Se usó la API de Cloud Translation para traducir esta página.

Soluciona los problemas de las estadísticas de estado de seguridad

En esta página, se proporciona una lista de guías de referencia y técnicas para corregir los resultados de las estadísticas del estado de seguridad mediante el Security Command Center.

Necesitas funciones adecuadas de Identity and Access Management (IAM) para ver o editar los resultados, y acceder o modificar los recursos de Google Cloud. Si encuentras permisos de administrador cuando se accede a Security Command Center en de Google Cloud, pídele a tu administrador y, para obtener más información sobre los roles, consulta Control de acceso. Para resolver los errores de recursos, lee la documentación de los productos afectados.

Solución de estadísticas de estado de seguridad

En esta sección, se incluyen instrucciones para solucionar todos los resultados de Security Health Analytics.

Desactivación de los resultados después de la corrección

Después de corregir una vulnerabilidad o un hallazgo de configuración incorrecta, Security Health Analytics establece automáticamente el estado del resultado en INACTIVE. la próxima vez que busque el hallazgo. Cuánto tarda Security Health Analytics en establecer un hallazgo corregido como INACTIVE depende del momento en que se fija el hallazgo y del cronograma del análisis detecta el hallazgo.

Security Health Analytics también establece el estado de un resultado en INACTIVE cuando un análisis detecta que el recurso se ve afectado por el hallazgo cuando se borra un grupo de anuncios. Si quieres quitar el resultado de un recurso borrado de la pantalla mientras esperas que Security Health Analytics detectar que el recurso se borró, puedes silenciar el hallazgo. Para silenciar un resultado, consulta Silencia los resultados en Security Command Center.

No uses silenciar para ocultar los resultados corregidos de los recursos existentes. Si el problema persiste, y Security Health Analytics restablece el ACTIVE estado del resultado, es posible que no lo veas, ya que los resultados silenciados se excluyen de cualquier búsqueda que especifique NOT mute="MUTED", como la búsqueda predeterminada.

Para obtener información sobre los intervalos de análisis, consulta Tipos de análisis de Security Health Analytics.

`Access Transparency disabled`

Nombre de categoría en la API: ACCESS_TRANSPARENCY_DISABLED

los registros de Transparencia de acceso cuando los empleados acceder a los proyectos de tu organización para brindar asistencia. Habilitar Transparencia de acceso permite registrar quién accede a tus datos de Google Cloud información, cuándo y por qué. Para obtener más información, consulta Transparencia de acceso.

Para habilitar la Transparencia de acceso en un proyecto, este debe estar asociado a un cuenta de facturación.

Roles obligatorios

Para obtener los permisos necesarios para realizar esta tarea, pídele a tu administrador que te otorgue el Administrador de Transparencia de acceso (roles/axt.admin) rol de IAM a nivel de la organización. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso.

Este rol predefinido contiene los permisos axt.labels.get y axt.labels.set, que son necesarias para realizar esta tarea. Es posible que también obtener estos permisos con una rol personalizado u otro roles predefinidos.

Pasos para soluciones

Para solucionar este resultado, completa los siguientes pasos:

Verifica tus permisos a nivel de la organización:
1. Ve a la página Identity and Access Management Consola de Google Cloud
  
  Ir a Identity and Access Management
2. Si se te solicita, selecciona la organización de Google Cloud en selector.
Selecciona cualquier proyecto de Google Cloud dentro de la organización que use el selector.

La Transparencia de acceso se configura en una página del proyecto de Google Cloud, pero está habilitada para toda la organización.
Ve a la página IAM y administración > Configuración.
Haz clic en Habilitar la Transparencia de acceso.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`AlloyDB auto backup disabled`

Nombre de categoría en la API: ALLOYDB_AUTO_BACKUP_DISABLED

Un clúster de AlloyDB para PostgreSQL no tiene habilitadas las copias de seguridad automáticas.

Para evitar la pérdida de datos, activa las copias de seguridad automáticas para tu clúster. Para ver más consulta Configura copias de seguridad automáticas adicionales.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página de clústeres de AlloyDB para PostgreSQL en la Consola de Google Cloud

Ir a los clústeres de AlloyDB para PostgreSQL
Haz clic en un clúster de la columna Nombre del recurso.
Haz clic en Protección de datos.
En la sección Política de copias de seguridad automáticas, haz clic en Editar. Copias de seguridad automáticas.
Selecciona la casilla de verificación Automatizar copias de seguridad.
Haz clic en Actualizar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`AlloyDB backups disabled`

Nombre de categoría en la API: ALLOYDB_BACKUPS_DISABLED

Un clúster de AlloyDB para PostgreSQL no tiene copias de seguridad automáticas ni continuas habilitado.

Para evitar la pérdida de datos, activa las copias de seguridad automáticas o continuas para tu clúster. Para obtener más información, consulta Configura copias de seguridad adicionales.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página de clústeres de AlloyDB para PostgreSQL en la Consola de Google Cloud

Ir a los clústeres de AlloyDB para PostgreSQL
En la columna Nombre del recurso, haz clic en el nombre del clúster que se identificados en el hallazgo.
Haz clic en Protección de datos.
Configura una política de copia de seguridad.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`AlloyDB CMEK disabled`

Nombre de categoría en la API: ALLOYDB_CMEK_DISABLED

Un clúster de AlloyDB no está usando claves de encriptación administradas por el cliente (CMEK).

Con CMEK, las claves que creas y administras en Cloud KMS envuelven las claves que usa Google para encriptar tus datos, lo que te brinda más control sobre el acceso a tus datos. Para obtener más información, consulta Acerca de CMEK. CMEK genera costos adicionales relacionados con Cloud KMS.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página de clústeres de AlloyDB para PostgreSQL en la Consola de Google Cloud

Ir a los clústeres de AlloyDB para PostgreSQL
En la columna Nombre del recurso, haz clic en el nombre del clúster que se identificados en el hallazgo.
Haz clic en Crear copia de seguridad. Establece un ID de copia de seguridad.
Haz clic en Crear.
En la sección Copia de seguridad/Restablecer, haz clic en Restablecer junto al ID de copia de seguridad que elegiste.
Configura un ID de clúster y una red nuevos.
Haz clic en Opciones de encriptación avanzada. Selecciona la CMEK que deseas encriptar el clúster nuevo.
Haz clic en Restore.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`AlloyDB log min error statement severity`

Nombre de categoría en la API: ALLOYDB_LOG_MIN_ERROR_STATEMENT_SEVERITY

Una instancia de AlloyDB para PostgreSQL no tiene el log_min_error_statement La marca de base de datos está establecida en error o algún otro valor recomendado.

La marca log_min_error_statement controla si las instrucciones de SQL que causan las condiciones de error están registradas en los registros del servidor. instrucciones de SQL de la configuración de gravedad alta o superior. Cuanto mayor sea la gravedad, menos mensajes se graban. Si se establece en un nivel de gravedad demasiado alto, es posible que los mensajes de error no registrado.

Para obtener más información, consulta Configura marcas de base de datos.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página de clústeres de AlloyDB para PostgreSQL en la Consola de Google Cloud

Ir a los clústeres de AlloyDB para PostgreSQL
Haz clic en el clúster en la columna Nombre del recurso.
En la sección Instancias en tu clúster, haz clic en Editar para instancia.
Haz clic en Advanced Configuration Options.
En la sección Marcas, configura las Marca de base de datos log_min_error_statement con uno de los siguientes valores valores recomendados, según la política de registro de tu organización.
- debug5
- debug4
- debug3
- debug2
- debug1
- info
- notice
- warning
- error
Haz clic en Actualizar instancia.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`AlloyDB log min messages`

Nombre de categoría en la API: ALLOYDB_LOG_MIN_MESSAGES

Una instancia de AlloyDB para PostgreSQL no tiene el log_min_messages La marca de base de datos está establecida en warning como mínimo.

La marca log_min_messages controla en qué niveles de mensaje se registran. los registros del servidor. Mientras mayor sea la gravedad, menos mensajes se registrarán. Parámetro de configuración un umbral demasiado bajo puede aumentar el tamaño y la longitud del almacenamiento de registros lo que dificulta la detección de errores reales.

Para obtener más información, consulta Configura marcas de base de datos.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página de clústeres de AlloyDB para PostgreSQL en la Consola de Google Cloud

Ir a los clústeres de AlloyDB para PostgreSQL
Haz clic en el clúster en la columna Nombre del recurso.
En la sección Instancias en tu clúster, haz clic en Editar para instancia.
Haz clic en Advanced Configuration Options.
En la sección Marcas, configura las Marca de base de datos log_min_messages con uno de los siguientes valores valores recomendados, según la política de registro de tu organización.
- debug5
- debug4
- debug3
- debug2
- debug1
- info
- notice
- warning
Haz clic en Actualizar instancia.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`AlloyDB log error verbosity`

Nombre de categoría en la API: ALLOYDB_LOG_ERROR_VERBOSITY

Una instancia de AlloyDB para PostgreSQL no tiene el log_error_verbosity marca de base de datos establecida en default o en otro valor menos restrictivo.

La marca log_error_verbosity controla la cantidad de detalles en los mensajes. registrado. Mientras mayor sea la verbosidad, más detalles se registrarán en los mensajes. Recomendamos establecer esta marca en default o en otro valor menos restrictivo.

Para obtener más información, consulta Configura marcas de base de datos.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página de clústeres de AlloyDB para PostgreSQL en la Consola de Google Cloud

Ir a los clústeres de AlloyDB para PostgreSQL
Haz clic en el clúster en la columna Nombre del recurso.
En la sección Instancias en tu clúster, haz clic en Editar para instancia.
Haz clic en Advanced Configuration Options.
En la sección Marcas, configura las Marca de base de datos log_error_verbosity con uno de los siguientes valores valores recomendados, según la política de registro de tu organización.
- default
- verbose
Haz clic en Actualizar instancia.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`AlloyDB Public IP`

Nombre de categoría en la API: ALLOYDB_PUBLIC_IP

Una instancia de base de datos de AlloyDB para PostgreSQL tiene una dirección IP pública.

Para reducir la superficie de ataque de tu organización, usa una IP privada en lugar de pública direcciones IP del proveedor. Las direcciones IP privadas ofrecen una seguridad de red mejorada y una menor la latencia de tu aplicación.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página de clústeres de AlloyDB para PostgreSQL en la Consola de Google Cloud

Ir a los clústeres de AlloyDB para PostgreSQL
En la columna Nombre del recurso, haz clic en el nombre del clúster que se identificados en el hallazgo.
En la sección Instancias en tu clúster, haz clic en Editar para instancia.
En la sección Conectividad, desmarca la casilla Habilitar IP pública.
Haz clic en Actualizar instancia.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`AlloyDB SSL not enforced`

Nombre de categoría en la API: ALLOYDB_SSL_NOT_ENFORCED

Una instancia de base de datos de AlloyDB para PostgreSQL no requiere todas para usar SSL.

Para evitar que se filtren datos sensibles en tránsito a través de comunicaciones no encriptadas, todas las conexiones entrantes a tu instancia de base de datos de AlloyDB deben usar SSL. Obtén más información sobre la configuración de certificados SSL/TLS.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página de clústeres de AlloyDB para PostgreSQL en la Consola de Google Cloud

Ir a los clústeres de AlloyDB para PostgreSQL
En la columna Nombre del recurso, haz clic en el nombre del clúster que se identificados en el hallazgo.
En la sección Instancias en tu clúster, haz clic en Editar para instancia.
En la sección Seguridad de red, haz clic en la casilla de Requerir encriptación de SSL
Haz clic en Actualizar instancia.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Admin service account`

Nombre de categoría en la API: ADMIN_SERVICE_ACCOUNT

Una cuenta de servicio en tu organización o proyecto tiene Administrador, Propietario o Editor. privilegios que se le asignaron. Estas funciones tienen permisos amplios y no se deben asignar a cuentas de servicio. Para obtener información sobre las cuentas de servicio y las funciones disponibles para ellas, consulta Cuentas de servicio.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página de política de IAM en la consola de Google Cloud.

Ir a la política de IAM
Sigue estos pasos para cada principal identificada en el resultado:
1. Haz clic en Editar junto a la principal.
2. Para quitar los permisos, haz clic en Borrar junto a la función en conflicto.
3. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Alpha cluster enabled`

Nombre de categoría en la API: ALPHA_CLUSTER_ENABLED

Las características del clúster alfa están habilitadas para un clúster de Google Kubernetes Engine (GKE).

Los clústeres alfa permiten a los usuarios pioneros experimentar con cargas de trabajo que usan funciones nuevas antes de que se lancen al público general. Los clústeres alfa tienen todas las funciones de la API de Kubernetes habilitadas, pero no están cubiertos por el ANS de GKE, no reciben actualizaciones de seguridad, tienen inhabilitada la actualización y la reparación automáticas de nodos y no se pueden actualizar. Además, se borran automáticamente después de 30 días.

Para solucionar este resultado, completa los siguientes pasos:

No se pueden inhabilitar los clústeres Alfa. Debes crear un clúster nuevo con funciones alfa inhabilitadas.

Ve a la página Clústeres de Kubernetes en la consola de Google Cloud.

Ir a clústeres de Kubernetes
Haga clic en Crear.
Selecciona Configurar junto al tipo de clúster que quieres crear.
En la pestaña Funciones, asegúrate de que la opción Habilitar funciones Alfa de Kubernetes en este clúster esté inhabilitada.
Nota: Si seleccionasteAutopilot de GKE, no verás esta opción porque los clústeres alfa no son compatibles.
Haga clic en Crear.
Para mover las cargas de trabajo al clúster nuevo, consulta Migra cargas de trabajo a diferentes tipos de máquina.
Para borrar el clúster original, consulta Borra un clúster.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`API key APIs unrestricted`

Nombre de categoría en la API: API_KEY_APIS_UNRESTRICTED

Hay claves de API que se usan de una forma demasiado general.

Las claves de API no restringidas son inseguras porque se pueden recuperar desde los dispositivos en los que están almacenadas o se pueden ver públicamente, por ejemplo, desde un navegador. De acuerdo con el principio de mínimo privilegio, configura las claves de API para que solo llamen a las API requeridas por la aplicación. Para obtener más información, consulta Aplica restricciones de clave de API.

Para solucionar este resultado, completa los siguientes pasos:

En la consola de Google Cloud, ve a la página Biblioteca de API.

Ir a claves de API
En el caso de cada clave de API:
1. En la sección claves de API, en la fila de cada clave de API para la que necesitas restringir las APIs, muestra el menú de Acciones haciendo clic en el ícono .
2. En el menú Acciones, haz clic en Editar clave de API. Se abrirá la página Editar clave de API.
3. En la sección Restricciones de API, selecciona Restringir las APIs. Aparecerá el menú desplegable Seleccionar las APIs.
4. En la lista desplegable Seleccionar las API, selecciona las API que quieres permitir.
  Advertencia: No establezcas restricciones de API en Google las APIs de Cloud, ya que permiten el acceso a todos los servicios que ofrece en Google Cloud.
  .
5. Haz clic en Guardar. La configuración puede demorar hasta cinco minutos en aplicarse.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`API key apps unrestricted`

Nombre de categoría en la API: API_KEY_APPS_UNRESTRICTED

Hay claves de API que se usan de manera ilimitada y permiten el uso de cualquier app no confiable.

Las claves de API no restringidas son inseguras porque se pueden recuperar en dispositivos en los que están almacenadas o se pueden ver públicamente, por ejemplo, desde un navegador. De acuerdo con el principio de mínimo privilegio, restringe el uso de la clave de API a los hosts, referentes HTTP y apps de confianza. Para obtener más información, consulta Aplica restricciones de clave de API.

Para solucionar este resultado, completa los siguientes pasos:

En la consola de Google Cloud, ve a la página Biblioteca de API.

Ir a claves de API
En el caso de cada clave de API:
1. En la sección claves de API, en la fila de cada clave de API para la que necesitas restringir las aplicaciones, muestra el menú de Acciones haciendo clic en el ícono .
2. En el menú Acciones, haz clic en Editar clave de API. Se abrirá la página Editar clave de API.
3. En la página Editar clave de API, en Restricciones de aplicaciones, selecciona una categoría de restricción. Puedes configurar una restricción de aplicaciones por clave.
4. En el campo Agregar un elemento que aparece cuando seleccionas una restricción, haz clic en Agregar un elemento para agregar restricciones según las necesidades de tu aplicación.
5. Cuando termines de agregar los elementos, haz clic en Listo.
  Advertencia: No configures las URLs de referencia HTTP como comodines que permiten el acceso a cualquier URL de referencia HTTP o amplia, por ejemplo, *, *.[TLD] o .[TLD]/*). No establezcas direcciones IP ni referencias en permitir cualquier host (0.0.0.0, ::0 o 0.0.0.0/0).
6. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`API key exists`

Nombre de categoría en la API: API_KEY_EXISTS

Un proyecto usa claves de API en lugar de la autenticación estándar.

Las claves de API son menos seguras que otros métodos de autenticación porque son strings encriptadas de forma simple y fáciles de encontrar y usar. Se pueden recuperar en dispositivos en los que están almacenadas o se pueden ver de forma pública, por ejemplo, desde un navegador. Además, las claves de API no son un identificador único de usuarios o aplicaciones que realizan solicitudes. Como alternativa, puedes usar un flujo de autenticación estándar, con cuentas de servicio o cuentas de usuario.

Para solucionar este resultado, completa los siguientes pasos:

Asegúrate de que tus aplicaciones estén configuradas con un método de autenticación alternativo.
Ve a la página Credenciales de API en la consola de Google Cloud.

Ir a Credenciales de API
En la sección Claves de API en la fila de cada clave de API que necesitas borrar, haz clic en el ícono para mostrar el menú Acciones.
En el menú Acciones, haz clic en Borrar clave de API.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`API key not rotated`

Nombre de categoría en la API: API_KEY_NOT_ROTATED

Una clave de API no se rota hace más de 90 días.

Las claves de API no vencen, por lo que las claves robadas se pueden usar de forma indefinida hasta que el propietario del proyecto las revoque o rote. Cuando vuelves a generar las claves de API con frecuencia, se reduce la cantidad de tiempo que se puede usar una clave robada para acceder a los datos en cuenta vulnerada o inhabilitada. Rota las claves de API al menos cada 90 días. Para obtener más información, consulta Protege una clave de API.

Para solucionar este resultado, completa los siguientes pasos:

En la consola de Google Cloud, ve a la página Biblioteca de API.

Ir a claves de API
En el caso de cada clave de API:
1. En la sección Claves de API de la fila correspondiente a cada clave de API que necesites rotar, haz clic en el ícono para mostrar el menú Acciones.
2. En el menú Acciones, haz clic en Editar clave de API. Se abrirá la página Editar clave de API.
3. En la página Editar clave de API, si la fecha en el campo Fecha de creación es anterior a 90 días, haz clic en para reemplazar la clave. Regenera clave en la parte superior de la página. Se generará una clave de reemplazo nueva.
4. Haz clic en Guardar.
5. Para garantizar que tus aplicaciones sigan funcionando sin interrupciones, actualízalas a fin de que usen la clave de API nueva. La clave de API anterior funciona durante 24 horas antes de que se desactive de forma permanente.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Audit config not monitored`

Nombre de categoría en la API: AUDIT_CONFIG_NOT_MONITORED

Las métricas y alertas de registro no están configuradas para supervisar los cambios en la configuración de auditoría.

Cloud Audit Logging produce actividad de administrador y registros de acceso a los datos, lo que permite realizar análisis de seguridad, hacer un seguimiento de cambios en los recursos y auditorías de cumplimiento. Mediante la supervisión de los cambios en la configuración de auditoría, te aseguras de que todas las actividades en tu proyecto se puedan auditar en cualquier momento. Para obtener más información, consulta Descripción general de las métricas basadas en registros.

Según la cantidad de información, los costos de Cloud Monitoring pueden ser significativos. Para comprender el uso que haces del servicio y sus costos, consulta Optimización de costos para la observabilidad de Google Cloud.

Para las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en el organización principal.

Para solucionar este problema, crea métricas, si es necesario, y políticas de alertas:

Crear métrica

Ve a la página Métricas basadas en registros en la consola de Google Cloud.

Ir a Métricas basadas en registros
Haga clic en Crear métrica.
En Tipo de métrica, selecciona Contador.
En Detalles, haz lo siguiente:
1. Establece un nombre de métrica de registro.
2. Agrega una descripción.
3. Establece las Unidades en 1.
En Selección de filtro, copia y pega el siguiente texto en Cuadro Crear filtro, que reemplaza el texto existente, si es necesario:
```
  protoPayload.methodName="SetIamPolicy"
  AND protoPayload.serviceData.policyDelta.auditConfigDeltas:*
```
Haga clic en Crear métrica. Verás un mensaje de confirmación.

Crear una política de alertas

En la consola de Google Cloud, ve a la página Métricas basadas en registros.
Ir a Métricas basadas en registros

Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.
En la sección Métricas definidas por el usuario, selecciona la métrica que creaste en la sección anterior.
Haz clic en Más y, luego, en Crear alerta a partir de métricas.

Se abre el cuadro de diálogo Condición nueva con las opciones de transformación de métricas y datos ya propagadas.
Haga clic en Next.
1. Revisa la configuración ya propagada. Te recomendamos modificar el Valor del umbral.
2. Haz clic en Nombre de la condición y, luego, ingresa un nombre para la condición.
Haz clic en Siguiente.
Para agregar notificaciones a tu política de alertas, haz clic en Canales de notificación. En el diálogo, selecciona uno o más canales de notificaciones del menú y, luego, haz clic en Aceptar.

Para recibir una notificación cuando se abran y cierren los incidentes, marca Notificar el cierre del incidente. De forma predeterminada, las notificaciones se envían solo cuando los incidentes de seguridad.
Opcional: Actualiza la Duración del cierre automático de incidentes. Este campo determina cuándo Monitoring cierra los incidentes ante la ausencia de datos de métricas.
Opcional: Haz clic en Documentación y, luego, agrega la información que deseas incluir en un mensaje de notificación.
Haz clic en Nombre de la alerta y, luego, ingresa un nombre para la política de alertas.
Haga clic en Crear política.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Audit logging disabled`

Nombre de categoría en la API: AUDIT_LOGGING_DISABLED

Este hallazgo no está disponible para activaciones a nivel de proyecto.

El registro de auditoría está inhabilitado para uno o más servicios de Google Cloud. una o más principales están exentas del registro de auditoría de acceso a los datos.

