressources et à des services spécifiques.

Si un compte Google Groupes ouvert est utilisé comme compte principal dans une liaison IAM, n'importe qui peut hériter du rôle associé en rejoignant le groupe directement ou indirectement (via un sous-groupe). Nous vous recommandons de révoquer les rôles des groupes ouverts ou de limiter l'accès à ces groupes.

Pour corriger ce problème, effectuez l'une des procédures suivantes.

Supprimer le groupe de la stratégie IAM

1. Accédez à la page "IAM" de Google Cloud Console.

   Accéder à IAM

2. Si nécessaire, sélectionnez le projet, le dossier ou l'organisation dans le résultat.

3. Révoquez le rôle de chaque groupe ouvert identifié dans le résultat.

Limiter l'accès aux groupes ouverts

1. Connectez-vous à Google Groupes.
2. Mettez à jour les paramètres de chaque groupe ouvert et des sous-groupes associés pour spécifier qui peut rejoindre le groupe et qui doit approuver les demandes.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Open HTTP port

Nom de la catégorie dans l'API : OPEN_HTTP_PORT

Les règles de pare-feu autorisant toute adresse IP à se connecter aux ports HTTP peuvent exposer vos services HTTP aux attaques. Pour en savoir plus, consultez la page Présentation des règles de pare-feu VPC.

Les ports de service HTTP sont les suivants :

• TCP - 80

Ce résultat est généré pour les règles de pare-feu vulnérables, même si vous désactivez intentionnellement les règles. Les résultats actifs des règles de pare-feu désactivées vous avertissent des configurations non sécurisées qui autoriseront le trafic indésirable si elles sont activées.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Pare-feu de la console Google Cloud.

   Accéder à la page "Pare-feu"

2. Dans la liste des règles de pare-feu, cliquez sur le nom de la règle de pare-feu dans le résultat.

3. Cliquez sur edit Modifier.

4. Sous Plages d'adresses IP sources, supprimez 0.0.0.0/0.

5. Ajoutez des adresses IP ou des plages d'adresses IP spécifiques pour permettre les connexions à l'instance à partir de ces adresses

6. Ajoutez les protocoles et ports spécifiques que vous souhaitez ouvrir sur votre instance.

7. Cliquez sur Enregistrer.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Open LDAP port

Nom de la catégorie dans l'API : OPEN_LDAP_PORT

Les règles de pare-feu autorisant toute adresse IP à se connecter aux ports LDAP peuvent exposer vos services LDAP à des pirates informatiques. Pour en savoir plus, consultez la page Présentation des règles de pare-feu VPC.

Les ports de service LDAP sont les suivants :

• TCP - 389, 636
• UDP - 389

Ce résultat est généré pour les règles de pare-feu vulnérables, même si vous désactivez intentionnellement les règles. Les résultats actifs des règles de pare-feu désactivées vous avertissent des configurations non sécurisées qui autoriseront le trafic indésirable si elles sont activées.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Pare-feu de la console Google Cloud.

   Accéder à la page "Pare-feu"

2. Dans la liste des règles de pare-feu, cliquez sur le nom de la règle de pare-feu dans le résultat.

3. Cliquez sur edit Modifier.

4. Sous Plages d'adresses IP sources, supprimez 0.0.0.0/0.

5. Ajoutez des adresses IP ou des plages d'adresses IP spécifiques pour permettre les connexions à l'instance à partir de ces adresses

6. Ajoutez les protocoles et ports spécifiques que vous souhaitez ouvrir sur votre instance.

7. Cliquez sur Enregistrer.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Open Memcached port

Nom de la catégorie dans l'API : OPEN_MEMCACHED_PORT

Les règles de pare-feu autorisant toute adresse IP à se connecter aux ports Memcached peuvent exposer vos services Memcached aux attaques. Pour en savoir plus, consultez la page Présentation des règles de pare-feu VPC.

Les ports de service Memcached sont les suivants :

• TCP - 11211, 11214, 11215
• UDP - 11211, 11214, 11215

Ce résultat est généré pour les règles de pare-feu vulnérables, même si vous désactivez intentionnellement les règles. Les résultats actifs des règles de pare-feu désactivées vous avertissent des configurations non sécurisées qui autoriseront le trafic indésirable si elles sont activées.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Pare-feu de la console Google Cloud.

   Accéder à la page "Pare-feu"

2. Dans la liste des règles de pare-feu, cliquez sur le nom de la règle de pare-feu dans le résultat.

3. Cliquez sur edit Modifier.

4. Sous Plages d'adresses IP sources, supprimez 0.0.0.0/0.

5. Ajoutez des adresses IP ou des plages d'adresses IP spécifiques pour permettre les connexions à l'instance à partir de ces adresses

6. Ajoutez les protocoles et ports spécifiques que vous souhaitez ouvrir sur votre instance.

7. Cliquez sur Enregistrer.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Open MongoDB port

Nom de la catégorie dans l'API : OPEN_MONGODB_PORT

Les règles de pare-feu autorisant toute adresse IP à se connecter aux ports MongoDB peuvent exposer vos services MongoDB aux attaques. Pour en savoir plus, consultez la page Présentation des règles de pare-feu VPC.

Les ports de service MongoDB sont les suivants :

• TCP - 27017, 27018, 27019

Ce résultat est généré pour les règles de pare-feu vulnérables, même si vous désactivez intentionnellement les règles. Les résultats actifs des règles de pare-feu désactivées vous avertissent des configurations non sécurisées qui autoriseront le trafic indésirable si elles sont activées.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Pare-feu de la console Google Cloud.

   Accéder à la page "Pare-feu"

2. Dans la liste des règles de pare-feu, cliquez sur le nom de la règle de pare-feu dans le résultat.

3. Cliquez sur edit Modifier.

4. Sous Plages d'adresses IP sources, supprimez 0.0.0.0/0.

5. Ajoutez des adresses IP ou des plages d'adresses IP spécifiques pour permettre les connexions à l'instance à partir de ces adresses

6. Ajoutez les protocoles et ports spécifiques que vous souhaitez ouvrir sur votre instance.

7. Cliquez sur Enregistrer.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Open MySQL port

Nom de la catégorie dans l'API : OPEN_MYSQL_PORT

Les règles de pare-feu autorisant toute adresse IP à se connecter aux ports MySQL peuvent exposer vos services MySQL aux attaques. Pour en savoir plus, consultez la page Présentation des règles de pare-feu VPC.

Les ports de service MySQL sont les suivants :

• TCP - 3306

Ce résultat est généré pour les règles de pare-feu vulnérables, même si vous désactivez intentionnellement les règles. Les résultats actifs des règles de pare-feu désactivées vous avertissent des configurations non sécurisées qui autoriseront le trafic indésirable si elles sont activées.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Pare-feu de la console Google Cloud.

   Accéder à la page "Pare-feu"

2. Dans la liste des règles de pare-feu, cliquez sur le nom de la règle de pare-feu dans le résultat.

3. Cliquez sur edit Modifier.

4. Sous Plages d'adresses IP sources, supprimez 0.0.0.0/0.

5. Ajoutez des adresses IP ou des plages d'adresses IP spécifiques pour permettre les connexions à l'instance à partir de ces adresses

6. Ajoutez les protocoles et ports spécifiques que vous souhaitez ouvrir sur votre instance.

7. Cliquez sur Enregistrer.

read_more En savoir plus sur les éléments et les paramètres d'analyse compatibles de ce type de résultat.

Open NetBIOS port

Nom de la catégorie dans l'API : `OPEN_NETBIOS_PORT

Les règles de pare-feu autorisant toute adresse IP à se connecter aux ports NetBIOS peuvent exposer vos services NetBIOS aux attaques. Pour en savoir plus, consultez la page Présentation des règles de pare-feu VPC.

Les ports du service NetBIOS sont les suivants :

• TCP - 137, 138, 139
• UDP - 137, 138, 139

Ce résultat est généré pour les règles de pare-feu vulnérables, même si vous désactivez intentionnellement les règles. Les résultats actifs des règles de pare-feu désactivées vous avertissent des configurations non sécurisées qui autoriseront le trafic indésirable si elles sont activées.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Pare-feu de la console Google Cloud.

   Accéder à la page "Pare-feu"

2. Dans la liste des règles de pare-feu, cliquez sur le nom de la règle de pare-feu dans le résultat.

3. Cliquez sur edit Modifier.

4. Sous Plages d'adresses IP sources, supprimez 0.0.0.0/0.

5. Ajoutez des adresses IP ou des plages d'adresses IP spécifiques pour permettre les connexions à l'instance à partir de ces adresses

6. Ajoutez les protocoles et ports spécifiques que vous souhaitez ouvrir sur votre instance.

7. Cliquez sur Enregistrer.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Open OracleDB port

Nom de la catégorie dans l'API : OPEN_ORACLEDB_PORT

Les règles de pare-feu autorisant toute adresse IP à se connecter aux ports OracleDB peuvent exposer vos services OracleDB aux attaques. Pour en savoir plus, consultez la page Présentation des règles de pare-feu VPC.

Les ports de service OracleDB sont les suivants :

• TCP - 1521, 2483, 2484
• UDP - 2483, 2484

Ce résultat est généré pour les règles de pare-feu vulnérables, même si vous désactivez intentionnellement les règles. Les résultats actifs des règles de pare-feu désactivées vous avertissent des configurations non sécurisées qui autoriseront le trafic indésirable si elles sont activées.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Pare-feu de la console Google Cloud.

   Accéder à la page "Pare-feu"

2. Dans la liste des règles de pare-feu, cliquez sur le nom de la règle de pare-feu dans le résultat.

3. Cliquez sur edit Modifier.

4. Sous Plages d'adresses IP sources, supprimez 0.0.0.0/0.

5. Ajoutez des adresses IP ou des plages d'adresses IP spécifiques pour permettre les connexions à l'instance à partir de ces adresses

6. Ajoutez les protocoles et ports spécifiques que vous souhaitez ouvrir sur votre instance.

7. Cliquez sur Enregistrer.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Open POP3 port

Nom de la catégorie dans l'API : OPEN_POP3_PORT

Les règles de pare-feu autorisant toute adresse IP à se connecter aux ports POP3 peuvent exposer vos services POP3 aux attaques. Pour en savoir plus, consultez la page Présentation des règles de pare-feu VPC.

Les ports de service POP3 sont les suivants :

• TCP - 110

Ce résultat est généré pour les règles de pare-feu vulnérables, même si vous désactivez intentionnellement les règles. Les résultats actifs des règles de pare-feu désactivées vous avertissent des configurations non sécurisées qui autoriseront le trafic indésirable si elles sont activées.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Pare-feu de la console Google Cloud.

   Accéder à la page "Pare-feu"

2. Dans la liste des règles de pare-feu, cliquez sur le nom de la règle de pare-feu dans le résultat.

3. Cliquez sur edit Modifier.

4. Sous Plages d'adresses IP sources, supprimez 0.0.0.0/0.

5. Ajoutez des adresses IP ou des plages d'adresses IP spécifiques pour permettre les connexions à l'instance à partir de ces adresses

6. Ajoutez les protocoles et ports spécifiques que vous souhaitez ouvrir sur votre instance.

7. Cliquez sur Enregistrer.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Open PostgreSQL port

Nom de la catégorie dans l'API : OPEN_POSTGRESQL_PORT

Les règles de pare-feu autorisant toute adresse IP à se connecter aux ports PostgreSQL peuvent exposer vos services PostgreSQL aux attaques. Pour en savoir plus, consultez la page Présentation des règles de pare-feu VPC.

Les ports de service PostgreSQL sont les suivants :

• TCP - 5432
• UDP - 5432

Ce résultat est généré pour les règles de pare-feu vulnérables, même si vous désactivez intentionnellement les règles. Les résultats actifs des règles de pare-feu désactivées vous avertissent des configurations non sécurisées qui autoriseront le trafic indésirable si elles sont activées.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Pare-feu de la console Google Cloud.

   Accéder à la page "Pare-feu"

2. Dans la liste des règles de pare-feu, cliquez sur le nom de la règle de pare-feu dans le résultat.

3. Cliquez sur edit Modifier.

4. Sous Plages d'adresses IP sources, supprimez 0.0.0.0/0.

5. Ajoutez des adresses IP ou des plages d'adresses IP spécifiques pour permettre les connexions à l'instance à partir de ces adresses

6. Ajoutez les protocoles et ports spécifiques que vous souhaitez ouvrir sur votre instance.

7. Cliquez sur Enregistrer.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Open RDP port

Nom de la catégorie dans l'API : OPEN_RDP_PORT

Les règles de pare-feu autorisant toute adresse IP à se connecter aux ports RDP peuvent exposer vos services RDP aux attaques. Pour en savoir plus, consultez la page Présentation des règles de pare-feu VPC.

Les ports de service RDP sont les suivants :

• TCP - 3389
• UDP - 3389

Ce résultat est généré pour les règles de pare-feu vulnérables, même si vous désactivez intentionnellement les règles. Les résultats actifs des règles de pare-feu désactivées vous avertissent des configurations non sécurisées qui autoriseront le trafic indésirable si elles sont activées.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Pare-feu de la console Google Cloud.

   Accéder à la page "Pare-feu"

2. Dans la liste des règles de pare-feu, cliquez sur le nom de la règle de pare-feu dans le résultat.

3. Cliquez sur edit Modifier.

4. Sous Plages d'adresses IP sources, supprimez 0.0.0.0/0.

5. Ajoutez des adresses IP ou des plages d'adresses IP spécifiques pour permettre les connexions à l'instance à partir de ces adresses

6. Ajoutez les protocoles et ports spécifiques que vous souhaitez ouvrir sur votre instance.

7. Cliquez sur Enregistrer.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Open Redis port

Nom de la catégorie dans l'API : OPEN_REDIS_PORT

Les règles de pare-feu autorisant toute adresse IP à se connecter aux ports Redis peuvent exposer vos services Redis aux attaques. Pour en savoir plus, consultez la page Présentation des règles de pare-feu VPC.

Les ports de service Redis sont les suivants :

• TCP - 6379

Ce résultat est généré pour les règles de pare-feu vulnérables, même si vous désactivez intentionnellement les règles. Les résultats actifs des règles de pare-feu désactivées vous avertissent des configurations non sécurisées qui autoriseront le trafic indésirable si elles sont activées.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Pare-feu de la console Google Cloud.

   Accéder à la page "Pare-feu"

2. Dans la liste des règles de pare-feu, cliquez sur le nom de la règle de pare-feu dans le résultat.

3. Cliquez sur edit Modifier.

4. Sous Plages d'adresses IP sources, supprimez 0.0.0.0/0.

5. Ajoutez des adresses IP ou des plages d'adresses IP spécifiques pour permettre les connexions à l'instance à partir de ces adresses

6. Ajoutez les protocoles et ports spécifiques que vous souhaitez ouvrir sur votre instance.

7. Cliquez sur Enregistrer.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Open SMTP port

Nom de la catégorie dans l'API : OPEN_SMTP_PORT

Les règles de pare-feu autorisant toute adresse IP à se connecter aux ports SMTP peuvent exposer vos services SMTP aux pirates informatiques. Pour en savoir plus, consultez la page Présentation des règles de pare-feu VPC.

Les ports de service SMTP sont les suivants :

• TCP - 25

Ce résultat est généré pour les règles de pare-feu vulnérables, même si vous désactivez intentionnellement les règles. Les résultats actifs des règles de pare-feu désactivées vous avertissent des configurations non sécurisées qui autoriseront le trafic indésirable si elles sont activées.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Pare-feu de la console Google Cloud.

