Correzione dei risultati di Security Health Analytics

Questa pagina fornisce un elenco di guide di riferimento e tecniche per correggere gli errori Risultati di Security Health Analytics utilizzando Security Command Center.

Per visualizzare o modificare i ruoli IAM (Identity and Access Management) necessari, devi disporre di ruoli adeguati i risultati e accedere alle risorse Google Cloud o modificarle. Se riscontri errori di autorizzazione durante l'accesso a Security Command Center in nella console Google Cloud, chiedi all'amministratore assistenza e, per informazioni sui ruoli, consulta Controllo dell'accesso. Per risolvere gli errori delle risorse, leggi la documentazione relativa ai prodotti interessati.

Risoluzione di Security Health Analytics

Questa sezione include le istruzioni per correggere tutti i problemi relativi a Security Health Analytics risultati.

Disattivazione dei risultati dopo la correzione

Dopo aver corretto un rilevamento di vulnerabilità o di configurazione errata, Security Health Analytics imposta automaticamente lo stato del risultato su INACTIVE la prossima volta che analizzerà il risultato. Tempo impiegato da Security Health Analytics per impostare un risultato corretto su INACTIVE dipende da quando il risultato è fisso e dalla pianificazione della scansione rileva il risultato.

Security Health Analytics imposta anche lo stato di un risultato su INACTIVE Quando una scansione rileva che la risorsa è interessata dal risultato. viene eliminato. Se vuoi rimuovere un risultato per una risorsa eliminata dal display mentre attendi che Security Health Analytics rileva che la risorsa è stata eliminata, puoi disattivare il risultato. Per disattivare l'audio un risultato, vedi Disattivare i risultati in Security Command Center.

Non utilizzare la disattivazione per nascondere i risultati corretti per le risorse esistenti. Se il problema si ripete e Security Health Analytics ripristina il ACTIVE stato del risultato, potresti non vedere quello riattivato, i risultati disattivati vengono esclusi da qualsiasi query di ricerca che specifica NOT mute="MUTED", ad esempio la query di ricerca predefinita.

Per informazioni sugli intervalli di scansione, consulta Tipi di analisi di Security Health Analytics.

Access Transparency disabled

Nome categoria nell'API: ACCESS_TRANSPARENCY_DISABLED

Log di Access Transparency quando i dipendenti Google Cloud accedere ai progetti della tua organizzazione per fornire assistenza. Attiva Access Transparency per registrare gli utenti di Google Cloud che accedono ai tuoi informazioni, quando e perché. Per ulteriori informazioni, vedi Access Transparency.

Per abilitare Access Transparency in un progetto, il progetto deve essere associato a un account di fatturazione.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per eseguire questa attività, chiedi al tuo amministratore di Access Transparency ti concede il ruolo Amministratore Access Transparency (roles/axt.admin) ruolo IAM a livello di organizzazione. Per ulteriori informazioni la concessione dei ruoli, consulta Gestisci accesso.

Questo ruolo predefinito contiene le autorizzazioni axt.labels.get e axt.labels.set, necessari per eseguire questa attività. Potresti anche essere in grado di ottenere queste autorizzazioni ruolo personalizzato o altro ruoli predefiniti.

Passaggi per correggere l'errore

Per correggere questo risultato, completa i seguenti passaggi:

1. Controlla le autorizzazioni a livello di organizzazione:

   1. Vai alla pagina Identity and Access Management nella nella console Google Cloud.

      Vai a Identity and Access Management

   2. Se richiesto, seleziona l'organizzazione Google Cloud nel del selettore.

2. Seleziona un progetto Google Cloud all'interno dell'organizzazione utilizzando del selettore.

   Access Transparency è configurato in un progetto Google Cloud ma Access Transparency è attiva per l'intera organizzazione.

3. Vai alla sezione IAM e Amministratore > Impostazioni.

4. Fai clic su Abilita Access Transparency.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

AlloyDB auto backup disabled

Nome categoria nell'API: ALLOYDB_AUTO_BACKUP_DISABLED

In un cluster AlloyDB per PostgreSQL non sono abilitati i backup automatici.

Per evitare perdite di dati, attiva i backup automatici per il cluster. Per ulteriori informazioni consulta Configurare backup automatici aggiuntivi.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina dei cluster AlloyDB per PostgreSQL nella nella console Google Cloud.

   Vai ai cluster AlloyDB per PostgreSQL

2. Fai clic su un cluster nella colonna Nome risorsa.

3. Fai clic su Protezione dei dati.

4. Nella sezione Criterio di backup automatico, fai clic su Modifica nel Riga Backup automatici.

5. Seleziona la casella di controllo Backup automatici.

6. Fai clic su Aggiorna.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

AlloyDB backups disabled

Nome categoria nell'API: ALLOYDB_BACKUPS_DISABLED

Un cluster AlloyDB per PostgreSQL non ha backup automatici o continui in un bucket con il controllo delle versioni attivo.

Per evitare perdite di dati, attiva i backup automatici o continui per nel tuo cluster. Per saperne di più, consulta Configurare backup aggiuntivi.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina dei cluster AlloyDB per PostgreSQL nella nella console Google Cloud.

   Vai ai cluster AlloyDB per PostgreSQL

2. Nella colonna Nome risorsa, fai clic sul nome del cluster identificati nel risultato.

3. Fai clic su Protezione dei dati.

4. Configura un criterio di backup.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

AlloyDB CMEK disabled

Nome categoria nell'API: ALLOYDB_CMEK_DISABLED

Un cluster AlloyDB non utilizza chiavi di crittografia gestite dal cliente (CMEK).

Con CMEK, le chiavi che crei e gestisci in Cloud KMS eseguono il wrapping delle chiavi che Google utilizza per criptare i tuoi dati, offrendoti un maggiore controllo sull'accesso i tuoi dati. Per ulteriori informazioni, vedi Informazioni su CMEK. CMEK comporta costi aggiuntivi correlati a Cloud KMS.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina dei cluster AlloyDB per PostgreSQL nella nella console Google Cloud.

   Vai ai cluster AlloyDB per PostgreSQL

2. Nella colonna Nome risorsa, fai clic sul nome del cluster identificati nel risultato.

3. Fai clic su Crea backup. Imposta un ID backup.

4. Fai clic su Crea.

5. Nella sezione Backup/Ripristino, fai clic su Ripristina accanto al La voce ID backup che hai scelto.

6. Imposta un nuovo ID cluster e una nuova rete.

7. Fai clic su Opzioni di crittografia avanzate. Seleziona la CMEK che vuoi per criptare il nuovo cluster.

8. Fai clic su Ripristina.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

AlloyDB log min error statement severity

Nome categoria nell'API: ALLOYDB_LOG_MIN_ERROR_STATEMENT_SEVERITY

Un'istanza AlloyDB per PostgreSQL non ha log_min_error_statement flag di database impostato su error o su un altro valore consigliato.

Il flag log_min_error_statement controlla se le istruzioni SQL che causano vengono registrate nei log del server. delle istruzioni SQL con gravità o maggiore. Più elevata è la gravità, minore è il numero di messaggi vengono registrati. Se viene impostato un livello di gravità troppo elevato, i messaggi di errore potrebbero non verranno registrati.

Per ulteriori informazioni, consulta Configurazione dei flag di database.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina dei cluster AlloyDB per PostgreSQL nella nella console Google Cloud.

   Vai ai cluster AlloyDB per PostgreSQL

2. Fai clic sul cluster nella colonna Nome risorsa.

3. Nella sezione Istanze nel cluster, fai clic su Modifica per in esecuzione in un'istanza Compute Engine.

4. Fai clic su Opzioni di configurazione avanzate.

5. Nella sezione Flag, imposta il parametro log_min_error_statement flag di database con uno dei seguenti consigliati, in base ai criteri di logging della tua organizzazione.

   • debug5
   • debug4
   • debug3
   • debug2
   • debug1
   • info
   • notice
   • warning
   • error

6. Fai clic su Aggiorna istanza.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

AlloyDB log min messages

Nome categoria nell'API: ALLOYDB_LOG_MIN_MESSAGES

Un'istanza AlloyDB per PostgreSQL non ha log_min_messages flag di database impostato su almeno warning.

Il flag log_min_messages controlla in quali livelli dei messaggi vengono registrati log del server. Più elevata è la gravità, minore è il numero di messaggi registrato. Impostazione una soglia troppo bassa può comportare un aumento della dimensione e della durata dell'archiviazione dei log, rendendo difficile l'individuazione di errori veri e propri.