Habilita Cloud Logging para todos los servicios a fin de realizar un seguimiento de todas las actividades de administrador, acceso de lectura y escritura a los datos del usuario. Según la cantidad de información, los costos de Cloud Logging pueden ser significativos. Para comprender el uso que haces del servicio y su costo, consulta Optimización de costos para la observabilidad de Google Cloud.

Si alguna principal está exenta del registro de auditoría de acceso a los datos en la configuración predeterminada de los registros de auditoría de configuración de cualquier servicio individual, quita la exención.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Configuración predeterminada de los registros de auditoría de acceso a los datos en la Consola de Google Cloud

Ir a la configuración predeterminada
En la pestaña Tipos de registro, activa el registro de auditoría de acceso a los datos. la configuración predeterminada:
1. Selecciona Lectura de administración, Lectura de datos y Escritura de datos.
2. Haz clic en Guardar.
En la pestaña Principales exentas, quita a todos los usuarios exentos de la configuración predeterminada:
1. Para quitar cada principal de la lista, haz clic en Borrar. siguiente a cada nombre.
2. Haz clic en Guardar.
Ve a la página Registros de auditoría.

Ir a Registros de auditoría
Quita las principales exentas de los parámetros de configuración del registro de auditoría de acceso a los datos de servicios individuales.
1. En Configuración de registros de auditoría de acceso a los datos, para cada servicio que muestra una principal exenta, haz clic en el servicio. Un registro de auditoría de configuración de Terraform para el servicio.
2. En la pestaña Principales exentas, quita todas las principales exentas. haciendo clic en Borrar. al lado de cada elemento de la fuente de datos.
3. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Auto backup disabled`

Nombre de categoría en la API: AUTO_BACKUP_DISABLED

Una base de datos de Cloud SQL no tiene habilitadas las copias de seguridad automáticas.

Para evitar la pérdida de datos, activa las copias de seguridad automáticas para tus instancias de SQL. Para obtener más información, consulta Crea y administra copias de seguridad automáticas y bajo demanda.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Copias de seguridad de instancias de SQL en la consola de Google Cloud.

Ir a Copias de seguridad de instancias de SQL
Junto a Configuración, haz clic en Editar .
Selecciona la casilla para Automatizar copias de seguridad.
En el menú desplegable, elige un período para que se cree una copia de seguridad de tus datos de forma automática.
Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Auto repair disabled`

Nombre de categoría en la API: AUTO_REPAIR_DISABLED

Se inhabilita la función de reparación automática de un clúster de Google Kubernetes Engine (GKE), que mantiene los nodos en buen estado.

Cuando está habilitada, GKE realiza controles periódicos al estado de cada nodo en el clúster. Si un nodo falla en varias verificaciones de estado consecutivas durante un período prolongado, GKE inicia un proceso de reparación para ese nodo. Para obtener más información, consulta Reparación automática de nodos.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Clústeres de Kubernetes en la consola de Google Cloud.

Ir a clústeres de Kubernetes
Haz clic en la pestaña Nodos.
En cada grupo de nodos:
1. Haz clic en el nombre del grupo de nodos para ir a su página de detalles.
2. Haz clic en Editar .
3. En Administración, selecciona Habilitar reparación automática.
4. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Auto upgrade disabled`

Nombre de categoría en la API: AUTO_UPGRADE_DISABLED

Se inhabilita una función de actualización automática de un clúster de GKE, que mantiene los clústeres y grupos de nodos en la última versión estable de Kubernetes.

Para obtener más información, consulta la información sobre cómo actualizar automáticamente los nodos.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Clústeres de Kubernetes en la consola de Google Cloud.

Ir a clústeres de Kubernetes
En la lista de clústeres, haz clic en el nombre del clúster.
Haz clic en la pestaña Nodos.
En cada grupo de nodos:
1. Haz clic en el nombre del grupo de nodos para ir a su página de detalles.
2. Haz clic en Editar .
3. En Administración, selecciona Habilitar actualización automática.
4. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`BigQuery table CMEK disabled`

Nombre de categoría en la API: BIGQUERY_TABLE_CMEK_DISABLED

Una tabla de BigQuery no está configurada para usar una clave de encriptación administrada por el cliente (CMEK).

Con CMEK, las claves que creas y administras en Cloud KMS envuelven las claves que usa Google Cloud para encriptar tus datos, lo que te brinda más control sobre el acceso a tus datos. Para obtener más información, consulta Protege datos con claves de Cloud KMS.

Para solucionar este resultado, completa los siguientes pasos:

Para establecer una clave CMEK predeterminada que encripte todas las tablas nuevas de un conjunto de datos, consulta Configura una clave predeterminada de conjunto de datos.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Binary authorization disabled`

Nombre de categoría en la API: BINARY_AUTHORIZATION_DISABLED

La autorización binaria está inhabilitada en un clúster de GKE.

La autorización binaria incluye una función opcional que protege la seguridad de la cadena de suministro, ya que solo permite que las imágenes de contenedor firmadas por autoridades de confianza durante el proceso de desarrollo se implementen en el clúster. Cuando aplicas una implementación basada en firmas, obtienes un mayor control sobre el entorno de contenedores, lo que garantiza que solo se puedan implementar imágenes verificadas.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Clústeres de Kubernetes en la consola de Google Cloud.

Ir a clústeres de Kubernetes
En la sección Seguridad, haz clic en el ícono de edición () en la fila Autorización binaria.

Si la configuración del clúster cambió recientemente, el botón de edición puede estar inhabilitado. Si no puedes editar la configuración del clúster, espera unos minutos y vuelve a intentarlo.
En el cuadro de diálogo, selecciona Habilitar Autorización binaria.
Haz clic en Guardar cambios.
Ve a la página Autorización binaria.

Ve a Autorización binaria
Asegúrate de que esté configurada una política que requiera certificadores y que la regla predeterminada del proyecto no esté configurada para Permitir todas las imágenes. Para obtener más información, consulta Configura GKE.

Para garantizar que las imágenes que infringen la política se puedan implementar y que las infracciones se registren en los registros de auditoría de Cloud, puedes habilitar el modo de ejecución de prueba.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Bucket CMEK disabled`

Nombre de categoría en la API: BUCKET_CMEK_DISABLED

Un bucket no está encriptado con claves de encriptación administradas por el cliente (CMEK).

Establecer una CMEK predeterminada en un bucket te brinda más control sobre el acceso a tus datos. Para obtener más información, consulta Claves de encriptación administradas por el cliente.

Para solucionar este problema, usa CMEK con un bucket mediante el uso de claves de encriptación administradas por el cliente. Las CMEK generan costos adicionales relacionados con Cloud KMS.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Bucket IAM not monitored`

Nombre de categoría en la API: BUCKET_IAM_NOT_MONITORED

Las métricas y alertas de registros no están configuradas para supervisar los cambios de permiso de IAM de Cloud Storage.

La supervisión de los cambios en los permisos del bucket de Cloud Storage te ayuda a identificar a los usuarios con privilegios excesivos o las actividades sospechosas. Para obtener más información, consulta Descripción general de las métricas basadas en registros.

Para las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en el organización principal.

Para solucionar este resultado, completa los siguientes pasos:

Crear métrica

Ve a la página Métricas basadas en registros en la consola de Google Cloud.

Ir a Métricas basadas en registros
Haga clic en Crear métrica.
En Tipo de métrica, selecciona Contador.
En Detalles, haz lo siguiente:
1. Establece un nombre de métrica de registro.
2. Agrega una descripción.
3. Establece las Unidades en 1.
En Selección de filtro, copia y pega el siguiente texto en Cuadro Crear filtro, que reemplaza el texto existente, si es necesario:
```
  resource.type=gcs_bucket
  AND protoPayload.methodName="storage.setIamPermissions"
```
Haga clic en Crear métrica. Verás un mensaje de confirmación.

Crear una política de alertas

En la consola de Google Cloud, ve a la página Métricas basadas en registros.
Ir a Métricas basadas en registros

Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.
En la sección Métricas definidas por el usuario, selecciona la métrica que creaste en la sección anterior.
Haz clic en Más y, luego, en Crear alerta a partir de métricas.

Se abre el cuadro de diálogo Condición nueva con las opciones de transformación de métricas y datos ya propagadas.
Haga clic en Next.
1. Revisa la configuración ya propagada. Te recomendamos modificar el Valor del umbral.
2. Haz clic en Nombre de la condición y, luego, ingresa un nombre para la condición.
Haz clic en Siguiente.
Para agregar notificaciones a tu política de alertas, haz clic en Canales de notificación. En el diálogo, selecciona uno o más canales de notificaciones del menú y, luego, haz clic en Aceptar.

Para recibir una notificación cuando se abran y cierren los incidentes, marca Notificar el cierre del incidente. De forma predeterminada, las notificaciones se envían solo cuando los incidentes de seguridad.
Opcional: Actualiza la Duración del cierre automático de incidentes. Este campo determina cuándo Monitoring cierra los incidentes ante la ausencia de datos de métricas.
Opcional: Haz clic en Documentación y, luego, agrega la información que deseas incluir en un mensaje de notificación.
Haz clic en Nombre de la alerta y, luego, ingresa un nombre para la política de alertas.
Haga clic en Crear política.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Bucket logging disabled`

Nombre de categoría en la API: BUCKET_LOGGING_DISABLED

Hay un bucket de almacenamiento sin el registro habilitado.

Para investigar los problemas de seguridad y supervisar el consumo de almacenamiento, habilita los registros de acceso y la información de almacenamiento en tus buckets de Cloud Storage. Los registros de acceso proporcionan información de todas las solicitudes hechas a un bucket específico, y los registros de almacenamiento ofrecen información sobre el consumo de almacenamiento de ese bucket.

Para solucionar este problema, configura el registro del bucket que indican las estadísticas de estado de seguridad mediante la guía Registros de acceso y registros de almacenamiento.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Bucket policy only disabled`

Nombre de categoría en la API: BUCKET_POLICY_ONLY_DISABLED

El acceso uniforme a nivel de bucket, que antes se denominaba Solo política del bucket, no está configurado.

El acceso uniforme a nivel de bucket simplifica el control de acceso a buckets mediante la inhabilitación de los permisos a nivel de objeto (LCA). Cuando se habilita, solo los permisos de nivel de bucket de IAM otorgan acceso al bucket y a los objetos que contiene. Para obtener más información, consulta Acceso uniforme a nivel de buckets.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página del navegador de Cloud Storage en la consola de Google Cloud.

Ir al navegador de Cloud Storage
En la lista de buckets, haz clic en el nombre del bucket deseado.
Haz clic en la pestaña Configuración.
En Permisos, en la fila Control de acceso, haz clic en el ícono Editar ().
En el cuadro de diálogo, selecciona Uniforme.
Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Cloud Asset API disabled`

Nombre de categoría en la API: CLOUD_ASSET_API_DISABLED

El servicio de Cloud Asset Inventory no está habilitado para el proyecto.

Para solucionar este resultado, completa los siguientes pasos:

En la consola de Google Cloud, ve a la página Biblioteca de API.

Ir a la biblioteca de la API
Busca Cloud Asset Inventory.
Selecciona el resultado para el servicio API de Cloud Asset.
Asegúrate de que aparezca API habilitada.

`Cluster logging disabled`

Nombre de categoría en la API: CLUSTER_LOGGING_DISABLED

Logging no está habilitado para un clúster de GKE.

Para investigar los problemas de seguridad y supervisar el uso, habilita Cloud Logging en tus clústeres.

Según la cantidad de información, los costos de Cloud Logging pueden ser significativos. Para comprender el uso que haces del servicio y su costo, consulta Optimización de costos para la observabilidad de Google Cloud.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Clústeres de Kubernetes en la consola de Google Cloud.

Ir a Clústeres de Kubernetes
Selecciona el clúster enumerado en el resultado de las estadísticas del estado de seguridad.
Haz clic en Editar.

Si la configuración del clúster cambió recientemente, el botón de edición puede estar inhabilitado. Si no puedes editar la configuración del clúster, espera unos minutos y vuelve a intentarlo.
En la lista desplegable Stackdriver Logging heredado o Stackdriver Kubernetes Engine Monitoring, selecciona Habilitado.

Estas opciones no son compatibles. Asegúrate de usar Stackdriver Logging heredado con Stackdriver Monitoring heredado o solo Stackdriver Kubernetes Engine Monitoring.
Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Cluster monitoring disabled`

Nombre de categoría en la API: CLUSTER_MONITORING_DISABLED

Monitoring está inhabilitado en los clústeres de GKE.

Para investigar los problemas de seguridad y supervisar el uso, habilita Cloud Monitoring en tus clústeres.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Clústeres de Kubernetes en la consola de Google Cloud.

Ir a Clústeres de Kubernetes
Selecciona el clúster enumerado en el resultado de las estadísticas del estado de seguridad.
Haz clic en Editar.

Si la configuración del clúster cambió recientemente, el botón de edición puede estar inhabilitado. Si no puedes editar la configuración del clúster, espera unos minutos y vuelve a intentarlo.
En la lista desplegable Stackdriver Monitoring heredado o Stackdriver Kubernetes Engine Monitoring, selecciona Habilitado.

Estas opciones no son compatibles. Asegúrate de usar Stackdriver Monitoring heredado con Stackdriver Logging heredado o solo Stackdriver Kubernetes Engine Monitoring.
Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Cluster private Google access disabled`

Nombre de categoría en la API: CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED

Los hosts de clústeres no están configurados con el fin de usar solo direcciones IP internas privadas para acceder a las API de Google.

El Acceso privado a Google permite que las instancias de máquinas virtuales (VM) solo con direcciones IP internas privadas puedan alcanzar las direcciones IP públicas de los servicios y las API de Google. Para obtener más información, consulta Configura el acceso privado a Google.

Para las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en el organización principal.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Redes de nube privada virtual en la consola de Google Cloud.

Ir a las redes de VPC
En la lista de redes, haz clic en el nombre de la red deseada.
En la página Detalles de la red de VPC, haz clic en la pestaña Subredes.
En la lista de subredes, haz clic en el nombre de la subred asociada con el clúster de Kubernetes en el resultado.
En la página de detalles de la subred, haz clic en Editar .
En Acceso privado a Google, selecciona Activado.
Haz clic en Guardar.
Para quitar IP públicas (externas) de instancias de VM cuyo único tráfico externo es a las API de Google, consulta Anula la asignación de una dirección IP externa estática.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Cluster secrets encryption disabled`

Nombre de categoría en la API: CLUSTER_SECRETS_ENCRYPTION_DISABLED

La encriptación de secretos de la capa de aplicación está inhabilitada en un clúster de GKE.

La encriptación de secretos de la capa de aplicación garantiza que los secretos de GKE se encripten con claves de Cloud KMS. La característica proporciona una capa adicional de seguridad para datos sensibles, como los secretos definidos por el usuario y los secretos necesarios para la operación del clúster, como las claves de las cuentas de servicio, que se almacenan en etcd.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Claves de Cloud KMS en la consola de Google Cloud.

Ir a Claves de Cloud KMS
Revisa las claves de tu aplicación o crea una clave de encriptación de base de datos (DEK). Para obtener más información, consulta Crea una clave de Cloud KMS.
Ir a la página Clústeres de Kubernetes

Ir a clústeres de Kubernetes
Selecciona el clúster en el resultado.
En Seguridad, en el campo Encriptación de Secrets de la capa de la aplicación, haz clic en Editar encriptación de Secrets en la capa de la aplicación.
Selecciona la casilla de verificación Habilitar la encriptación de Secrets de la capa de la aplicación y elige la DEK que creaste.
Haz clic en Save Changes.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Cluster shielded nodes disabled`

Nombre de categoría en la API: CLUSTER_SHIELDED_NODES_DISABLED

Los nodos de GKE protegidos no están habilitados para un clúster.

Sin los nodos de GKE protegidos, los atacantes pueden aprovechar una vulnerabilidad en un pod para robar credenciales de arranque y cambiar la identidad de los nodos del clúster. La vulnerabilidad puede dar a los atacantes acceso a los secretos del clúster.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Clústeres de Kubernetes en la consola de Google Cloud.

Ir a clústeres de Kubernetes
Selecciona el clúster en el resultado.
En Seguridad, en el campo Nodos de GKE protegidos, haz clic en Editar nodos de GKE protegidos.
Selecciona la casilla de verificación Habilitar nodos de GKE protegidos.
Haz clic en Save Changes.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Compute project wide SSH keys allowed`

Nombre de categoría en la API: COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

Se usan claves SSH de nivel de proyecto, lo que permite acceder a todas las instancias del proyecto.

Usar claves SSH de nivel de proyecto facilita la administración de claves de SSH, pero si se ve comprometida, representa un riesgo de seguridad que puede afectar a todas las instancias dentro de un proyecto. Debes usar claves SSH específicas de la instancia, que limitan la superficie de ataque si se vulneran las claves SSH. Para obtener más información, consulta Administra claves SSH en los metadatos.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Instancias de VM en la consola de Google Cloud.

Ir a Instancias de VM
En la lista de instancias, haz clic en el nombre de la instancia en el resultado.
En la página Detalles de la instancia de VM, haz clic en Editar.
Nota:No puedes editar instancias creadas con plantillas de instancias. Para realizar cambios en la configuración de una plantilla de instancias, consulta Cómo actualizar plantillas de instancias.
En Claves SSH, selecciona Bloquear Claves SSH para todo el proyecto.
Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Compute Secure Boot disabled`

Nombre de categoría en la API: COMPUTE_SECURE_BOOT_DISABLED

Esta VM protegida no tiene el Inicio seguro habilitado.

El uso de Inicio seguro ayuda a proteger tus máquinas virtuales contra rootkits y bootkits. Compute Engine no habilita Inicio seguro de forma predeterminada porque algunos controladores sin firmar y softwares de bajo nivel no son compatibles. Si tu VM no usa software incompatible y se inicia con Inicio seguro habilitado, Google recomienda usar Inicio seguro. Si usas módulos de terceros con controladores NVIDIA, asegúrate de que sean compatibles con Inicio seguro antes de habilitarlo.

Para obtener más información, consulta la documentación sobre el inicio seguro.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Instancias de VM en la consola de Google Cloud.

Ir a Instancias de VM
En la lista de instancias, haz clic en el nombre de la instancia en el resultado.
En la página Detalles de instancia de VM, haz clic en Detener.
Una vez que la instancia se detenga, haz clic en Editar.
En VM protegida, selecciona Activar Inicio seguro.
Haz clic en Guardar.
Haz clic en Iniciar para iniciar la instancia.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Compute serial ports enabled`

Nombre de categoría en la API: COMPUTE_SERIAL_PORTS_ENABLED

Los puertos en serie están habilitados para una instancia, lo que permite establecer conexiones a la consola en serie de la instancia.

Si habilitas la consola en serie interactiva en una instancia, los clientes pueden intentar conectarse a esa instancia desde cualquier dirección IP. Por lo tanto, se debe inhabilitar la compatibilidad con esta consola. Para obtener más información, consulta Habilita el acceso a un proyecto.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Instancias de VM en la consola de Google Cloud.

Ir a Instancias de VM
En la lista de instancias, haz clic en el nombre de la instancia en el resultado.
En la página Detalles de instancia de VM, haz clic en Editar.
En Acceso remoto (Remote access), desactiva Habilitar la conexión a puertos en serie (Enable connecting to serial ports).
Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Confidential Computing disabled`

Nombre de categoría en la API: CONFIDENTIAL_COMPUTING_DISABLED

Una instancia de Compute Engine no tiene habilitado Confidential Computing.

Confidential Computing agrega un tercer pilar a la encriptación de extremo a extremo con la encriptación de datos mientras están en uso. Con los entornos de ejecución confidenciales que proporciona Confidential Computing y la virtualización encriptada segura (SEV) de AMD, Google Cloud mantiene el código sensible y otros datos encriptados en la memoria durante el procesamiento.

Confidential Computing solo se puede habilitar cuando se crea una instancia. Por lo tanto, debes borrar la instancia actual y crear una nueva.

Para obtener más información, consulta Confidential VMs y Compute Engine.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Instancias de VM en la consola de Google Cloud.

Ir a Instancias de VM
En la lista de instancias, haz clic en el nombre de la instancia en el resultado.
En la página Detalles de la instancia de VM, haz clic en Borrar.
Crea una Confidential VM con la consola de Google Cloud.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`COS not used`

Nombre de categoría en la API: COS_NOT_USED

Las VM de Compute Engine no usan Container-Optimized OS, que está diseñado para ejecutar contenedores de Docker en Google Cloud de forma segura.

Container-Optimized OS es el SO que Google recomienda para alojar y ejecutar contenedores en Google Cloud. El tamaño reducido del SO minimiza los riesgos de seguridad, a la vez que actualiza las vulnerabilidades de seguridad del parche de forma automática y oportuna. Para obtener más información, consulta Descripción general de Container-Optimized OS.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Clústeres de Kubernetes en la consola de Google Cloud.

Ir a clústeres de Kubernetes
En la lista de clústeres, haz clic en el nombre del clúster en el resultado.
Haz clic en la pestaña Nodos.
En cada grupo de nodos:
1. Haz clic en el nombre del grupo de nodos para ir a su página de detalles.
2. Haz clic en Editar .
3. En Nodos -> Tipo de imagen, haz clic en Cambiar.
4. Selecciona Container-Optimized OS y, luego, haz clic en Cambiar.
5. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Custom role not monitored`

Nombre de categoría en la API: CUSTOM_ROLE_NOT_MONITORED

Las métricas y las alertas de registros no están configuradas para supervisar los cambios de funciones personalizadas.

IAM proporciona funciones predefinidas y personalizadas que otorgan acceso a recursos específicos de Google Cloud. Mediante la supervisión de la creación, eliminación y actualización de funciones, puedes identificar funciones con privilegios excesivos en las etapas iniciales. Para obtener más información, consulta Descripción general de las métricas basadas en registros.

Para las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en el organización principal.

Para solucionar este resultado, completa los siguientes pasos:

Crear métrica

Ve a la página Métricas basadas en registros en la consola de Google Cloud.

Ir a Métricas basadas en registros
Haga clic en Crear métrica.
En Tipo de métrica, selecciona Contador.
En Detalles, haz lo siguiente:
1. Establece un nombre de métrica de registro.
2. Agrega una descripción.
3. Establece las Unidades en 1.