   Accéder à la page "Pare-feu"

2. Dans la liste des règles de pare-feu, cliquez sur le nom de la règle de pare-feu dans le résultat.

3. Cliquez sur edit Modifier.

4. Sous Plages d'adresses IP sources, supprimez 0.0.0.0/0.

5. Ajoutez des adresses IP ou des plages d'adresses IP spécifiques pour permettre les connexions à l'instance à partir de ces adresses

6. Ajoutez les protocoles et ports spécifiques que vous souhaitez ouvrir sur votre instance.

7. Cliquez sur Enregistrer.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Open SSH port

Nom de la catégorie dans l'API : OPEN_SSH_PORT

Les règles de pare-feu autorisant toute adresse IP à se connecter aux ports SSH peuvent exposer vos services SSH aux attaques. Pour en savoir plus, consultez la page Présentation des règles de pare-feu VPC.

Les ports de service SSH sont les suivants :

• SCTP - 22
• TCP - 22

Ce résultat est généré pour les règles de pare-feu vulnérables, même si vous désactivez intentionnellement les règles. Les résultats actifs des règles de pare-feu désactivées vous avertissent des configurations non sécurisées qui autoriseront le trafic indésirable si elles sont activées.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Pare-feu de la console Google Cloud.

   Accéder à la page "Pare-feu"

2. Dans la liste des règles de pare-feu, cliquez sur le nom de la règle de pare-feu dans le résultat.

3. Cliquez sur edit Modifier.

4. Sous Plages d'adresses IP sources, supprimez 0.0.0.0/0.

5. Ajoutez des adresses IP ou des plages d'adresses IP spécifiques pour permettre les connexions à l'instance à partir de ces adresses

6. Ajoutez les protocoles et ports spécifiques que vous souhaitez ouvrir sur votre instance.

7. Cliquez sur Enregistrer.

read_more En savoir plus sur les éléments et les paramètres d'analyse compatibles de ce type de résultat.

Open Telnet port

Nom de la catégorie dans l'API : OPEN_TELNET_PORT

Les règles de pare-feu autorisant toute adresse IP à se connecter aux ports Telnet peuvent exposer vos services Telnet aux attaques. Pour en savoir plus, consultez la page Présentation des règles de pare-feu VPC.

Les ports de service Telnet sont les suivants :

• TCP - 23

Ce résultat est généré pour les règles de pare-feu vulnérables, même si vous désactivez intentionnellement les règles. Les résultats actifs des règles de pare-feu désactivées vous avertissent des configurations non sécurisées qui autoriseront le trafic indésirable si elles sont activées.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Pare-feu de la console Google Cloud.

   Accéder à la page "Pare-feu"

2. Dans la liste des règles de pare-feu, cliquez sur le nom de la règle de pare-feu dans le résultat.

3. Cliquez sur edit Modifier.

4. Sous Plages d'adresses IP sources, supprimez 0.0.0.0/0.

5. Ajoutez des adresses IP ou des plages d'adresses IP spécifiques pour permettre les connexions à l'instance à partir de ces adresses

6. Ajoutez les protocoles et ports spécifiques que vous souhaitez ouvrir sur votre instance.

7. Cliquez sur Enregistrer.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Org policy Confidential VM policy

Nom de la catégorie dans l'API : ORG_POLICY_CONFIDENTIAL_VM_POLICY

Une ressource Compute Engine n'est pas conforme à la règle d'administration constraints/compute.restrictNonConfidentialComputing. Pour plus d'informations sur cette contrainte de règle d'administration, consultez la section Appliquer des contraintes de règle d'administration.

Le service Confidential VM doit être activé sur cette VM selon les règles définies par votre organisation. Les VM pour lesquelles ce service n'est pas activé n'utilisent pas le chiffrement de la mémoire d'exécution, ce qui les expose à des attaques ciblant cette section de mémoire.

Pour les activations du niveau Premium de Security Command Center au niveau du projet, ce résultat n'est disponible que si le niveau Standard est activé dans le l'organisation parente.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Instances de VM de la console Google Cloud.

   Accéder à la page Instances de VM

2. Dans la liste des instances, cliquez sur le nom de l'instance dans le résultat.

3. Si la VM ne nécessite pas le service Confidential VM, déplacez-la dans un nouveau dossier ou un nouveau projet.

4. Si la VM nécessite une Confidential VM, cliquez sur delete. Supprimer.

5. Pour créer une instance avec Confidential VM activée, consultez la page Démarrage rapide : créer une instance de Confidential VM.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Org policy location restriction

Nom de la catégorie dans l'API : ORG_POLICY_LOCATION_RESTRICTION

La contrainte de règle d'administration gcp.resourceLocations vous permet de limiter la création de ressources aux régions cloud que vous sélectionnez. Pour en savoir plus, consultez la section Restreindre les emplacements de ressources.

Pour les activations du niveau Premium de Security Command Center au niveau du projet, ce résultat n'est disponible que si le niveau Standard est activé dans le l'organisation parente.

Pour corriger ce résultat, procédez comme suit :

Le détecteur ORG_POLICY_LOCATION_RESTRICTION couvre de nombreux types de ressources et les instructions de correction sont différentes pour chaque ressource. L'approche générale pour corriger les violations de localisation est la suivante :

1. Copiez, déplacez ou sauvegardez la ressource hors région ou ses données dans une ressource située dans la région. Lisez la documentation sur les services individuels pour obtenir des instructions sur le déplacement des ressources.
2. Supprimez la ressource d'origine hors région ou ses données.

Cette approche n'est pas possible pour tous les types de ressources. Pour obtenir des conseils, consultez les recommandations personnalisées fournies dans le résultat.

Autres considérations

Lorsque vous corrigez ce résultat, tenez compte des éléments suivants.

Ressources gérées

Le cycle de vie des ressources est parfois géré et contrôlé par d'autres ressources. Par exemple, un groupe d'instances Compute Engine géré crée et détruit des instances Compute Engine conformément à la règle d'autoscaling du groupe d'instances. Si les ressources gérées et de gestion sont couvertes par l'application des emplacements, les deux peuvent être signalées comme ne respectant pas la règle d'administration. La correction des résultats pour les ressources gérées doit être effectuée dans la gestion des ressources pour garantir la stabilité opérationnelle.

Ressources utilisées

Certaines ressources sont utilisées par d'autres ressources. Par exemple, un disque Compute Engine associé à une instance Compute Engine en cours d'exécution est considéré comme utilisé par l'instance. Si la ressource en cours d'utilisation enfreint la règle d'administration de l'emplacement, vous devez vous assurer qu'elle n'est pas utilisée avant de remédier à la violation de l'emplacement.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

OS login disabled

Nom de la catégorie dans l'API : OS_LOGIN_DISABLED

OS Login est désactivé sur cette instance Compute Engine.

OS Login active la gestion centralisée des clés SSH avec IAM et désactive les configurations de clés SSH basées sur les métadonnées dans toutes les instances d'un projet. Découvrez comment Configurer OS Login.

Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Métadonnées de la console Google Cloud.

   Accéder à la page "Métadonnées"

2. Cliquez sur Modifier, puis sur Ajouter un élément.

3. Ajoutez un élément comportant la clé enable-oslogin et la valeur TRUE.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Over privileged account

Nom de la catégorie dans l'API : OVER_PRIVILEGED_ACCOUNT

Ce nœud GKE utilise le nœud de service Compute Engine par défaut, qui dispose d'un accès étendu par défaut et potentiellement de privilèges trop élevés pour exécuter votre cluster GKE.

Pour corriger ce résultat, procédez comme suit :

Suivez les instructions pour Utiliser le principe du moindre privilège pour les comptes de service Google.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Over privileged scopes

Nom de la catégorie dans l'API : OVER_PRIVILEGED_SCOPES

Un compte de service de nœud possède des niveaux d'accès étendus.

Les niveaux d'accès représentent l'ancienne méthode de spécification des autorisations associées à votre instance. Pour réduire le risque d'élévation des privilèges lors d'une attaque, vous devez créer et utiliser un compte de service doté de privilèges minimaux pour exécuter votre cluster GKE.

Pour corriger ce résultat, suivez les instructions de la section Utiliser le principe du moindre privilège pour les comptes de service Google.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Over privileged service account user

Nom de la catégorie dans l'API : OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Un utilisateur possède les rôles iam.serviceAccountUser ou iam.serviceAccountTokenCreator au niveau du projet, du dossier ou de l'organisation, et non pour un compte de service spécifique.

L'attribution de ces rôles à un utilisateur pour un projet, un dossier ou une organisation permet à cet utilisateur d'accéder à tous les comptes de service existants et futurs de ce champ d'application. Cela peut entraîner une élévation involontaire des privilèges. Pour en savoir plus, consultez la section Autorisations des comptes de service.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page "IAM" de Google Cloud Console.

   Accéder à la page IAM

2. Si nécessaire, sélectionnez le projet, le dossier ou l'organisation dans le résultat.

3. Pour chaque compte principal auquel on a attribué roles/iam.serviceAccountUser ou roles/iam.serviceAccountTokenCreator, procédez comme suit :

   1. Cliquez sur edit Modifier.
   2. Dans le panneau Modifier les autorisations, à côté des rôles, cliquez sur delete Supprimer.
   3. Cliquez sur Enregistrer.

4. Suivez ce guide pour autoriser des utilisateurs individuels à emprunter l'identité d'un seul compte de service. Vous devez suivre les instructions du guide pour chaque compte de service pour lequel vous souhaitez autoriser l'emprunt d'identité par les utilisateurs choisis.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Owner not monitored

Nom de la catégorie dans l'API : OWNER_NOT_MONITORED

Les métriques et les alertes de journal ne sont pas configurées pour surveiller les attributions ou les modifications de propriétaire de projet.

Le rôle de propriétaire Cloud IAM dispose du niveau de droits le plus élevé sur un projet. Pour sécuriser vos ressources, configurez des alertes afin d'être averti lorsque de nouveaux propriétaires sont ajoutés ou supprimés. Pour en savoir plus, consultez la présentation des métriques basées sur les journaux.

Selon la quantité d'informations, les coûts liés à Cloud Monitoring peuvent être importants. À comprendre votre utilisation du service et ses coûts, consultez Optimisation des coûts: opérations cloud

Pour les activations du niveau Premium de Security Command Center au niveau du projet, ce résultat n'est disponible que si le niveau Standard est activé dans le l'organisation parente.

Pour corriger ce résultat, procédez comme suit :

Créer une métrique

1. Accédez à la page Métriques basées sur les journaux de la console Google Cloud.

   Accéder aux métriques basées sur les journaux

2. Cliquez sur Créer la métrique.

3. Sous Type de métrique, sélectionnez Compteur.

4. Sous Détails :

   1. Définissez un nom de métrique de journal.
   2. Ajoutez une description.
   3. Définissez le champ Unités sur 1.

5. Sous Sélection du filtre, copiez et collez le texte suivant dans la zone Créer un filtre, en remplaçant le texte existant si nécessaire :

     (protoPayload.serviceName="cloudresourcemanager.googleapis.com")
     AND (ProjectOwnership OR projectOwnerInvitee)
     OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE"
     AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")
     OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD"
     AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")

6. Cliquez sur Créer la métrique. Un message de confirmation s'affiche.

Créer une règle d'alerte

1. Dans la console Google Cloud, accédez à la page Métriques basées sur les journaux.

   Accéder à la page Métriques basées sur les journaux

   Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Logging.

2. Sous la section Métriques définies par l'utilisateur, sélectionnez la métrique que vous avez créée dans la section précédente.

3. Cliquez sur Plus more_vert, puis sur Créer une alerte à partir de la métrique.

   La boîte de dialogue Nouvelle condition s'affiche, avec les options de métrique et de transformation de données préremplies.

4. Cliquez sur Suivant.
   1. Vérifiez les paramètres préremplis. Vous voudrez peut-être modifier le champ Valeur du seuil.
   2. Cliquez sur Nom de la condition, puis saisissez un nom pour la condition.
5. Cliquez sur Suivant.

6. Pour ajouter des notifications à votre règle d'alerte, cliquez sur Canaux de notification. Dans la boîte de dialogue, sélectionnez un ou plusieurs canaux de notification dans le menu, puis cliquez sur OK.

   Pour recevoir une notification lorsque des incidents sont ouverts ou fermés, cochez Envoyer une notification lors de la clôture de l'incident Par défaut, les notifications ne sont envoyées d'incidents sont ouverts.

7. (Facultatif) Mettez à jour la durée de fermeture automatique de l'incident. Ce champ détermine à quel moment Monitoring ferme les incidents en l'absence de données de métriques.
8. Facultatif : Cliquez sur Documentation, puis ajoutez les informations à inclure dans le message de notification.
9. Cliquez sur Nom de l'alerte et saisissez un nom pour la règle d'alerte.
10. Cliquez sur Créer une règle.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Pod security policy disabled

Nom de la catégorie dans l'API : POD_SECURITY_POLICY_DISABLED

Cet objet PodSecurityPolicy est désactivé sur un cluster GKE.

Une stratégie PodSecurityPolicy est une ressource de contrôleur d'admission qui valide les demandes de création et de mise à jour de pods sur un cluster. Les clusters n'acceptent pas les pods qui ne répondent pas aux conditions définies dans PodSecurityPolicy.

Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente.

Pour corriger ce résultat, définissez et autorisez les règles PodSecurityPolicies, puis activez le contrôleur PodSecurityPolicy. Pour obtenir des instructions, consultez la page Utiliser PodSecurityPolicies.

read_more En savoir plus sur les éléments et les paramètres d'analyse compatibles de ce type de résultat.

Primitive roles used

Nom de la catégorie dans l'API : PRIMITIVE_ROLES_USED

Un utilisateur possède l'un des rôles de base IAM suivants : roles/owner, roles/editor ou roles/viewer. Ces rôles sont trop permissifs et ne doivent pas être utilisés. Ils doivent plutôt être attribués par projet.

Pour en savoir plus, consultez la page Comprendre les rôles.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page IAM de la console Google Cloud.

   Accéder à la stratégie IAM

2. Pour chaque utilisateur attribué à un rôle primitif, envisagez plutôt d'utiliser des rôles plus précis.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Private cluster disabled

Nom de la catégorie dans l'API : PRIVATE_CLUSTER_DISABLED

Un cluster GKE possède un cluster privé désactivé.

Les nœuds de clusters privés ne peuvent utiliser que des adresses IP privées. Cette fonctionnalité limite l'accès Internet sortant pour les nœuds. Si un nœud de cluster ne dispose pas d'une adresse IP publique, il n'est pas visible ni exposé sur le réseau Internet public. Vous pouvez toutefois utiliser un équilibreur de charge interne pour acheminer le trafic vers ce nœud. Pour plus d'informations, consultez la section Clusters privés.

Vous ne pouvez pas créer un cluster privé à partir d'un cluster existant. Pour corriger ce résultat, créez un cluster privé :

1. Accédez à la page des Clusters Kubernetes GKE dans la console Google Cloud.

   Accéder à la page "Clusters Kubernetes"

2. Cliquez sur Create Cluster (Créer le cluster).

3. Dans le menu de navigation, sous Cluster, sélectionnez Networking (Mise en réseau).

4. Sélectionnez la case d'option Private cluster (Cluster privé).

5. Sous Options de mise en réseau avancées, cochez la case Activer le routage du trafic de VPC natif (utilisation d'une adresse IP d'alias).

6. Cliquez sur Créer.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Private Google access disabled

Nom de la catégorie dans l'API : PRIVATE_GOOGLE_ACCESS_DISABLED

Il existe des sous-réseaux privés sans accès aux API publiques Google.

L'accès privé à Google permet aux instances de VM n'ayant que des adresses IP internes (privées) d'atteindre les adresses IP publiques des API et des services Google.

Pour plus d'informations, consultez la section Configurer l'accès privé à Google.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Réseaux VPC dans Google Cloud Console.