Per ulteriori informazioni, consulta Configurazione dei flag di database.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina dei cluster AlloyDB per PostgreSQL nella nella console Google Cloud.

   Vai ai cluster AlloyDB per PostgreSQL

2. Fai clic sul cluster nella colonna Nome risorsa.

3. Nella sezione Istanze nel cluster, fai clic su Modifica per in esecuzione in un'istanza Compute Engine.

4. Fai clic su Opzioni di configurazione avanzate.

5. Nella sezione Flag, imposta il parametro log_min_messages flag di database con uno dei seguenti consigliati, in base ai criteri di logging della tua organizzazione.

   • debug5
   • debug4
   • debug3
   • debug2
   • debug1
   • info
   • notice
   • warning

6. Fai clic su Aggiorna istanza.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

AlloyDB log error verbosity

Nome categoria nell'API: ALLOYDB_LOG_ERROR_VERBOSITY

Un'istanza AlloyDB per PostgreSQL non ha log_error_verbosity flag di database impostato su default o su un altro valore meno restrittivo.

Il flag log_error_verbosity controlla la quantità di dettagli nei messaggi registrato. Maggiore è il livello di dettaglio, maggiori saranno i dettagli registrati nei messaggi. Ti consigliamo di impostare questo flag su default o su un altro valore meno restrittivo.

Per ulteriori informazioni, consulta Configurazione dei flag di database.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina dei cluster AlloyDB per PostgreSQL nella nella console Google Cloud.

   Vai ai cluster AlloyDB per PostgreSQL

2. Fai clic sul cluster nella colonna Nome risorsa.

3. Nella sezione Istanze nel cluster, fai clic su Modifica per in esecuzione in un'istanza Compute Engine.

4. Fai clic su Opzioni di configurazione avanzate.

5. Nella sezione Flag, imposta il parametro log_error_verbosity flag di database con uno dei seguenti consigliati, in base ai criteri di logging della tua organizzazione.

   • default
   • verbose

6. Fai clic su Aggiorna istanza.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

AlloyDB Public IP

Nome categoria nell'API: ALLOYDB_PUBLIC_IP

Un'istanza di database AlloyDB per PostgreSQL ha un indirizzo IP pubblico.

Per ridurre la superficie di attacco della tua organizzazione, utilizza l'IP privato anziché quello pubblico indirizzi IP esterni. Gli indirizzi IP privati forniscono una maggiore sicurezza di rete e un per la tua applicazione.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina dei cluster AlloyDB per PostgreSQL nella nella console Google Cloud.

   Vai ai cluster AlloyDB per PostgreSQL

2. Nella colonna Nome risorsa, fai clic sul nome del cluster identificati nel risultato.

3. Nella sezione Istanze nel cluster, fai clic su Modifica per in esecuzione in un'istanza Compute Engine.

4. Nella sezione Connettività, deseleziona la casella per Abilita IP pubblico.

5. Fai clic su Aggiorna istanza.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

AlloyDB SSL not enforced

Nome categoria nell'API: ALLOYDB_SSL_NOT_ENFORCED

Un'istanza di database AlloyDB per PostgreSQL non richiede tutte le richieste in entrata per utilizzare SSL.

Per evitare fughe di dati sensibili in transito tramite comunicazioni non criptate, tutte le connessioni in entrata nell'istanza del database AlloyDB devono utilizzare SSL. Impara scopri di più su come configurare SSL/TLS.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina dei cluster AlloyDB per PostgreSQL nella nella console Google Cloud.

   Vai ai cluster AlloyDB per PostgreSQL

2. Nella colonna Nome risorsa, fai clic sul nome del cluster identificati nel risultato.

3. Nella sezione Istanze nel cluster, fai clic su Modifica per in esecuzione in un'istanza Compute Engine.

4. Nella sezione Sicurezza di rete, fai clic sulla casella relativa a Richiedi crittografia SSL.

5. Fai clic su Aggiorna istanza.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Admin service account

Nome categoria nell'API: ADMIN_SERVICE_ACCOUNT

Un account di servizio nella tua organizzazione o nel tuo progetto dispone di Amministratore, Proprietario o Editor privilegi assegnati. Questi ruoli dispongono di autorizzazioni ampie e non dovrebbero essere assegnati agli account di servizio. Per scoprire di più sugli account di servizio e sui ruoli vedi Account di servizio.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina del criterio IAM nella console Google Cloud.

   Vai al criterio IAM

2. Per ogni entità identificata nel risultato:

   1. Fai clic su Modifica edit successivo all'entità.
   2. Per rimuovere le autorizzazioni, fai clic su Elimina. delete accanto al ruolo in violazione.
   3. Fai clic su Salva.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Alpha cluster enabled

Nome categoria nell'API: ALPHA_CLUSTER_ENABLED

Le funzionalità dei cluster alpha sono abilitate per un cluster Google Kubernetes Engine (GKE).

I cluster alpha consentono gli early adopter sperimentano con carichi di lavoro che utilizzano nuove funzionalità prima disponibili al pubblico. I cluster alpha dispongono di tutte le API GKE è abilitato, ma non è coperto dall'GKE SLA (accordo sul livello del servizio), non ricevono aggiornamenti della sicurezza, upgrade automatico e riparazione automatica dei nodi sono disabilitati. Non è possibile eseguire l'upgrade. Sono inoltre disponibili eliminati automaticamente dopo 30 giorni.

Per correggere questo risultato, completa i seguenti passaggi:

Impossibile disabilitare i cluster alpha. Devi creare un nuovo cluster con alpha disattivate.

1. Vai alla pagina Cluster Kubernetes nella console Google Cloud.

   Vai ai cluster Kubernetes

2. Fai clic su Crea.

3. Seleziona Configura accanto al tipo di cluster che vuoi creare.

4. Nella scheda Funzionalità, assicurati che Abilita le funzionalità alpha di Kubernetes in cluster è disabilitato.

5. Fai clic su Crea.

6. Per spostare i carichi di lavoro nel nuovo cluster, consulta Migrazione di carichi di lavoro in diversi tipi di macchine.

7. Per eliminare il cluster originale, consulta Eliminare un cluster.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

API key APIs unrestricted

Nome categoria nell'API: API_KEY_APIS_UNRESTRICTED

Alcune chiavi API sono utilizzate in modo troppo ampio.

Le chiavi API senza restrizioni non sono sicure perché è possibile recuperarle dai dispositivi su in cui la chiave è archiviata o può essere visualizzata pubblicamente, ad esempio dall'interno di un del browser. Configura le chiavi API secondo il principio del privilegio minimo per chiamare solo le API richieste dall'applicazione. Per ulteriori informazioni, vedi Applicare limitazioni relative alle chiavi API.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Chiavi API nella console Google Cloud.

   Vai alle chiavi API

2. Per ogni chiave API:

   1. Nella sezione Chiavi API, sulla riga di ogni chiave API per la quale devi limitare le API, visualizza il menu Azioni facendo clic sul Icona di more_vert.
   2. Nel menu Azioni, fai clic su Modifica chiave API. L'opzione Modifica chiave API si apre una pagina.
   3. Nella sezione Restrizioni API, seleziona Limita API. La Viene visualizzato il menu a discesa Seleziona API.
   4. Nell'elenco a discesa Seleziona API, seleziona le API da autorizzare.
   5. Fai clic su Salva. L'attivazione delle impostazioni potrebbe richiedere fino a cinque minuti effetto.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

API key apps unrestricted

Nome categoria nell'API: API_KEY_APPS_UNRESTRICTED

Esistono chiavi API usate senza limitazioni, che possono essere usate da qualsiasi app non attendibile.

Le chiavi API senza restrizioni non sono sicure perché possono essere recuperate sui dispositivi su in cui la chiave è archiviata o può essere visualizzata pubblicamente, ad esempio dall'interno di un del browser. In conformità al principio del privilegio minimo, limita la chiave API per host attendibili, referrer HTTP e app. Per ulteriori informazioni, vedi Applicare limitazioni relative alle chiavi API.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Chiavi API nella console Google Cloud.