En Selección de filtro, copia y pega el siguiente texto en Cuadro Crear filtro, que reemplaza el texto existente, si es necesario:

  resource.type="iam_role"
  AND (protoPayload.methodName="google.iam.admin.v1.CreateRole"
  OR protoPayload.methodName="google.iam.admin.v1.DeleteRole"
  OR protoPayload.methodName="google.iam.admin.v1.UpdateRole")

Haga clic en Crear métrica. Verás un mensaje de confirmación.

Crear una política de alertas

En la consola de Google Cloud, ve a la página Métricas basadas en registros.
Ir a Métricas basadas en registros

Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.
En la sección Métricas definidas por el usuario, selecciona la métrica que creaste en la sección anterior.
Haz clic en Más y, luego, en Crear alerta a partir de métricas.

Se abre el cuadro de diálogo Condición nueva con las opciones de transformación de métricas y datos ya propagadas.
Haga clic en Next.
1. Revisa la configuración ya propagada. Te recomendamos modificar el Valor del umbral.
2. Haz clic en Nombre de la condición y, luego, ingresa un nombre para la condición.
Haz clic en Siguiente.
Para agregar notificaciones a tu política de alertas, haz clic en Canales de notificación. En el diálogo, selecciona uno o más canales de notificaciones del menú y, luego, haz clic en Aceptar.

Para recibir una notificación cuando se abran y cierren los incidentes, marca Notificar el cierre del incidente. De forma predeterminada, las notificaciones se envían solo cuando los incidentes de seguridad.
Opcional: Actualiza la Duración del cierre automático de incidentes. Este campo determina cuándo Monitoring cierra los incidentes ante la ausencia de datos de métricas.
Opcional: Haz clic en Documentación y, luego, agrega la información que deseas incluir en un mensaje de notificación.
Haz clic en Nombre de la alerta y, luego, ingresa un nombre para la política de alertas.
Haga clic en Crear política.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Dataproc CMEK disabled`

Nombre de categoría en la API: DATAPROC_CMEK_DISABLED

Se creó un clúster de Dataproc sin encriptación de configuración de CMEK. Con CMEK, las claves que creas y administras en Cloud Key Management Service unir las claves que usa Google Cloud para encriptar tus datos, lo que te brinda más control del acceso a tus datos.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Clúster de Dataproc en la consola de Google Cloud.

Ir a Clústeres de Dataproc
Selecciona tu proyecto y haz clic en Crear clúster.
En la sección Administrar seguridad, haz clic en Encriptación y selecciona Clave administrada por el cliente.
Selecciona una clave administrada por el cliente de la lista.

Si no tienes una clave administrada por el cliente, debes crear una para usarla. Para ver más consulta Claves de encriptación administradas por el cliente.
Asegúrate de que la clave de KMS seleccionada tenga la CryptoKey de Cloud KMS Encriptador/Desencriptador a la cuenta de servicio del clúster de Dataproc. ("serviceAccount:service-project_number@compute-system.iam.gserviceaccount.com").
Después de crear el clúster, migra todas tus cargas de trabajo del clúster anterior al clúster nuevo.
Ve a Clústeres de Dataproc y selecciona en un proyecto final.
Selecciona el clúster anterior y haz clic en Borrar clúster.
Repite todos los pasos anteriores para otros clústeres de Dataproc disponibles del proyecto seleccionado.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Dataproc image outdated`

Nombre de categoría en la API: DATAPROC_IMAGE_OUTDATED

Un clúster de Dataproc se creó mediante una versión de imagen de Dataproc afectada por vulnerabilidades de seguridad en la utilidad Apache Log4j 2 (CVE-2021-44228 y CVE-) 2021-45046.

Este detector busca vulnerabilidades cuando verifica si el campo softwareConfig.imageVersion en la propiedad config de un Cluster tiene cualquiera de las siguientes versiones afectadas:

Versiones con imágenes anteriores a la 1.3.95
Versiones con imágenes submenores anteriores a 1.4.77, 1.5.53 y 2.0.27

El número de versión de una imagen personalizada de Dataproc se puede anular de forma manual. Considere estas situaciones:

La versión de una imagen personalizada afectada se puede modificar para que no lo parezca. En este caso, este detector no emite un resultado.
Se puede anular la versión de una imagen personalizada no afectada por una que se sabe que tiene la vulnerabilidad. En este caso, este detector emite un resultado falso positivo. Para suprimir estos resultados falsos positivos, puedes silenciarlos.

Para solucionar este problema, vuelve a crear y actualizar el clúster afectado.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Dataset CMEK disabled`

Nombre de categoría en la API: DATASET_CMEK_DISABLED

Un conjunto de datos de BigQuery no está configurado para usar una clave de encriptación predeterminada administrada por el cliente (CMEK).

Para solucionar este resultado, completa los siguientes pasos:

No puedes cambiar una tabla entre las encriptaciones predeterminadas y la encriptación de CMEK. A fin de establecer una clave CMEK predeterminada para encriptar todas las tablas nuevas en el conjunto de datos, sigue las instrucciones de modo que puedas configurar una clave predeterminada del conjunto de datos.

Si configuras una clave predeterminada, no se volverán a encriptar de forma retroactiva las tablas que están en el conjunto de datos con una clave nueva. Sigue estos pasos si quieres usar CMEK en los datos existentes:

Crea un nuevo conjunto de datos.
Establece una clave CMEK predeterminada en el conjunto de datos que creaste.
Si deseas copiar las tablas en tu conjunto de datos habilitado para CMEK, sigue las instrucciones para copiar una tabla.
Después de copiar los datos correctamente, borra los conjuntos de datos originales.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Default network`

Nombre de categoría en la API: DEFAULT_NETWORK

La red predeterminada existe en un proyecto.

Las redes predeterminadas crean automáticamente reglas de firewall y configuraciones de red que podrían no ser seguras. Para obtener más información, consulta Red predeterminada.

Para las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en el organización principal.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Redes de VPC en la consola de Google Cloud.

Ir a las redes de VPC
En la lista de redes, haz clic en el nombre de la red predeterminada.
En la página Detalles de la red de VPC, haz clic en Borrar red de VPC.
Para crear una red nueva con reglas de firewall personalizadas, consulta Crea redes.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Default service account used`

Nombre de categoría en la API: DEFAULT_SERVICE_ACCOUNT_USED

Una instancia de Compute Engine está configurada para usar la cuenta de servicio predeterminada.

La cuenta de servicio predeterminada de Compute Engine tiene la función Editor en el proyecto, lo que permite el acceso de lectura y escritura a la mayoría de los servicios de Google Cloud. Para protegerte contra la elevación de privilegios y el acceso no autorizado, no uses la cuenta de servicio predeterminada de Compute Engine. En su lugar, crea una cuenta de servicio nueva y asigna solo los permisos que necesita tu instancia. Lee Control de acceso para obtener información sobre las funciones y los permisos de IAM.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Instancias de VM en la consola de Google Cloud.

Ir a Instancias de VM
Selecciona la instancia relacionada con el resultado de Security Health Analytics.
En la página Detalles de la instancia que se carga, haz clic en Detener.
Una vez que la instancia se detenga, haz clic en Editar.
En la sección Cuenta de servicio, selecciona una cuenta de servicio que no sea la predeterminada de Compute Engine. Es posible que primero debas crear una cuenta de servicio nueva. Lee Control de acceso para obtener información sobre las funciones y los permisos de IAM.
Haz clic en Guardar. La configuración nueva aparecerá en la página Detalles de la instancia.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Disk CMEK disabled`

Nombre de categoría en la API: DISK_CMEK_DISABLED

Los discos de esta VM no se encriptan con claves de encriptación administradas por el cliente (CMEK).

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página de Compute Engine en la consola de Google Cloud.

Ir a Discos de Compute Engine
En la lista de discos, haz clic en el nombre del disco que aparece en el resultado.
En la página Administrar disco, haz clic en Borrar.
Para crear un disco nuevo con CMEK habilitadas, consulta Encripta un disco persistente nuevo con tus propias claves. Las CMEK generan costos adicionales relacionados con Cloud KMS.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Disk CSEK disabled`

Nombre de categoría en la API: DISK_CSEK_DISABLED

Los discos de esta VM no se encriptan con claves de encriptación proporcionadas por el cliente (CSEK). Los discos para las VM importantes se deben encriptar con CSEK.

Si proporcionas tus propias claves de encriptación, Compute Engine usa tu clave a fin de proteger las generadas por Google que se usan para encriptar y desencriptar tus datos. Para obtener más información, consulta Claves de encriptación proporcionadas por el cliente. Las CSEK generan costos adicionales relacionados con Cloud KMS.

Para solucionar este resultado, completa los siguientes pasos:

Borra y crea un disco

Solo puedes encriptar discos persistentes nuevos con tu propia clave. No puedes usarla para encriptar discos persistentes existentes.

Ve a la página de Compute Engine en la consola de Google Cloud.

Ir a Discos de Compute Engine
En la lista de discos, haz clic en el nombre del disco que aparece en el resultado.
En la página Administrar disco, haz clic en Borrar.
Para crear un disco nuevo con la CSEK habilitada, consulta Encripta discos con claves de encriptación proporcionadas por el cliente.
Completa los pasos restantes para habilitar el detector.

Habilita el detector

Ve a la página Recursos de Security Command Center en la consola de Google Cloud.

Ir a recursos
En la sección Tipo de recurso del panel Filtros rápidos, haz lo siguiente: y selecciona compute.Disk.

Si no ves compute.Disk, haz clic en Ver más, ingresa Disk en el campo de búsqueda y, luego, haz clic en Aplicar.

El panel Resultados se actualiza para mostrar solo instancias de la compute.Disk.
En la columna Nombre visible, selecciona la casilla junto a nombre del disco que quieres usar con CSEK y, luego, haz clic Establece marcas de seguridad.
En el cuadro de diálogo, haz clic en Agregar marca.
En el campo clave, ingresa enforce_customer_supplied_disk_encryption_keys y, en el campo valor, ingresa true.
Haz clic en Guardar.

Más información sobre los los recursos admitidos y la configuración del análisis.

`DNS logging disabled`

Nombre de categoría en la API: DNS_LOGGING_DISABLED

La supervisión de los registros de Cloud DNS proporciona visibilidad a los nombres de DNS que solicitan los clientes en la red de VPC. Estos registros pueden supervisarse en busca de nombres de dominio anómalos y evaluarse en función de la inteligencia de amenazas. Te recomendamos que habilites el registro de DNS para las redes de VPC.

Según la cantidad de información, los costos del registro de Cloud Logging pueden ser significativos. Para conocer el uso que haces del servicio y su costo, consulta Precios de Google Cloud Observability: Cloud Logging.

Para las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en el organización principal.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Redes de VPC en la consola de Google Cloud.

Ir a las redes de VPC
En la lista de redes, haz clic en el nombre de la red de VPC.
Crea una política de servidor nueva (si no existe una) o edita una existente:
- Si la red no tiene una política de servidor DNS, completa los siguientes pasos:
  1. Haz clic en Editar.
  2. En el campo Política del servidor DNS, haz clic en Crear una nueva política de servidor.
  3. Ingresa un nombre para la política del servidor nueva.
  4. Establece Registros como Activados.
  5. Haz clic en Guardar.
- Si la red tiene una política de servidor DNS, completa los siguientes pasos:
  1. En el campo Política del servidor DNS, haz clic en el nombre de la política de DNS.
  2. Haz clic en Editar política.
  3. Establece Registros como Activados.
  4. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`DNSSEC disabled`

Nombre de categoría en la API: DNSSEC_DISABLED

Las extensiones de seguridad del sistema de nombres de dominio (DNSSEC) están inhabilitadas para las zonas de Cloud DNS.

Las DNSSEC validan las respuestas de DNS y mitigan los riesgos, como la usurpación de DNS y los ataques de intermediarios, mediante la firma criptográfica de los registros DNS. Debes habilitar DNSSEC. Consulta la página sobre la descripción general de las extensiones de seguridad de DNS (DNSSEC) para obtener más información.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página de Cloud DNS en la consola de Google Cloud.

Ir a las redes de Cloud DNS
Ubica la fila con la zona DNS indicada en el resultado.
Haz clic en la configuración de DNSSEC en la fila y, luego, en DNSSEC, selecciona Activado.
Lee el diálogo que aparece. Si estás satisfecho, haz clic en Habilitar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Egress deny rule not set`

Nombre de categoría en la API: EGRESS_DENY_RULE_NOT_SET

Una regla de denegación de salida no está configurada en un firewall.

Un firewall que rechace todo el tráfico de red de salida evita todas las conexiones de red de salida no deseadas, excepto aquellas que otros firewalls autoricen de forma explícita. Para obtener más información, consulta Casos de salida.

Para las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en el organización principal.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Firewall en la consola de Google Cloud.

Ir al Firewall
Haga clic en Crear regla de firewall.
Asigna un nombre al firewall y, si quieres, una descripción.
En Dirección del tráfico, selecciona Salida.
En Acción en caso de coincidencia, selecciona Rechazar.
En el menú desplegable Destinos, selecciona Todas las instancias de la red.
En el menú desplegable Filtro de destino, selecciona Rangos de IP y, luego, escribe 0.0.0.0/0 en el cuadro Rangos de IP de destino.
En Protocolos y puertos, selecciona Rechazar todo.
Haz clic en Inhabilitar regla y, luego, en Aplicación, selecciona Habilitado.
Haga clic en Crear.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Essential contacts not configured`

Nombre de categoría en la API: ESSENTIAL_CONTACTS_NOT_CONFIGURED

Tu organización no designó a una persona o un grupo para recibir notificaciones de Google Cloud sobre eventos importantes, como ataques, vulnerabilidades y para identificar incidentes de datos en tu organización de Google Cloud. Te recomendamos designar como contacto esencial a una o más personas o grupos de en toda la organización.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Contactos esenciales en la Consola de Google Cloud

Ir a Contactos esenciales
Asegúrate de que la organización aparezca en el selector de recursos en la parte superior de la página. El selector de recursos te indica qué proyecto, carpeta organización en la que actualmente administras contactos.
Haz clic en +Agregar contacto. Se abrirá el panel Agregar un contacto.
En los campos Correo electrónico y Confirmar correo electrónico, ingresa la dirección de correo electrónico. del contacto.
En la sección Categorías de notificaciones, selecciona las categorías de notificaciones que deseas que reciba el contacto. comunicaciones. Asegúrate de que estén configuradas las direcciones de correo electrónico adecuadas. para cada una de las siguientes categorías de notificaciones:
1. Legal
2. Seguridad
3. Suspensión
4. Técnico
Haz clic en Guardar. Obtén más información sobre los recursos admitidos y la configuración de análisis de este tipo de resultado.

`Firewall not monitored`

Nombre de categoría en la API: FIREWALL_NOT_MONITORED

Las métricas y las alertas de registros no están configuradas para supervisar los cambios de la regla de firewall de la red de VPC.

La supervisión de los eventos de actualización y creación de reglas de firewall te brinda estadísticas sobre los cambios en el acceso a la red, y puede ayudarte a detectar con rapidez actividades sospechosas. Para obtener más información, consulta Descripción general de las métricas basadas en registros.

Para las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en el organización principal.

Para solucionar este resultado, completa los siguientes pasos:

Crear métrica

Ve a la página Métricas basadas en registros en la consola de Google Cloud.

Ir a Métricas basadas en registros
Haga clic en Crear métrica.
En Tipo de métrica, selecciona Contador.
En Detalles, haz lo siguiente:
1. Establece un nombre de métrica de registro.
2. Agrega una descripción.
3. Establece las Unidades en 1.

En Selección de filtro, copia y pega el siguiente texto en Cuadro Crear filtro, que reemplaza el texto existente, si es necesario:

  resource.type="gce_firewall_rule"
  AND (protoPayload.methodName:"compute.firewalls.insert"
  OR protoPayload.methodName:"compute.firewalls.patch"
  OR protoPayload.methodName:"compute.firewalls.delete")

Haga clic en Crear métrica. Verás un mensaje de confirmación.

Crear una política de alertas

En la consola de Google Cloud, ve a la página Métricas basadas en registros.
Ir a Métricas basadas en registros

Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.
En la sección Métricas definidas por el usuario, selecciona la métrica que creaste en la sección anterior.
Haz clic en Más y, luego, en Crear alerta a partir de métricas.

Se abre el cuadro de diálogo Condición nueva con las opciones de transformación de métricas y datos ya propagadas.
Haga clic en Next.
1. Revisa la configuración ya propagada. Te recomendamos modificar el Valor del umbral.
2. Haz clic en Nombre de la condición y, luego, ingresa un nombre para la condición.
Haz clic en Siguiente.
Para agregar notificaciones a tu política de alertas, haz clic en Canales de notificación. En el diálogo, selecciona uno o más canales de notificaciones del menú y, luego, haz clic en Aceptar.

Para recibir una notificación cuando se abran y cierren los incidentes, marca Notificar el cierre del incidente. De forma predeterminada, las notificaciones se envían solo cuando los incidentes de seguridad.
Opcional: Actualiza la Duración del cierre automático de incidentes. Este campo determina cuándo Monitoring cierra los incidentes ante la ausencia de datos de métricas.
Opcional: Haz clic en Documentación y, luego, agrega la información que deseas incluir en un mensaje de notificación.
Haz clic en Nombre de la alerta y, luego, ingresa un nombre para la política de alertas.
Haga clic en Crear política.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Firewall rule logging disabled`

Nombre de categoría en la API: FIREWALL_RULE_LOGGING_DISABLED

El registro de las reglas de firewall está inhabilitado.

El Registro de reglas de firewall te permite inspeccionar, verificar y analizar los efectos de tus reglas de firewall. Esto puede ser útil para auditar el acceso a la red o proporcionar una advertencia temprana de que la red se está usando de manera no aprobada. El costo de los registros puede ser significativo. Para obtener más información sobre el registro de reglas de firewall y su costo, consulta Usa el registro de reglas de firewall.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Firewall en la consola de Google Cloud.

Ir a Firewall
En la lista de reglas de firewall, haz clic en el nombre de la regla de firewall deseada.
Haz clic en Editar.
En Registros, selecciona Activar.
Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Flow logs disabled`

Nombre de categoría en la API: FLOW_LOGS_DISABLED

Hay una subred de VPC que tiene registros de flujo inhabilitados.

Los registros de flujo de VPC registran una muestra de los flujos de red que se envían y se reciben en las instancias de VM. Estos registros se pueden utilizar para supervisar redes, detectar intrusiones, realizar un análisis de la seguridad en tiempo real y optimizar gastos. Para obtener más información sobre los registros de flujo y su costo, consulta Usa registros de flujo de VPC.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Redes de VPC en la consola de Google Cloud.

Ir a las redes de VPC
En la lista de redes, haz clic en el nombre de la red deseada.
En la página Detalles de la red de VPC, haz clic en la pestaña Subredes.
En la lista de subredes, haz clic en el nombre de la subred indicada en el resultado.
En la página Detalles de la subred, haz clic en Editar.
En Registros de flujo, selecciona Activado.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Flow logs settings not recommended`

Nombre de categoría en la API: VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

En la configuración de una subred en una red de VPC, el servicio de registros de flujo de VPC está desactivada o no está configurada según las recomendaciones de CIS Benchmark 1.3. Los registros de flujo de VPC registran una muestra de flujos de red enviados y recibidos por la VM que se pueden usar para detectar amenazas.

Para obtener más información sobre los registros de flujo de VPC y su costo, consulta Uso de Registros de flujo de VPC.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Redes de VPC en la consola de Google Cloud.

Ir a las redes de VPC
En la lista de redes, haz clic en el nombre de la red.
En la página Detalles de la red de VPC, haz clic en la pestaña Subredes.
En la lista de subredes, haz clic en el nombre de la subred indicada en el resultado.
En la página Detalles de la subred, haz clic en Editar.
En Registros de flujo, selecciona Activado.
1. De forma opcional, puedes modificar la configuración de los registros haciendo clic en el El botón Configurar registros para expandir la pestaña. Las comparativas de CIS recomendamos la siguiente configuración:
  1. Establece el Intervalo de agregación en 5 SEGUNDOS.
  2. En la casilla de verificación Campos adicionales, selecciona la Incluir metadatos.
  3. Configura la Tasa de muestreo en 100%.
  4. Haz clic en el botón GUARDAR.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Full API access`

Nombre de categoría en la API: FULL_API_ACCESS

Una instancia de Compute Engine está configurada para usar la cuenta de servicio predeterminada con acceso completo a todas las API de Google Cloud.

Una instancia configurada con la cuenta de servicio predeterminada y el acceso a la API el permiso configurado en Allow full access to all Cloud APIs podría permitir que los usuarios realizar operaciones o llamadas a la API para las que no tienen IAM permisos. Para obtener más información, consulta Cuenta de servicio predeterminada de Compute Engine.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Instancias de VM en la consola de Google Cloud.

Ir a Instancias de VM
En la lista de instancias, haz clic en el nombre de la instancia en el resultado.
Si la instancia se está ejecutando, haz clic en . Detener.
Cuando se detenga la instancia, haz clic Editar.
En la sección Seguridad y acceso, en Cuentas de servicio, haz lo siguiente: Selecciona Cuenta de servicio predeterminada de Compute Engine.
En Permisos de acceso, selecciona Permitir el acceso predeterminado o Configurar el acceso para cada API Esto limita las APIs que cualquier proceso que usa la cuenta de servicio de VM predeterminada.
Si seleccionaste Configurar el acceso para cada API, haz lo siguiente:
- Para inhabilitar Cloud Platform, configúralo como Ninguna.
- Habilita las APIs específicas que requiere la cuenta de servicio de VM predeterminada a los que tienes acceso.
Haz clic en Guardar.
Haz clic en Iniciar para iniciar la instancia.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`HTTP load balancer`

Nombre de categoría en la API: HTTP_LOAD_BALANCER

Una instancia de Compute Engine usa un balanceador de cargas configurado para usar un proxy HTTP de destino en lugar de un proxy HTTPS de destino.

A fin de proteger la integridad de tus datos y evitar que intrusos alteren tus comunicaciones, configura tus balanceadores de cargas HTTP(S) para permitir solo tráfico HTTPS. Para obtener más información, consulta Descripción general del balanceo de cargas de HTTP(S) externo.

Para las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en el organización principal.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Grupos de destino en la consola de Google Cloud.

Ir a Proxies de destino
En la lista de proxies de destino, haz clic en el nombre del proxy de destino en el resultado.
Haz clic en el vínculo en Mapa de URL.
Haz clic en Editar.
Haga clic en Configuración de frontend.
Borra todas las configuraciones de IP de frontend y puerto que permitan el tráfico HTTP y crea otras nuevas que permitan el tráfico HTTPS.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Instance OS login disabled`

Nombre de categoría en la API: INSTANCE_OS_LOGIN_DISABLED

El Acceso al SO está inhabilitado en esta instancia de Compute Engine.