   Accéder aux réseaux VPC

2. Dans la liste des réseaux, cliquez sur le nom du réseau souhaité.

3. Sur la page Détails du réseau VPC, cliquez sur l'onglet Sous-réseaux.

4. Dans la liste des sous-réseaux, cliquez sur le nom du sous-réseau associé au cluster Kubernetes dans le résultat.

5. Sur la page Détails du sous-réseau, cliquez sur edit Modifier.

6. Dans le champ Accès privé à Google, sélectionnez Activé.

7. Cliquez sur Enregistrer.

8. Pour supprimer les adresses IP publiques (externes) des instances de VM dont le seul trafic externe est destiné aux API Google, consultez la section Annuler l'attribution d'une adresse IP externe statique.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Public bucket ACL

Nom de la catégorie dans l'API : PUBLIC_BUCKET_ACL

Un bucket est public et accessible sur Internet par tous les internautes.

Pour en savoir plus, consultez la page Présentation du contrôle des accès.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Navigateur de stockage de la console Google Cloud.

   Accéder au navigateur Cloud Storage

2. Sélectionnez le bucket répertorié dans le résultat de Security Health Analytics.

3. Sur la page Informations sur le bucket, cliquez sur l'onglet Autorisations.

4. À côté de Afficher par, cliquez sur Rôles.

5. Dans le champ Filtre, recherchez allUsers et allAuthenticatedUsers.

6. Cliquez sur delete Supprimer pour supprimer tous les rôles IAM autorisations accordées à allUsers et allAuthenticatedUsers.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Public Compute image

Nom de la catégorie dans l'API : PUBLIC_COMPUTE_IMAGE

Une image Compute Engine est publique et tous les internautes peuvent y accéder. allUsers représente n'importe quel internaute, tandis que allAuthenticatedUsers représente toute personne authentifiée avec un compte Google. Aucune de ces personnes n'est limitée aux utilisateurs de votre organisation.

Les images Compute Engine peuvent contenir des informations sensibles telles que des clés de chiffrement ou des logiciels sous licence. Ces informations sensibles ne doivent pas être accessibles publiquement. Si vous souhaitez rendre cette image Compute publique, assurez-vous qu'elle ne contient aucune information sensible.

Pour en savoir plus, consultez la page Présentation du contrôle des accès.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Images Compute Engine dans la console Google Cloud.

   Accéder aux images Compute Engine

2. Cochez la case à côté de l'image public-image (Image publique), puis cliquez sur Afficher le panneau d'informations.

3. Dans la zone Filtre, recherchez les membres allUsers et allAuthenticatedUsers.

4. Développez le rôle au sein duquel vous souhaitez supprimer des utilisateurs.

5. Cliquez sur delete Supprimer pour supprimer un utilisateur de ce rôle.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Public dataset

Nom de la catégorie dans l'API : PUBLIC_DATASET

Les ensembles de données BigQuery sont publics et accessibles à tous les internautes. Le membre IAM allUsers représente n'importe quel internaute, tandis qu'allAuthenticatedUsers représente toute personne connectée à un service Google. Aucun de ces membres ne se limite aux utilisateurs de votre organisation.

Pour en savoir plus, consultez la page Contrôler l'accès aux ensembles de données.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Explorateur de la console Google Cloud.

   Accéder à la page "Ensemble de données BigQuery"

2. Dans la liste des ensembles de données, cliquez sur le nom de celui identifié dans le résultat. Le panneau Informations sur l'ensemble de données s'affiche.

3. En haut du panneau Informations sur l'ensemble de données, cliquez sur PARTAGE.

4. Dans le menu déroulant, cliquez sur Autorisations.

5. Dans le panneau Autorisations d'ensemble de données, saisissez allUsers et allAuthenticatedUsers, puis supprimez l'accès pour ces comptes principaux.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Public IP address

Nom de la catégorie dans l'API : PUBLIC_IP_ADDRESS

Une instance Compute Engine possède une adresse IP publique.

Pour réduire la surface d'attaque de votre organisation, évitez d'attribuer des adresses IP publiques à vos VM. Il se peut que les instances arrêtées déclenchent tout de même un résultat de type "adresse IP publique", par exemple si les interfaces réseau sont configurées pour attribuer une adresse IP publique éphémère au démarrage. Assurez-vous que les configurations réseau pour les instances arrêtées n'incluent pas l'accès externe.

Pour en savoir plus, consultez la section Se connecter en toute sécurité aux instances de VM.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Instances de VM de la console Google Cloud.

   Accéder à la page Instances de VM

2. Dans la liste des instances, cochez la case située à côté du nom de l'instance dans le résultat.

3. Cliquez sur edit Modifier.

4. Pour chaque interface sous Interfaces réseau, cliquez sur edit. Modifiez et définissez Adresse IP externe sur Aucune.

5. Cliquez sur OK, puis sur Enregistrer.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Public log bucket

Nom de la catégorie dans l'API : PUBLIC_LOG_BUCKET

Ce résultat n'est pas disponible pour les activations au niveau du projet.

Un bucket de stockage est public et utilisé comme récepteur de journaux, ce qui signifie que n'importe qui sur Internet peut accéder aux journaux stockés dans ce bucket. allUsers représente n'importe quel utilisateur sur Internet, tandis que allAuthenticatedUsers représente toute personne connectée à un service Google. Aucun des deux ne se limite aux utilisateurs de votre organisation.

Pour en savoir plus, consultez la page Présentation du contrôle des accès.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page du navigateur Cloud Storage dans la console Google Cloud.

   Accéder au navigateur Cloud Storage

2. Dans la liste des buckets, cliquez sur le nom du bucket indiqué dans le résultat.

3. Cliquez sur l'onglet Autorisations.

4. Supprimez allUsers et allAuthenticatedUsers de la liste des comptes principaux.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Public SQL instance

Nom de la catégorie dans l'API : PUBLIC_SQL_INSTANCE

Votre instance SQL comprend 0.0.0.0/0 comme réseau autorisé. Cela signifie que des clients IPv4 peuvent traverser le pare-feu du réseau et tenter de se connecter à votre instance, y compris des clients que vous ne souhaitiez pas autoriser. Les clients ont toujours besoin d'identifiants valides pour se connecter à votre instance.

Pour plus d'informations, consultez la section Autoriser avec des réseaux autorisés.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Instances Cloud SQL dans la console Google Cloud.

   Accéder à la page Instances Cloud SQL

2. Sélectionnez l'instance répertoriée dans le résultat de Security Health Analytics.

3. Cliquez sur edit Modifier.

4. Dans le panneau de navigation, cliquez sur Connexions.

5. Sous Réseaux autorisés, supprimez 0.0.0.0/0 et ajoutez des adresses IP ou des plages d'adresses IP spécifiques que vous souhaitez autoriser à se connecter à votre instance.

6. Cliquez sur OK, puis sur Enregistrer.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Pubsub CMEK disabled

Nom de la catégorie dans l'API : PUBSUB_CMEK_DISABLED

Un sujet Pub/Sub n'est pas chiffré avec des clés de chiffrement gérées par le client (CMEK).

Avec CMEK, les clés que vous créez et gérez dans Cloud KMS encapsulent les clés que Google utilise pour chiffrer vos données, vous permettant ainsi de mieux contrôler vos accès.

Pour corriger ce résultat, supprimez le sujet existant et créez-en un autre :

1. Accédez à la page Sujets de Pub/Sub dans la console Google Cloud.

   Accéder aux sujets

2. Si nécessaire, sélectionnez le projet contenant le sujet Pub/Sub.

3. Cochez la case située à côté du sujet répertorié dans le résultat, puis cliquez sur delete Supprimer.

4. Pour créer un sujet Pub/Sub avec CMEK activé, consultez la page Utiliser des clés de chiffrement gérées par le client. CMEK entraîne des coûts supplémentaires liés à Cloud KMS.

5. Publier les résultats ou d'autres données sur le sujet Pub/Sub pour lequel les CMEK sont activés.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Route not monitored

Nom de la catégorie dans l'API : ROUTE_NOT_MONITORED

Les statistiques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées à la route de réseau VPC.

Les routes Google Cloud sont une série de destinations et de sauts qui définissent le chemin du trafic réseau entre une instance de VM et une adresse IP de destination. En surveillant les modifications apportées aux tables de routage, vous pouvez vous assurer que tout le trafic VPC transite par un chemin attendu.

Pour en savoir plus, consultez la présentation des métriques basées sur les journaux.

Selon la quantité d'informations, les coûts liés à Cloud Monitoring peuvent être importants. À comprendre votre utilisation du service et ses coûts, consultez Optimisation des coûts: opérations cloud

Pour les activations du niveau Premium de Security Command Center au niveau du projet, ce résultat n'est disponible que si le niveau Standard est activé dans le l'organisation parente.

Pour corriger ce résultat, procédez comme suit :

Créer une métrique

1. Accédez à la page Métriques basées sur les journaux de la console Google Cloud.

   Accéder aux métriques basées sur les journaux

2. Cliquez sur Créer la métrique.

3. Sous Type de métrique, sélectionnez Compteur.

4. Sous Détails :

   1. Définissez un nom de métrique de journal.
   2. Ajoutez une description.
   3. Définissez le champ Unités sur 1.

5. Sous Sélection du filtre, copiez et collez le texte suivant dans la zone Créer un filtre, en remplaçant le texte existant si nécessaire :

     resource.type="gce_route"
     AND (protoPayload.methodName:"compute.routes.delete"
     OR protoPayload.methodName:"compute.routes.insert")

6. Cliquez sur Créer la métrique. Un message de confirmation s'affiche.

Créer une règle d'alerte

1. Dans la console Google Cloud, accédez à la page Métriques basées sur les journaux.

   Accéder à la page Métriques basées sur les journaux

   Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Logging.

2. Sous la section Métriques définies par l'utilisateur, sélectionnez la métrique que vous avez créée dans la section précédente.

3. Cliquez sur Plus more_vert, puis sur Créer une alerte à partir de la métrique.

   La boîte de dialogue Nouvelle condition s'affiche, avec les options de métrique et de transformation de données préremplies.

4. Cliquez sur Suivant.
   1. Vérifiez les paramètres préremplis. Vous voudrez peut-être modifier le champ Valeur du seuil.
   2. Cliquez sur Nom de la condition, puis saisissez un nom pour la condition.
5. Cliquez sur Suivant.

6. Pour ajouter des notifications à votre règle d'alerte, cliquez sur Canaux de notification. Dans la boîte de dialogue, sélectionnez un ou plusieurs canaux de notification dans le menu, puis cliquez sur OK.

   Pour recevoir une notification lorsque des incidents sont ouverts ou fermés, cochez Envoyer une notification lors de la clôture de l'incident Par défaut, les notifications ne sont envoyées d'incidents sont ouverts.

7. (Facultatif) Mettez à jour la durée de fermeture automatique de l'incident. Ce champ détermine à quel moment Monitoring ferme les incidents en l'absence de données de métriques.
8. Facultatif : Cliquez sur Documentation, puis ajoutez les informations à inclure dans le message de notification.
9. Cliquez sur Nom de l'alerte et saisissez un nom pour la règle d'alerte.
10. Cliquez sur Créer une règle.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Redis role used on org

Nom de la catégorie dans l'API : REDIS_ROLE_USED_ON_ORG

Ce résultat n'est pas disponible pour les activations au niveau du projet.

Un rôle IAM Redis est attribué au niveau de l'organisation ou du dossier.

Les rôles Redis IAM suivants ne doivent être attribués que par projet, et non au niveau de l'organisation ou du dossier :

• roles/redis.admin
• roles/redis.viewer
• roles/redis.editor

Pour en savoir plus, consultez la page Contrôle des accès et autorisations.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page IAM de la console Google Cloud.

   Accéder à la stratégie IAM

2. Supprimez les rôles IAM Redis indiqués dans le résultat et ajoutez-les à chaque projet.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Release channel disabled

Nom de la catégorie dans l'API : RELEASE_CHANNEL_DISABLED

Un cluster GKE n'est pas abonné à une version disponible.

Abonnez-vous à une version disponible pour automatiser les mises à niveau de version sur le cluster GKE. Ces fonctionnalités réduisent également la complexité de la gestion des versions en termes de nombre de fonctionnalités et de niveau de stabilité requis. Pour en savoir plus, consultez la page Versions disponibles.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page des Clusters Kubernetes GKE dans la console Google Cloud.

   Accéder à la page "Clusters Kubernetes"

2. Dans la section Paramètres de base du cluster, cliquez sur edit Mettre à niveau le cluster. version maître sur la ligne Version disponible.

   Si la configuration du cluster a récemment été modifiée, il est possible que le bouton "Modifier" ne soit pas disponible. Si vous ne pouvez pas modifier les paramètres du cluster, attendez quelques minutes, puis réessayez.

3. Dans la boîte de dialogue, sélectionnez Version disponible, puis la version disponible à laquelle vous souhaitez vous abonner.

   Si la version du plan de contrôle de votre cluster ne peut pas être mise à niveau vers une version disponible, cette version peut être désactivée.

4. Cliquez sur Save Changes (Enregistrer les modifications).

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

RSASHA1 for signing

Nom de la catégorie dans l'API : RSASHA1_FOR_SIGNING

RSASHA1 est utilisé pour la signature de clé dans les zones Cloud DNS. L'algorithme utilisé pour la signature des clés ne doit pas être faible.

Pour corriger ce résultat, remplacez l'algorithme par un algorithme recommandé en suivant le guide Utiliser les options de signature avancées.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Service account key not rotated

Nom de la catégorie dans l'API : SERVICE_ACCOUNT_KEY_NOT_ROTATED

Ce résultat n'est pas disponible pour les activations au niveau du projet.

La clé d'un compte de service géré par l'utilisateur n'a pas subi de rotation depuis plus de 90 jours.

En général, les clés de compte de service gérées par l'utilisateur doivent être alternées au moins tous les 90 jours pour garantir que les données ne sont pas accessibles avec une ancienne clé qui aurait été perdue, compromise ou volée. Pour en savoir plus, consultez la page Effectuer une rotation des clés de compte de service pour réduire le risque de sécurité causé par les clés piratées.

Si vous avez généré vous-même la paire de clés publique/privée, stocké la clé privée dans un module de sécurité matérielle (HSM) et importé la clé publique dans Google, vous n'aurez peut-être pas besoin pour effectuer une rotation de la clé tous les 90 jours. Au lieu de cela, vous pouvez alterner la clé si vous pensez qu'elle a peut-être été compromise.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Comptes de service dans la console Google Cloud.

   Accéder à la page "Comptes de service"

2. Si nécessaire, sélectionnez le projet indiqué dans le résultat.

3. Dans la liste des comptes de service, recherchez le compte de service indiqué dans et cliquez sur delete Supprimer. Avant de continuer, déterminez l'impact que la suppression d'un compte de service pourrait avoir sur vos ressources de production.

4. Créez une clé de compte de service pour remplacer la clé supprimée. Pour plus pour en savoir plus, consultez Créer des clés de compte de service

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Service account role separation

Nom de la catégorie dans l'API : SERVICE_ACCOUNT_ROLE_SEPARATION

Ce résultat n'est pas disponible pour les activations au niveau du projet.

Plusieurs autorisations de compte de service ont été attribuées à un ou plusieurs comptes principaux de votre organisation. Aucun compte ne doit disposer simultanément de Administrateur de compte de service et d'autres autorisations de compte de service. Pour en savoir plus sur les comptes de service et les rôles disponibles, consultez la page Comptes de service.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page IAM de la console Google Cloud.