   Vai alle chiavi API

2. Per ogni chiave API:

   1. Nella sezione Chiavi API, sulla riga di ogni chiave API per la quale devi limitare le applicazioni, visualizza il menu Azioni facendo clic sul Icona di more_vert.
   2. Nel menu Azioni, fai clic su Modifica chiave API. L'opzione Modifica chiave API si apre una pagina.
   3. Nella pagina Modifica chiave API, in Limitazioni delle applicazioni, seleziona una categoria di restrizione. Puoi impostare un'applicazione limitazione per chiave.
   4. Nel campo Aggiungi un elemento che viene visualizzato quando selezioni una restrizione, fai clic su Aggiungi un articolo per aggiungere limitazioni in base alle esigenze del tuo un'applicazione.
   5. Al termine dell'aggiunta degli elementi, fai clic su Fine.
   6. Fai clic su Salva.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

API key exists

Nome categoria nell'API: API_KEY_EXISTS

Un progetto utilizza chiavi API invece dell'autenticazione standard.

Le chiavi API sono meno sicure di altri metodi di autenticazione perché semplici stringhe criptate e facili da trovare e usare per gli altri. Possono essere recuperata su dispositivi su cui la chiave è archiviata o può essere visualizzata pubblicamente, ad da un browser. Inoltre, le chiavi API non identificano in modo univoco gli utenti o applicazioni che effettuano richieste. In alternativa, puoi utilizzare un modello di autenticazione, con account di servizio o account utente.

Per correggere questo risultato, completa i seguenti passaggi:

1. Assicurati che le tue applicazioni siano configurate con una forma alternativa di autenticazione.

2. Vai alla pagina Credenziali API nella console Google Cloud.

   Vai alle credenziali API

3. Nella sezione Chiavi API della riga di ogni chiave API necessaria da eliminare, per visualizzare il menu Azioni fai clic su Icona di more_vert.

4. Nel menu Azioni, fai clic su Elimina chiave API.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

API key not rotated

Nome categoria nell'API: API_KEY_NOT_ROTATED

Una chiave API non viene ruotata per più di 90 giorni.

Le chiavi API non scadono, quindi se una viene rubata, potrebbe essere utilizzata a tempo indeterminato a meno che il proprietario del progetto non revochi o ruoti la chiave. Rigenerazione chiavi API spesso riduce la quantità di tempo in cui una chiave API rubata può essere utilizzata Accedere ai dati di un account compromesso o chiuso. Ruota almeno le chiavi API ogni 90 giorni. Per ulteriori informazioni, vedi Proteggi una chiave API.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Chiavi API nella console Google Cloud.

   Vai alle chiavi API

2. Per ogni chiave API:

   1. Nella sezione Chiavi API, nella riga di ogni chiave API necessaria per ruotare, visualizza il menu Azioni facendo clic su Icona di more_vert.
   2. Nel menu Azioni, fai clic su Modifica chiave API. L'opzione Modifica chiave API si apre una pagina.
   3. Nella pagina Modifica chiave API, se la data indicata nella Data di creazione sia più vecchio di 90 giorni, sostituisci la chiave facendo clic refresh Rigenera chiave nella parte superiore della pagina. È stata utilizzata una nuova chiave sostitutiva generati.
   4. Fai clic su Salva.
   5. Per assicurarti che le tue applicazioni continuino a funzionare senza interruzioni, aggiornale per utilizzare la nuova chiave API. La vecchia chiave API funziona per 24 ore prima di diventare disattivato definitivamente.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Audit config not monitored

Nome categoria nell'API: AUDIT_CONFIG_NOT_MONITORED

Le metriche e gli avvisi dei log non sono configurati per monitorare le modifiche alla configurazione dell'audit.

Cloud Logging produce log delle attività di amministrazione e degli accessi ai dati che abilitano analisi della sicurezza, monitoraggio delle modifiche delle risorse e controllo di conformità. Di alla configurazione dell'audit di monitoraggio, ti assicuri che tutte le attività possono essere controllati in qualsiasi momento. Per ulteriori informazioni, consulta Panoramica delle metriche basate su log.

A seconda della quantità di informazioni, i costi di Cloud Monitoring possono essere significativi. A l'utilizzo del servizio e i suoi costi, vedi Ottimizzazione dei costi per Google Cloud Observability.

Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale.

Per correggere questo risultato, crea metriche, se necessario, e criteri di avviso:

Crea metrica

1. Vai alla pagina Metriche basate su log nella console Google Cloud.

   Vai a Metriche basate su log

2. Fai clic su Crea metrica.

3. In Tipo di metrica, seleziona Contatore.

4. In Dettagli:

   1. Imposta un Nome metrica di log.
   2. Aggiungi una descrizione.
   3. Imposta Unità su 1.

5. In Selezione filtro, copia e incolla il seguente testo nel Crea filtro, sostituendo il testo esistente, se necessario:

     protoPayload.methodName="SetIamPolicy"
     AND protoPayload.serviceData.policyDelta.auditConfigDeltas:*
   

6. Fai clic su Crea metrica. Viene visualizzata una conferma.

Crea criterio di avviso

1. Nella console Google Cloud, vai alla pagina Metriche basate su log:

   Vai a Metriche basate su log

   Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.

2. Nella sezione Metriche definite dall'utente, seleziona la metrica che hai creato. nella sezione precedente.

3. Fai clic su Altro more_vert, quindi Fai clic su Crea avviso da metrica.

   Si apre la finestra di dialogo Nuova condizione con la metrica e la trasformazione dei dati opzioni precompilate.

4. Fai clic su Avanti.
   1. Rivedi le impostazioni precompilate. Potresti voler modificare il Valore soglia.
   2. Fai clic su Nome condizione e inserisci un nome per la condizione.
5. Fai clic su Avanti.

6. Per aggiungere notifiche al criterio di avviso, fai clic su Canali di notifica. Nella finestra di dialogo, seleziona una o più notifiche canali dal menu, quindi fai clic su OK.

   Per ricevere notifiche quando gli incidenti vengono aperti e chiusi, controlla Notifica di chiusura dell'incidente. Per impostazione predefinita, le notifiche vengono inviate solo quando vengono aperti gli incidenti.

7. (Facoltativo) Aggiorna la Durata della chiusura automatica degli incidenti. Questo campo determina quando Il monitoraggio chiude gli incidenti in assenza di dati delle metriche.
8. (Facoltativo) Fai clic su Documentazione, quindi aggiungi le eventuali informazioni da includere in un messaggio di notifica.
9. Fai clic su Nome avviso e inserisci un nome per il criterio di avviso.
10. Fai clic su Crea criterio.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Audit logging disabled

Nome categoria nell'API: AUDIT_LOGGING_DISABLED

Questo risultato non è disponibile per le attivazioni a livello di progetto.

L'audit logging è disabilitato per uno o più servizi Google Cloud oppure una o più entità sono esenti dall'audit logging dell'accesso ai dati.

Abilita Cloud Logging per tutti i servizi per tenere traccia di tutte le attività di amministrazione, leggi e l'accesso in scrittura ai dati utente. A seconda della quantità di informazioni, i costi di Cloud Logging possono essere significativi. Per comprendere l'utilizzo del servizio e i relativi costi, vedi Ottimizzazione dei costi per Google Cloud Observability.

Se alcune entità sono esenti dall'audit logging dell'accesso ai dati su la configurazione predefinita degli audit log di accesso ai dati configurazioni per i singoli servizi, rimuovi l'esenzione.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Configurazione predefinita degli audit log di accesso ai dati nel nella console Google Cloud.

   Vai alla configurazione predefinita

2. Nella scheda Tipi di log, attiva il logging di controllo dell'accesso ai dati nel la configurazione predefinita:

   1. Seleziona Lettura amministratore, Lettura dati e Scrittura dati.
   2. Fai clic su Salva.

3. Nella scheda Entità esenti, rimuovi tutti gli utenti esenti dal configurazione predefinita:

   1. Rimuovi ogni entità elencata facendo clic su Elimina delete successivo a ciascun nome.
   2. Fai clic su Salva.

4. Vai alla pagina Audit log.

   Vai ai log di controllo

5. Rimuovi tutte le entità esenti dalle configurazioni degli audit log di accesso ai dati dei singoli servizi.

   1. In Configurazione degli audit log di accesso ai dati, per ogni servizio che mostra un'entità esente, fai clic sul servizio. Un audit log si apre il riquadro di configurazione per il servizio.
   2. Nella scheda Entità esenti, rimuovi tutte le entità esenti facendo clic su Elimina. delete accanto a ogni .
   3. Fai clic su Salva.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Auto backup disabled

Nome categoria nell'API: AUTO_BACKUP_DISABLED

I backup automatici non sono abilitati in un database Cloud SQL.