El Acceso al SO habilita la administración centralizada de la clave SSH con la IAM y, además, inhabilita la configuración de la clave SSH basada en metadatos en todas las instancias de un proyecto. Obtén información sobre cómo configurar el acceso a SO.

Para las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en el organización principal.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Instancias de VM en la consola de Google Cloud.

Ir a Instancias de VM
En la lista de instancias, haz clic en el nombre de la instancia en el resultado.
En la página Detalles de la instancia que se carga, Haz clic en Detener.
Después de que la instancia se detiene, Haz clic en Editar.
En la sección Metadatos personalizados, asegúrate de que el elemento con la clave enable-oslogin tiene el valor TRUE.
Haz clic en Guardar.
Haz clic en Iniciar para iniciar la instancia.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Integrity monitoring disabled`

Nombre de categoría en la API: INTEGRITY_MONITORING_DISABLED

La supervisión de integridad está inhabilitada en un clúster de GKE.

La supervisión de integridad te permite supervisar y verificar la integridad de inicio del entorno de ejecución de los nodos protegidos con Monitoring. Esto te permite responder a las fallas de integridad y evitar que los nodos vulnerados se implementen en el clúster.

Para solucionar este resultado, completa los siguientes pasos:

Una vez que se aprovisiona un nodo, no se puede actualizar para habilitar la supervisión de integridad. Debes crear un grupo de nodos nuevo con la supervisión de integridad habilitada.

Ve a la página Clústeres de Kubernetes en la consola de Google Cloud.

Ir a clústeres de Kubernetes
Haz clic en el nombre del clúster en el resultado.
Haz clic en AGREGAR GRUPO DE NODOS.
En la pestaña Seguridad, asegúrate de que esté habilitada la opción Habilitar supervisión de integridad.
Haga clic en Crear.
Para migrar tus cargas de trabajo de grupos de nodos existentes que no cumplen con los grupos de nodos nuevos, consulta Migra cargas de trabajo a diferentes tipos de máquinas.
Después de que se hayan transferido tus cargas de trabajo, borra los grupos de nodos originales que no cumplan con los requisitos.
1. En la página del clúster de Kubernetes, en el menú Grupos de nodos, haz clic en el nombre del grupo de nodos que quieres borrar.
2. Haz clic en Quitar grupo de nodos.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Intranode visibility disabled`

Nombre de categoría en la API: INTRANODE_VISIBILITY_DISABLED

La visibilidad dentro de los nodos está inhabilitada para un clúster de GKE.

Si habilitas la visibilidad dentro de los nodos, el tráfico de un Pod a otro dentro del mismo nodo será visible para la estructura de red. Esta característica permite usar el registro de flujo de VPC y otras funciones de VPC para supervisar o controlar el tráfico dentro de los nodos. Debes habilitar los registros de flujo de VPC en la subred seleccionada para obtener los registros. Para obtener más información, consulta Usa los registros de flujo de VPC.

Para solucionar este resultado, completa los siguientes pasos:

Una vez que se aprovisiona un nodo, no se puede actualizar para habilitar la supervisión de integridad. Debes crear un grupo de nodos nuevo con la supervisión de integridad habilitada.

Ve a la página Clústeres de Kubernetes en la consola de Google Cloud.

Ir a clústeres de Kubernetes
En la sección Herramientas de redes, haz clic en el ícono de edición () en la fila Visibilidad dentro de los nodos.

Si la configuración del clúster cambió recientemente, el botón de edición puede estar inhabilitado. Si no puedes editar la configuración del clúster, espera unos minutos y vuelve a intentarlo.
En el diálogo, selecciona Habilitar la visibilidad dentro de los nodos.
Haz clic en Save Changes.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`IP alias disabled`

Nombre de categoría en la API: IP_ALIAS_DISABLED

Se creó un clúster de GKE con los rangos de IP de alias inhabilitados.

Cuando habilitas los rangos de alias de IP, los clústeres de GKE asignan direcciones IP desde un bloque CIDR conocido para que el clúster sea escalable y, además, interactúe mejor con los productos y entidades de Google Cloud. Para obtener más información, consulta Descripción general de los rangos de alias de IP.

Para solucionar este resultado, completa los siguientes pasos:

No puedes migrar un clúster existente para que use IP de alias. Sigue estos pasos para crear un clúster nuevo con IP de alias habilitadas:

Ve a la página Clústeres de Kubernetes en la consola de Google Cloud.

Ir a clústeres de Kubernetes
Haga clic en Crear.
En el panel de navegación, en Clúster, haz clic en Redes.
En Opciones avanzadas de redes, selecciona Habilitar el enrutamiento de tráfico nativo de la VPC (con alias de IP).
Haga clic en Crear.

Nota:No se puede modificar un clúster mientras se está reconfigurando.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`IP forwarding enabled`

Nombre de categoría en la API: IP_FORWARDING_ENABLED

El reenvío de IP está habilitado en las instancias de Compute Engine.

Inhabilita el desvío de IP de los paquetes de datos de tus VM para prevenir la pérdida de datos o la divulgación de información.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Instancias de VM en la consola de Google Cloud.

Ir a Instancias de VM
En la lista de instancias, marca la casilla junto al nombre de la instancia en el resultado.
Haz clic en Borrar.
Selecciona Crear instancia para crear una instancia nueva que reemplace la que borraste.
Para asegurarte de que el reenvío de IP esté inhabilitado, haz clic en Administración, discos, redes, claves SSH y, luego, en Herramientas de redes.
En Interfaces de red, haz clic en Editar.
En Reenvío de IP, en el menú desplegable, asegúrate de que la opción Desactivado esté seleccionada.
Especifica el resto de los parámetros de la instancia y, luego, haz clic en Crear. Para obtener más información, consulta Crea e inicia una instancia de VM.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`KMS key not rotated`

Nombre de categoría en la API: KMS_KEY_NOT_ROTATED

La rotación no está configurada en una clave de encriptación de Cloud KMS.

La rotación de las claves de encriptación proporciona protección con regularidad en caso de que se vulnere una clave y limita la cantidad de mensajes encriptados disponibles para realizar un criptoanálisis de una versión de clave específica. Para obtener más información, consulta Rotación de claves.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Claves de Cloud KMS en la consola de Google Cloud.

Ir a Claves de Cloud KMS
Haz clic en el nombre del llavero de claves que se indica en el resultado.
Haz clic en el nombre de la clave indicada en el resultado.
Haz clic en Editar período de rotación.
Establece el período de rotación en un máximo de 90 días.
Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`KMS project has owner`

Nombre de categoría en la API: KMS_PROJECT_HAS_OWNER

Un usuario tiene permisos roles/Owner en un proyecto que tiene claves criptográficas. Para obtener más información, consulta el artículo sobre permisos y funciones.

Para las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en el organización principal.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página de IAM en la consola de Google Cloud.

Ir a la página IAM
Si es necesario, selecciona el proyecto en el resultado.
Sigue estos pasos por cada principal asignado a la función Propietario:
1. Haz clic en Editar.
2. En el panel Editar permisos, junto a la función de Propietario, haz clic en Borrar.
3. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`KMS public key`

Nombre de categoría en la API: KMS_PUBLIC_KEY

Tanto la clave criptográfica de Cloud KMS como un llavero de claves de Cloud KMS son públicos y cualquier persona en Internet puede acceder a ellos. Para obtener más información, consulta Usa IAM con Cloud KMS.

Para solucionar este hallazgo, si está relacionado con una CryptoKey, haz lo siguiente:

Ve a la página Claves criptográficas en la consola de Google Cloud.

Claves criptográficas
En Nombre, selecciona el llavero de claves que contiene la clave criptográfica relacionada con el resultado de Security Health Analytics.
En la página Detalles del llavero de claves que se carga, selecciona la casilla de verificación junto a la clave criptográfica.
Si laPANEL DE INFORMACIÓN no se muestra, haz clic en el MOSTRAR PANEL DE INFORMACIÓN.
Usa el cuadro de filtro que precede a Función / Principal para buscar principales de allUsers y allAuthenticatedUsers, y haz clic en Borrar para quitar el acceso a estos principales.

Sigue estos pasos para solucionar el problema, si está relacionado con un llavero de claves:

Ve a la página Claves criptográficas en la consola de Google Cloud.

Claves criptográficas
Busca la fila con el llavero de claves en el resultado y selecciona la casilla de verificación.
Si laPANEL DE INFORMACIÓN no se muestra, haz clic en el MOSTRAR PANEL DE INFORMACIÓN.
Usa el cuadro de filtro que precede a Función / Principal para buscar principales de allUsers y allAuthenticatedUsers, y haz clic en Borrar para quitar el acceso a estos principales.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`KMS role separation`

Nombre de categoría en la API: KMS_ROLE_SEPARATION

Este hallazgo no está disponible para activaciones a nivel de proyecto.

Uno o más principales tienen varios permisos de Cloud KMS asignados. Recomendamos que ninguna cuenta tenga permisos de administrador de Cloud KMS de manera simultánea con otros permisos de Cloud KMS. Para obtener más información, consulta el artículo sobre permisos y funciones.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página de IAM en la consola de Google Cloud.

Ir a IAM
Para cada principal de la lista que aparece en el resultado, haz lo siguiente:
1. Para verificar si la función se heredó de una carpeta o recurso de organización, consulta la columna Herencia. Si la columna contiene un vínculo a un recurso superior, haz clic en el vínculo para ir a la página de IAM del recurso superior.
2. Haz clic en Editar junto a una principal.
3. Para quitar permisos, haz clic en Borrar junto a Administrador de Cloud KMS. Si deseas quitar todos los permisos a las principales, haz clic en Borrar junto a todos los otros permisos.
Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Legacy authorization enabled`

Nombre de categoría en la API: LEGACY_AUTHORIZATION_ENABLED

La autorización heredada está habilitada en los clústeres de GKE.

En Kubernetes, el control de acceso basado en funciones (RBAC) te permite definir funciones con reglas que contienen una serie de permisos y otorgar permisos en el nivel de clúster y espacio de nombres. Esto proporciona mayor seguridad y garantiza que los usuarios solo tengan acceso a los recursos específicos. Considera inhabilitar el control de acceso basado en atributos (ABAC) heredados.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Clústeres de Kubernetes en la consola de Google Cloud.

Ir a Clústeres de Kubernetes
Selecciona el clúster enumerado en el resultado de las estadísticas del estado de seguridad.
Haz clic en Editar.

Si la configuración del clúster cambió recientemente, el botón de edición puede estar inhabilitado. Si no puedes editar la configuración del clúster, espera unos minutos y vuelve a intentarlo.
En la lista desplegable Autorización heredada, selecciona Inhabilitada.
Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Legacy metadata enabled`

Nombre de categoría en la API: LEGACY_METADATA_ENABLED

Los metadatos heredados están habilitados en los clústeres de GKE.

El servidor de metadatos de instancia de Compute Engine expone los extremos heredados /0.1/ y /v1beta1/ que no aplican encabezados de consulta de metadatos. Esta es una característica de las API /v1/ que dificulta a un atacante potencial recuperar metadatos de la instancia. A menos que sea necesario, te recomendamos inhabilitar las API heredadas /0.1/ y /v1beta1/.

Para obtener más información, consulta Inhabilita y realiza la transición desde la API de metadatos heredados.

Para solucionar este resultado, completa los siguientes pasos:

Solo puedes inhabilitar las API de metadatos heredados cuando creas un clúster nuevo o agregas un grupo de nodos nuevo a un clúster existente. Para actualizar un clúster existente e inhabilitar las API de metadatos heredados, consulta Migra cargas de trabajo a diferentes tipos de máquina.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Legacy network`

Nombre de categoría en la API: LEGACY_NETWORK

Existe una red heredada en un proyecto.

No recomendamos usar redes heredadas porque muchas funciones de seguridad nuevas de Google Cloud no son compatibles con ellas. En su lugar, usa redes de VPC. Para obtener más información, consulta Redes heredadas.

Para las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en el organización principal.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Redes de VPC en la consola de Google Cloud.

Ir a las redes de VPC
Para crear una nueva red no heredada, haz clic en Crear red.
Regrese a la página Redes de VPC.
En la lista de redes, haz clic en legacy_network.
En la página Detalles de la red de VPC, haz clic en Borrar red de VPC.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Load balancer logging disabled`

Nombre de categoría en la API: LOAD_BALANCER_LOGGING_DISABLED

El registro está inhabilitado para el servicio de backend en un balanceador de cargas.

Si habilitas el registro para un balanceador de cargas, podrás ver el tráfico de red HTTP(S) para tus aplicaciones web. Para obtener más información, consulta Balanceador de cargas.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Cloud Load Balancing en la Consola de Google Cloud

Ir a Cloud Load Balancing
Haz clic en el nombre de tu balanceador de cargas.
Haz clic en Editar .
Haga clic en Configuración de backend.
En la página Configuración de backend, haz clic en .
En la sección Registro, selecciona Habilitar registro y elige la mejor tasa de muestreo de tu proyecto.
Para terminar de editar el servicio de backend, haz clic en Actualizar.
Para terminar de editar el balanceador de cargas, haz clic en Actualizar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Locked retention policy not set`

Nombre de categoría en la API: LOCKED_RETENTION_POLICY_NOT_SET

Una política de retención bloqueada no se establece para los registros.

Una política de retención bloqueada evita que se reemplacen los registros y que se borre el bucket de registro. Para obtener más información, consulta Bucket Candado.

Para las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en el organización principal.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Navegador de Storage en la consola de Google Cloud.

Ir al navegador de almacenamiento
Selecciona el bucket enumerado en el resultado de las estadísticas del estado de seguridad.
En la página de detalles del bucket, haga clic en la pestaña Permisos.
Si no se estableció una política de retención, haz clic en Configurar política de retención.
Ingresa un período de retención.
Haz clic en Guardar. La política de retención se muestra en la pestaña Retención.
Haz clic en Bloquear para garantizar que el período de retención no se abrevie ni se quite.
Precaución: Bloquear una política de retención es una acción irreversible y solo se puede deshacer si borras todo el bucket. Para ver más consulta Bloqueo del bucket.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Log not exported`

Nombre de categoría en la API: LOG_NOT_EXPORTED

Un recurso no tiene configurado un receptor de registros adecuado.

Cloud Logging te ayuda a encontrar con rapidez las causas principales de los problemas en tus sistemas y aplicaciones. Sin embargo, la mayoría de los registros solo se conservan durante 30 días de forma predeterminada. Exporta las copias de todas las entradas de registro para extender el período de almacenamiento. Para obtener más información, consulta la Descripción general de las exportaciones de registros.

Para las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en el organización principal.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Enrutador de registros en la consola de Google Cloud.

Ir a Enrutador de registros
Haz clic en Crear receptor.
Para asegurarte de que todos los registros se exporten, deja los filtros de inclusión y exclusión vacíos.
Haz clic en Crear receptor.
Nota: Con estas instrucciones, se crea un receptor en el proyecto a nivel de organización. Los receptores también pueden crearse a nivel de la organización o la carpeta. Para obtener más información, consulta Exporta registros con el Consola de Google Cloud.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Master authorized networks disabled`

Nombre de categoría en la API: MASTER_AUTHORIZED_NETWORKS_DISABLED

Las redes autorizadas del plano de control no están habilitadas en los clústeres de GKE.

Las redes autorizadas del plano de control mejoran la seguridad de tu clúster de contenedores mediante el bloqueo de direcciones IP específicas a fin de que no puedan acceder al plano de control de tu clúster. Si deseas obtener más información, consulta Agrega redes autorizadas para el acceso al plano de control.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Clústeres de Kubernetes en la consola de Google Cloud.

Ir a Clústeres de Kubernetes
Selecciona el clúster enumerado en el resultado de las estadísticas del estado de seguridad.
Haz clic en Editar.

Si la configuración del clúster cambió recientemente, el botón de edición puede estar inhabilitado. Si no puedes editar la configuración del clúster, espera unos minutos y vuelve a intentarlo.
En la lista desplegable Redes autorizadas del plano de control, selecciona Habilitadas.
Haga clic en Agregar red autorizada.
Especifica las redes autorizadas que deseas utilizar.
Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`MFA not enforced`

Nombre de categoría en la API: MFA_NOT_ENFORCED

Este hallazgo no está disponible para activaciones a nivel de proyecto.

La autenticación de varios factores, específicamente la verificación en dos pasos (2SV), está inhabilitada para algunos usuarios de tu organización.

La autenticación de varios factores se usa con el fin de proteger las cuentas del acceso no autorizado y es la herramienta más importante para que no se vulneren las credenciales de acceso de tu organización. Para obtener más información, consulta Protege tu empresa con la verificación en dos pasos.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Consola del administrador en la consola de Google Cloud.

Ir a la Consola del administrador
Aplicar la verificación en 2 pasos en todas las unidades organizativas.

Suprimir resultados de este tipo

Para suprimir un resultado de este tipo, define una regla de silencio que se silencie automáticamente. hallazgos futuros de este tipo. Para obtener más información, consulta Silenciar los resultados en Security Command Center.

Aunque no es una forma recomendada de suprimir resultados, también agregar marcas de seguridad dedicadas a los recursos para que los detectores de Security Health Analytics no creen para esos recursos.

Para evitar que se vuelva a activar este resultado, agrega la marca de seguridad allow_mfa_not_enforced con un valor de true al recurso.
Para ignorar posibles incumplimientos de unidades organizativas específicas, agrega lo siguiente: Marca de seguridad de excluded_orgunits en el recurso con una lista separada por comas de las rutas de las unidades organizativas en el campo value. Por ejemplo, excluded_orgunits:/people/vendors/vendorA,/people/contractors/contractorA.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Network not monitored`

Nombre de categoría en la API: NETWORK_NOT_MONITORED

Las métricas y las alertas de registros no están configuradas para supervisar los cambios de la red de VPC

Para detectar cambios incorrectos o no autorizados en tu configuración de red, supervisa los cambios en la red de VPC. Para obtener más información, consulta Descripción general de las métricas basadas en registros.

Para las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en el organización principal.

Para solucionar este resultado, completa los siguientes pasos:

Crear métrica

Ve a la página Métricas basadas en registros en la consola de Google Cloud.

Ir a Métricas basadas en registros
Haga clic en Crear métrica.
En Tipo de métrica, selecciona Contador.
En Detalles, haz lo siguiente:
1. Establece un nombre de métrica de registro.
2. Agrega una descripción.
3. Establece las Unidades en 1.

En Selección de filtro, copia y pega el siguiente texto en Cuadro Crear filtro, que reemplaza el texto existente, si es necesario:

  resource.type="gce_network"
  AND (protoPayload.methodName:"compute.networks.insert"
  OR protoPayload.methodName:"compute.networks.patch"
  OR protoPayload.methodName:"compute.networks.delete"
  OR protoPayload.methodName:"compute.networks.removePeering"
  OR protoPayload.methodName:"compute.networks.addPeering")

Haga clic en Crear métrica. Verás un mensaje de confirmación.

Crear una política de alertas

En la consola de Google Cloud, ve a la página Métricas basadas en registros.
Ir a Métricas basadas en registros

Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.
En la sección Métricas definidas por el usuario, selecciona la métrica que creaste en la sección anterior.
Haz clic en Más y, luego, en Crear alerta a partir de métricas.

Se abre el cuadro de diálogo Condición nueva con las opciones de transformación de métricas y datos ya propagadas.
Haga clic en Next.
1. Revisa la configuración ya propagada. Te recomendamos modificar el Valor del umbral.
2. Haz clic en Nombre de la condición y, luego, ingresa un nombre para la condición.
Haz clic en Siguiente.
Para agregar notificaciones a tu política de alertas, haz clic en Canales de notificación. En el diálogo, selecciona uno o más canales de notificaciones del menú y, luego, haz clic en Aceptar.

Para recibir una notificación cuando se abran y cierren los incidentes, marca Notificar el cierre del incidente. De forma predeterminada, las notificaciones se envían solo cuando los incidentes de seguridad.
Opcional: Actualiza la Duración del cierre automático de incidentes. Este campo determina cuándo Monitoring cierra los incidentes ante la ausencia de datos de métricas.
Opcional: Haz clic en Documentación y, luego, agrega la información que deseas incluir en un mensaje de notificación.
Haz clic en Nombre de la alerta y, luego, ingresa un nombre para la política de alertas.
Haga clic en Crear política.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Network policy disabled`

Nombre de categoría en la API: NETWORK_POLICY_DISABLED

La política de red está inhabilitada en los clústeres de GKE.

Según la configuración predeterminada, la comunicación entre pods está abierta. Las comunicaciones abiertas permiten que los pods se conecten directamente en los nodos, con o sin traducción de direcciones de red. Un recurso NetworkPolicy es como un firewall a nivel de pods que restringe las conexiones entre los pods, a menos que el recurso NetworkPolicy permita la conexión de forma explícita. Obtén más información para definir una política de red.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Clústeres de Kubernetes en la consola de Google Cloud.

Ir a Clústeres de Kubernetes
Haz clic en el nombre del clúster que aparece en el resultado de Security Health Analytics.
En Herramientas de redes, en la fila de Política de red de Calico Kubernetes, haz clic en Editar.

Si la configuración del clúster cambió recientemente, el botón de edición puede estar inhabilitado. Si no puedes editar la configuración del clúster, espera unos minutos y vuelve a intentarlo.
En el cuadro de diálogo, selecciona Habilitar la política de red de Calico Kubernetes para el plano de control y Habilita la política de red de Calico Kubernetes para nodos.
Haz clic en Save Changes.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Nodepool boot CMEK disabled`

Nombre de categoría en la API: NODEPOOL_BOOT_CMEK_DISABLED

Los discos de arranque de este grupo de nodos no se encriptan con claves de encriptación administradas por el cliente (CMEK). Las CMEK permiten que el usuario configure las claves de encriptación predeterminadas para los discos de arranque en un grupo de nodos.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Clústeres de Kubernetes en la consola de Google Cloud.

Ir a clústeres de Kubernetes
En la lista de clústeres, haz clic en el nombre del clúster en el resultado.
Haz clic en la pestaña Nodos.
Para cada grupo de nodos default-pool, haz clic en Borrar .
Cuando se te solicite confirmar, haz clic en Borrar.
Para crear grupos de nodos nuevos mediante CMEK, consulta Usa claves de encriptación administradas por el cliente (CMEK). Las CMEK generan costos adicionales relacionados con Cloud KMS.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Nodepool secure boot disabled`

Nombre de categoría en la API: NODEPOOL_SECURE_BOOT_DISABLED

El inicio seguro está inhabilitado para un clúster de GKE.