   Accéder à IAM

2. Pour chaque compte principal répertorié dans le résultat, procédez comme suit :

   1. Pour vérifier si le rôle a été hérité d'un dossier ou d'une ressource d'organisation, consultez la colonne Héritage. Si la colonne contient un lien vers une ressource parente, cliquez sur ce lien pour accéder à la page IAM de la ressource parente.
   2. Cliquez sur edit Modifier à côté d'un compte principal.
   3. Pour supprimer les autorisations, cliquez sur delete Supprimer à côté de Administrateur de compte de service. Si vous souhaitez supprimer tous les comptes de service les autorisations, cliquez sur Supprimer à côté de toutes les autres autorisations.

3. Cliquez sur Enregistrer.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Shielded VM disabled

Nom de la catégorie dans l'API : SHIELDED_VM_DISABLED

La VM protégée est désactivée sur cette instance Compute Engine.

Les VM protégées sont des machines virtuelles (VM) hébergées sur Google Cloud Platform, renforcées par un ensemble de paramètres de sécurité conçus pour éliminer les rootkits et les bootkits. Les VM protégées permettent de garantir que le bootloader et le micrologiciel sont signés et validés. En savoir plus sur les VM protégées.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Instances de VM de la console Google Cloud.

   Accéder à la page "Instances de VM"

2. Sélectionnez l'instance associée au résultat de Security Health Analytics.

3. Sur la page Détails de l'instance qui s'affiche, cliquez sur stop Arrêter.

4. Une fois l'instance arrêtée, cliquez sur edit Modifier.

5. Dans la section VM protégée, cochez les options Activer vTPM et Activer la surveillance de l'intégrité pour activer la VM protégée.

6. Si vous n'utilisez aucun pilote personnalisé ou non signé, vous pouvez également activer le démarrage sécurisé.

7. Cliquez sur Enregistrer. La nouvelle configuration s'affiche sur la page Détails de l'instance.

8. Cliquez sur play_arrow Démarrer pour démarrer l'instance.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

SQL CMEK disabled

Nom de la catégorie dans l'API : SQL_CMEK_DISABLED

Une instance de base de données SQL n'utilise pas de clés de chiffrement gérées par le client (CMEK).

Avec CMEK, les clés que vous créez et gérez dans Cloud KMS encapsulent les clés que Google utilise pour chiffrer vos données, vous permettant ainsi de mieux contrôler vos accès. Pour en savoir plus, consultez la présentation des clés CMEK de votre produit : Cloud SQL pour MySQL, Cloud SQL pour PostgreSQL ou Cloud SQL pour SQL Server. CMEK entraîne des coûts supplémentaires liés à Cloud KMS.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Instances Cloud SQL de la console Google Cloud.

   Accéder à la page Instances Cloud SQL

2. Sélectionnez l'instance répertoriée dans le résultat de Security Health Analytics.

3. Cliquez sur delete Supprimer.

4. Pour créer une instance sur laquelle CMEK est activé, suivez les instructions permettant de configurer CMEK pour votre produit :

   1. Cloud SQL pour MySQL
   2. Cloud SQL pour PostgreSQL
   3. Cloud SQL pour SQL Server

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

SQL contained database authentication

Nom de la catégorie dans l'API : SQL_CONTAINED_DATABASE_AUTHENTICATION

L'option de base de données contenant l'authentification de base de données n'est pas défini sur Désactivé pour une instance de base de données Cloud SQL pour SQL Server.

L'option contained database authentication (authentification de la base de données autonome) permet de créer ou d'associer des bases de données autonomes au moteur de base de données. Une base de données autonome contient tous les paramètres et métadonnées nécessaires à la définition de la base de données et ne possède aucune dépendance de configuration sur l'instance du moteur de base de données où elle est installée.

L'activation de cet indicateur n'est pas recommandée pour les raisons suivantes :

• Les utilisateurs peuvent se connecter à la base de données sans authentification au niveau du moteur.
• L'isolation de la base de données du moteur permet de déplacer la base de données vers une autre instance SQL Server.

Les bases de données autonomes sont confrontées à des menaces uniques qui doivent être comprises et contrées par les administrateurs de moteur de base de données SQL Server. La plupart des menaces résultent du processus d'authentification USER WITH PASSWORD (utilisateur avec mot de passe), ce qui déplace la limite d'authentification du moteur de base de données jusqu'à la base de données.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Instances Cloud SQL de la console Google Cloud.

   Accéder à la page Instances Cloud SQL

2. Sélectionnez l'instance répertoriée dans le résultat de Security Health Analytics.

3. Cliquez sur edit Modifier.

4. Dans la section Options de base de données, définissez l'option de base de données contained database authentication (authentification de la base de données autonome) avec la valeur Désactivé.

5. Cliquez sur Enregistrer. La nouvelle configuration apparaît sur la page Présentation de l'instance.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

SQL cross DB ownership chaining

Nom de la catégorie dans l'API : SQL_CROSS_DB_OWNERSHIP_CHAINING

L'indicateur de base de données cross dbproperty chainchaining n'est pas défini sur Désactivé pour une instance de base de données Cloud SQL pour SQL Server.

L'option cross db ownership chaining (chaînage de propriété entre les bases de données) vous permet de contrôler le chaînage de propriété entre les bases de données au niveau de la base de données, ou d'autoriser ce chaînage pour toutes les instructions de base de données.

Il n'est pas recommandé d'activer cette option, sauf si toutes les bases de données hébergées par l'instance SQL Server participent à un chaînage de propriété entre les bases de données et que vous connaissez les implications de ce paramètre sur la sécurité.

Pour en savoir plus, consultez la page Configurer des indicateurs de base de données.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Instances Cloud SQL de la console Google Cloud.

   Accéder à la page Instances Cloud SQL

2. Sélectionnez l'instance répertoriée dans le résultat de Security Health Analytics.

3. Cliquez sur edit Modifier.

4. Dans la section Options de base de données, définissez l'option de base de données cross db ownership chaining (chaînage de propriété entre les bases de données) avec la valeur Désactivé.

5. Cliquez sur Enregistrer. La nouvelle configuration apparaît sur la page Présentation de l'instance.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

SQL external scripts enabled

Nom de la catégorie dans l'API : SQL_EXTERNAL_SCRIPTS_ENABLED

L'indicateur de base de données Scripts externes activés n'est pas défini sur Off pour une instance de base de données Cloud SQL pour SQL Server.

Lorsqu'il est activé, ce paramètre permet d'exécuter des scripts avec certaines extensions de langage distant. Étant donné que cette fonctionnalité peut avoir un impact négatif sur la sécurité du système, nous vous recommandons de la désactiver.

Pour en savoir plus, consultez la page Configurer des indicateurs de base de données.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Instances Cloud SQL de la console Google Cloud.

   Accéder à la page Instances Cloud SQL

2. Sélectionnez l'instance répertoriée dans le résultat de Security Health Analytics.

3. Cliquez sur edit Modifier.

4. Dans la section Indicateurs de base de données, définissez l'indicateur de base de données scripts externes activés avec la valeur Off.

5. Cliquez sur Enregistrer. La nouvelle configuration apparaît sur la page Présentation de l'instance.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

SQL instance not monitored

Nom de la catégorie dans l'API : SQL_INSTANCE_NOT_MONITORED

Ce résultat n'est pas disponible pour les activations au niveau du projet.

Les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées à l'instance Cloud SQL.

Une mauvaise configuration des options des instances SQL peut entraîner des risques de sécurité. La désactivation des options de sauvegarde automatique et de haute disponibilité peut avoir un impact sur la continuité de l'activité et ne pas limiter les réseaux autorisés peut augmenter l'exposition aux réseaux non approuvés. La surveillance des modifications apportées à la configuration de l'instance SQL vous permet de réduire le temps nécessaire à la détection et à la correction des erreurs de configuration.

Pour en savoir plus, consultez la présentation des métriques basées sur les journaux.

Selon la quantité d'informations, les coûts liés à Cloud Monitoring peuvent être importants. À comprendre votre utilisation du service et ses coûts, consultez Optimisation des coûts: opérations cloud

Pour les activations du niveau Premium de Security Command Center au niveau du projet, ce résultat n'est disponible que si le niveau Standard est activé dans le l'organisation parente.

Pour corriger ce résultat, procédez comme suit :

Créer une métrique

1. Accédez à la page Métriques basées sur les journaux de la console Google Cloud.

   Accéder aux métriques basées sur les journaux

2. Cliquez sur Créer la métrique.

3. Sous Type de métrique, sélectionnez Compteur.

4. Sous Détails :

   1. Définissez un nom de métrique de journal.
   2. Ajoutez une description.
   3. Définissez le champ Unités sur 1.

5. Sous Sélection du filtre, copiez et collez le texte suivant dans la zone Créer un filtre, en remplaçant le texte existant si nécessaire :

     protoPayload.methodName="cloudsql.instances.update"
     OR protoPayload.methodName="cloudsql.instances.create"
     OR protoPayload.methodName="cloudsql.instances.delete"

6. Cliquez sur Créer la métrique. Un message de confirmation s'affiche.

Créer une règle d'alerte

1. Dans la console Google Cloud, accédez à la page Métriques basées sur les journaux.

   Accéder à la page Métriques basées sur les journaux

   Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Logging.

2. Sous la section Métriques définies par l'utilisateur, sélectionnez la métrique que vous avez créée dans la section précédente.

3. Cliquez sur Plus more_vert, puis sur Créer une alerte à partir de la métrique.

   La boîte de dialogue Nouvelle condition s'affiche, avec les options de métrique et de transformation de données préremplies.

4. Cliquez sur Suivant.
   1. Vérifiez les paramètres préremplis. Vous voudrez peut-être modifier le champ Valeur du seuil.
   2. Cliquez sur Nom de la condition, puis saisissez un nom pour la condition.
5. Cliquez sur Suivant.

6. Pour ajouter des notifications à votre règle d'alerte, cliquez sur Canaux de notification. Dans la boîte de dialogue, sélectionnez un ou plusieurs canaux de notification dans le menu, puis cliquez sur OK.

   Pour recevoir une notification lorsque des incidents sont ouverts ou fermés, cochez Envoyer une notification lors de la clôture de l'incident Par défaut, les notifications ne sont envoyées d'incidents sont ouverts.

7. (Facultatif) Mettez à jour la durée de fermeture automatique de l'incident. Ce champ détermine à quel moment Monitoring ferme les incidents en l'absence de données de métriques.
8. Facultatif : Cliquez sur Documentation, puis ajoutez les informations à inclure dans le message de notification.
9. Cliquez sur Nom de l'alerte et saisissez un nom pour la règle d'alerte.
10. Cliquez sur Créer une règle.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

SQL local infile

Nom de la catégorie dans l'API : SQL_LOCAL_INFILE

L'option de base de données local_infile n'est pas définie sur Désactivé pour une instance de base de données Cloud SQL pour MySQL. En raison de problèmes de sécurité associés à l'indicateur local_infile, vous devez le désactiver. Pour en savoir plus, consultez la page Configurer des indicateurs de base de données.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Instances Cloud SQL de la console Google Cloud.

   Accéder à la page Instances Cloud SQL

2. Sélectionnez l'instance répertoriée dans le résultat de Security Health Analytics.

3. Cliquez sur edit Modifier.

4. Dans la section Options de base de données, définissez l'option de base de données local_infile avec la valeur Désactivé.

5. Cliquez sur Enregistrer. La nouvelle configuration apparaît sur la page Présentation de l'instance.

read_more En savoir plus sur les éléments et les paramètres d'analyse compatibles de ce type de résultat.

SQL log checkpoints disabled

Nom de la catégorie dans l'API : SQL_LOG_CHECKPOINTS_DISABLED

L'option log_disconnections de la base de données n'est pas définie sur Activé pour une instance de base de données Cloud SQL pour PostgreSQL.

L'activation de log_checkpoints entraîne la journalisation des points de contrôle et des points de redémarrage dans le journal du serveur. Certaines statistiques sont incluses dans les messages de journal, par exemple le nombre de tampons écrits et le temps passé à les écrire.

Pour en savoir plus, consultez la page Configurer des indicateurs de base de données.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Instances Cloud SQL de la console Google Cloud.

   Accéder à la page Instances Cloud SQL

2. Sélectionnez l'instance répertoriée dans le résultat de Security Health Analytics.

3. Cliquez sur edit Modifier.

4. Dans la section Options de base de données, définissez l'option de base de données log_checkpoints avec la valeur Activé.

5. Cliquez sur Enregistrer. La nouvelle configuration apparaît sur la page Présentation de l'instance.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

SQL log connections disabled

Nom de la catégorie dans l'API : SQL_LOG_CONNECTIONS_DISABLED

L'option log_disconnections de la base de données n'est pas définie sur Activé pour une instance de base de données Cloud SQL pour PostgreSQL.

L'activation du paramètre log_connections entraîne la journalisation des tentatives de connexions au serveur et des authentifications client réussies. Les journaux peuvent être utiles pour résoudre des problèmes et confirmer les tentatives de connexion au serveur inhabituelles.

Pour en savoir plus, consultez la page Configurer des indicateurs de base de données.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Instances Cloud SQL de la console Google Cloud.

   Accéder à la page Instances Cloud SQL

2. Sélectionnez l'instance répertoriée dans le résultat de Security Health Analytics.

3. Cliquez sur edit Modifier.

4. Dans la section Options de base de données, définissez l'option de base de données log_connections avec la valeur Activé.

5. Cliquez sur Enregistrer. La nouvelle configuration apparaît sur la page Présentation de l'instance.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

SQL log disconnections disabled

Nom de la catégorie dans l'API : SQL_LOG_DISCONNECTIONS_DISABLED

L'option log_disconnections de la base de données Cloud SQL pour PostgreSQL n'est pas définie sur Activé.

L'activation du paramètre log_disconnections crée des entrées de journal à la fin de chaque session. Les journaux sont utiles pour résoudre les problèmes et confirmer une activité inhabituelle sur une période donnée. Pour en savoir plus, consultez la page Configurer des indicateurs de base de données.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Instances Cloud SQL de la console Google Cloud.

   Accéder à la page Instances Cloud SQL

2. Sélectionnez l'instance répertoriée dans le résultat de Security Health Analytics.

3. Cliquez sur edit Modifier.

4. Dans la section Options de base de données, définissez l'option de base de données log_disconnections avec la valeur Activé.

5. Cliquez sur Enregistrer. La nouvelle configuration apparaît sur la page Présentation de l'instance.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

SQL log duration disabled

Nom de la catégorie dans l'API : SQL_LOG_DURATION_DISABLED

L'option log_duration de la base de données Cloud SQL pour PostgreSQL n'est pas définie sur Activé.

Lorsque log_duration est activé, ce paramètre entraîne la journalisation de l'heure et de la durée d'exécution de chaque instruction terminée à consigner. Surveiller le temps que prend l'exécution des requêtes peut s'avérer crucial pour identifier les requêtes lentes et résoudre les problèmes de base de données.

Pour en savoir plus, consultez la page Configurer des indicateurs de base de données.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Instances Cloud SQL de la console Google Cloud.

   Accéder à la page Instances Cloud SQL

2. Sélectionnez l'instance répertoriée dans le résultat de Security Health Analytics.

3. Cliquez sur edit Modifier.

4. Dans la section Options de base de données, définissez l'option de base de données log_duration sur Activée.

5. Cliquez sur Enregistrer. La nouvelle configuration apparaît sur la page Présentation de l'instance.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

SQL log error verbosity

Nom de la catégorie dans l'API : SQL_LOG_ERROR_VERBOSITY

Une instance de base de données Cloud SQL pour PostgreSQL ne dispose pas L'option de base de données log_error_verbosity est définie sur default ou verbose.