Per evitare perdite di dati, attiva i backup automatici per le istanze SQL. Per ulteriori informazioni informazioni, consulta Creare e gestire backup on demand e automatici.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina relativa ai backup delle istanze SQL nella console Google Cloud.

   Vai ai backup delle istanze SQL

2. Accanto a Impostazioni, fai clic su Modifica edit.

3. Seleziona la casella per Backup automatici.

4. Nel menu a discesa, scegli una finestra di tempo per la visualizzazione dei dati sottoposti automaticamente a backup.

5. Fai clic su Salva.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Auto repair disabled

Nome categoria nell'API: AUTO_REPAIR_DISABLED

La funzionalità di riparazione automatica di un cluster Google Kubernetes Engine (GKE), che mantiene di nodi in stato integro e in esecuzione.

Quando è abilitato, GKE esegue controlli periodici sullo stato di integrità ogni nodo nel tuo cluster. Se un nodo non supera controlli di integrità consecutivi durante prolungato, GKE avvia un processo di riparazione nodo. Per ulteriori informazioni, consulta Riparazione automatica dei nodi.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Cluster Kubernetes nella console Google Cloud.

   Vai ai cluster Kubernetes

2. Fai clic sulla scheda Nodi.

3. Per ogni pool di nodi:

   1. Fai clic sul nome del pool di nodi per passare alla relativa pagina dei dettagli.
   2. Fai clic su Modifica edit.
   3. In Gestione, seleziona Abilita riparazione automatica.
   4. Fai clic su Salva.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Auto upgrade disabled

Nome categoria nell'API: AUTO_UPGRADE_DISABLED

La funzionalità di upgrade automatico di un cluster GKE, che mantiene i cluster pool di nodi nell'ultima versione stabile di Kubernetes.

Per ulteriori informazioni, consulta Nodi in fase di upgrade automatico.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Cluster Kubernetes nella console Google Cloud.

   Vai ai cluster Kubernetes

2. Nell'elenco dei cluster, fai clic sul nome del cluster.

3. Fai clic sulla scheda Nodi.

4. Per ogni pool di nodi:

   1. Fai clic sul nome del pool di nodi per passare alla relativa pagina dei dettagli.
   2. Fai clic su Modifica edit.
   3. In Gestione, seleziona Abilita upgrade automatico.
   4. Fai clic su Salva.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

BigQuery table CMEK disabled

Nome categoria nell'API: BIGQUERY_TABLE_CMEK_DISABLED

Una tabella BigQuery non è configurata per utilizzare un modello gestito dal cliente chiave di crittografia (CMEK).

Con CMEK, le chiavi che crei e gestisci in Cloud KMS eseguono il wrapping delle chiavi che Google Cloud utilizza per criptare i tuoi dati, offrendoti un maggiore controllo l'accesso ai dati. Per ulteriori informazioni, consulta la sezione La protezione dei dati con Chiavi Cloud KMS.

Per correggere questo risultato, completa i seguenti passaggi:

1. Crea una tabella protetta da Cloud Key Management Service.
2. Copia la tabella nella nuova tabella abilitata per CMEK.
3. Elimina la tabella originale.

Per impostare una chiave CMEK predefinita che cripti tutte le nuove tabelle in un set di dati, consulta Impostare una chiave predefinita per il set di dati.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Binary authorization disabled

Nome categoria nell'API: BINARY_AUTHORIZATION_DISABLED

Autorizzazione binaria è disabilitata su un cluster GKE.

Autorizzazione binaria include una funzionalità facoltativa che protegge la sicurezza della catena di fornitura, consentendo solo le immagini container firmate le autorità di fiducia durante il processo di sviluppo in un cluster Kubernetes. Se applichi il deployment basato sulle firme, ottieni un maggiore controllo dell'ambiente container, assicurando che solo le immagini verificate possano di cui è stato eseguito il deployment.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Cluster Kubernetes nella console Google Cloud.

   Vai ai cluster Kubernetes

2. Nella sezione Sicurezza, fai clic sull'icona di modifica (edit) nella riga Autorizzazione binaria.

   Se la configurazione del cluster è stata modificata di recente, il pulsante di modifica potrebbe essere disattivata. Se non riesci a modificare le impostazioni del cluster, attendi minuti e riprova.

3. Nella finestra di dialogo, seleziona Attiva Autorizzazione binaria.

4. Fai clic su Salva modifiche.

5. Vai alla pagina di configurazione di Autorizzazione binaria.

   Vai ad Autorizzazione binaria

6. Assicurati che sia configurato un criterio che richiede attestatori e che il progetto la regola predefinita non è configurata su Consenti tutte le immagini. Per saperne di più, consulta Configurazione per GKE.

   Per garantire che il deployment delle immagini che violano il criterio sia consentito vengono registrate in Cloud Audit Logs, puoi abilitare la modalità di prova .

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Bucket CMEK disabled

Nome categoria nell'API: BUCKET_CMEK_DISABLED

Un bucket non è criptato con chiavi di crittografia gestite dal cliente (CMEK).

L'impostazione di una CMEK predefinita su un bucket ti offre un maggiore controllo sull'accesso al tuo e i dati di Google Cloud. Per maggiori informazioni, consulta l'articolo Chiavi di crittografia gestite dal cliente.

Per correggere questo risultato, utilizza CMEK con un bucket seguendo gestite dal cliente. CMEK utilizzate costi aggiuntivi relativi a Cloud KMS.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Bucket IAM not monitored

Nome categoria nell'API: BUCKET_IAM_NOT_MONITORED

Le metriche di log e gli avvisi non sono configurati per monitorare IAM di Cloud Storage modifiche alle autorizzazioni.

Il monitoraggio delle modifiche alle autorizzazioni dei bucket Cloud Storage ti consente di identificare utenti con privilegi in eccesso o attività sospette. Per ulteriori informazioni, consulta Panoramica delle metriche basate su log.

A seconda della quantità di informazioni, i costi di Cloud Monitoring possono essere significativi. A l'utilizzo del servizio e i suoi costi, vedi Ottimizzazione dei costi per Google Cloud Observability.

Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale.

Per correggere questo risultato, completa i seguenti passaggi:

Crea metrica

1. Vai alla pagina Metriche basate su log nella console Google Cloud.

   Vai a Metriche basate su log

2. Fai clic su Crea metrica.

3. In Tipo di metrica, seleziona Contatore.

4. In Dettagli:

   1. Imposta un Nome metrica di log.
   2. Aggiungi una descrizione.
   3. Imposta Unità su 1.

5. In Selezione filtro, copia e incolla il seguente testo nel Crea filtro, sostituendo il testo esistente, se necessario:

     resource.type=gcs_bucket
     AND protoPayload.methodName="storage.setIamPermissions"
   

6. Fai clic su Crea metrica. Viene visualizzata una conferma.

Crea criterio di avviso

1. Nella console Google Cloud, vai alla pagina Metriche basate su log:

   Vai a Metriche basate su log

   Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.

2. Nella sezione Metriche definite dall'utente, seleziona la metrica che hai creato. nella sezione precedente.

3. Fai clic su Altro more_vert, quindi Fai clic su Crea avviso da metrica.

   Si apre la finestra di dialogo Nuova condizione con la metrica e la trasformazione dei dati opzioni precompilate.

4. Fai clic su Avanti.
   1. Rivedi le impostazioni precompilate. Potresti voler modificare il Valore soglia.
   2. Fai clic su Nome condizione e inserisci un nome per la condizione.
5. Fai clic su Avanti.

6. Per aggiungere notifiche al criterio di avviso, fai clic su Canali di notifica. Nella finestra di dialogo, seleziona una o più notifiche canali dal menu, quindi fai clic su OK.

   Per ricevere notifiche quando gli incidenti vengono aperti e chiusi, controlla Notifica di chiusura dell'incidente. Per impostazione predefinita, le notifiche vengono inviate solo quando vengono aperti gli incidenti.

7. (Facoltativo) Aggiorna la Durata della chiusura automatica degli incidenti. Questo campo determina quando Il monitoraggio chiude gli incidenti in assenza di dati delle metriche.
8. (Facoltativo) Fai clic su Documentazione, quindi aggiungi le eventuali informazioni da includere in un messaggio di notifica.
9. Fai clic su Nome avviso e inserisci un nome per il criterio di avviso.
10. Fai clic su Crea criterio.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Bucket logging disabled

Nome categoria nell'API: BUCKET_LOGGING_DISABLED

Esiste un bucket di archiviazione senza il logging abilitato.