Habilita el inicio seguro para que los nodos de GKE protegidos verifiquen las firmas digitales de los componentes de inicio de los nodos. Para obtener más información, consulta la documentación sobre el inicio seguro.

Para solucionar este resultado, completa los siguientes pasos:

Una vez que se aprovisiona un grupo de nodos, no se puede actualizar para habilitar el inicio seguro. Debes crear un nuevo grupo de nodos con el inicio seguro habilitado.

Ve a la página Clústeres de Kubernetes en la consola de Google Cloud.

Ir a clústeres de Kubernetes
Haz clic en el nombre del clúster en el resultado.
Haz clic en AGREGAR GRUPO DE NODOS.
En el menú Grupos de nodos, sigue estos pasos:
1. Haz clic en el nuevo grupo de nodos nuevo para expandir la pestaña.
2. Selecciona Seguridad y, en Opciones protegidas, selecciona Habilitar inicio seguro.
3. Haga clic en Crear.
4. Para migrar tus cargas de trabajo de grupos de nodos existentes que no cumplen con los grupos de nodos nuevos, consulta Migra cargas de trabajo a diferentes tipos de máquinas.
5. Después de que se hayan transferido tus cargas de trabajo, borra los grupos de nodos originales que no cumplan con los requisitos.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Non org IAM member`

Nombre de categoría en la API: NON_ORG_IAM_MEMBER

Un usuario fuera de tu organización o proyecto tiene permisos de IAM en un proyecto u organización. Obtén más información sobre los permisos de IAM.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página de IAM en la consola de Google Cloud.

Ir a IAM
Selecciona la casilla de verificación junto a los usuarios fuera de tu organización o proyecto.
Haz clic en Quitar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Object versioning disabled`

Nombre de categoría en la API: OBJECT_VERSIONING_DISABLED

El control de versiones de objetos no está habilitado en un bucket de almacenamiento en el que están configurados los receptores.

Para admitir la recuperación de objetos que se borran o reemplazan, Cloud Storage ofrece la función de control de versiones de objetos. Habilita el control de versiones de objetos para proteger los datos de Cloud Storage y evitar que se reemplacen o borren por accidente. Obtén más información sobre cómo habilitar el control de versiones de objetos.

Para las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en el organización principal.

Para solucionar este problema, usa el comando gsutil versioning set on con el valor apropiado, como el siguiente:

    gsutil versioning set on gs://finding.assetDisplayName

Reemplaza finding.assetDisplayName por el nombre del bucket relevante.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Open Cassandra port`

Nombre de categoría en la API: OPEN_CASSANDRA_PORT

Las reglas de firewall que permiten que cualquier dirección IP se conecte a los puertos de Cassandra pueden exponer tus servicios de Cassandra a atacantes. Para obtener más información, consulta la Descripción general de las reglas de firewall de VPC.

Los siguientes son los puertos de servicio de Cassandra:

TCP - 7000, 7001, 7199, 8888, 9042, 9160, 61620, 61621

Este resultado se genera en las reglas de firewall vulnerables, incluso si las inhabilitas de forma intencional. Los resultados activos para las reglas de firewall inhabilitadas te alertan sobre las configuraciones inseguras que permitirán el tráfico no deseado si se habilita.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Firewall en la consola de Google Cloud.

Ir a Firewall
En la lista de reglas de firewall, haz clic en el nombre de la regla de firewall en el resultado.
Haz clic en Editar.
En Rangos de IP de origen, borra 0.0.0.0/0.
Agrega las direcciones IP específicas o los rangos de IP que deseas que se conecten a la instancia.
Agrega los puertos y protocolos específicos que quieres abrir en tu instancia.
Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Open ciscosecure websm port`

Nombre de categoría en la API: OPEN_CISCOSECURE_WEBSM_PORT

Es posible que las reglas de firewall que permiten que cualquier dirección IP se conecte a los puertos de Cisco Secure/WebSM expongan tus servicios de CiscoSecure/WebSM a los atacantes. Para obtener más información, consulta la Descripción general de las reglas de firewall de VPC.

Los siguientes son los puertos de servicio de CiscoSecure/WebSM:

TCP - 9090

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Firewall en la consola de Google Cloud.

Ir a Firewall
En la lista de reglas de firewall, haz clic en el nombre de la regla de firewall en el resultado.
Haz clic en Editar.
En Rangos de IP de origen, borra 0.0.0.0/0.
Agrega las direcciones IP específicas o los rangos de IP que deseas que se conecten a la instancia.
Agrega los puertos y protocolos específicos que quieres abrir en tu instancia.
Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Open directory services port`

Nombre de categoría en la API: OPEN_DIRECTORY_SERVICES_PORT

Las reglas de firewall que permiten que cualquier dirección IP se conecte a los puertos del directorio pueden exponer tus servicios de directorio a los atacantes. Para obtener más información, consulta la Descripción general de las reglas de firewall de VPC.

Los siguientes son los puertos de servicio del directorio:

TCP - 445
UDP - 445

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Firewall en la consola de Google Cloud.

Ir a Firewall
En la lista de reglas de firewall, haz clic en el nombre de la regla de firewall en el resultado.
Haz clic en Editar.
En Rangos de IP de origen, borra 0.0.0.0/0.
Agrega las direcciones IP específicas o los rangos de IP que deseas que se conecten a la instancia.
Agrega los puertos y protocolos específicos que quieres abrir en tu instancia.
Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Open DNS port`

Nombre de categoría en la API: OPEN_DNS_PORT

Es probable que las reglas de firewall que permiten que cualquier dirección IP se conecte a los puertos de DNS expongan los servicios de DNS a los atacantes. Para obtener más información, consulta la Descripción general de las reglas de firewall de VPC.

Los siguientes son los puertos de servicio de DNS:

TCP - 53
UDP - 53

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Firewall en la consola de Google Cloud.

Ir a Firewall
En la lista de reglas de firewall, haz clic en el nombre de la regla de firewall en el resultado.
Haz clic en Editar.
En Rangos de IP de origen, borra 0.0.0.0/0.
Agrega las direcciones IP específicas o los rangos de IP que deseas que se conecten a la instancia.
Agrega los puertos y protocolos específicos que quieres abrir en tu instancia.
Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Open Elasticsearch port`

Nombre de categoría en la API: OPEN_ELASTICSEARCH_PORT

Es posible que las reglas de firewall que permiten que cualquier dirección IP se conecte a los puertos de Elasticsearch expongan tus servicios de Elasticsearch a los atacantes. Para obtener más información, consulta la Descripción general de las reglas de firewall de VPC.

Los siguientes son los puertos de servicio de Elasticsearch:

TCP - 9200, 9300

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Firewall en la consola de Google Cloud.

Ir a Firewall
En la lista de reglas de firewall, haz clic en el nombre de la regla de firewall en el resultado.
Haz clic en Editar.
En Rangos de IP de origen, borra 0.0.0.0/0.
Agrega las direcciones IP específicas o los rangos de IP que deseas que se conecten a la instancia.
Agrega los puertos y protocolos específicos que quieres abrir en tu instancia.
Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Open firewall`

Nombre de categoría en la API: OPEN_FIREWALL

Las reglas de Firewall que permiten conexiones desde todas las direcciones IP, como 0.0.0.0/0, o desde todos los puertos, pueden exponer innecesariamente los recursos a ataques de fuentes no previstas. Debes quitar estas reglas o restringir su alcance explícitamente al rango o los puertos de IP de origen deseados. Por ejemplo, en las aplicaciones destinadas a ser públicas, considera restringir los puertos permitidos a los necesarios para la aplicación, como 80 y 443. Si tu aplicación necesita permitir conexiones desde cualquier dirección IP o considera agregar el recurso a una lista de entidades permitidas. Obtén más información sobre cómo actualizar reglas de firewall.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Reglas de Firewall en la consola de Google Cloud.

Ir a Reglas de firewall
Haz clic en la regla de firewall que se indica en el resultado de las estadísticas del estado de la seguridad y, luego, en Editar.
En Rangos de IP de origen, edita los valores de IP para restringir el rango de IP permitidas.
En Protocolos y puertos, selecciona Protocolos y puertos especificados, elige los protocolos permitidos y, luego, ingresa los puertos que se permiten.
Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Open FTP port`

Nombre de categoría en la API: OPEN_FTP_PORT

Es probable que las reglas de firewall que permiten que cualquier dirección IP se conecte a los puertos de FTP expongan los servicios de FTP a los atacantes. Para obtener más información, consulta la Descripción general de las reglas de firewall de VPC.

Los siguientes son los puertos de servicio de FTP:

TCP - 21

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Firewall en la consola de Google Cloud.

Ir a Firewall
En la lista de reglas de firewall, haz clic en el nombre de la regla de firewall en el resultado.
Haz clic en Editar.
En Rangos de IP de origen, borra 0.0.0.0/0.
Agrega las direcciones IP específicas o los rangos de IP que deseas que se conecten a la instancia.
Agrega los puertos y protocolos específicos que quieres abrir en tu instancia.
Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Open group IAM member`

Nombre de categoría en la API: OPEN_GROUP_IAM_MEMBER

Uno o más principales que tienen acceso a una organización, proyecto o carpeta son cuentas de Grupos de Google que se pueden unir sin aprobación.

Los clientes de Google Cloud pueden usar Grupos de Google para administrar funciones y permisos de los miembros de sus organizaciones o aplicar políticas de acceso a colecciones de usuarios. En lugar de otorgar funciones directamente a los miembros, los administradores pueden otorgar funciones y permisos a los Grupos de Google y, luego, agregar miembros a grupos específicos. Los miembros del grupo heredan todos los roles y los permisos de un grupo, lo que permite que los miembros accedan a recursos y servicios específicos.

Si se usa una cuenta de Grupos de Google abierta como principal en una vinculación de IAM, cualquier persona puede heredar el rol asociado solo si se une al grupo de forma directa o indirecta (a través de un subgrupo). Recomendamos revocar los roles de los grupos abiertos o restringir el acceso a esos grupos.

Para solucionar este problema, realiza uno de los siguientes procedimientos.

Quita el grupo de la política de IAM

Ve a la página de IAM en la consola de Google Cloud.

Ir a IAM
Si es necesario, selecciona el proyecto, la carpeta o la organización en el resultado.
Revoca el rol de cada grupo abierto identificado en el resultado.

Restringe el acceso a los grupos abiertos

Accede a Grupos de Google.
Actualiza la configuración de cada grupo abierto y sus subgrupos para especificar quién puede unirse al grupo y quién debe aprobarlo.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Open HTTP port`

Nombre de categoría en la API: OPEN_HTTP_PORT

Es probable que las reglas de firewall que permiten que cualquier dirección IP se conecte a los puertos HTTP expongan tus servicios HTTP a los atacantes. Para obtener más información, consulta la Descripción general de las reglas de firewall de VPC.

Los siguientes son los puertos de servicio de HTTP:

TCP - 80

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Firewall en la consola de Google Cloud.

Ir a Firewall
En la lista de reglas de firewall, haz clic en el nombre de la regla de firewall en el resultado.
Haz clic en Editar.
En Rangos de IP de origen, borra 0.0.0.0/0.
Agrega las direcciones IP específicas o los rangos de IP que deseas que se conecten a la instancia.
Agrega los puertos y protocolos específicos que quieres abrir en tu instancia.
Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Open LDAP port`

Nombre de categoría en la API: OPEN_LDAP_PORT

Es probable que las reglas de firewall que permiten que cualquier dirección IP se conecte a los puertos de LDAP expongan tus servicios de LDAP a los atacantes. Para obtener más información, consulta la Descripción general de las reglas de firewall de VPC.

Los siguientes son los puertos de servicio de LDAP:

TCP - 389, 636
UDP - 389

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Firewall en la consola de Google Cloud.

Ir a Firewall
En la lista de reglas de firewall, haz clic en el nombre de la regla de firewall en el resultado.
Haz clic en Editar.
En Rangos de IP de origen, borra 0.0.0.0/0.
Agrega las direcciones IP específicas o los rangos de IP que deseas que se conecten a la instancia.
Agrega los puertos y protocolos específicos que quieres abrir en tu instancia.
Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Open Memcached port`

Nombre de categoría en la API: OPEN_MEMCACHED_PORT

Las reglas de firewall que permiten que cualquier dirección IP se conecte a los puertos de Memcached podrían exponer tus servicios de Memcached a los atacantes. Para obtener más información, consulta la Descripción general de las reglas de firewall de VPC.

Los siguientes son los puertos de servicio de Memcached:

TCP - 11211, 11214, 11215
UDP - 11211, 11214, 11215

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Firewall en la consola de Google Cloud.

Ir a Firewall
En la lista de reglas de firewall, haz clic en el nombre de la regla de firewall en el resultado.
Haz clic en Editar.
En Rangos de IP de origen, borra 0.0.0.0/0.
Agrega las direcciones IP específicas o los rangos de IP que deseas que se conecten a la instancia.
Agrega los puertos y protocolos específicos que quieres abrir en tu instancia.
Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Open MongoDB port`

Nombre de categoría en la API: OPEN_MONGODB_PORT

Es probable que las reglas de firewall que permiten que cualquier dirección IP se conecte a los puertos de MongoDB expongan tus servicios de MongoDB a los atacantes. Para obtener más información, consulta la Descripción general de las reglas de firewall de VPC.

Los siguientes son los puertos de servicio de MongoDB:

TCP - 27017, 27018, 27019

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Firewall en la consola de Google Cloud.

Ir a Firewall
En la lista de reglas de firewall, haz clic en el nombre de la regla de firewall en el resultado.
Haz clic en Editar.
En Rangos de IP de origen, borra 0.0.0.0/0.
Agrega las direcciones IP específicas o los rangos de IP que deseas que se conecten a la instancia.
Agrega los puertos y protocolos específicos que quieres abrir en tu instancia.
Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Open MySQL port`

Nombre de categoría en la API: OPEN_MYSQL_PORT

Es probable que las reglas de firewall que permiten que cualquier dirección IP se conecte a los puertos de MySQL expongan tus servicios de MySQL a los atacantes. Para obtener más información, consulta la Descripción general de las reglas de firewall de VPC.

Los siguientes son los puertos del servicio de MySQL:

TCP - 3306

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Firewall en la consola de Google Cloud.

Ir a Firewall
En la lista de reglas de firewall, haz clic en el nombre de la regla de firewall en el resultado.
Haz clic en Editar.
En Rangos de IP de origen, borra 0.0.0.0/0.
Agrega las direcciones IP específicas o los rangos de IP que deseas que se conecten a la instancia.
Agrega los puertos y protocolos específicos que quieres abrir en tu instancia.
Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Open NetBIOS port`

Nombre de categoría en la API: “OPEN_NETBIOS_PORT”

Las reglas de firewall que permiten que cualquier dirección IP se conecte a los puertos de NetBIOS pueden exponer tus servicios de NetBIOS a los atacantes. Para obtener más información, consulta la Descripción general de las reglas de firewall de VPC.

Los siguientes son los puertos de servicio de NetBIOS:

TCP - 137, 138, 139
UDP - 137, 138, 139

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Firewall en la consola de Google Cloud.

Ir a Firewall
En la lista de reglas de firewall, haz clic en el nombre de la regla de firewall en el resultado.
Haz clic en Editar.
En Rangos de IP de origen, borra 0.0.0.0/0.
Agrega las direcciones IP específicas o los rangos de IP que deseas que se conecten a la instancia.
Agrega los puertos y protocolos específicos que quieres abrir en tu instancia.
Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Open OracleDB port`

Nombre de categoría en la API: OPEN_ORACLEDB_PORT

Es posible que las reglas de Firewall que permiten que cualquier dirección IP se conecte a los puertos de OracleDB expongan tus servicios de OracleDB a los atacantes. Para obtener más información, consulta la Descripción general de las reglas de firewall de VPC.

Los siguientes son los puertos de servicio de OracleDB:

TCP - 1521, 2483, 2484
UDP - 2483, 2484

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Firewall en la consola de Google Cloud.

Ir a Firewall
En la lista de reglas de firewall, haz clic en el nombre de la regla de firewall en el resultado.
Haz clic en Editar.
En Rangos de IP de origen, borra 0.0.0.0/0.
Agrega las direcciones IP específicas o los rangos de IP que deseas que se conecten a la instancia.
Agrega los puertos y protocolos específicos que quieres abrir en tu instancia.
Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Open POP3 port`

Nombre de categoría en la API: OPEN_POP3_PORT

Las reglas de firewall que permiten que cualquier dirección IP se conecte a los puertos POP3 podrían exponer tus servicios POP3 a los atacantes. Para obtener más información, consulta la Descripción general de las reglas de firewall de VPC.

Los siguientes son los puertos de servicio de POP3:

TCP - 110

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Firewall en la consola de Google Cloud.

Ir a Firewall
En la lista de reglas de firewall, haz clic en el nombre de la regla de firewall en el resultado.
Haz clic en Editar.
En Rangos de IP de origen, borra 0.0.0.0/0.
Agrega las direcciones IP específicas o los rangos de IP que deseas que se conecten a la instancia.
Agrega los puertos y protocolos específicos que quieres abrir en tu instancia.
Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Open PostgreSQL port`

Nombre de categoría en la API: OPEN_POSTGRESQL_PORT

Es posible que las reglas de firewall que permiten que cualquier dirección IP se conecte a los puertos de PostgreSQL expongan tus servicios de PostgreSQL a los atacantes. Para obtener más información, consulta la Descripción general de las reglas de firewall de VPC.

Los siguientes son los puertos de servicio de PostgreSQL:

TCP - 5432
UDP - 5432

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Firewall en la consola de Google Cloud.

Ir a Firewall
En la lista de reglas de firewall, haz clic en el nombre de la regla de firewall en el resultado.
Haz clic en Editar.
En Rangos de IP de origen, borra 0.0.0.0/0.
Agrega las direcciones IP específicas o los rangos de IP que deseas que se conecten a la instancia.
Agrega los puertos y protocolos específicos que quieres abrir en tu instancia.
Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Open RDP port`

Nombre de categoría en la API: OPEN_RDP_PORT

Es posible que las reglas de firewall que permiten que cualquier dirección IP se conecte a los puertos de RDP expongan tus servicios de RDP a los atacantes. Para obtener más información, consulta la Descripción general de las reglas de firewall de VPC.

Los siguientes son los puertos de servicio de RDP:

TCP - 3389
UDP - 3389

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Firewall en la consola de Google Cloud.

Ir a Firewall
En la lista de reglas de firewall, haz clic en el nombre de la regla de firewall en el resultado.
Haz clic en Editar.
En Rangos de IP de origen, borra 0.0.0.0/0.
Agrega las direcciones IP específicas o los rangos de IP que deseas que se conecten a la instancia.
Agrega los puertos y protocolos específicos que quieres abrir en tu instancia.
Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Open Redis port`

Nombre de categoría en la API: OPEN_REDIS_PORT

Es probable que las reglas de firewall que permiten que cualquier dirección IP se conecte a los puertos de Redis expongan los servicios de Redis a los atacantes. Para obtener más información, consulta la Descripción general de las reglas de firewall de VPC.

Estos son los puertos de servicio de Redis:

TCP - 6379

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Firewall en la consola de Google Cloud.

Ir a Firewall
En la lista de reglas de firewall, haz clic en el nombre de la regla de firewall en el resultado.
Haz clic en Editar.
En Rangos de IP de origen, borra 0.0.0.0/0.
Agrega las direcciones IP específicas o los rangos de IP que deseas que se conecten a la instancia.
Agrega los puertos y protocolos específicos que quieres abrir en tu instancia.
Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Open SMTP port`

Nombre de categoría en la API: OPEN_SMTP_PORT

Es posible que las reglas de firewall que permiten que cualquier dirección IP se conecte a los puertos SMTP expongan tus servicios SMTP a los atacantes. Para obtener más información, consulta la Descripción general de las reglas de firewall de VPC.

Los siguientes son los puertos de servicio de SMTP:

TCP - 25

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Firewall en la consola de Google Cloud.

Ir a Firewall
En la lista de reglas de firewall, haz clic en el nombre de la regla de firewall en el resultado.
Haz clic en Editar.
En Rangos de IP de origen, borra 0.0.0.0/0.
Agrega las direcciones IP específicas o los rangos de IP que deseas que se conecten a la instancia.
Agrega los puertos y protocolos específicos que quieres abrir en tu instancia.
Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Open SSH port`

Nombre de categoría en la API: OPEN_SSH_PORT

Es probable que las reglas de firewall que permiten que cualquier dirección IP se conecte a los puertos SSH expongan tus servicios SSH a los atacantes. Para obtener más información, consulta la Descripción general de las reglas de firewall de VPC.

Los siguientes son los puertos de servicio de SSH:

SCTP - 22
TCP - 22

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Firewall en la consola de Google Cloud.

Ir a Firewall
En la lista de reglas de firewall, haz clic en el nombre de la regla de firewall en el resultado.
Haz clic en Editar.
En Rangos de IP de origen, borra 0.0.0.0/0.
Agrega las direcciones IP específicas o los rangos de IP que deseas que se conecten a la instancia.
Agrega los puertos y protocolos específicos que quieres abrir en tu instancia.
Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Open Telnet port`

Nombre de categoría en la API: OPEN_TELNET_PORT

Las reglas de firewall que permiten que cualquier dirección IP se conecte a los puertos Telnet podrían exponer tus servicios de Telnet a los atacantes. Para obtener más información, consulta la Descripción general de las reglas de firewall de VPC.

Los siguientes son los puertos del servicio de Telnet:

TCP - 23

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Firewall en la consola de Google Cloud.

Ir a Firewall
En la lista de reglas de firewall, haz clic en el nombre de la regla de firewall en el resultado.
Haz clic en Editar.
En Rangos de IP de origen, borra 0.0.0.0/0.
Agrega las direcciones IP específicas o los rangos de IP que deseas que se conecten a la instancia.
Agrega los puertos y protocolos específicos que quieres abrir en tu instancia.
Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Org policy Confidential VM policy`

Nombre de categoría en la API: ORG_POLICY_CONFIDENTIAL_VM_POLICY

Un recurso de Compute Engine no cumple con la política de la organización constraints/compute.restrictNonConfidentialComputing. Para obtener más información sobre esta restricción de políticas de la organización, consulta Aplica restricciones de políticas de la organización.