L'option log_error_verbosity contrôle la quantité de détails des messages consignés. Plus la verbosité est élevée, plus les messages enregistrés contiennent de détails. Nous vous recommandons de définir cette option sur default (par défaut) ou verbose (détaillé).

Pour en savoir plus, consultez la page Configurer des indicateurs de base de données.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Instances Cloud SQL de la console Google Cloud.

   Accéder à la page Instances Cloud SQL

2. Sélectionnez l'instance répertoriée dans le résultat de Security Health Analytics.

3. Cliquez sur edit Modifier.

4. Dans la section Options de base de données, définissez log_error_verbosity. l'option de base de données sur default (par défaut) ou verbose (détaillé).

5. Cliquez sur Enregistrer. La nouvelle configuration apparaît sur la page Présentation de l'instance.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

SQL log lock waits disabled

Nom de la catégorie dans l'API : SQL_LOG_LOCK_WAITS_DISABLED

L'option de base de données log_lock_waits n'est pas définie sur Activé pour une instance de base de données Cloud SQL pour PostgreSQL.

L'activation du paramètre log_lock_waits crée des entrées de journal lorsque le temps nécessaire à l'acquisition d'un verrou par une session est supérieur au délai deadlock_timeout. Les journaux sont utiles pour déterminer si les temps de verrouillage causent de mauvaises performances.

Pour en savoir plus, consultez la page Configurer des indicateurs de base de données.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Instances Cloud SQL de la console Google Cloud.

   Accéder à la page Instances Cloud SQL

2. Sélectionnez l'instance répertoriée dans le résultat de Security Health Analytics.

3. Cliquez sur edit Modifier.

4. Dans la section Options de base de données, définissez l'option de base de données log_lock_waits sur Activé.

5. Cliquez sur Enregistrer. La nouvelle configuration apparaît sur la page Présentation de l'instance.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

SQL log min duration statement enabled

Nom de la catégorie dans l'API : SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

L'indicateur de base de données log_min_duration_statement n'est pas défini sur -1 pour une instance de base de données Cloud SQL pour PostgreSQL.

L'option log_min_duration_statement entraîne la journalisation des instructions SQL dont la durée d'exécution dépasse un seuil spécifié. Envisagez de désactiver ce paramètre, car les instructions SQL peuvent contenir des informations sensibles qui ne doivent pas être consignées. Pour en savoir plus, consultez la page Configurer des indicateurs de base de données.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Instances Cloud SQL de la console Google Cloud.

   Accéder à la page Instances Cloud SQL

2. Sélectionnez l'instance répertoriée dans le résultat de Security Health Analytics.

3. Cliquez sur edit Modifier.

4. Dans la section Options de base de données, définissez l'option de base de données log_min_duration_statement sur la valeur -1.

5. Cliquez sur Enregistrer. La nouvelle configuration apparaît sur la page Présentation de l'instance.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

SQL log min error statement

Nom de la catégorie dans l'API : SQL_LOG_MIN_ERROR_STATEMENT

L'option log_min_error_statement n'est pas définie correctement pour une instance de base de données Cloud SQL pour PostgreSQL.

L'option log_min_error_statement détermine si les instructions SQL provoquant des conditions d'erreur sont enregistrées dans les journaux du serveur. Les instructions SQL présentant un niveau de gravité supérieur ou égal à celui spécifié sont consignées avec les messages associés aux instructions en état d'erreur. Plus le niveau de gravité est élevé, moins le nombre de messages enregistrés est important.

Si l'option log_min_error_statement n'est pas définie sur la valeur souhaitée, il est possible que certains messages ne soient pas classés comme messages d'erreur. Un niveau de gravité défini sur une valeur trop basse a pour effet d'augmenter le nombre de messages et de rendre plus difficile l'identification des erreurs réelles. Si un niveau de gravité est défini sur une valeur trop élevée, il est possible que les messages correspondant à des erreurs réelles ne soient pas consignés.

Pour en savoir plus, consultez la page Configurer des indicateurs de base de données.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Instances Cloud SQL de la console Google Cloud.

   Accéder à la page Instances Cloud SQL

2. Sélectionnez l'instance répertoriée dans le résultat de Security Health Analytics.

3. Cliquez sur edit Modifier.

4. Dans la section Options de base de données, définissez l'option de base de données log_min_error_statement sur l'une des valeurs recommandées suivantes, en fonction de la stratégie de journalisation de votre organisation.

   • debug5
   • debug4
   • debug3
   • debug2
   • debug1
   • info
   • notice
   • warning
   • error

5. Cliquez sur Enregistrer. La nouvelle configuration apparaît sur la page Présentation de l'instance.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

SQL log min error statement severity

Nom de la catégorie dans l'API : SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

L'option log_min_error_statement n'est pas définie correctement pour une instance de base de données Cloud SQL pour PostgreSQL.

L'option log_min_error_statement détermine si les instructions SQL provoquant des conditions d'erreur sont enregistrées dans les journaux du serveur. Les instructions SQL présentant un niveau de gravité égal à celui spécifié ou plus strifct sont consignées avec les messages associés aux instructions en état d'erreur. Plus le niveau de gravité est strict, moins le nombre de messages enregistrés est important.

Si l'option log_min_error_statement n'est pas définie sur la valeur souhaitée, il est possible que certains messages ne soient pas classés comme messages d'erreur. Un niveau de gravité défini sur une valeur trop basse a pour effet d'augmenter le nombre de messages et de rendre plus difficile l'identification des erreurs réelles. Un niveau de gravité trop élevé (trop strict) peut empêcher la consignation des messages d'erreur pour des erreurs réelles.

Nous vous recommandons de définir cette option sur error ou plus strict.

Pour en savoir plus, consultez la page Configurer des indicateurs de base de données.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Instances Cloud SQL de la console Google Cloud.

   Accéder à la page Instances Cloud SQL

2. Sélectionnez l'instance répertoriée dans le résultat de Security Health Analytics.

3. Cliquez sur edit Modifier.

4. Dans la section Options de base de données, définissez l'option de base de données log_min_error_statement sur l'une des valeurs recommandées suivantes, en fonction de la stratégie de journalisation de votre organisation.

   • error
   • log
   • fatal
   • panic

5. Cliquez sur Enregistrer. La nouvelle configuration apparaît sur la page Présentation de l'instance.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

SQL log min messages

Nom de la catégorie dans l'API : SQL_LOG_MIN_MESSAGES

Une instance de base de données Cloud SQL pour PostgreSQL ne dispose pas L'option de base de données log_min_messages est définie sur au minimum warning.

L'option log_min_messages contrôle les niveaux de message enregistrés les journaux de serveur. Plus le niveau de gravité est élevé, moins le nombre de messages enregistrés est important. Paramètre un seuil trop bas peut entraîner une augmentation de la taille et de la longueur des journaux, ce qui rend difficile la recherche d'erreurs réelles.

Pour en savoir plus, consultez la page Configurer des indicateurs de base de données.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Instances Cloud SQL de la console Google Cloud.

   Accéder à la page Instances Cloud SQL

2. Sélectionnez l'instance répertoriée dans le résultat de Security Health Analytics.

3. Cliquez sur edit Modifier.

4. Dans la section Options de base de données, définissez le paramètre l'option de base de données log_min_messages avec l'un des éléments suivants ; recommandées, conformément aux règles de journalisation de votre organisation.

   • debug5
   • debug4
   • debug3
   • debug2
   • debug1
   • info
   • notice
   • warning

5. Cliquez sur Enregistrer. La nouvelle configuration apparaît sur la page Présentation de l'instance.

read_more En savoir plus sur les éléments et les paramètres d'analyse compatibles de ce type de résultat.

SQL log executor stats enabled

Nom de la catégorie dans l'API : SQL_LOG_EXECUTOR_STATS_ENABLED

Une instance de base de données Cloud SQL pour PostgreSQL ne dispose pas L'option de base de données log_executor_stats est définie sur Désactivé.

Lorsque l'option log_executor_stats est activée, les performances de l'exécuteur sont incluses dans les journaux PostgreSQL pour chaque requête. Ce réglage peut s'avérer utile pour le dépannage, mais peut aussi augmenter considérablement la quantité de journaux et altérer les performances.

Pour en savoir plus, consultez la page Configurer des indicateurs de base de données.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Instances Cloud SQL dans la console Google Cloud.

   Accéder à la page Instances Cloud SQL

2. Sélectionnez l'instance répertoriée dans le résultat de Security Health Analytics.

3. Cliquez sur edit Modifier.

4. Dans la section Options de base de données, définissez la base de données log_executor_stats. sur Désactivé.

5. Cliquez sur Enregistrer. La nouvelle configuration apparaît sur la page Présentation de l'instance.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

SQL log hostname enabled

Nom de la catégorie dans l'API : `SQL_LOG_HOSTNAME_ENABLED

L'indicateur de base de données log_hostname n'est pas défini sur 0 pour une instance de base de données Cloud SQL pour PostgreSQL.

Lorsque l'indicateur log_hostname est activé, le nom de l'hôte connecté est enregistré. Par défaut, les messages de journal de connexion n'affichent que l'adresse IP. Ce paramètre peut s'avérer utile pour le dépannage. Toutefois, cela peut avoir une incidence sur les performances du serveur. En effet, pour chaque instruction consignée, une résolution DNS est requise pour convertir une adresse IP en nom d'hôte.

Pour en savoir plus, consultez la page Configurer des indicateurs de base de données.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Instances Cloud SQL dans la console Google Cloud.

   Accéder à la page Instances Cloud SQL

2. Sélectionnez l'instance répertoriée dans le résultat de Security Health Analytics.

3. Cliquez sur edit Modifier.

4. Dans la section Options de base de données, définissez l'option de base de données log_hostname sur Off.

5. Cliquez sur Enregistrer. La nouvelle configuration apparaît sur la page Présentation de l'instance.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

SQL log parser stats enabled

Nom de la catégorie dans l'API : SQL_LOG_PARSER_STATS_ENABLED

L'indicateur de base de données log_parser_stats n'est pas défini sur Off pour une instance de base de données Cloud SQL pour PostgreSQL.

Lorsque l'option log_parser_stats est activée, les statistiques de performances de l'analyseur sont incluses dans les journaux PostgreSQL pour chaque requête. Ce réglage peut s'avérer utile pour le dépannage, mais peut aussi augmenter considérablement la quantité de journaux et altérer les performances.

Pour en savoir plus, consultez la page Configurer des indicateurs de base de données.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Instances Cloud SQL dans la console Google Cloud.

   Accéder à la page Instances Cloud SQL

2. Sélectionnez l'instance répertoriée dans le résultat de Security Health Analytics.

3. Cliquez sur edit Modifier.

4. Dans la section Options de base de données, définissez l'option de base de données log_parser_stats sur Off (Désactivée).

5. Cliquez sur Enregistrer. La nouvelle configuration apparaît sur la page Présentation de l'instance.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

SQL log planner stats enabled

Nom de la catégorie dans l'API : SQL_LOG_PLANNER_STATS_ENABLED

L'indicateur de base de données log_planner_stats n'est pas défini sur Off pour une instance de base de données Cloud SQL pour PostgreSQL.

Lorsque l'option log_planner_stats est activée, une méthode de profilage brut permettant de consigner les statistiques de performances du planificateur PostgreSQL est utilisée. Ce réglage peut s'avérer utile pour le dépannage, mais peut aussi augmenter considérablement la quantité de journaux et altérer les performances.

Pour en savoir plus, consultez la page Configurer des indicateurs de base de données.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Instances Cloud SQL dans la console Google Cloud.

   Accéder à la page Instances Cloud SQL

2. Sélectionnez l'instance répertoriée dans le résultat de Security Health Analytics.

3. Cliquez sur edit Modifier.

4. Dans la section Options de base de données, définissez l'option de base de données log_planner_stats sur Off.

5. Cliquez sur Enregistrer. La nouvelle configuration apparaît sur la page Présentation de l'instance.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

SQL log statement

Nom de la catégorie dans l'API : SQL_LOG_STATEMENT

Une instance de base de données Cloud SQL pour PostgreSQL ne dispose pas L'option de base de données log_statement est définie sur ddl.

La valeur de cette option contrôle quelles sont les instructions SQL qui sont consignées dans les journaux. La journalisation permet de résoudre les problèmes opérationnels et d'effectuer des analyses forensiques. Si cette option n'est pas définie sur la bonne valeur, des informations pertinentes peuvent être ignorées ou perdues dans un trop grand nombre de messages. Une valeur de ddl (toutes les instructions de définition de données) est recommandée, sauf indication contraire dans la stratégie de journalisation de votre organisation.

Pour en savoir plus, consultez la page Configurer des indicateurs de base de données.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Instances Cloud SQL dans la console Google Cloud.

   Accéder à la page Instances Cloud SQL

2. Sélectionnez l'instance répertoriée dans le résultat de Security Health Analytics.

3. Cliquez sur edit Modifier.

4. Dans la section Options de base de données, définissez la base de données log_statement. sur ddl.

5. Cliquez sur Enregistrer. La nouvelle configuration apparaît sur la page Présentation de l'instance.

read_more En savoir plus sur les éléments et les paramètres d'analyse compatibles de ce type de résultat.

SQL log statement stats enabled

Nom de la catégorie dans l'API : SQL_LOG_STATEMENT_STATS_ENABLED

L'indicateur de base de données log_statement_stats n'est pas défini sur Off pour une instance de base de données Cloud SQL pour PostgreSQL.

Lorsque l'option log_statement_stats est activé, des statistiques de performance de bout en bout sont incluses dans les journaux PostgreSQL pour chaque requête. Ce réglage peut s'avérer utile pour le dépannage, mais peut aussi augmenter considérablement la quantité de journaux et altérer les performances.

Pour en savoir plus, consultez la page Configurer des indicateurs de base de données.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Instances Cloud SQL dans la console Google Cloud.

   Accéder à la page Instances Cloud SQL

2. Sélectionnez l'instance répertoriée dans le résultat de Security Health Analytics.

3. Cliquez sur edit Modifier.

4. Dans la section Indicateurs de base de données, définissez l'option de base de données log_statement_stats sur Off.

5. Cliquez sur Enregistrer. La nouvelle configuration apparaît sur la page Présentation de l'instance.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

SQL log temp files

Nom de la catégorie dans l'API : SQL_LOG_TEMP_FILES

L'indicateur de base de données log_temp_files n'est pas défini sur 0 pour une instance de base de données Cloud SQL pour PostgreSQL.

Des fichiers temporaires peuvent être créés pour les tris, les hachages et les résultats de requête temporaires. Lorsque l'option log_temp_files est définie sur 0, tous les fichiers temporaires sont journalisés. Cela permet d'identifier d'éventuels problèmes de performances. Pour en savoir plus, consultez la page Configurer des indicateurs de base de données.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Instances Cloud SQL dans la console Google Cloud.

   Accéder à la page Instances Cloud SQL

2. Sélectionnez l'instance répertoriée dans le résultat de Security Health Analytics.

3. Cliquez sur edit Modifier.

4. Dans la section Options de base de données, définissez l'option de base de données log_temp_files sur 0.

5. Cliquez sur Enregistrer. La nouvelle configuration apparaît sur la page Présentation de l'instance.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

SQL no root password

Nom de la catégorie dans l'API : SQL_NO_ROOT_PASSWORD

Une instance de base de données MySQL ne possède pas de mot de passe défini pour le compte racine. Vous devez ajouter un mot de passe à l'instance de base de données MySQL. Pour en savoir plus, consultez la page Utilisateurs MySQL.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Instances Cloud SQL de la console Google Cloud.

   Accéder à la page Instances Cloud SQL

2. Sélectionnez l'instance répertoriée dans le résultat de Security Health Analytics.

3. Sur la page Détails de l'instance qui s'affiche, sélectionnez l'onglet Utilisateurs.

4. À côté de l'utilisateur root, cliquez sur Plus , puis sélectionnez Modifier le mot de passe.