Per semplificare l'analisi dei problemi di sicurezza e monitorare il consumo dello spazio di archiviazione, abilita di accesso ai log e alle informazioni sull'archiviazione dei bucket Cloud Storage. I log di accesso forniscono informazioni per tutte le richieste effettuate su un bucket specificato e i log di archiviazione forniscono informazioni sul consumo dello spazio di archiviazione di sincronizzare la directory di una VM con un bucket.

Per correggere questo risultato, configura il logging per il bucket indicato dal Security Health Analytics completando i log di utilizzo e log di archiviazione.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Bucket policy only disabled

Nome categoria nell'API: BUCKET_POLICY_ONLY_DISABLED

L'accesso uniforme a livello di bucket, precedentemente denominato Solo criterio bucket, configurato.

L'accesso uniforme a livello di bucket semplifica il controllo dell'accesso ai bucket disabilitando autorizzazioni a livello di oggetto (ACL). Se abilitata, solo a livello di bucket Le autorizzazioni IAM concedono l'accesso al bucket e agli oggetti al quale contiene. Per saperne di più, consulta Accesso uniforme a livello di bucket.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina del browser Cloud Storage nella nella console Google Cloud.

   Vai al browser Cloud Storage

2. Nell'elenco dei bucket, fai clic sul nome del bucket che ti interessa.

3. Fai clic sulla scheda Configuration (Configurazione).

4. In Autorizzazioni, nella riga Controllo dell'accesso, fai clic sull'icona di modifica (edit).

5. Nella finestra di dialogo, seleziona Uniforme.

6. Fai clic su Salva.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Cloud Asset API disabled

Nome categoria nell'API: CLOUD_ASSET_API_DISABLED

Il servizio Cloud Asset Inventory non è abilitato per il progetto.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Libreria API nella console Google Cloud.

   Vai alla libreria API

2. Cerca Cloud Asset Inventory.

3. Seleziona il risultato per il servizio API Cloud Asset.

4. Assicurati che sia visualizzato API Enabled (API abilitata).

Cluster logging disabled

Nome categoria nell'API: CLUSTER_LOGGING_DISABLED

Il logging non è abilitato per un cluster GKE.

Per facilitare l'analisi dei problemi di sicurezza e il monitoraggio dell'utilizzo, abilitare Cloud Logging sui tuoi cluster.

A seconda della quantità di informazioni, i costi di Cloud Logging possono essere significativi. Per comprendere l'utilizzo del servizio e i relativi costi, vedi Ottimizzazione dei costi per Google Cloud Observability.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Cluster Kubernetes nella console Google Cloud.

   Vai ai cluster Kubernetes

2. Seleziona il cluster elencato nel risultato di Security Health Analytics.

3. Fai clic su edit Modifica.

   Se la configurazione del cluster è stata modificata di recente, il pulsante di modifica potrebbe essere disattivata. Se non riesci a modificare le impostazioni del cluster, attendi qualche minuto e riprova.

4. In Stackdriver Logging legacy o in Stackdriver Kubernetes Engine Monitoraggio, seleziona Abilitato.

   Queste opzioni non sono compatibili. Assicurati di utilizzare Stackdriver Kubernetes Engine Monitoring da solo o Stackdriver Logging legacy con Stackdriver Monitoring legacy.

5. Fai clic su Salva.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Cluster monitoring disabled

Nome categoria nell'API: CLUSTER_MONITORING_DISABLED

Il monitoraggio è disabilitato sui cluster GKE.

Per facilitare l'analisi dei problemi di sicurezza e il monitoraggio dell'utilizzo, attiva Cloud Monitoring sui tuoi cluster.

A seconda della quantità di informazioni, i costi di Cloud Monitoring possono essere significativi. A l'utilizzo del servizio e i suoi costi, vedi Ottimizzazione dei costi per Google Cloud Observability.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Cluster Kubernetes nella console Google Cloud.

   Vai ai cluster Kubernetes

2. Seleziona il cluster elencato nel risultato di Security Health Analytics.

3. Fai clic su edit Modifica.

   Se la configurazione del cluster è stata modificata di recente, il pulsante di modifica potrebbe essere disattivata. Se non riesci a modificare le impostazioni del cluster, attendi qualche minuto e riprova.

4. In Stackdriver Monitoring legacy o in Stackdriver Kubernetes Engine Monitoraggio, seleziona Abilitato.

   Queste opzioni non sono compatibili. Assicurati di utilizzare Stackdriver Kubernetes Engine Monitoring da solo o Stackdriver Monitoring legacy con Stackdriver Logging legacy.

5. Fai clic su Salva.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Cluster private Google access disabled

Nome categoria nell'API: CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED

Gli host del cluster non sono configurati per utilizzare solo indirizzi IP interni privati per accedere alle API di Google.

L'accesso privato Google abilita le istanze di macchine virtuali (VM) con criteri gli indirizzi IP interni per raggiungere gli indirizzi IP pubblici delle API di Google i servizi di machine learning. Per ulteriori informazioni, vedi Configurazione dell'accesso privato Google.

Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Reti Virtual Private Cloud nella console Google Cloud.

   Vai a Reti VPC

2. Nell'elenco delle reti, fai clic sul nome della rete desiderata.

3. Nella pagina Dettagli rete VPC, fai clic sul pulsante Subnet .

4. Nell'elenco delle subnet, fai clic sul nome della subnet associata al Kubernetes nel risultato.

5. Nella pagina Dettagli subnet, fai clic su Modifica edit.

6. In Accesso privato Google, seleziona On.

7. Fai clic su Salva.

8. Per rimuovere gli IP pubblici (esterni) dalle istanze VM il cui il traffico è indirizzato alle API di Google. Consulta l'articolo Annullamento dell'assegnazione di un indirizzo IP esterno statico.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Cluster secrets encryption disabled

Nome categoria nell'API: CLUSTER_SECRETS_ENCRYPTION_DISABLED

La crittografia dei secret a livello di applicazione è disabilitata su un cluster GKE in un cluster Kubernetes.

La crittografia dei secret a livello di applicazione garantisce che GKE vengono criptati usando chiavi Cloud KMS. La funzionalità fornisce un un livello aggiuntivo di sicurezza per i dati sensibili, come i secret definiti dall'utente e i secret richiesti per il funzionamento del cluster, ad esempio l'account di servizio che sono tutte memorizzate in etcd.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Chiavi Cloud KMS nella console Google Cloud.

   Vai alle chiavi di Cloud KMS

2. Esamina le chiavi delle tue applicazioni o crea una chiave di crittografia del database (DEK). Per Per ulteriori informazioni, consulta la sezione Creazione di una chiave Cloud KMS.

3. Vai alla pagina Cluster Kubernetes.

   Vai ai cluster Kubernetes

4. Seleziona il cluster nel risultato.

5. In Sicurezza, nel campo Crittografia dei secret a livello di applicazione, fai clic su edit Modifica Crittografia dei secret a livello di applicazione.

6. Seleziona la casella di controllo Abilita la crittografia dei secret a livello di applicazione e quindi scegli la DEK che hai creato.

7. Fai clic su Salva modifiche.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Cluster shielded nodes disabled

Nome categoria nell'API: CLUSTER_SHIELDED_NODES_DISABLED

I nodi GKE schermati non sono abilitati per un cluster.

Senza i nodi GKE schermati, gli utenti malintenzionati possono sfruttare una vulnerabilità in un pod per esfiltrare le credenziali di bootstrap e impersonare i nodi nel tuo cluster. La vulnerabilità può concedere agli utenti malintenzionati l'accesso ai secret del cluster.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Cluster Kubernetes nella console Google Cloud.

   Vai ai cluster Kubernetes

2. Seleziona il cluster nel risultato.

3. In Sicurezza, nel campo Nodi GKE schermati, fai clic su edit Modifica Nodi GKE schermati.

4. Seleziona la casella di controllo Abilita nodi GKE schermati.

5. Fai clic su Salva modifiche.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Compute project wide SSH keys allowed

Nome categoria nell'API: COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

Vengono utilizzate chiavi SSH a livello di progetto, che consentono l'accesso a tutte le istanze del progetto.