Tu organización requiere que esta VM tenga habilitado el servicio de Confidential VM. Las VM que no tienen este servicio habilitado no usarán la encriptación de memoria del entorno de ejecución, lo que las dejará expuestas a ataques de memoria del entorno de ejecución.

Para las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en el organización principal.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Instancias de VM en la consola de Google Cloud.

Ir a Instancias de VM
En la lista de instancias, haz clic en el nombre de la instancia en el resultado.
Si la VM no requiere el servicio de Confidential VM, trasládala a una nueva carpeta o proyecto.
Si la VM requiere Confidential VM, haz clic en Borrar.
Para crear una instancia nueva con Confidential VM habilitada, consulta la Guía de inicio rápido: Crea una instancia de Confidential VM.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Org policy location restriction`

Nombre de categoría en la API: ORG_POLICY_LOCATION_RESTRICTION

La restricción gcp.resourceLocations de la política de la organización te permite restringir la creación de recursos nuevos a las regiones de Cloud que selecciones. Para obtener más información, consulta Restringe las ubicaciones de recursos.

Para las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en el organización principal.

Para solucionar este resultado, completa los siguientes pasos:

El detector ORG_POLICY_LOCATION_RESTRICTION abarca muchos tipos de recursos, y las instrucciones de solución son diferentes para cada recurso. El enfoque general para solucionar los incumplimientos de ubicación incluye lo siguiente:

Copiar, mover o crear una copia de seguridad del recurso fuera de la región o sus datos en un recurso que esté dentro de la región Leer la documentación de los servicios individuales para obtener instrucciones sobre cómo mover recursos
Borrar el recurso fuera de región original o sus datos

Este enfoque no es posible para todos los tipos de recursos. Para obtener orientación, consulta las recomendaciones personalizadas que se proporcionan en el resultado.

Consideraciones adicionales

Cuando corrijas este resultado, ten en cuenta lo siguiente.

Recursos administrados

A veces, otros recursos administran y controlan los ciclos de vida de los recursos. Por ejemplo, un grupo de instancias administrado de Compute Engine crea y destruye instancias de Compute Engine según la política de ajuste de escala automático del grupo de instancias. Si los recursos administrados están dentro del alcance de la aplicación de la ubicación, ambos se pueden marcar como incumplimientos de la política de la organización. La solución de los resultados para los recursos administrados debe realizarse en el recurso de administración a fin de garantizar la estabilidad operativa.

Recursos en uso

Otros recursos los usan. Por ejemplo, un disco de Compute Engine que está conectado a una instancia de Compute Engine en ejecución se considera en uso por la instancia. Si el recurso en uso infringe la política de la organización de la ubicación, debes asegurarte de que el recurso no esté en uso antes de abordar la violación de la ubicación.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`OS login disabled`

Nombre de categoría en la API: OS_LOGIN_DISABLED

El Acceso al SO está inhabilitado en esta instancia de Compute Engine.

Para las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en el organización principal.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Metadatos de BigQuery en la consola de Google Cloud.

Ir a metadatos
Haz clic en Editar y, luego, en Agregar elemento.
Agrega un elemento con la clave enable-oslogin y el valor TRUE.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Over privileged account`

Nombre de categoría en la API: OVER_PRIVILEGED_ACCOUNT

Un nodo de GKE usa el nodo de servicio predeterminado de Compute Engine, que tiene un acceso amplio de forma predeterminada y puede tener privilegios excesivos para ejecutar tu clúster de GKE.

Para solucionar este resultado, completa los siguientes pasos:

Sigue las instrucciones para usar cuentas de servicio de Google con privilegios mínimos.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Over privileged scopes`

Nombre de categoría en la API: OVER_PRIVILEGED_SCOPES

Una cuenta de servicio de nodo tiene permisos de acceso amplios.

Los permisos de acceso son el método heredado que permite especificar permisos para tu instancia. Para reducir la posibilidad de una elevación de privilegios en un ataque, debes crear y usar una cuenta de servicio con privilegios mínimos de modo que puedas ejecutar tu clúster de GKE.

Para solucionar este resultado, sigue las instrucciones en Usa las cuentas de servicio de Google con privilegios mínimos.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Over privileged service account user`

Nombre de categoría en la API: OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Un usuario tiene las funciones iam.serviceAccountUser o iam.serviceAccountTokenCreator a nivel del proyecto, la carpeta o la organización, en lugar de una cuenta de servicio específica.

Cuando otorgas esas funciones a un usuario para un proyecto, organización o carpeta, permites que este acceda a todas las cuentas de servicio existentes y futuras de ese alcance. Esto puede generar una situación no deseada de privilegios. Para obtener más información, consulta Permisos de cuentas de servicio.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página de IAM en la consola de Google Cloud.

Ir a la página IAM
Si es necesario, selecciona el proyecto, la carpeta o la organización en el resultado.
Sigue estos pasos para cada principal asignado a roles/iam.serviceAccountUser o roles/iam.serviceAccountTokenCreator:
1. Haz clic en Editar.
2. En el panel Editar permisos, junto a las funciones, haz clic en Borrar.
3. Haz clic en Guardar.
Sigue esta guía para otorgar permisos a los usuarios individuales a fin de que puedan actuar en nombre de una sola cuenta de servicio. Deberás seguir la guía en cada cuenta de servicio para la que quieres permitir que los usuarios seleccionados actúen en su nombre.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Owner not monitored`

Nombre de categoría en la API: OWNER_NOT_MONITORED

Las métricas y las alertas de registros no están configuradas para supervisar los cambios o las asignaciones de propiedad del proyecto.

La función de propietario en Cloud IAM tiene el nivel más alto de privilegios en un proyecto. A fin de proteger tus recursos, configura alertas para recibir notificaciones cuando se agreguen o quiten propietarios nuevos. Para obtener más información, consulta Descripción general de las métricas basadas en registros.

Para las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en el organización principal.

Para solucionar este resultado, completa los siguientes pasos:

Crear métrica

Ve a la página Métricas basadas en registros en la consola de Google Cloud.

Ir a Métricas basadas en registros
Haga clic en Crear métrica.
En Tipo de métrica, selecciona Contador.
En Detalles, haz lo siguiente:
1. Establece un nombre de métrica de registro.
2. Agrega una descripción.
3. Establece las Unidades en 1.

En Selección de filtro, copia y pega el siguiente texto en Cuadro Crear filtro, que reemplaza el texto existente, si es necesario:

  (protoPayload.serviceName="cloudresourcemanager.googleapis.com")
  AND (ProjectOwnership OR projectOwnerInvitee)
  OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE"
  AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")
  OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD"
  AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")

Haga clic en Crear métrica. Verás un mensaje de confirmación.

Crear una política de alertas

En la consola de Google Cloud, ve a la página Métricas basadas en registros.
Ir a Métricas basadas en registros

Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.
En la sección Métricas definidas por el usuario, selecciona la métrica que creaste en la sección anterior.
Haz clic en Más y, luego, en Crear alerta a partir de métricas.

Se abre el cuadro de diálogo Condición nueva con las opciones de transformación de métricas y datos ya propagadas.
Haga clic en Next.
1. Revisa la configuración ya propagada. Te recomendamos modificar el Valor del umbral.
2. Haz clic en Nombre de la condición y, luego, ingresa un nombre para la condición.
Haz clic en Siguiente.
Para agregar notificaciones a tu política de alertas, haz clic en Canales de notificación. En el diálogo, selecciona uno o más canales de notificaciones del menú y, luego, haz clic en Aceptar.

Para recibir una notificación cuando se abran y cierren los incidentes, marca Notificar el cierre del incidente. De forma predeterminada, las notificaciones se envían solo cuando los incidentes de seguridad.
Opcional: Actualiza la Duración del cierre automático de incidentes. Este campo determina cuándo Monitoring cierra los incidentes ante la ausencia de datos de métricas.
Opcional: Haz clic en Documentación y, luego, agrega la información que deseas incluir en un mensaje de notificación.
Haz clic en Nombre de la alerta y, luego, ingresa un nombre para la política de alertas.
Haga clic en Crear política.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Pod security policy disabled`

Nombre de categoría en la API: POD_SECURITY_POLICY_DISABLED

Que PodSecurityPolicy está inhabilitada en un clúster de GKE.

Una PodSecurityPolicy es un recurso del controlador de admisión que valida las solicitudes para crear y actualizar los pods de un clúster. Los clústeres no aceptarán pods que no cumplan con las condiciones definidas en PodSecurityPolicy.

Para las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en el organización principal.

Para solucionar este problema, define y autoriza PodSecurityPolicies y habilita el controlador PodSecurityPolicy. Para obtener instrucciones, consulta Usa PodSecurityPolicies.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Primitive roles used`

Nombre de categoría en la API: PRIMITIVE_ROLES_USED

Un usuario tiene una de las siguientes funciones básicas de IAM: roles/owner, roles/editor o roles/viewer. Estas funciones son demasiado permisivas y no se deben usar. En su lugar, se deben asignar solo por proyecto.

Para obtener más información, consulta Comprende las funciones.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página de política de IAM en la consola de Google Cloud.

Ir a la política de IAM
Para cada usuario al que se le asignó una función básica, considera usar funciones más detalladas.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Private cluster disabled`

Nombre de categoría en la API: PRIVATE_CLUSTER_DISABLED

Un clúster de GKE tiene un clúster privado inhabilitado.

Los clústeres privados permiten que los nodos solo tengan direcciones IP privadas. Esta función limita el acceso a Internet saliente para los nodos. Si los nodos del clúster no tienen una dirección IP pública, no son detectables ni están expuestos a la Internet pública. Aun así, puedes dirigir el tráfico a estos con un balanceador de cargas interno. Para obtener más información, consulta Clústeres privados.

No puedes convertir un clúster existente en privado. Para solucionar este resultado, crea un clúster privado nuevo:

Ve a la página Clústeres de Kubernetes en la consola de Google Cloud.

Ir a Clústeres de Kubernetes
Haz clic en Crear clúster.
En el menú de navegación, en Clúster, selecciona Herramientas de redes.
Selecciona el botón de selección de Clúster privado.
En Opciones avanzadas de redes, selecciona la casilla de verificación Habilitar enrutamiento de tráfico nativo de la VPC (con alias de IP).
Haga clic en Crear.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Private Google access disabled`

Nombre de categoría en la API: PRIVATE_GOOGLE_ACCESS_DISABLED

Hay subredes privadas sin acceso a las API públicas de Google.

El Acceso privado a Google permite que las instancias de VM que solo tienen direcciones IP internas (privadas) lleguen a las direcciones IP públicas de los servicios y las API de Google.

Para obtener más información, consulta Configura el acceso privado a Google.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Redes de VPC en la consola de Google Cloud.

Ir a las redes de VPC
En la lista de redes, haz clic en el nombre de la red deseada.
En la página Detalles de la red de VPC, haz clic en la pestaña Subredes.
En la lista de subredes, haz clic en el nombre de la subred asociada con el clúster de Kubernetes en el resultado.
En la página de detalles de la subred, haz clic en Editar .
En Acceso privado a Google, selecciona Activado.
Haz clic en Guardar.
Para quitar IP públicas (externas) de instancias de VM cuyo único tráfico externo es a las API de Google, consulta Anula la asignación de una dirección IP externa estática.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Public bucket ACL`

Nombre de categoría en la API: PUBLIC_BUCKET_ACL

Un bucket es público y cualquier persona puede acceder a él.

Para obtener más información, consulta Descripción general del control de acceso.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Navegador de Storage en la consola de Google Cloud.

Ir al navegador de almacenamiento
Selecciona el bucket enumerado en el resultado de las estadísticas del estado de seguridad.
En la página Detalles del depósito, haz clic en la pestaña Permisos.
Junto a Ver por, haz clic en Funciones.
En la casilla Filtro, busca allUsers y allAuthenticatedUsers.
Haz clic en Borrar para quitar todos los permisos de IAM otorgados a allUsers y allAuthenticatedUsers.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Public Compute image`

Nombre de categoría en la API: PUBLIC_COMPUTE_IMAGE

Una imagen de Compute Engine es pública y cualquiera puede acceder a ella. allUsers representa a cualquier persona en Internet y allAuthenticatedUsers representa a cualquier persona que esté autenticada con Cuenta de Google ninguno está restringido a los usuarios de tu organización.

Las imágenes de Compute Engine pueden contener información sensible como claves de encriptación o software con licencia. Este tipo de información no debe ser accesible de manera pública. Si quieres que esta imagen de Compute Engine sea pública, asegúrate de que no contenga información sensible.

Para obtener más información, consulta Descripción general del control de acceso.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página de imágenes de Compute Engine en la consola de Google Cloud.

Ir a imágenes de Compute Engine
Selecciona el cuadro junto a la imagen public-image y, a continuación, haz clic en Mostrar panel de información.
En el cuadro Filtro, busca los principales allUsers y allAuthenticatedUsers.
Expande la función de la que deseas quitar usuarios.
Haz clic en Borrar para quitar un usuario de esa función.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Public dataset`

Nombre de categoría en la API: PUBLIC_DATASET

Un conjunto de datos de BigQuery es público y cualquier persona puede acceder a él desde Internet. El principal de IAM allUsers representa a cualquier persona en Internet y el allAuthenticatedUsers representa a cualquier persona que haya accedido a un servicio de Google. Ninguno está restringido a los usuarios de tu organización.

Para obtener más información, consulta Controla el acceso a los conjuntos de datos.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página de Explorador de BigQuery en la consola de Google Cloud.

Ve al conjunto de datos de BigQuery
En la lista de conjuntos de datos, haz clic en el nombre del conjunto de datos que se identifica en el resultado. Se abrirá el panel Información del conjunto de datos.
Cerca de la parte superior del panel Información del conjunto de datos, haz clic en COMPARTIR.
En el menú desplegable, haz clic en Permisos.
En el panel Permisos del conjunto de datos, ingresa allUsers y allAuthenticatedUsers y quita el acceso para estos principales.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Public IP address`

Nombre de categoría en la API: PUBLIC_IP_ADDRESS

Una instancia de Compute Engine tiene una dirección IP pública.

Para reducir la superficie de ataque de tus organizaciones, evita asignar direcciones IP públicas a tus VM. Las instancias detenidas se pueden marcar con un resultado de IP pública, por ejemplo, si las interfaces de red están configuradas para asignar una IP pública efímera al inicio. Asegúrate de que la configuración de red para las instancias detenidas no incluya el acceso externo.

Para obtener más información, consulta Conéctate a instancias de VM de forma segura.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Instancias de VM en la consola de Google Cloud.

Ir a Instancias de VM
En la lista de instancias, marca la casilla junto al nombre de la instancia en el resultado.
Haz clic en Editar.
Para cada interfaz enInterfaces de red , haga clic en Editar y establece IP externa hasta No hay que esperar
Haz clic en Listo y, luego, en Guardar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Public log bucket`

Nombre de categoría en la API: PUBLIC_LOG_BUCKET

Este hallazgo no está disponible para activaciones a nivel de proyecto.

Un bucket de almacenamiento es público y se usa como un receptor de registros, lo que significa que cualquier persona en Internet puede acceder a los registros almacenados en este bucket. allUsers representa a cualquier persona en Internet, y allAuthenticatedUsers representa a cualquier persona que haya accedido a un servicio de Google; ninguno está restringido a los usuarios de tu organización.

Para obtener más información, consulta Descripción general del control de acceso.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página del navegador de Cloud Storage en la consola de Google Cloud.

Ir al navegador de Cloud Storage
En la lista de buckets, haz clic en el nombre del bucket indicado en el resultado.
Haz clic en la pestaña Permisos.
Quita allUsers y allAuthenticatedUsers de la lista de principales.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Public SQL instance`

Nombre de categoría en la API: PUBLIC_SQL_INSTANCE

La instancia de SQL tiene 0.0.0.0/0 como una red permitida. Esto significa que cualquier cliente IPv4 puede pasar el firewall de red y tratar de acceder a tu instancia, incluidos los clientes que no pretendes admitir. Sin embargo, los clientes deberán tener credenciales válidas para acceder a tu instancia con éxito.

Para obtener más información, consulta la sección sobre cómo autorizar mediante redes autorizadas.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Instancias de Cloud SQL en la consola de Google Cloud.

Ir a Instancias de Cloud SQL
Selecciona la instancia que aparece en el resultado de las estadísticas de estado de seguridad.
Haz clic en Editar.
En el panel de navegación, haz clic en Conexiones.
En Redes autorizadas, borra 0.0.0.0/0 y agrega direcciones IP o rangos de IP específicos que desees permitir para conectarte a tu instancia.
Haz clic en Listo y, luego, en Guardar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Pubsub CMEK disabled`

Nombre de categoría en la API: PUBSUB_CMEK_DISABLED

Un tema de Pub/Sub no está encriptado con las claves de encriptación administradas por el cliente (CMEK).

Con CMEK, las claves que creas y administras en Cloud KMS envuelven las claves que usa Google para encriptar tus datos, lo que te brinda más control sobre el acceso a tus datos.

Para solucionar el problema, borra el tema existente y crea uno nuevo:

Ve a la página Temas de Pub/Sub en la consola de Google Cloud.

Ir a temas
Si es necesario, selecciona el proyecto que contiene el tema de Pub/Sub.
Selecciona la casilla de verificación junto al tema que aparece en el resultado y, luego, haz clic en Borrar.
Para crear un tema de Pub/Sub nuevo con CMEK habilitadas, consulta Usa claves de encriptación administradas por el cliente. Las CMEK generan costos adicionales relacionados con Cloud KMS.
Publica los resultados y otros datos en el tema de Pub/Sub habilitado para CMEK.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Route not monitored`

Nombre de categoría en la API: ROUTE_NOT_MONITORED

Las métricas y las alertas de registros no están configuradas para supervisar los cambios de ruta de la red de VPC

Las rutas de Google Cloud son destinos y saltos que definen la ruta que toma el tráfico de red de una instancia de VM a una IP de destino. Mediante la supervisión de los cambios en las tablas de ruta, puedes ayudar a garantizar que todo el tráfico de VPC fluya a través de una ruta de acceso esperada.

Para obtener más información, consulta Descripción general de las métricas basadas en registros.

Para las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en el organización principal.

Para solucionar este resultado, completa los siguientes pasos:

Crear métrica

Ve a la página Métricas basadas en registros en la consola de Google Cloud.

Ir a Métricas basadas en registros
Haga clic en Crear métrica.
En Tipo de métrica, selecciona Contador.
En Detalles, haz lo siguiente:
1. Establece un nombre de métrica de registro.
2. Agrega una descripción.
3. Establece las Unidades en 1.

En Selección de filtro, copia y pega el siguiente texto en Cuadro Crear filtro, que reemplaza el texto existente, si es necesario:

  resource.type="gce_route"
  AND (protoPayload.methodName:"compute.routes.delete"
  OR protoPayload.methodName:"compute.routes.insert")

Haga clic en Crear métrica. Verás un mensaje de confirmación.

Crear una política de alertas

En la consola de Google Cloud, ve a la página Métricas basadas en registros.
Ir a Métricas basadas en registros

Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.
En la sección Métricas definidas por el usuario, selecciona la métrica que creaste en la sección anterior.
Haz clic en Más y, luego, en Crear alerta a partir de métricas.

Se abre el cuadro de diálogo Condición nueva con las opciones de transformación de métricas y datos ya propagadas.
Haga clic en Next.
1. Revisa la configuración ya propagada. Te recomendamos modificar el Valor del umbral.
2. Haz clic en Nombre de la condición y, luego, ingresa un nombre para la condición.
Haz clic en Siguiente.
Para agregar notificaciones a tu política de alertas, haz clic en Canales de notificación. En el diálogo, selecciona uno o más canales de notificaciones del menú y, luego, haz clic en Aceptar.

Para recibir una notificación cuando se abran y cierren los incidentes, marca Notificar el cierre del incidente. De forma predeterminada, las notificaciones se envían solo cuando los incidentes de seguridad.
Opcional: Actualiza la Duración del cierre automático de incidentes. Este campo determina cuándo Monitoring cierra los incidentes ante la ausencia de datos de métricas.
Opcional: Haz clic en Documentación y, luego, agrega la información que deseas incluir en un mensaje de notificación.
Haz clic en Nombre de la alerta y, luego, ingresa un nombre para la política de alertas.
Haga clic en Crear política.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Redis role used on org`

Nombre de categoría en la API: REDIS_ROLE_USED_ON_ORG

Este hallazgo no está disponible para activaciones a nivel de proyecto.

Una función de IAM de Redis se asigna a nivel de organización o carpeta.

Las siguientes funciones de IAM de Redis se deben asignar solo por proyecto, no a nivel de organización o carpeta:

roles/redis.admin
roles/redis.viewer
roles/redis.editor

Para obtener más información, consulta Control de acceso y permisos.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página de política de IAM en la consola de Google Cloud.

Ir a la política de IAM
Quita las funciones de IAM de Redis que se indican en el resultado y agrégalas en los proyectos individuales.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Release channel disabled`

Nombre de categoría en la API: RELEASE_CHANNEL_DISABLED

Un clúster de GKE no está suscrito a un canal de versiones.

Suscríbete a un canal de versiones para automatizar las actualizaciones de las versiones al clúster de GKE. Estas funciones también reducen la complejidad de la administración de versiones a la cantidad de funciones y el nivel de estabilidad necesarios. Para obtener más información, consulta Canales de versiones.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Clústeres de Kubernetes en la consola de Google Cloud.

Ir a clústeres de Kubernetes
En la sección Aspectos básicos del clúster, haz clic en el ícono de edición () en la fila Canal de versiones.

Si la configuración del clúster cambió recientemente, el botón de edición puede estar inhabilitado. Si no puedes editar la configuración del clúster, espera unos minutos y vuelve a intentarlo.
En el cuadro de diálogo, selecciona Canal de versiones y, luego, elige el canal de versiones al que deseas suscribirte.

Si la versión del plano de control de tu clúster no se puede actualizar a un canal de versiones, ese canal podría inhabilitarse como opción.
Haz clic en Save Changes.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`RSASHA1 for signing`

Nombre de categoría en la API: RSASHA1_FOR_SIGNING

RSASHA1 se usa para la firma de claves en las zonas de Cloud DNS. El algoritmo que se usa para firmar las claves no debe ser débil.

Para solucionar este problema, reemplaza el algoritmo por uno recomendado mediante la guía Usa opciones de firma avanzadas.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Service account key not rotated`

Nombre de categoría en la API: SERVICE_ACCOUNT_KEY_NOT_ROTATED

Este hallazgo no está disponible para activaciones a nivel de proyecto.