5. Saisissez un nouveau mot de passe sécurisé, puis cliquez sur OK.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

SQL public IP

Nom de la catégorie dans l'API : SQL_PUBLIC_IP

Une base de données Cloud SQL possède une adresse IP publique.

Pour réduire la surface d'attaque de votre organisation, les bases de données Cloud SQL ne doivent pas posséder d'adresses IP publiques. Les adresses IP privées offrent une sécurité réseau améliorée et une latence réduite pour votre application.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Instances Cloud SQL dans la console Google Cloud.

   Accéder à la page Instances Cloud SQL

2. Sélectionnez l'instance répertoriée dans le résultat de Security Health Analytics.

3. Dans le menu de gauche, cliquez sur Connexions.

4. Cliquez sur l'onglet Mise en réseau et décochez la case Adresse IP publique.

5. Si l'instance n'est pas déjà configurée pour utiliser une adresse IP privée, consultez la page Configurer une adresse IP privée pour une instance existante.

6. Cliquez sur Enregistrer.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

SQL remote access enabled

Nom de la catégorie dans l'API : SQL_REMOTE_ACCESS_ENABLED

L'indicateur de base de données remote access n'est pas défini sur Off pour une instance de base de données Cloud SQL pour SQL Server.

Lorsqu'il est activé, ce paramètre permet d'exécuter des procédures stockées localement à partir de serveurs distants ou des procédures stockées à distance à partir d'un serveur local. Cette fonctionnalité peut être utilisée de manière abusive pour lancer une attaque par déni de service (DoS) sur les serveurs distants en redirigeant le traitement des requêtes vers une cible. Pour éviter les abus, nous vous recommandons de désactiver ce paramètre.

Pour en savoir plus, consultez la page Configurer des indicateurs de base de données.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Instances Cloud SQL de la console Google Cloud.

   Accéder à la page Instances Cloud SQL

2. Sélectionnez l'instance répertoriée dans le résultat de Security Health Analytics.

3. Cliquez sur edit Modifier.

4. Dans la section Options, définissez remote access sur Off.

5. Cliquez sur Enregistrer. La nouvelle configuration apparaît sur la page Présentation de l'instance.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

SQL skip show database disabled

Nom de la catégorie dans l'API : SQL_SKIP_SHOW_DATABASE_DISABLED

L'option skip_show_database de la base de données Cloud SQL pour MySQL n'est pas définie sur Activée.

Lorsqu'elle est activée, cette option empêche les utilisateurs d'employer l'instruction SHOW DATABASES s'ils ne disposent pas du droit SHOW DATABASES. Avec ce paramètre, les utilisateurs sans autorisation explicite ne peuvent pas voir les bases de données appartenant à d'autres utilisateurs. Nous vous recommandons d'activer cette option.

Pour en savoir plus, consultez la page Configurer des indicateurs de base de données.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Instances Cloud SQL de la console Google Cloud.

   Accéder à la page Instances Cloud SQL

2. Sélectionnez l'instance répertoriée dans le résultat de Security Health Analytics.

3. Cliquez sur edit Modifier.

4. Dans la section Options, définissez skip_show_database sur On.

5. Cliquez sur Enregistrer. La nouvelle configuration apparaît sur la page Présentation de l'instance.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

SQL trace flag 3625

Nom de la catégorie dans l'API : SQL_TRACE_FLAG_3625

L'indicateur de base de données 3625 (trace flag) (Activé) est défini sur On pour une instance de base de données Cloud SQL pour SQL Server.

Cette option limite la quantité d'informations renvoyées aux utilisateurs qui ne sont pas membres du rôle serveur fixe sysadmin, en masquant les paramètres de certains messages d'erreur à l'aide d'astérisques (******). Pour éviter la divulgation d'informations sensibles, nous vous recommandons d'activer cette option.

Pour en savoir plus, consultez la page Configurer des indicateurs de base de données.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Instances Cloud SQL de la console Google Cloud.

   Accéder à la page Instances Cloud SQL

2. Sélectionnez l'instance répertoriée dans le résultat de Security Health Analytics.

3. Cliquez sur edit Modifier.

4. Dans la section Indicateurs de base de données, définissez 3625 sur On.

5. Cliquez sur Enregistrer. La nouvelle configuration apparaît sur la page Présentation de l'instance.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

SQL user connections configured

Nom de la catégorie dans l'API : SQL_USER_CONNECTIONS_CONFIGURED

L'option de base de données user connections est configurée sur une instance de base de données Cloud SQL pour SQL Server.

L'option Connexions utilisateur spécifie le nombre maximal de connexions utilisateur simultanées autorisé sur une instance de SQL Server. Comme il s'agit d'une option dynamique (auto-configuration), SQL Server ajuste automatiquement le nombre maximal de connexions utilisateur jusqu'à atteindre la valeur maximale autorisée. La valeur par défaut est 0, ce qui signifie que jusqu'à 32 767 connexions utilisateur sont autorisées. Pour cette raison, nous vous déconseillons de configurer l'option de base de données user connections.

Pour en savoir plus, consultez la page Configurer des indicateurs de base de données.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Instances Cloud SQL de la console Google Cloud.

   Accéder à la page Instances Cloud SQL

2. Sélectionnez l'instance répertoriée dans le résultat de Security Health Analytics.

3. Cliquez sur edit Modifier.

4. Dans la section Indicateurs de base de données, cliquez sur delete Supprimer à côté de user connections.

5. Cliquez sur Enregistrer. La nouvelle configuration apparaît sur la page Présentation de l'instance.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

SQL user options configured

Nom de la catégorie dans l'API : SQL_USER_OPTIONS_CONFIGURED

L'option de base de données user options est configurée sur une instance de base de données Cloud SQL pour SQL Server.

Ce paramètre remplace les valeurs globales par défaut des options SET pour tous les utilisateurs. Étant donné que les utilisateurs et les applications peuvent supposer que les options SET par défaut de la base de données sont en cours d'utilisation, modifier ces options peut entraîner des résultats inattendus. Pour cette raison, nous vous déconseillons de configurer l'option de base de données user options.

Pour en savoir plus, consultez la page Configurer des indicateurs de base de données.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Instances Cloud SQL de la console Google Cloud.

   Accéder à la page Instances Cloud SQL

2. Sélectionnez l'instance répertoriée dans le résultat de Security Health Analytics.

3. Cliquez sur edit Modifier.

4. Dans la section Indicateurs de base de données, cliquez sur delete Supprimer à côté de user options.

5. Cliquez sur Enregistrer. La nouvelle configuration apparaît sur la page Présentation de l'instance.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

SQL weak root password

Nom de la catégorie dans l'API : SQL_WEAK_ROOT_PASSWORD

Une instance de base de données MySQL possède un mot de passe peu sécurisé défini pour le compte racine. Vous devez définir un mot de passe sécurisé pour l'instance. Pour en savoir plus, consultez la page Utilisateurs MySQL.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Instances Cloud SQL dans la console Google Cloud.

   Accéder à la page Instances Cloud SQL

2. Sélectionnez l'instance répertoriée dans le résultat de Security Health Analytics.

3. Sur la page Détails de l'instance qui s'affiche, sélectionnez l'onglet Utilisateurs.

4. À côté de l'utilisateur root, cliquez sur Plus , puis sélectionnez Modifier le mot de passe.

5. Saisissez un nouveau mot de passe sécurisé, puis cliquez sur OK.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

SSL not enforced

Nom de la catégorie dans l'API : SSL_NOT_ENFORCED

Une instance de base de données Cloud SQL ne nécessite pas que toutes les connexions entrantes utilisent SSL.

Pour éviter la fuite de données sensibles pendant leur transit via des communications non chiffrées, toutes les connexions entrantes à votre instance de base de données SQL doivent utiliser le protocole SSL. Apprenez-en plus sur la configuration de SSL/TLS.

Pour corriger ce résultat, autorisez uniquement les connexions SSL pour vos instances SQL :

1. Accédez à la page Instances Cloud SQL dans la console Google Cloud.

   Accéder à la page Instances Cloud SQL

2. Sélectionnez l'instance répertoriée dans le résultat de Security Health Analytics.

3. Dans l'onglet Connexions, cliquez sur Autoriser uniquement les connexions SSL ou Exigez des certificats client de confiance. Pour en savoir plus, consultez Appliquez le chiffrement SSL/TLS.

4. Si vous avez sélectionné Exiger des certificats client de confiance, créez un client certificat. Pour en savoir plus, consultez Créez un certificat client.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Too many KMS users

Nom de la catégorie dans l'API : TOO_MANY_KMS_USERS

Limitez à trois le nombre d'utilisateurs principaux autorisés à utiliser des clés cryptographiques. Les rôles prédéfinis suivants accordent des autorisations permettant de chiffrer, déchiffrer ou signer des données à l'aide de clés cryptographiques :

• roles/owner
• roles/cloudkms.cryptoKeyEncrypterDecrypter
• roles/cloudkms.cryptoKeyEncrypter
• roles/cloudkms.cryptoKeyDecrypter
• roles/cloudkms.signer
• roles/cloudkms.signerVerifier

Pour en savoir plus, consultez la section Autorisations et rôles.

Pour les activations du niveau Premium de Security Command Center au niveau du projet, ce résultat n'est disponible que si le niveau Standard est activé dans le l'organisation parente.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Clés Cloud KMS de la console Google Cloud.

   Accéder à la page Clés Cloud KMS

2. Cliquez sur le nom du trousseau de clés indiqué dans le résultat.

3. Cliquez sur le nom de la clé indiquée dans le résultat.

4. Cochez la case à côté de la version principale, puis cliquez sur Afficher le panneau d'informations.

5. Réduisez à trois ou moins le nombre de comptes principaux autorisés à chiffrer, déchiffrer ou signer des données. Pour révoquer les autorisations, cliquez sur delete Supprimer à côté de chaque compte principal.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

User managed service account key

Nom de la catégorie dans l'API : USER_MANAGED_SERVICE_ACCOUNT_KEY

Un utilisateur gère une clé de compte de service. Les clés de compte de service constituent un risque pour la sécurité si elles ne sont pas gérées correctement. Dans la mesure du possible, vous devez choisir une alternative plus sécurisée aux clés de compte de service. Si vous devez vous authentifier avec une clé de compte de service, vous êtes responsable de la sécurité de la clé privée et des autres opérations décrites sur la page Bonnes pratiques pour gérer les clés de compte de service. Si vous ne parvenez pas à créer une clé de compte de service, la création de clé de compte de service peut être désactivée pour votre organisation. Pour en savoir plus, consultez la page Gérer les ressources d'organisation sécurisées par défaut.

Pour corriger ce résultat, procédez comme suit :

1. Accédez à la page Comptes de service dans la console Google Cloud.

   Accéder à la page "Comptes de service"

2. Si nécessaire, sélectionnez le projet indiqué dans le résultat.

3. Supprimez les clés de compte de service gérées par l'utilisateur indiquées dans le résultat, si elles ne sont pas utilisées par une application.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Weak SSL policy

Nom de la catégorie dans l'API : WEAK_SSL_POLICY

Une instance Compute Engine est associée à une règle SSL faible ou utilise l'API Google Cloud stratégie SSL par défaut avec une version TLS antérieure à 1.2.

Les équilibreurs de charge HTTPS et SSL utilisent des règles SSL pour déterminer le protocole et les suites de chiffrement utilisés dans les connexions TLS établies entre les utilisateurs et Internet. Ces connexions chiffrent les données sensibles pour empêcher les personnes malveillantes d'y accéder. Une règle SSL faible permet aux clients utilisant des versions obsolètes de TLS de se connecter à une suite de chiffrement ou un protocole moins sécurisés. Pour obtenir la liste des suites de chiffrement recommandées et obsolètes, consultez la page des paramètres TLS iana.org.

Pour les activations du niveau Premium de Security Command Center au niveau du projet, ce résultat n'est disponible que si le niveau Standard est activé dans le l'organisation parente.

Les mesures correctives pour ce résultat diffèrent selon qu'il a été déclenchée par l'utilisation d'une règle SSL Google Cloud par défaut ou qui autorise une suite de chiffrement faible ou une version TLS minimale antérieure à 1.2. Suivez la procédure ci-dessous qui correspond au déclencheur du résultat.

Correction des règles SSL Google Cloud par défaut

1. Accédez à la page Proxies cibles de la console Google Cloud.

   Accéder aux proxys cibles

2. Recherchez le proxy cible indiqué dans le résultat et notez les règles de transfert dans la colonne Utilisée par.

3. Pour créer une règle SSL, consultez la page Utiliser des règles SSL. La règle doit avoir une version TLS minimale de 1.2 et un profil moderne ou restreint.

4. Pour utiliser un profil personnalisé, assurez-vous que les suites de chiffrement suivantes sont désactivées :

   • TLS_RSA_WITH_AES_128_GCM_SHA256
   • TLS_RSA_WITH_AES_256_GCM_SHA384
   • TLS_RSA_WITH_AES_128_CBC_SHA
   • TLS_RSA_WITH_AES_256_CBC_SHA
   • TLS_RSA_WITH_3DES_EDE_CBC_SHA

5. Appliquez la règle SSL à chaque règle de transfert que vous avez notée précédemment.

Correction autorisée pour la suite de chiffrement faible ou la version TLS de niveau inférieur

1. Dans la console Google Cloud, accédez à la page Règles SSL .

   Accéder aux règles SSL

2. Recherchez l'équilibreur de charge indiqué dans la colonne Utilisé par.

3. Cliquez sous le nom de la règle.

4. Cliquez sur edit Modifier.

5. Modifier Version minimale de TLS : TLS 1.2 et Profil : moderne ou restreint.

6. Pour utiliser un profil personnalisé, assurez-vous que les suites de chiffrement suivantes sont désactivées:

   • TLS_RSA_WITH_AES_128_GCM_SHA256
   • TLS_RSA_WITH_AES_256_GCM_SHA384
   • TLS_RSA_WITH_AES_128_CBC_SHA
   • TLS_RSA_WITH_AES_256_CBC_SHA
   • TLS_RSA_WITH_3DES_EDE_CBC_SHA

7. Cliquez sur Enregistrer.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Web UI enabled

Nom de la catégorie dans l'API : WEB_UI_ENABLED

L'interface utilisateur Web de GKE (tableau de bord) est activée.

L'interface Web de Kubernetes est protégée par un compte de service Kubernetes hautement privilégié, qui peut être utilisé de manière abusive s'il est compromis. Si vous utilisez déjà la console Google Cloud, l'interface Web de Kubernetes étend inutilement votre surface d'attaque. Découvrez comment désactiver l'interface Web de Kubernetes.

Pour corriger ce résultat, désactivez l'interface Web de Kubernetes :

1. Accédez à la page des Clusters Kubernetes GKE dans la console Google Cloud.

   Accéder à la page "Clusters Kubernetes"

2. Cliquez sur le nom du cluster répertorié dans le résultat de Security Health Analytics.

3. Cliquez sur edit Modifier.

   Si la configuration du cluster a récemment été modifiée, il est possible que le bouton "Modifier" ne soit pas disponible. Si vous ne pouvez pas modifier les paramètres du cluster, attendez quelques minutes, puis réessayez.

4. Cliquez sur Modules complémentaires. La section se développe pour afficher les modules complémentaires disponibles.

5. Dans la liste déroulante Tableau de bord Kubernetes, sélectionnez Désactivé.

6. Cliquez sur Enregistrer.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Workload Identity disabled

Nom de la catégorie dans l'API : WORKLOAD_IDENTITY_DISABLED

Workload Identity est désactivé sur un cluster GKE.