L'utilizzo di chiavi SSH a livello di progetto semplifica la gestione delle chiavi SSH ma, se compromesse, pone un rischio per la sicurezza che può interessare tutte le istanze di un progetto. Tu dovrebbe utilizzare chiavi SSH specifiche dell'istanza, che limitano la superficie di attacco se SSH le chiavi sono compromesse. Per ulteriori informazioni, consulta l'argomento Gestione delle chiavi SSH in metadati.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Istanze VM nella console Google Cloud.

   Vai a Istanze VM

2. Nell'elenco delle istanze, fai clic sul nome dell'istanza nel risultato.

3. Nella pagina Dettagli istanza VM, fai clic su edit Modifica.

4. In Chiavi SSH, seleziona Blocca chiavi SSH a livello di progetto.

5. Fai clic su Salva.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Compute Secure Boot disabled

Nome categoria nell'API: COMPUTE_SECURE_BOOT_DISABLED

Avvio protetto non abilitato per una Shielded VM.

L'utilizzo dell'Avvio protetto aiuta a proteggere le macchine virtuali da rootkit e e bootkit. Compute Engine non abilita Avvio protetto per impostazione predefinita i driver non firmati e il software di basso livello non sono compatibili. Se la tua VM non se utilizzi software non compatibile e si avvia con Avvio protetto abilitato, consiglia di utilizzare Avvio protetto. Se utilizzi moduli di terze parti con driver Nvidia, assicurati che siano compatibili con Avvio protetto prima di abilitarlo.

Per maggiori informazioni, vedi Avvio protetto.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Istanze VM nella console Google Cloud.

   Vai a Istanze VM

2. Nell'elenco delle istanze, fai clic sul nome dell'istanza nel risultato.

3. Nella pagina Dettagli istanza VM, fai clic su stop Interrompi.

4. Al termine dell'istanza, fai clic su edit Modifica.

5. In Shielded VM, seleziona Attiva Avvio protetto.

6. Fai clic su Salva.

7. Fai clic su play_arrow Avvia per avviare in esecuzione in un'istanza Compute Engine.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Compute serial ports enabled

Nome categoria nell'API: COMPUTE_SERIAL_PORTS_ENABLED

Le porte seriali sono abilitate per un'istanza, consentendo le connessioni nella console seriale.

Se abiliti la console seriale interattiva su un'istanza, i client possono tentare di connettersi all'istanza da qualsiasi indirizzo IP. Pertanto, i modelli seriali interattivi il supporto della console deve essere disattivato. Per saperne di più, consulta Attivazione dell'accesso per un progetto.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Istanze VM nella console Google Cloud.

   Vai a Istanze VM

2. Nell'elenco delle istanze, fai clic sul nome dell'istanza nel risultato.

3. Nella pagina Dettagli istanza VM, fai clic su edit Modifica.

4. In Accesso remoto, deseleziona Abilita connessione alle porte seriali.

5. Fai clic su Salva.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Confidential Computing disabled

Nome categoria nell'API: CONFIDENTIAL_COMPUTING_DISABLED

Confidential Computing non è abilitato per un'istanza di Compute Engine.

Confidential Computing aggiunge un terzo pilastro alla storia della crittografia end-to-end criptando i dati mentre sono in uso. Con gli ambienti di esecuzione riservati fornite da Confidential Computing e AMD Secure Encrypted Virtualization (SEV), Google Cloud mantiene criptati il codice sensibile e altri dati in di memoria durante l'elaborazione.

Confidential Computing può essere abilitato solo quando viene creata un'istanza. Devi quindi eliminare l'istanza corrente e crearne una nuova.

Per ulteriori informazioni, vedi Confidential VM e Compute Engine.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Istanze VM nella console Google Cloud.

   Vai a Istanze VM

2. Nell'elenco delle istanze, fai clic sul nome dell'istanza nel risultato.

3. Nella pagina Dettagli istanza VM, fai clic su delete Elimina.

4. Crea una Confidential VM mediante la console Google Cloud.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

COS not used

Nome categoria nell'API: COS_NOT_USED

Le VM di Compute Engine non utilizzano Container-Optimized OS, progettato per eseguire container Docker in modo sicuro.

Container-Optimized OS è il sistema operativo consigliato da Google per l'hosting e l'esecuzione di container su Google Cloud. Le dimensioni ridotte del sistema operativo riducono al minimo la sicurezza dell'esposizione diretta, mentre gli aggiornamenti automatici applicano patch alle vulnerabilità di sicurezza in modo adeguato. Per saperne di più, consulta la panoramica di Container-Optimized OS.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Cluster Kubernetes nella console Google Cloud.

   Vai ai cluster Kubernetes

2. Nell'elenco dei cluster, fai clic sul nome del cluster nel risultato.

3. Fai clic sulla scheda Nodi.

4. Per ogni pool di nodi:

   1. Fai clic sul nome del pool di nodi per passare alla relativa pagina dei dettagli.
   2. Fai clic su Modifica edit.
   3. In Nodi -> Tipo di immagine, fai clic su Modifica.
   4. Seleziona Container-Optimized OS e poi fai clic su Modifica.
   5. Fai clic su Salva.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Custom role not monitored

Nome categoria nell'API: CUSTOM_ROLE_NOT_MONITORED

Le metriche di log e gli avvisi non sono configurati per monitorare le modifiche ai ruoli personalizzati.

IAM fornisce ruoli predefiniti e personalizzati che concedono l'accesso a di risorse Google Cloud specifiche. Monitorando la creazione, l'eliminazione e le attività di aggiornamento, puoi identificare i ruoli con privilegi in eccesso nelle fasi iniziali. Per saperne di più, consulta Panoramica delle metriche basate su log.

A seconda della quantità di informazioni, i costi di Cloud Monitoring possono essere significativi. A l'utilizzo del servizio e i suoi costi, vedi Ottimizzazione dei costi per Google Cloud Observability.

Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale.

Per correggere questo risultato, completa i seguenti passaggi:

Crea metrica

1. Vai alla pagina Metriche basate su log nella console Google Cloud.

   Vai a Metriche basate su log

2. Fai clic su Crea metrica.

3. In Tipo di metrica, seleziona Contatore.

4. In Dettagli:

   1. Imposta un Nome metrica di log.
   2. Aggiungi una descrizione.
   3. Imposta Unità su 1.

5. In Selezione filtro, copia e incolla il seguente testo nel Crea filtro, sostituendo il testo esistente, se necessario:

     resource.type="iam_role"
     AND (protoPayload.methodName="google.iam.admin.v1.CreateRole"
     OR protoPayload.methodName="google.iam.admin.v1.DeleteRole"
     OR protoPayload.methodName="google.iam.admin.v1.UpdateRole")
   

6. Fai clic su Crea metrica. Viene visualizzata una conferma.

Crea criterio di avviso

1. Nella console Google Cloud, vai alla pagina Metriche basate su log:

   Vai a Metriche basate su log

   Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.

2. Nella sezione Metriche definite dall'utente, seleziona la metrica che hai creato. nella sezione precedente.

3. Fai clic su Altro more_vert, quindi Fai clic su Crea avviso da metrica.

   Si apre la finestra di dialogo Nuova condizione con la metrica e la trasformazione dei dati opzioni precompilate.

4. Fai clic su Avanti.
   1. Rivedi le impostazioni precompilate. Potresti voler modificare il Valore soglia.
   2. Fai clic su Nome condizione e inserisci un nome per la condizione.
5. Fai clic su Avanti.

6. Per aggiungere notifiche al criterio di avviso, fai clic su Canali di notifica. Nella finestra di dialogo, seleziona una o più notifiche canali dal menu, quindi fai clic su OK.

   Per ricevere notifiche quando gli incidenti vengono aperti e chiusi, controlla Notifica di chiusura dell'incidente. Per impostazione predefinita, le notifiche vengono inviate solo quando vengono aperti gli incidenti.

7. (Facoltativo) Aggiorna la Durata della chiusura automatica degli incidenti. Questo campo determina quando Il monitoraggio chiude gli incidenti in assenza di dati delle metriche.
8. (Facoltativo) Fai clic su Documentazione, quindi aggiungi le eventuali informazioni da includere in un messaggio di notifica.
9. Fai clic su Nome avviso e inserisci un nome per il criterio di avviso.
10. Fai clic su Crea criterio.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Dataproc CMEK disabled

Nome categoria nell'API: DATAPROC_CMEK_DISABLED

È stato creato un cluster Dataproc senza crittografia per configurare una CMEK. Con CMEK, le chiavi che crei e gestisci in Cloud Key Management Service eseguire il wrapping delle chiavi che Google Cloud utilizza per criptare i dati, fornendoti maggiori controllo sull'accesso ai dati.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Cluster Dataproc nella console Google Cloud.