La clave de una cuenta de servicio administrada por el usuario no se rota durante más de 90 días.

En general, las claves de las cuentas de servicio administradas por el usuario se deben rotar al menos cada 90 días para garantizar que no se pueda acceder a los datos con una clave antigua que podría haberse perdido, vulnerado o robado. Para obtener más información, consulta Rota las claves de la cuenta de servicio para reducir el riesgo de seguridad generado por claves filtradas.

Si generaste el par de clave pública/privada, almacenaste la clave privada en un módulo de seguridad de hardware (HSM) y subiste la clave pública a Google, es posible que no necesites rotar la clave cada 90 días. En cambio, puedes rotar la clave si crees que se vulneró su seguridad.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Cuentas de servicio en la consola de Google Cloud.

Ir a Cuentas de servicio
Si es necesario, selecciona el proyecto indicado en el resultado.
En la lista de cuentas de servicio, busca la cuenta de servicio que se muestra en el resultado y haz clic en Borrar. Antes de continuar, ten en cuenta el impacto de borrar una cuenta de servicio en tus recursos de producción.
Crea una clave de cuenta de servicio nueva para reemplazar la antigua. Para obtener más información, consulta Crea claves de cuentas de servicio.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Service account role separation`

Nombre de categoría en la API: SERVICE_ACCOUNT_ROLE_SEPARATION

Este hallazgo no está disponible para activaciones a nivel de proyecto.

Una o más principales de tu organización tienen varios permisos asignados sobres las cuentas de servicio. Ninguna cuenta debe tener administrador de cuentas de servicio junto con otros permisos de cuentas de servicio simultáneamente. Para obtener más información sobre las cuentas de servicio y las funciones disponibles para ellas, consulta Cuentas de servicio.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página de IAM en la consola de Google Cloud.

Ir a IAM
Para cada principal de la lista que aparece en el resultado, haz lo siguiente:
1. Para verificar si la función se heredó de una carpeta o recurso de organización, consulta la columna Herencia. Si la columna contiene un vínculo a un recurso superior, haz clic en el vínculo para ir a la página de IAM del recurso superior.
2. Haz clic en Editar junto a una principal.
3. Para quitar permisos, haz clic en Borrar junto a Administrador de cuenta de servicio. Si deseas quitar todos los permisos de la cuenta de servicio, haz clic en Borrar junto a todos los demás permisos.
Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Shielded VM disabled`

Nombre de categoría en la API: SHIELDED_VM_DISABLED

La VM protegida está inhabilitada en esta instancia de Compute Engine.

Las VM protegidas son máquinas virtuales (VM) en Google Cloud endurecidas gracias a un conjunto de controles de seguridad destinados a protegerlas de los rootkits y bootkits. Las VM protegidas ayudan a garantizar que el cargador y el firmware de inicio estén firmados y verificados. Más información sobre las VM protegidas

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Instancias de VM en la consola de Google Cloud.

Ir a Instancias de VM
Selecciona la instancia relacionada con el resultado de Security Health Analytics.
En la página Detalles de la instancia que se carga, haz clic en Detener.
Una vez que la instancia se detenga, haz clic en Editar.
En la sección VM protegida, presiona los botones Activar vTPM y Activar la supervisión de integridad para habilitar una VM protegida.
De manera opcional, si no usas ningún controlador personalizado o sin firmar, también habilita el Inicio seguro.
Haz clic en Guardar. La configuración nueva aparecerá en la página Detalles de la instancia.
Haz clic en Iniciar para iniciar la instancia.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`SQL CMEK disabled`

Nombre de categoría en la API: SQL_CMEK_DISABLED

Una instancia de base de datos SQL no usa claves de encriptación administradas por el cliente (CMEK).

Con CMEK, las claves que creas y administras en Cloud KMS envuelven las claves que usa Google para encriptar tus datos, lo que te brinda más control sobre el acceso a tus datos. Si deseas obtener más información, consulta la descripción general de CMEK para tu producto: Cloud SQL para MySQL, Cloud SQL para PostgreSQL o Cloud SQL para SQL Server. Las CMEK generan costos adicionales relacionados con Cloud KMS.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Instancias de Cloud SQL en la consola de Google Cloud.

Ir a Instancias de Cloud SQL
Selecciona la instancia que aparece en el resultado de las estadísticas de estado de seguridad.
Haz clic en Borrar.
A fin de crear una instancia nueva con las CMEK habilitadas, sigue las instrucciones para configurar CMEK en tu producto:

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`SQL contained database authentication`

Nombre de categoría en la API: SQL_CONTAINED_DATABASE_AUTHENTICATION

Una instancia de base de datos de Cloud SQL para SQL Server no tiene la marca de base de datos autenticación de base de datos contenida configurada en Desactivado.

La marca de autenticación de base de datos contenida controla si puedes crear o adjuntar bases de datos contenidas en el Motor de base de datos. Una base de datos contenida incluye todas las opciones de configuración y los metadatos necesarios para definir la base de datos y no tiene dependencias de configuración en la instancia del Motor de base de datos donde se instala la base de datos.

No se recomienda habilitar esta marca debido a las siguientes razones:

Los usuarios se pueden conectar a la base de datos sin autenticación a nivel de motor de base de datos.
Aislar la base de datos del Motor de base de datos permite trasladarla a otra instancia de SQL Server.

Las bases de datos contenidas enfrentan amenazas únicas que los administradores del Motor de base de datos de SQL Server deben entender y mitigar. La mayoría de las amenazas son producto del proceso de autenticación USUARIO CON CONTRASEÑA, que traslada el límite de autenticación desde el nivel del Motor de base de datos al nivel de la base de datos.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Instancias de Cloud SQL en la consola de Google Cloud.

Ir a Instancias de Cloud SQL
Selecciona la instancia que aparece en el resultado de las estadísticas de estado de seguridad.
Haz clic en Editar.
En la sección Marcas de bases de datos, configura la marca de base de datos autenticación de base de datos contenida con el valor Desactivado.
Haz clic en Guardar. La configuración nueva aparecerá en la página Descripción general de la instancia.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`SQL cross DB ownership chaining`

Nombre de categoría en la API: SQL_CROSS_DB_OWNERSHIP_CHAINING

Una instancia de base de datos de Cloud SQL para SQL Server no tiene la marca de encadenamiento de propiedad de la base de datos cruzada configurada como Desactivada.

La marca cadena de propiedad de bases de datos cruzadas te permite controlar la cadena de propiedad de bases de datos cruzadas a nivel de la base de datos o permitir la cadena de propiedad de bases de datos cruzadas para todas las declaraciones de bases de datos.

No se recomienda habilitar esta marca, a menos que todas las bases de datos alojadas en la instancia de SQL Server participen en la cadena de propiedad de bases de datos cruzadas y estés al tanto de las implicaciones de seguridad de esta configuración.

Para obtener más información, consulta Configura marcas de base de datos.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Instancias de Cloud SQL en la consola de Google Cloud.

Ir a Instancias de Cloud SQL
Selecciona la instancia que aparece en el resultado de las estadísticas de estado de seguridad.
Haz clic en Editar.
En la sección Marcas de bases de datos, configura la marca de bases de datos cadenas de propiedad de bases de datos cruzadas con el valor Desactivado.
Haz clic en Guardar. La configuración nueva aparecerá en la página Descripción general de la instancia.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`SQL external scripts enabled`

Nombre de categoría en la API: SQL_EXTERNAL_SCRIPTS_ENABLED

Una instancia de base de datos de Cloud SQL para SQL Server no tiene la marca de base de datos secuencias de comandos externas habilitadas configurada como Desactivada.

Cuando se activa, esta configuración permite la ejecución de secuencias de comandos con ciertas extensiones de lenguaje remotas. Dado que esta función puede afectar de forma negativa la seguridad del sistema, te recomendamos inhabilitarla.

Para obtener más información, consulta Configura marcas de base de datos.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Instancias de Cloud SQL en la consola de Google Cloud.

Ir a Instancias de Cloud SQL
Selecciona la instancia que aparece en el resultado de las estadísticas de estado de seguridad.
Haz clic en Editar.
En la sección Marcas de base de datos, configura la marca de base de datos secuencias de comandos externas habilitadas con el valor Desactivadas.
Haz clic en Guardar. La configuración nueva aparecerá en la página Descripción general de la instancia.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`SQL instance not monitored`

Nombre de categoría en la API: SQL_INSTANCE_NOT_MONITORED

Este hallazgo no está disponible para activaciones a nivel de proyecto.

Las métricas y alertas de registros no están configuradas para supervisar los cambios en la configuración de la instancia de Cloud SQL.

La mala configuración de las opciones de instancias de SQL puede causar riesgos de seguridad. Si inhabilitas las opciones de copia de seguridad automática y la alta disponibilidad, se podría afectar la continuidad del negocio, y si no restringes las redes autorizadas, se podría aumentar la exposición a redes que no son de confianza. La supervisión de los cambios en la configuración de la instancia de SQL te permite reducir el tiempo que lleva detectar y corregir alguna configuración incorrecta.

Para obtener más información, consulta Descripción general de las métricas basadas en registros.

Para las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en el organización principal.

Para solucionar este resultado, completa los siguientes pasos:

Crear métrica

Ve a la página Métricas basadas en registros en la consola de Google Cloud.

Ir a Métricas basadas en registros
Haga clic en Crear métrica.
En Tipo de métrica, selecciona Contador.
En Detalles, haz lo siguiente:
1. Establece un nombre de métrica de registro.
2. Agrega una descripción.
3. Establece las Unidades en 1.

En Selección de filtro, copia y pega el siguiente texto en Cuadro Crear filtro, que reemplaza el texto existente, si es necesario:

  protoPayload.methodName="cloudsql.instances.update"
  OR protoPayload.methodName="cloudsql.instances.create"
  OR protoPayload.methodName="cloudsql.instances.delete"

Haga clic en Crear métrica. Verás un mensaje de confirmación.

Crear una política de alertas

En la consola de Google Cloud, ve a la página Métricas basadas en registros.
Ir a Métricas basadas en registros

Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.
En la sección Métricas definidas por el usuario, selecciona la métrica que creaste en la sección anterior.
Haz clic en Más y, luego, en Crear alerta a partir de métricas.

Se abre el cuadro de diálogo Condición nueva con las opciones de transformación de métricas y datos ya propagadas.
Haga clic en Next.
1. Revisa la configuración ya propagada. Te recomendamos modificar el Valor del umbral.
2. Haz clic en Nombre de la condición y, luego, ingresa un nombre para la condición.
Haz clic en Siguiente.
Para agregar notificaciones a tu política de alertas, haz clic en Canales de notificación. En el diálogo, selecciona uno o más canales de notificaciones del menú y, luego, haz clic en Aceptar.

Para recibir una notificación cuando se abran y cierren los incidentes, marca Notificar el cierre del incidente. De forma predeterminada, las notificaciones se envían solo cuando los incidentes de seguridad.
Opcional: Actualiza la Duración del cierre automático de incidentes. Este campo determina cuándo Monitoring cierra los incidentes ante la ausencia de datos de métricas.
Opcional: Haz clic en Documentación y, luego, agrega la información que deseas incluir en un mensaje de notificación.
Haz clic en Nombre de la alerta y, luego, ingresa un nombre para la política de alertas.
Haga clic en Crear política.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`SQL local infile`

Nombre de categoría en la API: SQL_LOCAL_INFILE

Una instancia de base de datos de Cloud SQL para MySQL no tiene la marca de base de datos local_infile configurada como Desactivada. Debido a problemas de seguridad asociados con la marca local_infile, debe estar inhabilitada. Para obtener más información, consulta Configura marcas de base de datos.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Instancias de Cloud SQL en la consola de Google Cloud.

Ir a Instancias de Cloud SQL
Selecciona la instancia que aparece en el resultado de las estadísticas de estado de seguridad.
Haz clic en Editar.
En la sección Marcas de base de datos, configura la marca de base de datos local_infile con el valor Desactivada.
Haz clic en Guardar. La configuración nueva aparecerá en la página Descripción general de la instancia.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`SQL log checkpoints disabled`

Nombre de categoría en la API: SQL_LOG_CHECKPOINTS_DISABLED

Una instancia de base de datos de Cloud SQL para PostgreSQL no tiene la marca de registro de base de datos log_checkpoint configurada en Activado.

Si habilitas log_checkpoints, se registran los puntos de control y los puntos de reinicio en el registro del servidor. Algunas estadísticas se incluyen en los mensajes de registro, incluida la cantidad de búferes escritos y el tiempo dedicado a escribirlos.

Para obtener más información, consulta Configura marcas de base de datos.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Instancias de Cloud SQL en la consola de Google Cloud.

Ir a Instancias de Cloud SQL
Selecciona la instancia que aparece en el resultado de las estadísticas de estado de seguridad.
Haz clic en Editar.
En la sección Marcas de bases de datos, configura la marca de base de datos log_checkpoints con el valor Activado.
Haz clic en Guardar. La configuración nueva aparecerá en la página Descripción general de la instancia.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`SQL log connections disabled`

Nombre de categoría en la API: SQL_LOG_CONNECTIONS_DISABLED

Una instancia de base de datos de Cloud SQL para PostgreSQL no tiene la marca de base de datos log_connections configurada en Activado.

Habilitar la configuración log_connections hace que se registren los intentos de conexión al servidor, junto con la finalización exitosa de la autenticación del cliente. Los registros pueden ser útiles para solucionar problemas y confirmar intentos de conexión inusuales al servidor.

Para obtener más información, consulta Configura marcas de base de datos.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Instancias de Cloud SQL en la consola de Google Cloud.

Ir a Instancias de Cloud SQL
Selecciona la instancia que aparece en el resultado de las estadísticas de estado de seguridad.
Haz clic en Editar.
En la sección Marcas de bases de datos, configura la marca de base de datos log_connections con el valor Activado.
Haz clic en Guardar. La configuración nueva aparecerá en la página Descripción general de la instancia.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`SQL log disconnections disabled`

Nombre de categoría en la API: SQL_LOG_DISCONNECTIONS_DISABLED

Una instancia de base de datos de Cloud SQL para PostgreSQL no tiene la marca log_disconnections configurada en Activado.

Si habilitas la configuración log_disconnections, se crean entradas de registro al final de cada sesión. Los registros son útiles para solucionar problemas y confirmar actividad inusual durante un período determinado. Para obtener más información, consulta Configura marcas de base de datos.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Instancias de Cloud SQL en la consola de Google Cloud.

Ir a Instancias de Cloud SQL
Selecciona la instancia que aparece en el resultado de las estadísticas de estado de seguridad.
Haz clic en Editar.
En la sección Marcas de bases de datos, configura la marca de base de datos log_disconnections con el valor Activado.
Haz clic en Guardar. La configuración nueva aparecerá en la página Descripción general de la instancia.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`SQL log duration disabled`

Nombre de categoría en la API: SQL_LOG_DURATION_DISABLED

Una instancia de base de datos de Cloud SQL para PostgreSQL no tiene la marca de base de datos log_duration configurada como Activada.

Cuando log_duration está habilitada, esta configuración hace que se registre el tiempo de ejecución y la duración de cada declaración completada. Supervisar la cantidad de tiempo que lleva ejecutar consultas puede ser fundamental para identificar consultas lentas y solucionar problemas de la base de datos.

Para obtener más información, consulta Configura marcas de base de datos.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Instancias de Cloud SQL en la consola de Google Cloud.

Ir a Instancias de Cloud SQL
Selecciona la instancia que aparece en el resultado de las estadísticas de estado de seguridad.
Haz clic en Editar.
En la sección Marcas de base de datos, configura la marca de base de datos log_duration como Activada.
Haz clic en Guardar. La configuración nueva aparecerá en la página Descripción general de la instancia.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`SQL log error verbosity`

Nombre de categoría en la API: SQL_LOG_ERROR_VERBOSITY

Una instancia de base de datos de Cloud SQL para PostgreSQL no tiene la La marca de base de datos log_error_verbosity configurada en default o verbose.

La marca log_error_verbosity controla la cantidad de detalles en los mensajes registrados. Mientras mayor sea la verbosidad, más detalles se registrarán en los mensajes. Recomendamos establecer esta marca como default o verbose.

Para obtener más información, consulta Configura marcas de base de datos.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Instancias de Cloud SQL en la consola de Google Cloud.

Ir a Instancias de Cloud SQL
Selecciona la instancia que aparece en el resultado de las estadísticas de estado de seguridad.
Haz clic en Editar.
En la sección Marcas de bases de datos, configura log_error_verbosity. marca de base de datos como default o verbose.
Haz clic en Guardar. La configuración nueva aparecerá en la página Descripción general de la instancia.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`SQL log lock waits disabled`

Nombre de categoría en la API: SQL_LOG_LOCK_WAITS_DISABLED

Una instancia de base de datos de Cloud SQL para PostgreSQL no tiene la marca de log_lock_waits configurada en Activado.

Si habilitas la configuración log_lock_waits, se crean entradas de registro cuando los tiempos de espera de sesión son más largos que el tiempo de deadlock_timeout para adquirir un bloqueo. Los registros son útiles para determinar si las esperas de bloqueo provocan un rendimiento deficiente.

Para obtener más información, consulta Configura marcas de base de datos.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Instancias de Cloud SQL en la consola de Google Cloud.

Ir a Instancias de Cloud SQL
Selecciona la instancia que aparece en el resultado de las estadísticas de estado de seguridad.
Haz clic en Editar.
En la sección Marcas de bases de datos, configura la marca de base de datos log_lock_waits con el valor Activado.
Haz clic en Guardar. La configuración nueva aparecerá en la página Descripción general de la instancia.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`SQL log min duration statement enabled`

Nombre de categoría en la API: SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

Una instancia de base de datos de Cloud SQL para PostgreSQL no tiene la marca de base de datos log_min_duration_statement configurada en -1.

La marca log_min_duration_statement hace que se registren las instrucciones de SQL que se ejecutan más tiempo que un registro especificado. Considera inhabilitar esta configuración porque las instrucciones de SQL pueden contener información sensible que no se debe registrar. Para obtener más información, consulta Configura marcas de base de datos.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Instancias de Cloud SQL en la consola de Google Cloud.

Ir a Instancias de Cloud SQL
Selecciona la instancia que aparece en el resultado de las estadísticas de estado de seguridad.
Haz clic en Editar.
En la sección Marcas de base de datos, configura la marca de base de datos log_min_duration_statement con el valor −1.
Haz clic en Guardar. La configuración nueva aparecerá en la página Descripción general de la instancia.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`SQL log min error statement`

Nombre de categoría en la API: SQL_LOG_MIN_ERROR_STATEMENT

Una instancia de base de datos de Cloud SQL para PostgreSQL no tiene la marca de base de datos log_min_error_statement establecida de forma correcta.

La marca log_min_error_statement controla si las instrucciones de SQL que causan condiciones de error se registran en los registros del servidor. Las instrucciones de SQL de la gravedad especificada o de una gravedad más alta se registran con mensajes para las instrucciones de error. Mientras mayor sea la gravedad, menos mensajes se registrarán.

Si log_min_error_statement no se configura en el valor deseado, es posible que los mensajes no se clasifiquen como mensajes de error. Una gravedad establecida demasiado baja aumenta la cantidad de mensajes y es más difícil encontrar errores reales. Si un conjunto de gravedad es demasiado alto, es posible que no se registren mensajes de error para errores reales.

Para obtener más información, consulta Configura marcas de base de datos.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Instancias de Cloud SQL en la consola de Google Cloud.

Ir a Instancias de Cloud SQL
Selecciona la instancia que aparece en el resultado de las estadísticas de estado de seguridad.
Haz clic en Editar.
En la sección Marcas de base de datos, configura la marca de base de datos log_min_error_statement como uno de los siguientes valores recomendados, según la política de registro de tu organización.
- debug5
- debug4
- debug3
- debug2
- debug1
- info
- notice
- warning
- error
Haz clic en Guardar. La configuración nueva aparecerá en la página Descripción general de la instancia.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`SQL log min error statement severity`

Nombre de categoría en la API: SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

Una instancia de base de datos de Cloud SQL para PostgreSQL no tiene la marca de base de datos log_min_error_statement establecida de forma correcta.

La marca log_min_error_statement controla si las instrucciones de SQL que causan condiciones de error se registran en los registros del servidor. Las instrucciones de SQL de la gravedad especificada o de una gravedad más estricta se registran con mensajes para las instrucciones de error. Mientras más estricta sea la gravedad, menos mensajes se registrarán.

Si log_min_error_statement no se configura en el valor deseado, es posible que los mensajes no se clasifiquen como mensajes de error. Si un conjunto de gravedad es demasiado bajo, aumenta la cantidad de mensajes y es más difícil encontrar errores reales. Un nivel de gravedad demasiado alto (demasiado estricto) puede causar que los mensajes de error de los errores reales no se registren.

Te recomendamos configurar esta marca como error o más estricta.

Para obtener más información, consulta Configura marcas de base de datos.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Instancias de Cloud SQL en la consola de Google Cloud.

Ir a Instancias de Cloud SQL
Selecciona la instancia que aparece en el resultado de las estadísticas de estado de seguridad.
Haz clic en Editar.
En la sección Marcas de base de datos, configura la marca de base de datos log_min_error_statement como uno de los siguientes valores recomendados, según la política de registro de tu organización.
- error
- log
- fatal
- panic
Haz clic en Guardar. La configuración nueva aparecerá en la página Descripción general de la instancia.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`SQL log min messages`

Nombre de categoría en la API: SQL_LOG_MIN_MESSAGES

Una instancia de base de datos de Cloud SQL para PostgreSQL no tiene la La marca de base de datos log_min_messages establecida en warning como mínimo.

La marca log_min_messages controla en qué niveles de mensaje se registran los registros del servidor. Mientras mayor sea la gravedad, menos mensajes se registrarán. Parámetro de configuración un umbral demasiado bajo puede aumentar el tamaño y la longitud del almacenamiento de registros lo que dificulta la detección de errores reales.

Para obtener más información, consulta Configura marcas de base de datos.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Instancias de Cloud SQL en la consola de Google Cloud.