Workload Identity est la solution recommandée pour accéder aux services Google Cloud à partir de GKE, car elle propose des propriétés de sécurité renforcée et simplifie la gestion. Son activation permet de protéger certaines métadonnées système potentiellement sensibles contre les charges de travail d'utilisateur exécutées sur votre cluster. En savoir plus sur la Dissimulation de métadonnées.

Pour corriger ce résultat, suivez le guide Activer Workload Identity sur un cluster.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Corriger les erreurs de configuration AWS

AWS Cloud Shell Full Access Restricted

Nom de la catégorie dans l'API : ACCESS_AWSCLOUDSHELLFULLACCESS_RESTRICTED

AWS CloudShell est un moyen pratique d'exécuter des commandes CLI sur des services AWS. Une stratégie IAM gérée ("AWSCloudShellFullAccess") offre un accès complet à Cloud Shell, qui permet d'importer et de télécharger des fichiers entre le système local d'un utilisateur et l'environnement Cloud Shell. Dans l'environnement CloudShell, un utilisateur dispose d'autorisations sudo et peut accéder à Internet. Il est donc possible d'installer un logiciel de transfert de fichiers (par exemple) et de déplacer les données de Cloud Shell vers des serveurs Internet externes.

read_more En savoir plus sur les éléments et les paramètres d'analyse compatibles de ce type de résultat.

Access Keys Rotated Every 90 Days or Less

Nom de la catégorie dans l'API : ACCESS_KEYS_ROTATED_90_DAYS_LESS

Les clés d'accès sont constituées d'un ID de clé d'accès et d'une clé d'accès secrète, qui permettent de signer les requêtes programmatiques que vous envoyez à AWS. Les utilisateurs AWS ont besoin de leurs propres clés d'accès pour effectuer des appels programmatiques vers AWS depuis l'interface de ligne de commande AWS (CLI AWS), Tools for Windows PowerShell, les SDK AWS ou des appels HTTP directs à l'aide des API pour des services AWS individuels. Il est recommandé d'alterner régulièrement toutes les clés d'accès.

aws iam create-access-key

aws iam get-access-key-last-used

aws iam update-access-key

aws iam delete-access-key

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

All Expired Ssl Tls Certificates Stored Aws Iam Removed

Nom de la catégorie dans l'API : ALL_EXPIRED_SSL_TLS_CERTIFICATES_STORED_AWS_IAM_REMOVED

Pour activer les connexions HTTPS à votre site Web ou à votre application dans AWS, vous avez besoin d'un certificat de serveur SSL/TLS. Vous pouvez utiliser ACM ou IAM pour stocker et déployer des certificats de serveur.
N'utilisez IAM comme gestionnaire de certificats que lorsque vous devez accepter les connexions HTTPS dans une région non compatible avec ACM. IAM chiffre vos clés privées de manière sécurisée et stocke la version chiffrée dans l'espace de stockage des certificats SSL IAM. IAM accepte le déploiement de certificats de serveur dans toutes les régions, mais vous devez obtenir votre certificat auprès d'un fournisseur externe pour l'utiliser avec AWS. Vous ne pouvez pas importer de certificat ACM dans IAM. De plus, vous ne pouvez pas gérer vos certificats à partir de la console IAM.

aws iam delete-server-certificate --server-certificate-name <CERTIFICATE_NAME>

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Autoscaling Group Elb Healthcheck Required

Nom de la catégorie dans l'API : AUTOSCALING_GROUP_ELB_HEALTHCHECK_REQUIRED

Cela permet de vérifier si les groupes Auto Scaling associés à un équilibreur de charge utilisent les vérifications d'état Elastic Load Balancing.

Cela permet au groupe de déterminer l'état d'une instance en fonction des tests supplémentaires fournis par l'équilibreur de charge. Les vérifications de l'état d'Elastic Load Balancing peuvent vous aider à garantir la disponibilité des applications qui utilisent des groupes Auto Scaling EC2.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Auto Minor Version Upgrade Feature Enabled Rds Instances

Nom de la catégorie dans l'API : AUTO_MINOR_VERSION_UPGRADE_FEATURE_ENABLED_RDS_INSTANCES

Assurez-vous que l'indicateur de mise à niveau automatique des versions mineures est activé pour les instances de base de données RDS afin qu'elles reçoivent automatiquement les mises à niveau mineures du moteur pendant la période de maintenance spécifiée. Ainsi, les instances RDS peuvent bénéficier des nouvelles fonctionnalités, des corrections de bugs et des correctifs de sécurité pour leurs moteurs de base de données.

aws rds describe-db-instances --region <regionName> --query 'DBInstances[*].DBInstanceIdentifier'

aws rds modify-db-instance --region <regionName> --db-instance-identifier <dbInstanceIdentifier> --auto-minor-version-upgrade --apply-immediately

aws rds describe-db-instances --region <regionName> --db-instance-identifier <dbInstanceIdentifier> --query 'DBInstances[*].AutoMinorVersionUpgrade'

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Aws Config Enabled All Regions

Nom de la catégorie dans l'API : AWS_CONFIG_ENABLED_ALL_REGIONS

AWS Config est un service Web qui gère la configuration des ressources AWS compatibles de votre compte et vous fournit des fichiers journaux. Les informations enregistrées incluent l'élément de configuration (ressource AWS), les relations entre les éléments de configuration (ressources AWS) et toute modification de configuration entre les ressources. Il est recommandé d'activer AWS Config dans toutes les régions.

aws configservice put-configuration-recorder --configuration-recorder name=default,roleARN=arn:aws:iam::012345678912:role/myConfigRole --recording-group allSupported=true,includeGlobalResourceTypes=true

{
 "name": "default",
 "s3BucketName": "my-config-bucket",
 "snsTopicARN": "arn:aws:sns:us-east-1:012345678912:my-config-notice",
 "configSnapshotDeliveryProperties": {
 "deliveryFrequency": "Twelve_Hours"
 }
}

aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json

aws configservice start-configuration-recorder --configuration-recorder-name default

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Aws Security Hub Enabled

Nom de la catégorie dans l'API : AWS_SECURITY_HUB_ENABLED

Security Hub collecte les données de sécurité de tous les comptes, services et produits tiers partenaires compatibles AWS. Il vous aide à analyser vos tendances de sécurité et à identifier les problèmes de sécurité les plus prioritaires. Lorsque vous activez le Centre de sécurité, il commence à consommer, agréger, organiser et hiérarchiser les résultats des services AWS que vous avez activés, tels qu'Amazon GuardDuty, Amazon Inspector et Amazon Macie. Vous pouvez également activer les intégrations avec les produits de sécurité partenaires AWS.

aws securityhub enable-security-hub --enable-default-standards

aws securityhub enable-security-hub --no-enable-default-standards

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Cloudtrail Logs Encrypted Rest Using Kms Cmks

Nom de la catégorie dans l'API : CLOUDTRAIL_LOGS_ENCRYPTED_REST_USING_KMS_CMKS

AWS CloudTrail est un service Web qui enregistre les appels aux API AWS pour un compte, et met ces journaux à la disposition des utilisateurs et des ressources conformément aux stratégies IAM. AWS Key Management Service (KMS) est un service géré qui permet de créer et de contrôler les clés de chiffrement utilisées pour chiffrer les données de compte, et utilise des modules de sécurité matériels (HSM) pour protéger la sécurité des clés de chiffrement. Les journaux CloudTrail peuvent être configurés de façon à exploiter le chiffrement côté serveur (SSE) et les clés principales créées par le client (CMK) KMS pour mieux protéger les journaux CloudTrail. Il est recommandé de configurer CloudTrail de manière à utiliser SSE-KMS.

aws cloudtrail update-trail --name <trail_name> --kms-id <cloudtrail_kms_key>
aws kms put-key-policy --key-id <cloudtrail_kms_key> --policy <cloudtrail_kms_key_policy>

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Cloudtrail Log File Validation Enabled

Nom de la catégorie dans l'API : CLOUDTRAIL_LOG_FILE_VALIDATION_ENABLED

La validation du fichier journal CloudTrail crée un fichier de condensé signé numériquement qui contient un hachage de chaque journal que CloudTrail écrit dans S3. Ces fichiers récapitulatifs permettent de déterminer si un fichier journal a été modifié, supprimé ou inchangé après l'envoi du journal par CloudTrail. Il est recommandé d'activer la validation de fichier sur tous les CloudTrails.

aws cloudtrail update-trail --name <trail_name> --enable-log-file-validation

aws cloudtrail validate-logs --trail-arn <trail_arn> --start-time <start_time> --end-time <end_time>

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Cloudtrail Trails Integrated Cloudwatch Logs

Nom de la catégorie dans l'API : CLOUDTRAIL_TRAILS_INTEGRATED_CLOUDWATCH_LOGS

AWS CloudTrail est un service Web qui enregistre les appels d'API AWS effectués dans un compte AWS donné. Les informations enregistrées incluent l'identité de l'appelant de l'API, l'heure de l'appel d'API, l'adresse IP source de l'appelant de l'API, les paramètres de requête et les éléments de réponse renvoyés par le service AWS. CloudTrail utilise Amazon S3 pour le stockage et la diffusion des fichiers journaux. Les fichiers journaux sont donc stockés de manière durable. En plus de capturer les journaux CloudTrail dans un bucket S3 spécifié pour une analyse à long terme, vous pouvez effectuer une analyse en temps réel en configurant CloudTrail pour qu'il envoie des journaux à CloudWatch Logs. Pour un sentier activé dans toutes les régions d'un compte, CloudTrail envoie les fichiers journaux de toutes ces régions à un groupe de journaux CloudWatch Logs. Il est recommandé d'envoyer les journaux CloudTrail à CloudWatch Logs.

Remarque : L'objectif de cette recommandation est de s'assurer que l'activité du compte AWS est enregistrée, surveillée et signalée de manière appropriée. Les journaux CloudWatch offrent un moyen natif d'y parvenir à l'aide des services AWS, mais ils n'empêchent pas l'utilisation d'une autre solution.

aws cloudtrail update-trail --name <trail_name> --cloudwatch-logs-log-group-arn <cloudtrail_log_group_arn> --cloudwatch-logs-role-arn <cloudtrail_cloudwatchLogs_role_arn>

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Cloudwatch Alarm Action Check

Nom de la catégorie dans l'API : CLOUDWATCH_ALARM_ACTION_CHECK

Permet de vérifier si Amazon Cloudwatch a défini des actions lorsqu'une alarme passe de l'état "OK" à "ALARM" et "INSUFFICIENT_DATA".

Il est très important de configurer des actions pour l'état ALARM dans les alarmes Amazon CloudWatch afin de déclencher une réponse immédiate lorsque les métriques surveillées ne respectent pas les seuils.
Il permet une résolution rapide des problèmes, réduit les temps d'arrêt et permet une correction automatisée, ainsi que le maintien de l'état du système et la prévention des pannes.

Les alarmes ont au moins une action.
Les alarmes ont au moins une action lorsqu'elles passent à l'état "INSUFFICIENT_DATA". de tout autre état.
(Facultatif) Les alarmes ont au moins une action lorsque le message "OK" est activé. de tout autre état.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Cloudwatch Log Group Encrypted

Nom de la catégorie dans l'API : CLOUDWATCH_LOG_GROUP_ENCRYPTED

Cette vérification permet de s'assurer que les journaux CloudWatch sont configurés avec KMS.

Les données des groupes de journaux sont toujours chiffrées dans CloudWatch Logs. Par défaut, CloudWatch Logs utilise le chiffrement côté serveur pour les données des journaux au repos. Vous pouvez également utiliser AWS Key Management Service pour ce chiffrement. Dans ce cas, le chiffrement est effectué à l'aide d'une clé KMS AWS. Le chiffrement à l'aide d'AWS KMS est activé au niveau du groupe de journaux en associant une clé KMS à un groupe de journaux, soit lorsque vous le créez, soit après sa création.

Pour en savoir plus, consultez la section Chiffrer les données de journal dans les journaux CloudWatch à l'aide d'AWS Key Management Service du guide de l'utilisateur Amazon CloudWatch.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

CloudTrail CloudWatch Logs Enabled

Nom de la catégorie dans l'API : CLOUD_TRAIL_CLOUD_WATCH_LOGS_ENABLED

Cette commande vérifie si les pistes CloudTrail sont configurées pour envoyer des journaux à CloudWatch Logs. Le contrôle échoue si la propriété CloudWatchLogsLogGroupArn du sentier est vide.

CloudTrail enregistre les appels d'API AWS effectués dans un compte donné. Les informations enregistrées incluent les suivantes:

• Identité de l'appelant de l'API
• Heure de l'appel d'API
• Adresse IP source de l'appelant de l'API
• Paramètres de la requête
• Les éléments de réponse renvoyés par le service AWS

CloudTrail utilise Amazon S3 pour le stockage et la diffusion des fichiers journaux. Vous pouvez capturer les journaux CloudTrail dans un bucket S3 spécifié pour les analyser à long terme. Pour effectuer une analyse en temps réel, vous pouvez configurer CloudTrail afin d'envoyer les journaux aux journaux CloudWatch.

Pour un sentier activé dans toutes les régions d'un compte, CloudTrail envoie les fichiers journaux de toutes ces régions à un groupe de journaux CloudWatch Logs.

Le Centre de sécurité vous recommande d'envoyer les journaux CloudTrail à CloudWatch Logs. Notez que cette recommandation vise à s'assurer que l'activité du compte est enregistrée, surveillée et alertée de manière appropriée. Vous pouvez utiliser les journaux CloudWatch pour configurer cela avec vos services AWS. Cette recommandation n'exclut pas l'utilisation d'une autre solution.

L'envoi de journaux CloudTrail à CloudWatch Logs facilite la journalisation de l'activité en temps réel et historique basée sur l'utilisateur, l'API, la ressource et l'adresse IP. Vous pouvez utiliser cette approche pour définir des alarmes et des notifications en cas d'activité anormale ou sensible du compte.

Pour intégrer CloudTrail à CloudWatch Logs, consultez la section Envoyer des événements à CloudWatch Logs dans le guide de l'utilisateur AWS CloudTrail.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

No AWS Credentials in CodeBuild Project Environment Variables

Nom de la catégorie dans l'API : CODEBUILD_PROJECT_ENVVAR_AWSCRED_CHECK

Cette opération vérifie si le projet contient les variables d'environnement AWS_ACCESS_KEY_ID et AWS_SECRET_ACCESS_KEY.

Les identifiants d'authentification AWS_ACCESS_KEY_ID et AWS_SECRET_ACCESS_KEY ne doivent jamais être stockés en texte clair, car cela pourrait entraîner une exposition involontaire des données et un accès non autorisé.

Pour supprimer des variables d'environnement d'un projet CodeBuild, consultez Modifier les paramètres d'un projet de compilation dans AWS CodeBuild du guide de l'utilisateur AWS CodeBuild. Assurez-vous que rien n'est sélectionné pour les variables d'environnement.

Vous pouvez stocker des variables d'environnement contenant des valeurs sensibles dans AWS Systems Manager Parameter Store ou AWS Secrets Manager, puis les récupérer à partir de votre spécification de compilation. Pour obtenir des instructions, consultez la zone intitulée "Important" dans la section "Environnement" du guide de l'utilisateur AWS CodeBuild.

read_more En savoir plus sur les éléments et les paramètres d'analyse compatibles de ce type de résultat.

Codebuild Project Source Repo Url Check

Nom de la catégorie dans l'API : CODEBUILD_PROJECT_SOURCE_REPO_URL_CHECK

Cette option vérifie si l'URL du dépôt source Bitbucket d'un projet AWS CodeBuild contient des jetons d'accès personnels ou un nom d'utilisateur et un mot de passe. Le contrôle échoue si l'URL du dépôt source Bitbucket contient des jetons d'accès personnels ou un nom d'utilisateur et un mot de passe.