   Vai ai cluster Dataproc

2. Seleziona il progetto e fai clic su Crea cluster.

3. Nella sezione Gestisci sicurezza, fai clic su Crittografia e seleziona Chiave gestita dal cliente.

4. Seleziona una chiave gestita dal cliente dall'elenco.

   Se non disponi di una chiave gestita dal cliente, devi crearne una da utilizzare. Per ulteriori informazioni per ulteriori informazioni, consulta l'articolo Chiavi di crittografia gestite dal cliente.

5. Assicurati che la chiave KMS selezionata disponga della CryptoKey Cloud KMS Criptatore/decrittografia assegnare il ruolo all'account di servizio del cluster Dataproc ("serviceAccount:service-project_number@compute-system.iam.gserviceaccount.com").

6. Dopo aver creato il cluster, esegui la migrazione di tutti i carichi di lavoro dal cluster precedente a quello nuovo.

7. Vai ai cluster Dataproc e seleziona il tuo progetto.

8. Seleziona il cluster precedente e fai clic delete Elimina il cluster.

9. Ripeti tutti i passaggi precedenti per gli altri cluster Dataproc disponibili nel progetto selezionato.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Dataproc image outdated

Nome categoria nell'API: DATAPROC_IMAGE_OUTDATED

È stato creato un cluster Dataproc utilizzando un'immagine Dataproc versione interessata da vulnerabilità di sicurezza nell'utilità Apache Log4j 2 (CVE-2021-44228 e CVE-2021-45046).

Questo rilevatore individua le vulnerabilità controllando se le Campo softwareConfig.imageVersion nel config proprietà di un Cluster ha una delle seguenti versioni interessate:

• Versioni di immagini precedenti alla 1.3.95.
• Versioni di immagini secondarie precedenti a 1.4.77, 1.5.53 e 2.0.27.

Il numero di versione di un'immagine Dataproc personalizzata può essere manualmente. Considera i seguenti scenari:

• È possibile modificare la versione di un per farla sembrare inalterata. In questo caso, il rilevatore non emettono un risultato.
• È possibile eseguire l'override della versione di un'immagine personalizzata non interessata con una che è noto per avere la vulnerabilità. In questo caso, il rilevatore emette un falso un risultato positivo. Per eliminare questi falsi positivi, puoi disattivali.

Per correggere questo risultato, ricrea e aggiorna il cluster interessato.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Dataset CMEK disabled

Nome categoria nell'API: DATASET_CMEK_DISABLED

Un set di dati BigQuery non è configurato per utilizzare un set di dati predefinito gestito dal cliente chiave di crittografia (CMEK).

Con CMEK, le chiavi che crei e gestisci in Cloud KMS eseguono il wrapping delle chiavi che Google Cloud utilizza per criptare i tuoi dati, offrendoti un maggiore controllo l'accesso ai dati. Per ulteriori informazioni, consulta la sezione La protezione dei dati con Chiavi Cloud KMS.

Per correggere questo risultato, completa i seguenti passaggi:

Non puoi passare dalla crittografia predefinita a CMEK e passare da una tabella attiva all'altra la crittografia. Per impostare una chiave CMEK predefinita con cui criptare tutte le nuove tabelle in Segui le istruzioni per impostare una chiave predefinita del set di dati.

L'impostazione di una chiave predefinita non ricripterà retroattivamente le tabelle attualmente nel con una nuova chiave. Per utilizzare CMEK per i dati esistenti:

1. Crea un nuovo set di dati.
2. Imposta una chiave CMEK predefinita sul set di dati che hai creato.
3. Per copiare le tabelle nel set di dati abilitato per CMEK, segui le istruzioni per Copia di una tabella.
4. Dopo aver copiato i dati, elimina i set di dati originali.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Default network

Nome categoria nell'API: DEFAULT_NETWORK

La rete predefinita esiste in un progetto.

Le reti predefinite hanno creato automaticamente regole firewall e che potrebbero non essere sicure. Per ulteriori informazioni, consulta la sezione Predefinite Google Cloud.

Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Reti VPC nella console Google Cloud.

   Vai alle reti VPC

2. Nell'elenco delle reti, fai clic sul nome della rete predefinita.

3. Nella pagina Dettagli rete VPC, fai clic su delete Elimina rete VPC.

4. Per creare una nuova rete con regole firewall personalizzate, consulta la sezione Creazione di reti.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Default service account used

Nome categoria nell'API: DEFAULT_SERVICE_ACCOUNT_USED

Un'istanza Compute Engine è configurata per utilizzare l'account di servizio predefinito.

L'account di servizio predefinito di Compute Engine ha il ruolo Editor nella che consente l'accesso in lettura e scrittura alla maggior parte dei servizi Google Cloud. Per difenderti da escalation dei privilegi e accessi non autorizzati, non utilizzare predefinito di Compute Engine. Crea invece un nuovo l'account di servizio e assegna solo le autorizzazioni necessarie per la tua istanza. Letto Controllo dell'accesso per informazioni su ruoli e autorizzazioni.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Istanze VM nella console Google Cloud.

   Vai a Istanze VM

2. Seleziona l'istanza relativa al risultato di Security Health Analytics.

3. Nella pagina Dettagli istanza visualizzata, fai clic su stop Interrompi.

4. Dopo l'arresto dell'istanza, fai clic su edit Modifica.

5. Nella sezione Account di servizio, seleziona un account di servizio. diverso da quello predefinito di Compute Engine. Prima potrebbe essere necessario creare un nuovo account di servizio. Per informazioni su ruoli e autorizzazioni IAM, consulta Controllo dell'accesso.

6. Fai clic su Salva. La nuova configurazione viene visualizzata in Dettagli istanza .

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Disk CMEK disabled

Nome categoria nell'API: DISK_CMEK_DISABLED

I dischi in questa VM non sono criptati con chiavi di crittografia gestite dal cliente (CMEK).

Con CMEK, le chiavi che crei e gestisci in Cloud KMS eseguono il wrapping delle chiavi che Google Cloud utilizza per criptare i tuoi dati, offrendoti un maggiore controllo sull'accesso ai tuoi dati. Per ulteriori informazioni, consulta Protezione delle risorse con Cloud KMS Chiavi.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Dischi Compute Engine nel nella console Google Cloud.

   Vai ai dischi di Compute Engine

2. Nell'elenco dei dischi, fai clic sul nome del disco indicato nel risultato.

3. Nella pagina Gestisci disco, fai clic su delete Elimina.

4. Per creare un nuovo disco con CMEK abilitata, vedi Criptare un nuovo disco permanente con le tue chiavi. CMEK comporta costi aggiuntivi correlati a Cloud KMS.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Disk CSEK disabled

Nome categoria nell'API: DISK_CSEK_DISABLED

I dischi in questa VM non sono criptati con chiavi di crittografia fornite dal cliente (CSEK). I dischi delle VM critiche devono essere criptati con CSEK.

Se fornisci le tue chiavi di crittografia, Compute Engine le utilizza per proteggere le chiavi generate da Google utilizzate per criptare e decriptare i tuoi dati. Per Per ulteriori informazioni, consulta l'articolo Chiavi di crittografia fornite dal cliente. CSEK incorre costi aggiuntivi relativi a Cloud KMS.

Per correggere questo risultato, completa i seguenti passaggi:

Elimina e crea disco

Puoi criptare solo nuovi dischi permanenti con la tua chiave. Non puoi cripta i dischi permanenti esistenti con la tua chiave.

1. Vai alla pagina Dischi Compute Engine nel nella console Google Cloud.

   Vai ai dischi di Compute Engine

2. Nell'elenco dei dischi, fai clic sul nome del disco indicato nel risultato.

3. Nella pagina Gestisci disco, fai clic su delete Elimina.

4. Per creare un nuovo disco con CSEK abilitata, consulta Criptare i dischi con applicazioni chiavi di crittografia fornite.

5. Completa i passaggi rimanenti per attivare il rilevatore.

Attiva il rilevatore

1. Vai alla pagina Asset di Security Command Center nella nella console Google Cloud.

   Vai ad Asset

2. Nella sezione Tipo di risorsa del riquadro Filtri rapidi, seleziona compute.Disk.

   Se non vedi compute.Disk, fai clic su Visualizza altro, inserisci Disk nel campo di ricerca e fai clic su Applica.