Ir a Instancias de Cloud SQL
Selecciona la instancia que aparece en el resultado de las estadísticas de estado de seguridad.
Haz clic en Editar.
En la sección Marcas de bases de datos, configura las log_min_messages con una de las siguientes marcas de base de datos valores recomendados, según la política de registro de tu organización.
- debug5
- debug4
- debug3
- debug2
- debug1
- info
- notice
- warning
Haz clic en Guardar. La configuración nueva aparecerá en la página Descripción general de la instancia.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`SQL log executor stats enabled`

Nombre de categoría en la API: SQL_LOG_EXECUTOR_STATS_ENABLED

Una instancia de base de datos de Cloud SQL para PostgreSQL no tiene la La marca de base de datos log_executor_stats está configurada en Off.

Cuando la marca log_executor_stats está activada, el rendimiento del ejecutor estadísticas se incluyen en los registros de PostgreSQL de cada consulta. Este parámetro de configuración puede ser útil para solucionar problemas, pero es posible que aumente de forma significativa la cantidad de registros y la sobrecarga de rendimiento.

Para obtener más información, consulta Configura marcas de base de datos.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Instancias de Cloud SQL en la consola de Google Cloud.

Ir a Instancias de Cloud SQL
Selecciona la instancia que aparece en el resultado de las estadísticas de estado de seguridad.
Haz clic en Editar.
En la sección Marcas de bases de datos, configura la base de datos log_executor_stats. marca como Off.
Haz clic en Guardar. La configuración nueva aparecerá en la página Descripción general de la instancia.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`SQL log hostname enabled`

Nombre de categoría en la API: “SQL_LOG_HOSTNAME_ENABLED”

Una instancia de base de datos de Cloud SQL para PostgreSQL no tiene la marca de base de datos log_hostname configurada como Desactivada.

Cuando se activa la marca log_hostname, se registra el nombre del host que se conecta. De forma predeterminada, los mensajes de registro de conexión solo muestran la dirección IP. Este parámetro de configuración puede ser útil para solucionar problemas. Sin embargo, puede generar una sobrecarga en el rendimiento del servidor debido a que se requiere la resolución de DNS para convertir una dirección IP en un nombre de host en cada declaración que se registra.

Para obtener más información, consulta Configura marcas de base de datos.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Instancias de Cloud SQL en la consola de Google Cloud.

Ir a Instancias de Cloud SQL
Selecciona la instancia que aparece en el resultado de las estadísticas de estado de seguridad.
Haz clic en Editar.
En la sección Marcas de bases de datos, configura la marca de base de datos log_hostname como Desactivada.
Haz clic en Guardar. La configuración nueva aparecerá en la página Descripción general de la instancia.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`SQL log parser stats enabled`

Nombre de categoría en la API: SQL_LOG_PARSER_STATS_ENABLED

Una instancia de base de datos de Cloud SQL para PostgreSQL no tiene la marca de base de datos log_parser_stats configurada como Desactivada.

Cuando se activa la marca log_parser_stats, se incluyen estadísticas de rendimiento del analizador en los registros de PostgreSQL para cada consulta. Este parámetro de configuración puede ser útil para solucionar problemas, pero es posible que aumente de forma significativa la cantidad de registros y la sobrecarga de rendimiento.

Para obtener más información, consulta Configura marcas de base de datos.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Instancias de Cloud SQL en la consola de Google Cloud.

Ir a Instancias de Cloud SQL
Selecciona la instancia que aparece en el resultado de las estadísticas de estado de seguridad.
Haz clic en Editar.
En la sección Marcas de bases de datos, configura la marca de base de datos log_parser_stats como Desactivada.
Haz clic en Guardar. La configuración nueva aparecerá en la página Descripción general de la instancia.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`SQL log planner stats enabled`

Nombre de categoría en la API: SQL_LOG_PLANNER_STATS_ENABLED

Una instancia de base de datos de Cloud SQL para PostgreSQL no tiene la marca de base de datos log_planner_stats configurada como Desactivada.

Cuando se activa la marca log_planner_stats, se usa un método sin procesar de creación de perfiles para registrar las estadísticas de rendimiento del planificador de PostgreSQL. Este parámetro de configuración puede ser útil para solucionar problemas, pero es posible que aumente de forma significativa la cantidad de registros y la sobrecarga de rendimiento.

Para obtener más información, consulta Configura marcas de base de datos.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Instancias de Cloud SQL en la consola de Google Cloud.

Ir a Instancias de Cloud SQL
Selecciona la instancia que aparece en el resultado de las estadísticas de estado de seguridad.
Haz clic en Editar.
En la sección Marcas de bases de datos, configura la marca de base de datos log_planner_stats como Desactivada.
Haz clic en Guardar. La configuración nueva aparecerá en la página Descripción general de la instancia.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`SQL log statement`

Nombre de categoría en la API: SQL_LOG_STATEMENT

Una instancia de base de datos de Cloud SQL para PostgreSQL no tiene la La marca de base de datos log_statement se estableció en ddl.

El valor de esta marca controla qué instrucciones de SQL se registran. Logging ayuda a solucionar problemas operativos y permite el análisis forense. Si esta marca no se configura en el valor correcto, es posible que se omita información relevante o que esta se oculte en demasiados mensajes. Se recomienda un valor de ddl (todas las declaraciones de definición de datos), a menos que la política de registro de tu organización indique lo contrario.

Para obtener más información, consulta Configura marcas de base de datos.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Instancias de Cloud SQL en la consola de Google Cloud.

Ir a Instancias de Cloud SQL
Selecciona la instancia que aparece en el resultado de las estadísticas de estado de seguridad.
Haz clic en Editar.
En la sección Marcas de bases de datos, configura la base de datos log_statement. marca como ddl.
Haz clic en Guardar. La configuración nueva aparecerá en la página Descripción general de la instancia.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`SQL log statement stats enabled`

Nombre de categoría en la API: SQL_LOG_STATEMENT_STATS_ENABLED

Una instancia de base de datos de Cloud SQL para PostgreSQL no tiene la marca log_statement_stats configurada como Desactivada.

Cuando se activa la marca log_statement_stats, se incluyen estadísticas de rendimiento de extremo a extremo en los registros de PostgreSQL para cada consulta. Este parámetro de configuración puede ser útil para solucionar problemas, pero es posible que aumente de forma significativa la cantidad de registros y la sobrecarga de rendimiento.

Para obtener más información, consulta Configura marcas de base de datos.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Instancias de Cloud SQL en la consola de Google Cloud.

Ir a Instancias de Cloud SQL
Selecciona la instancia que aparece en el resultado de las estadísticas de estado de seguridad.
Haz clic en Editar.
En la sección Marcas de bases de datos, configura la marca de base de datos log_statement_stats como Desactivada.
Haz clic en Guardar. La configuración nueva aparecerá en la página Descripción general de la instancia.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`SQL log temp files`

Nombre de categoría en la API: SQL_LOG_TEMP_FILES

Una instancia de base de datos de Cloud SQL para PostgreSQL no tiene la marca de base de datos log_temp_files configurada en 0.

Se pueden crear archivos temporales para los órdenes, los hashes y los resultados de consultas temporales. Si configuras la marca log_temp_files en 0, se registrará toda la información de los archivos temporales. El registro de todos los archivos temporales es útil para identificar posibles problemas de rendimiento. Para obtener más información, consulta Configura marcas de base de datos.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Instancias de Cloud SQL en la consola de Google Cloud.

Ir a Instancias de Cloud SQL
Selecciona la instancia que aparece en el resultado de las estadísticas de estado de seguridad.
Haz clic en Editar.
En la sección Marcas de la base de datos, configura la marca log_temp_files con el valor 0.
Haz clic en Guardar. La configuración nueva aparecerá en la página Descripción general de la instancia.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`SQL no root password`

Nombre de categoría en la API: SQL_NO_ROOT_PASSWORD

Una instancia de base de datos de MySQL no tiene una contraseña establecida para la cuenta raíz. Debes agregar una contraseña a la instancia de base de datos de MySQL. Para obtener más información, consulta Usuarios de MySQL.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Instancias de Cloud SQL en la consola de Google Cloud.

Ir a Instancias de Cloud SQL
Selecciona la instancia que aparece en el resultado de las estadísticas de estado de seguridad.
En la página Detalles de la instancia que se carga, selecciona la pestaña Usuarios.
Junto al usuario root, haz clic en Más y, luego, selecciona Cambiar contraseña.
Ingresa una contraseña segura y nueva y, a continuación, haz clic en Aceptar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`SQL public IP`

Nombre de categoría en la API: SQL_PUBLIC_IP

Una base de datos de Cloud SQL tiene una dirección IP pública.

Para reducir la superficie de ataque de tu organización, las bases de datos de Cloud SQL no deben tener direcciones IP públicas. Las direcciones IP privadas proporcionan una seguridad de red mejorada y una menor latencia para tu aplicación.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Instancias de Cloud SQL en la consola de Google Cloud.

Ir a Instancias de Cloud SQL
Selecciona la instancia que aparece en el resultado de las estadísticas de estado de seguridad.
En el menú lateral izquierdo, haz clic en Conexiones.
Haz clic en la pestaña Herramientas de redes y desmarca la casilla de verificación IP pública.
Si la instancia aún no está configurada para usar una IP privada, consulta Configura la IP privada en una instancia existente.
Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`SQL remote access enabled`

Nombre de categoría en la API: SQL_REMOTE_ACCESS_ENABLED

Una instancia de base de datos de Cloud SQL para SQL Server no tiene la marca de base de datos de acceso remoto configurada como Desactivado.

Cuando se activa, esta configuración otorga permiso para ejecutar procedimientos almacenados de forma local desde servidores remotos o procedimientos almacenados de forma remota desde el servidor local. Esta funcionalidad puede usarse de forma inadecuada para lanzar un ataque de denegación del servicio (DoS) en servidores remotos mediante la descarga del procesamiento de consultas a un destino. Para evitar usos inadecuados, te recomendamos inhabilitar esta configuración.

Para obtener más información, consulta Configura marcas de base de datos.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Instancias de Cloud SQL en la consola de Google Cloud.

Ir a Instancias de Cloud SQL
Selecciona la instancia que aparece en el resultado de las estadísticas de estado de seguridad.
Haz clic en Editar.
En la sección Marcas, configura el acceso remoto como Desactivado.
Haz clic en Guardar. La configuración nueva aparecerá en la página Descripción general de la instancia.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`SQL skip show database disabled`

Nombre de categoría en la API: SQL_SKIP_SHOW_DATABASE_DISABLED

Una instancia de base de datos de Cloud SQL para MySQL no tiene la marca de base de datos skip_show_database configurada como Activada.

Cuando se activa, esta marca evita que los usuarios usen la declaración SHOW DATABASES si no tienen el privilegio SHOW DATABASES. Con este parámetro de configuración, los usuarios que no tengan un permiso explícito no podrán ver las bases de datos que pertenecen a otros usuarios. Te recomendamos que habilites esta marca.

Para obtener más información, consulta Configura marcas de base de datos.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Instancias de Cloud SQL en la consola de Google Cloud.

Ir a Instancias de Cloud SQL
Selecciona la instancia que aparece en el resultado de las estadísticas de estado de seguridad.
Haz clic en Editar.
En la sección Marcas, configura skip_show_database como Activada.
Haz clic en Guardar. La configuración nueva aparecerá en la página Descripción general de la instancia.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`SQL trace flag 3625`

Nombre de categoría en la API: SQL_TRACE_FLAG_3625

Una instancia de base de datos de Cloud SQL para SQL Server no tiene la marca de base de datos 3625 (marca de seguimiento) configurada como Activada.

Esta marca limita la cantidad de información que se muestra a los usuarios que no son miembros del rol de servidor fijo sysadmin, mediante el enmascaramiento de los parámetros de algunos mensajes de error con asteriscos (******). Para evitar la divulgación de información sensible, te recomendamos habilitar esta marca.

Para obtener más información, consulta Configura marcas de base de datos.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Instancias de Cloud SQL en la consola de Google Cloud.

Ir a Instancias de Cloud SQL
Selecciona la instancia que aparece en el resultado de las estadísticas de estado de seguridad.
Haz clic en Editar.
En la sección Marcas de base de datos, configura 3625 como Activada.
Haz clic en Guardar. La configuración nueva aparecerá en la página Descripción general de la instancia.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`SQL user connections configured`

Nombre de categoría en la API: SQL_USER_CONNECTIONS_CONFIGURED

Una instancia de base de datos de Cloud SQL para SQL Server tiene configurada la marca de base de datos conexiones de usuario.

La opción conexiones de usuario especifica la cantidad máxima de conexiones de usuario simultáneas permitidas en una instancia de SQL Server. Dado que es una opción dinámica (autoconfiguración), SQL Server ajusta la cantidad máxima de conexiones de usuarios de forma automática según sea necesario, hasta el valor máximo permitido. El valor predeterminado es 0, lo que significa que se permiten hasta 32,767 conexiones de usuarios. Por este motivo, no recomendamos configurar la marca de base de datos conexiones de usuario.

Para obtener más información, consulta Configura marcas de base de datos.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Instancias de Cloud SQL en la consola de Google Cloud.

Ir a Instancias de Cloud SQL
Selecciona la instancia que aparece en el resultado de las estadísticas de estado de seguridad.
Haz clic en Editar.
En la sección Marcas de base de datos, junto a conexiones de usuario, haz clic en Borrar.
Haz clic en Guardar. La configuración nueva aparecerá en la página Descripción general de la instancia.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`SQL user options configured`

Nombre de categoría en la API: SQL_USER_OPTIONS_CONFIGURED

Una instancia de base de datos de Cloud SQL para SQL Server tiene configurada la marca de base de datos opciones de usuario.

Este parámetro de configuración anula los valores predeterminados globales de las opciones SET de todos los usuarios. Dado que los usuarios y las aplicaciones pueden suponer que las opciones predeterminadas SET de la base de datos están en uso, configurar las opciones de usuario puede generar resultados inesperados. Por este motivo, no recomendamos configurar la marca de base de datos opciones de usuario.

Para obtener más información, consulta Configura marcas de base de datos.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Instancias de Cloud SQL en la consola de Google Cloud.

Ir a Instancias de Cloud SQL
Selecciona la instancia que aparece en el resultado de las estadísticas de estado de seguridad.
Haz clic en Editar.
En la sección Marcas de bases de datos, junto a opciones de usuario, haz clic en Borrar.
Haz clic en Guardar. La configuración nueva aparecerá en la página Descripción general de la instancia.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`SQL weak root password`

Nombre de categoría en la API: SQL_WEAK_ROOT_PASSWORD

Una instancia de base de datos de MySQL tiene una contraseña poco segura establecida para la cuenta raíz. Debes establecer una contraseña segura para la instancia. Para obtener más información, consulta Usuarios de MySQL.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Instancias de Cloud SQL en la consola de Google Cloud.

Ir a Instancias de Cloud SQL
Selecciona la instancia que aparece en el resultado de las estadísticas de estado de seguridad.
En la página Detalles de la instancia que se carga, selecciona la pestaña Usuarios.
Junto al usuario root, haz clic en Más y, luego, selecciona Cambiar contraseña.
Ingresa una contraseña segura y nueva y, a continuación, haz clic en Aceptar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`SSL not enforced`

Nombre de categoría en la API: SSL_NOT_ENFORCED

Una instancia de base de datos de Cloud SQL no requiere que todas las conexiones entrantes usen SSL.

Para evitar que se filtren datos sensibles en tránsito a través de comunicaciones no encriptadas, todas las conexiones entrantes a tu instancia de base de datos SQL deben usar SSL. Obtén más información sobre la configuración de certificados SSL/TLS.

A fin de solucionar este problema, solo permite conexiones SSL para las instancias de SQL:

Ve a la página Instancias de Cloud SQL en la consola de Google Cloud.

Ir a Instancias de Cloud SQL
Selecciona la instancia que aparece en el resultado de las estadísticas de estado de seguridad.
En la pestaña Conexiones, haz clic en Solo permitir conexiones SSL o Exigir certificados de cliente de confianza. Para obtener más información, consulta Aplica la encriptación SSL/TLS.
Si elegiste Exigir certificados de cliente de confianza, crea un cliente nuevo. certificado. Para obtener más información, consulta Crea un nuevo certificado de cliente.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Too many KMS users`

Nombre de categoría en la API: TOO_MANY_KMS_USERS

Limita a tres la cantidad de usuarios principales que pueden usar claves criptográficas. Las siguientes funciones predefinidas otorgan permisos para encriptar, desencriptar o firmar datos con claves criptográficas:

roles/owner
roles/cloudkms.cryptoKeyEncrypterDecrypter
roles/cloudkms.cryptoKeyEncrypter
roles/cloudkms.cryptoKeyDecrypter
roles/cloudkms.signer
roles/cloudkms.signerVerifier

Para obtener más información, consulta el artículo sobre permisos y funciones.

Para las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en el organización principal.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Claves de Cloud KMS en la consola de Google Cloud.

Ir a Claves de Cloud KMS
Haz clic en el nombre del llavero de claves que se indica en el resultado.
Haz clic en el nombre de la clave indicada en el resultado.
Selecciona el cuadro junto a la versión principal y, luego, haz clic en Mostrar panel de información.
Reduce a tres o menos la cantidad de principales que tienen permisos para encriptar, desencriptar o firmar datos. Para revocar permisos, haz clic en Borrar junto a cada principal.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`User managed service account key`

Nombre de categoría en la API: USER_MANAGED_SERVICE_ACCOUNT_KEY

Un usuario administra una clave de cuenta de servicio. Las claves de cuenta de servicio son un riesgo de seguridad si no se administran de forma adecuada. Debes elegir una alternativa más segura a las claves de la cuenta de servicio siempre que sea posible. Si te debes autenticar con una clave de cuenta de servicio, eres responsable de la seguridad de la clave privada y de otras operaciones que se describen en Prácticas recomendadas para administrar claves de cuenta de servicio. Si no se te permite crear una clave de cuenta de servicio, es posible que la creación de claves de cuentas de servicio esté inhabilitada para tu organización. Para obtener más información, consulta Administra los recursos de la organización con seguridad de forma predeterminada.

Para solucionar este resultado, completa los siguientes pasos:

Ve a la página Cuentas de servicio en la consola de Google Cloud.

Ir a Cuentas de servicio
Si es necesario, selecciona el proyecto indicado en el resultado.
Borra las claves de cuentas de servicio administradas por el usuario indicadas en los resultados si ninguna aplicación las usa.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Weak SSL policy`

Nombre de categoría en la API: WEAK_SSL_POLICY

Una instancia de Compute Engine tiene una política de SSL débil o usa Google Cloud la política de SSL predeterminada con una versión de TLS inferior a 1.2.

Los balanceadores de cargas de proxy SSL y HTTPS usan políticas SSL para determinar los protocolos y el conjunto de algoritmo de cifrado que se usan en las conexiones TLS que se establecieron entre Internet y los usuarios. Estas conexiones encriptan datos sensibles para evitar que los espías maliciosos accedan a ellos. Una política de SSL débil permite que los clientes que usan versiones desactualizadas de TLS se conecten con un protocolo o un conjunto de algoritmo de cifrado menos seguro. Para obtener una lista de los conjuntos de algoritmo de cifrado recomendados y obsoletos, visita la página de parámetros de TLS de iana.org.

Para las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en el organización principal.

Los pasos para solucionar este hallazgo difieren en función de si este se activó mediante el uso de una política de SSL predeterminada de Google Cloud política que permite un conjunto de algoritmos de cifrado débiles o una versión de TLS mínima inferior a 1.2. Sigue el procedimiento que corresponda al activador del resultado a continuación.

Corrección de la política de SSL predeterminada de Google Cloud

Ve a la página Grupos de destino en la consola de Google Cloud.

Ir a Proxies de destino
Busca el proxy de destino indicado en las reglas de reenvío de notas y resultados en la columna En uso por.
Para crear una nueva política de SSL, consulta Cómo usar SSL políticas. La política debe tener una versión mínima de TLS de 1.2 y un Perfil moderno o restringido.
Para usar un perfil personalizado, asegúrate de que los siguientes conjuntos de algoritmos de cifrado estén inhabilitados:
- TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_3DES_EDE_CBC_SHA
Aplica la política de SSL a cada regla de reenvío que anotaste antes.

Corrección permitida del conjunto de algoritmos de cifrado débil o la versión de TLS de nivel inferior

En la consola de Google Cloud, ve a la página de políticas de SSL .

Ir a Políticas de SSL
Busca el balanceador de cargas que se indica en la columna En uso por.
Haz clic debajo del nombre de la política.
Haz clic en Editar.
Cambiar Versión mínima de TLS a TLS 1.2 y Perfil a Modern o Restringido.
Para usar un perfil Personalizado, asegúrate de que se cumplan los siguientes conjuntos de algoritmos de cifrado: inhabilitado:
- TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_3DES_EDE_CBC_SHA
Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Web UI enabled`

Nombre de categoría en la API: WEB_UI_ENABLED

La IU web de GKE (panel) está habilitada.

Una cuenta de servicio de Kubernetes con una gran cantidad de privilegios respalda la interfaz web de Kubernetes. Se puede abusar de la cuenta de servicio si se vulnera. Si ya usas la consola de Google Cloud, la interfaz web de Kubernetes extiende la superficie de ataque de forma innecesaria. Aprende a inhabilitar la interfaz web de Kubernetes.

Para solucionar este resultado, inhabilita la interfaz web de Kubernetes de la siguiente manera:

Ve a la página Clústeres de Kubernetes en la consola de Google Cloud.

Ir a Clústeres de Kubernetes
Haz clic en el nombre del clúster que aparece en el resultado de Security Health Analytics.
Haz clic en Editar.

Si la configuración del clúster cambió recientemente, el botón de edición puede estar inhabilitado. Si no puedes editar la configuración del clúster, espera unos minutos y vuelve a intentarlo.
Haz clic en Complementos. La sección se expande para mostrar los complementos disponibles.
En la lista desplegable del panel de Kubernetes, selecciona Inhabilitado.
Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.

`Workload Identity disabled`

Nombre de categoría en la API: WORKLOAD_IDENTITY_DISABLED

Workload Identity está inhabilitada en un clúster de GKE.

Workload Identity es la manera recomendada de acceder a los servicios de Google Cloud desde GKE, ya que ofrece propiedades de seguridad y capacidad de administración superiores. Si habilitas esta función, algunos metadatos potencialmente sensibles del sistema estarán protegidos de las cargas de trabajo del usuario que se ejecutan en tu clúster. Obtén más información sobre el ocultamiento de metadatos.

Para solucionar este problema, sigue la guía sobre cómo habilitar Workload Identity en un clúster.

Obtén información sobre los elementos admitidos y la configuración de análisis de este tipo de resultados.