Les identifiants de connexion ne doivent pas être stockés ni transmis en texte clair, et ne doivent pas apparaître dans l'URL du dépôt source. Au lieu de jetons d'accès personnels ou d'identifiants de connexion, accédez à votre fournisseur source dans CodeBuild et modifiez l'URL de votre dépôt source pour qu'elle ne contienne que le chemin d'accès vers l'emplacement du dépôt Bitbucket. L'utilisation de jetons d'accès personnels ou d'identifiants de connexion peut entraîner une exposition accidentelle des données ou un accès non autorisé.

Vous pouvez mettre à jour votre projet CodeBuild pour utiliser OAuth.

Pour supprimer l'authentification de base/le jeton d'accès personnel (GitHub) de la source du projet CodeBuild

1. Ouvrez la console CodeBuild à l'adresse https://console.aws.amazon.com/codebuild/.
2. Choisissez le projet de compilation contenant des jetons d'accès personnels ou un nom d'utilisateur et un mot de passe.
3. Dans Modifier, choisissez Source.
4. Choisissez "Se déconnecter de GitHub / Billard".
5. Choisissez "Se connecter via OAuth", puis "Se connecter à GitHub / Bitre".
6. Lorsque vous y êtes invité, sélectionnez "Autoriser" si nécessaire.
7. Reconfigurez l'URL de votre dépôt et les autres paramètres de configuration si nécessaire.
8. Sélectionnez la source de mise à jour.

Pour en savoir plus, consultez les exemples basés sur des cas d'utilisation de CodeBuild dans le guide de l'utilisateur AWS CodeBuild.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Credentials Unused 45 Days Greater Disabled

Nom de la catégorie dans l'API : CREDENTIALS_UNUSED_45_DAYS_GREATER_DISABLED

Les utilisateurs AWS IAM peuvent accéder aux ressources AWS à l'aide de différents types d'identifiants, tels que des mots de passe ou des clés d'accès. Nous vous recommandons de désactiver ou de supprimer tous les identifiants qui n'ont pas été utilisés depuis au moins 45 jours.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Default Security Group Vpc Restricts All Traffic

Nom de la catégorie dans l'API : DEFAULT_SECURITY_GROUP_VPC_RESTRICTS_ALL_TRAFFIC

Un VPC est fourni avec un groupe de sécurité par défaut dont les paramètres initiaux refusent tout trafic entrant, autorisent tout trafic sortant et autorisent tout trafic entre les instances attribuées au groupe de sécurité. Si vous ne spécifiez pas de groupe de sécurité lorsque vous lancez une instance, l'instance est automatiquement attribuée à ce groupe de sécurité par défaut. Les groupes de sécurité fournissent un filtrage avec état du trafic réseau entrant/sortant vers les ressources AWS. Il est recommandé que le groupe de sécurité par défaut restreigne tout le trafic.

Le groupe de sécurité par défaut du VPC par défaut de chaque région doit être mis à jour pour être conforme. Tout VPC nouvellement créé contiendra automatiquement un groupe de sécurité par défaut qui devra être corrigé pour se conformer à cette recommandation.

REMARQUE:Lors de la mise en œuvre de cette recommandation, la journalisation de flux VPC est inestimable pour déterminer l'accès au port du moindre privilège requis pour que les systèmes fonctionnent correctement, car elle peut consigner toutes les acceptations et tous les refus de paquets qui se produisent dans les groupes de sécurité actuels. Cela réduit considérablement le principal obstacle à l'ingénierie du moindre privilège : identifier le nombre minimal de ports requis par les systèmes de l'environnement. Même si la recommandation de journalisation de flux VPC de ce benchmark n'est pas adoptée comme mesure de sécurité permanente, elle doit être utilisée lors de toute période de découverte et d'ingénierie pour les groupes de sécurité du moindre privilège.

Membres du groupe de sécurité

Procédez comme suit pour implémenter l'état prescrit:

1. Identifier les ressources AWS qui existent dans le groupe de sécurité par défaut
2. Créer un ensemble de groupes de sécurité du moindre privilège pour ces ressources
3. Placez les ressources dans ces groupes de sécurité
4. Supprimez les ressources indiquées à la question 1 du groupe de sécurité par défaut

État du groupe de sécurité

1. Connectez-vous à la console de gestion AWS sur https://console.aws.amazon.com/vpc/home.
2. Répétez les étapes suivantes pour tous les VPC, y compris le VPC par défaut dans chaque région AWS:
3. Dans le volet de gauche, cliquez sur Security Groups.
4. Pour chaque groupe de sécurité par défaut, procédez comme suit:
5. Sélectionnez le groupe de sécurité default
6. Cliquez sur l'onglet Inbound Rules.
7. Supprimer les règles entrantes
8. Cliquez sur l'onglet Outbound Rules.
9. Supprimez toutes les règles sortantes.

Recommandations :

Les groupes IAM vous permettent de modifier le champ "name". Après avoir corrigé les règles de groupe par défaut pour tous les VPC de toutes les régions, modifiez ce champ pour ajouter un texte semblable à "NE PAS UTILISER NE PAS AJOUTER DE RÈGLES"

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Dms Replication Not Public

Nom de la catégorie dans l'API : DMS_REPLICATION_NOT_PUBLIC

Vérifie si les instances de réplication AWS DMS sont publiques. Pour ce faire, il examine la valeur du champ PubliclyAccessible.

Une instance de réplication privée possède une adresse IP privée à laquelle vous ne pouvez pas accéder en dehors du réseau de réplication. Une instance de réplication doit disposer d'une adresse IP privée lorsque les bases de données source et cible se trouvent sur le même réseau. Le réseau doit également être connecté au VPC de l'instance de réplication à l'aide d'un VPN, d'AWS Direct Connect ou de l'appairage de VPC. Pour en savoir plus sur les instances de réplication publiques et privées, consultez la section Instances de réplication publiques et privées du guide de l'utilisateur d'AWS Database Migration Service.

Vous devez également vous assurer que l'accès à la configuration de votre instance AWS DMS est limité aux seuls utilisateurs autorisés. Pour ce faire, limitez l'accès des utilisateurs Autorisations IAM permettant de modifier les paramètres et les ressources AWS DMS.

Vous ne pouvez pas modifier le paramètre d'accès public d'une instance de réplication DMS après l'avoir créée. Pour modifier le paramètre d'accès public, supprimez votre instance actuelle, puis recréez-la. Ne sélectionnez pas l'option "Accès public".

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Do Setup Access Keys During Initial User Setup All Iam Users Console

Nom de la catégorie dans l'API : DO_SETUP_ACCESS_KEYS_DURING_INITIAL_USER_SETUP_ALL_IAM_USERS_CONSOLE

Par défaut, aucune case n'est cochée dans la console AWS lorsque vous créez un utilisateur IAM. Lors de la création des identifiants utilisateur IAM, vous devez déterminer le type d'accès dont ils ont besoin.

Accès par programmation: l'utilisateur IAM peut avoir besoin d'effectuer des appels d'API, d'utiliser la CLI AWS ou d'utiliser Tools for Windows PowerShell. Dans ce cas, créez une clé d'accès (ID de clé d'accès et clé d'accès secrète) pour cet utilisateur.

Accès à la console de gestion AWS: si l'utilisateur doit accéder à la console de gestion AWS, créez un mot de passe pour cet utilisateur.

aws iam delete-access-key --access-key-id <access-key-id-listed> --user-name <users-name>

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Dynamodb Autoscaling Enabled

Nom de la catégorie dans l'API : DYNAMODB_AUTOSCALING_ENABLED

Cela permet de vérifier si une table Amazon DynamoDB peut faire évoluer sa capacité de lecture et d'écriture en fonction des besoins. Cette commande est acceptée si la table utilise le mode capacité à la demande ou le mode provisionné avec l'autoscaling configuré. Le scaling de la capacité en fonction de la demande évite de limiter les exceptions, ce qui contribue à maintenir la disponibilité de vos applications.

Les tables DynamoDB en mode capacité à la demande ne sont limitées que par les quotas de table par défaut de débit DynamoDB. Pour augmenter ces quotas, vous pouvez déposer une demande d'assistance via l'assistance AWS.

Les tables DynamoDB en mode provisionné avec le scaling automatique ajustent de manière dynamique la capacité de débit provisionnée en fonction des modèles de trafic. Pour en savoir plus sur la limitation des requêtes DynamoDB, consultez la section "Request throttling and intensive capacity" (Limitation des requêtes et capacité d'utilisation intensive) du guide du développeur Amazon DynamoDB.

Pour obtenir des instructions détaillées sur l'activation du scaling automatique DynamoDB sur des tables existantes en mode capacité, consultez la section Activer l'autoscaling DynamoDB sur les tables existantes du guide du développeur Amazon DynamoDB.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Dynamodb In Backup Plan

Nom de la catégorie dans l'API : DYNAMODB_IN_BACKUP_PLAN

Cette commande évalue si une table DynamoDB est couverte par un plan de sauvegarde. Le contrôle échoue si une table DynamoDB n'est pas couverte par un plan de sauvegarde. Cette commande n'évalue que les tables DynamoDB qui sont à l'état ACTIVE.

Les sauvegardes vous aident à récupérer plus rapidement après un incident de sécurité. Elles renforcent également la résilience de vos systèmes. Inclure des tables DynamoDB dans un plan de sauvegarde vous permet de protéger vos données contre toute perte ou suppression accidentelle.

Pour ajouter une table DynamoDB à un plan de sauvegarde AWS Backup, consultez Assigned resources to a backup plan (Attribuer des ressources à un plan de sauvegarde) dans le guide du développeur AWS Backup.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Dynamodb Pitr Enabled

Nom de la catégorie dans l'API : DYNAMODB_PITR_ENABLED

La récupération à un moment précis (PITR) est l'un des mécanismes disponibles pour sauvegarder les tables DynamoDB.

Une sauvegarde à un moment précis est conservée pendant 35 jours. Si vous avez besoin d'une conservation plus longue, consultez Configurer des sauvegardes planifiées pour Amazon DynamoDB à l'aide d'une sauvegarde AWS de la documentation AWS.

resource "aws_dynamodb_table" "example" {
  # ... other configuration ...
  point_in_time_recovery {
    enabled = true
  }
}

aws dynamodb update-continuous-backups \
  --table-name "GameScoresOnDemand" \
  --point-in-time-recovery-specification "PointInTimeRecoveryEnabled=true"

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Dynamodb Table Encrypted Kms

Nom de la catégorie dans l'API : DYNAMODB_TABLE_ENCRYPTED_KMS

Vérifie si toutes les tables DynamoDB sont chiffrées avec une clé KMS gérée par le client (autre que celle par défaut).

resource "aws_kms_key" "dynamodb_encryption" {
  description         = "Used for DynamoDB encryption configuration"
  enable_key_rotation = true
}

resource "aws_dynamodb_table" "example" {
  # ... other configuration ...
  server_side_encryption {
    enabled     = true
    kms_key_arn = aws_kms_key.dynamodb_encryption.arn
  }
}

aws dynamodb update-table \
  --table-name <value> \
  --sse-specification "Enabled=true,SSEType=KMS,KMSMasterKeyId=<kms_key_arn>"

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Ebs Optimized Instance

Nom de la catégorie dans l'API : EBS_OPTIMIZED_INSTANCE

Vérifiez si l'optimisation EBS est activée pour vos instances EC2 pouvant être optimisées

Pour configurer les paramètres des instances optimisées pour EBS, consultez la section Instances optimisées pour Amazon EBS du guide de l'utilisateur Amazon EC2.

read_more En savoir plus sur les éléments et les paramètres d'analyse compatibles de ce type de résultat.

Ebs Snapshot Public Restorable Check

Nom de la catégorie dans l'API : EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK

Vérifie si les instantanés Amazon Elastic Block Store ne sont pas publics. Le contrôle échoue si les instantanés Amazon EBS peuvent être restaurés par n'importe qui.

Les instantanés EBS sont utilisés pour sauvegarder les données de vos volumes EBS dans Amazon S3 à un moment précis. Vous pouvez utiliser les instantanés pour restaurer les états précédents des volumes EBS. Il est rarement acceptable de partager un instantané en mode public. En général, la décision de partager un instantané publiquement a été prise par erreur ou sans en comprendre parfaitement les conséquences. Cette vérification permet de s'assurer que ce partage était entièrement planifié et intentionnel.

read_more En savoir plus sur ce type de résultat les éléments compatibles et les paramètres d'analyse.

Ebs Volume Encryption Enabled All Regions

Nom de la catégorie dans l'API : EBS_VOLUME_ENCRYPTION_ENABLED_ALL_REGIONS

Elastic Compute Cloud (EC2) prend en charge le chiffrement au repos lors de l'utilisation du service EBS (Elastic Block Store). Bien qu'il soit désactivé par défaut, il est possible de forcer le chiffrement lors de la création de volumes EBS.

aws --region <region> ec2 enable-ebs-encryption-by-default

read_more En savoir plus sur les éléments et les paramètres d'analyse compatibles de ce type de résultat.

Ec2 Instances In Vpc

Nom de la catégorie dans l'API : EC2_INSTANCES_IN_VPC

Amazon VPC offre plus de fonctionnalités de sécurité que EC2 Classic. Il est recommandé que tous les nœuds appartiennent à un VPC Amazon.

  resource "aws_vpc" "example_vpc" {
    cidr_block = "10.0.0.0/16"
  }

  resource "aws_subnet" "example_public_subnet" {
    vpc_id            = aws_vpc.example_vpc.id
    cidr_block        = "10.0.1.0/24"
    availability_zone = "1a"
  }

  resource "aws_internet_gateway" "example_igw" {
    vpc_id = aws_vpc.example_vpc.id
  }

  resource "aws_key_pair" "example_key" {
    key_name   = "web-instance-key"
    public_key = "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQD3F6tyPEFEzV0LX3X8BsXdMsQz1x2cEikKDEY0aIj41qgxMCP/iteneqXSIFZBp5vizPvaoIR3Um9xK7PGoW8giupGn+EPuxIA4cDM4vzOqOkiMPhz5XK0whEjkVzTo4+S0puvDZuwIsdiW9mxhJc7tgBNL0cYlWSYVkz4G/fslNfRPW5mYAM49f4fhtxPb5ok4Q2Lg9dPKVHO/Bgeu5woMc7RY0p1ej6D4CKFE6lymSDJpW0YHX/wqE9+cfEauh7xZcG0q9t2ta6F6fmX0agvpFyZo8aFbXeUBr7osSCJNgvavWbM/06niWrOvYX2xwWdhXmXSrbX8ZbabVohBK41 email@example.com"
  }

  resource "aws_security_group" "web_sg" {
    name   = "http and ssh"
    vpc_id = aws_vpc.some_custom_vpc.id

    ingress {
      from_port   = 80
      to_port     = 80
      protocol    = "tcp"
      cidr_blocks = ["0.0.0.0/0"]
    }

    ingress {
      from_port   = 22
      to_port     = 22
      protocol    = "tcp"
      cidr_blocks = ["0.0.0.0/0"]
    }

    egress {
      from_port   = 0
      to_port     = 0
      protocol    = -1
      cidr_blocks = ["0.0.0.0/0"]
    }
  }

  resource "aws_instance" "web" {
    ami                    = <ami_id>
    instance_type          = <instance_flavor>
    key_name               = aws_key_pair.example_key.name
    monitoring             = true
    subnet_id              = aws_subnet.example_public_subnet.id
    vpc_security_group_ids = [aws_security_group.web_sg.id]
    metadata_options {
      http_tokens = "required"
    }
  }