   Il riquadro Risultati si aggiorna mostrando solo le istanze tipo di risorsa compute.Disk.

3. Nella colonna Nome visualizzato, seleziona la casella accanto al del disco che vuoi utilizzare con CSEK, quindi fai clic su Imposta i contrassegni di sicurezza.

4. Nella finestra di dialogo, fai clic su Aggiungi contrassegno.

5. Nel campo key, inserisci enforce_customer_supplied_disk_encryption_keys e nel value, inserisci true.

6. Fai clic su Salva.

read_more Scopri di più su questo tipo di risultato asset e impostazioni di scansione supportati.

DNS logging disabled

Nome categoria nell'API: DNS_LOGGING_DISABLED

Il monitoraggio dei log di Cloud DNS offre visibilità sui nomi DNS richiesti con i client all'interno della rete VPC. Questi log possono essere monitorati per nomi di dominio anomali, valutati in base alla threat intelligence. Me consigliamo di abilitare il logging DNS per le reti VPC.

A seconda della quantità di informazioni, i costi di logging di Cloud DNS possono significativo. Per comprendere il tuo utilizzo del servizio e i relativi costi, vedi Prezzi per Google Cloud Observability: Cloud Logging.

Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Reti VPC nel nella console Google Cloud.

   Vai alle reti VPC

2. Nell'elenco delle reti, fai clic sul nome della rete VPC.

3. Crea un nuovo criterio del server (se non ne esiste uno) o modifica un criterio esistente:

   • Se la rete non dispone di un criterio del server DNS, completa i seguenti passaggi:

     1. Fai clic su edit Modifica.
     2. Nel campo Criterio del server DNS, fai clic su Crea un nuovo criterio del server.
     3. Inserisci un nome per il nuovo criterio del server.
     4. Imposta Log su On.
     5. Fai clic su Salva.

   • Se la rete ha un criterio del server DNS, completa i seguenti passaggi:

     1. Nel campo Criterio del server DNS, fai clic sul nome del criterio DNS.
     2. Fai clic su edit Modifica criterio.
     3. Imposta Log su On.
     4. Fai clic su Salva.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

DNSSEC disabled

Nome categoria nell'API: DNSSEC_DISABLED

Le estensioni DNSSEC (Domain Name System Security Extensions) sono disabilitate per nelle zone Cloud DNS.

DNSSEC convalida le risposte DNS e mitiga i rischi, come la compromissione DNS e attacchi person in the middle, mediante la firma crittografica dei record DNS. Tu deve abilitare DNSSEC. Per ulteriori informazioni, consulta DNS Security Extensions Panoramica (DNSSEC).

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Cloud DNS nella console Google Cloud.

   Vai alle reti di Cloud DNS

2. Individua la riga con la zona DNS indicata nel risultato.

3. Fai clic sull'impostazione DNSSEC nella riga e, in DNSSEC, seleziona Attivata.

4. Esamina la finestra di dialogo visualizzata. Se le impostazioni sono soddisfacenti, fai clic su Attiva.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Egress deny rule not set

Nome categoria nell'API: EGRESS_DENY_RULE_NOT_SET

Su un firewall non è impostata una regola di negazione per il traffico in uscita.

Un firewall che nega tutto il traffico di rete in uscita impedisce qualsiasi traffico in uscita indesiderato connessioni di rete, tranne quelle che altri firewall in modo esplicito autorizzare. Per ulteriori informazioni, consulta In uscita di assistenza.

Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Firewall nella console Google Cloud.

   Vai a Firewall

2. Fai clic su Crea regola firewall.

3. Assegna un nome al firewall e, facoltativamente, una descrizione.

4. In Direzione del traffico, seleziona In uscita.

5. In Azione in caso di corrispondenza, seleziona Rifiuta.

6. Nel menu a discesa Destinazioni, seleziona Tutte le istanze nella rete.

7. Nel menu a discesa Filtro di destinazione, seleziona Intervalli IP, quindi Digita 0.0.0.0/0 nella casella Intervalli IP di destinazione.

8. In Protocolli e porte, seleziona Nega tutto.

9. Fai clic su Disattiva regola, quindi seleziona Attivata in Applicazione.

10. Fai clic su Crea.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Essential contacts not configured

Nome categoria nell'API: ESSENTIAL_CONTACTS_NOT_CONFIGURED

La tua organizzazione non ha designato una persona o un gruppo che riceva le notifiche da Google Cloud su eventi importanti come attacchi, vulnerabilità e incidenti di dati all'interno della tua organizzazione Google Cloud. Ti consigliamo di designa come contatto essenziale una o più persone o gruppi nel tuo all'organizzazione aziendale.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Contatti necessari nell' nella console Google Cloud.

   Vai a Contatti necessari

2. Assicurati che l'organizzazione venga visualizzata nel selettore di risorse nella parte superiore della della pagina. Il selettore di risorse indica il progetto, la cartella organizzazione per cui stai gestendo i contatti.

3. Fai clic su +Aggiungi contatto. Si apre il riquadro Aggiungi un contatto.

4. Nei campi Email e Conferma email, inserisci l'indirizzo email. del contatto.

5. Nella sezione Categorie di notifica, seleziona la categorie di notifica che il contatto deve ricevere. per le comunicazioni. Assicurati di aver configurato gli indirizzi email appropriati per ciascuna delle seguenti categorie di notifica:

   1. Legale
   2. Sicurezza
   3. Sospensione
   4. Tecnico

6. Fai clic su Salva. read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Firewall not monitored

Nome categoria nell'API: FIREWALL_NOT_MONITORED

Le metriche di log e gli avvisi non sono configurati per monitorare la rete VPC Modifiche alle regole firewall.

Il monitoraggio degli eventi di creazione e aggiornamento delle regole firewall ti offre informazioni approfondite modifiche dell'accesso alla rete e può aiutarti a rilevare rapidamente le attività sospette. Per Per saperne di più, consulta Panoramica delle metriche basate su log.

A seconda della quantità di informazioni, i costi di Cloud Monitoring possono essere significativi. A l'utilizzo del servizio e i suoi costi, vedi Ottimizzazione dei costi per Google Cloud Observability.

Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale.

Per correggere questo risultato, completa i seguenti passaggi:

Crea metrica

1. Vai alla pagina Metriche basate su log nella console Google Cloud.

   Vai a Metriche basate su log

2. Fai clic su Crea metrica.

3. In Tipo di metrica, seleziona Contatore.

4. In Dettagli:

   1. Imposta un Nome metrica di log.
   2. Aggiungi una descrizione.
   3. Imposta Unità su 1.

5. In Selezione filtro, copia e incolla il seguente testo nel Crea filtro, sostituendo il testo esistente, se necessario:

     resource.type="gce_firewall_rule"
     AND (protoPayload.methodName:"compute.firewalls.insert"
     OR protoPayload.methodName:"compute.firewalls.patch"
     OR protoPayload.methodName:"compute.firewalls.delete")
   

6. Fai clic su Crea metrica. Viene visualizzata una conferma.

Crea criterio di avviso

1. Nella console Google Cloud, vai alla pagina Metriche basate su log:

   Vai a Metriche basate su log

   Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.

2. Nella sezione Metriche definite dall'utente, seleziona la metrica che hai creato. nella sezione precedente.

3. Fai clic su Altro more_vert, quindi Fai clic su Crea avviso da metrica.

   Si apre la finestra di dialogo Nuova condizione con la metrica e la trasformazione dei dati opzioni precompilate.

4. Fai clic su Avanti.
   1. Rivedi le impostazioni precompilate. Potresti voler modificare il Valore soglia.
   2. Fai clic su Nome condizione e inserisci un nome per la condizione.
5. Fai clic su Avanti.

6. Per aggiungere notifiche al criterio di avviso, fai clic su Canali di notifica. Nella finestra di dialogo, seleziona una o più notifiche canali dal menu, quindi fai clic su OK.

   Per ricevere notifiche quando gli incidenti vengono aperti e chiusi, controlla Notifica di chiusura dell'incidente. Per impostazione predefinita, le notifiche vengono inviate solo quando vengono aperti gli incidenti.

7. (Facoltativo) Aggiorna la Durata della chiusura automatica degli incidenti. Questo campo determina quando Il monitoraggio chiude gli incidenti in assenza di dati delle metriche.
8. (Facoltativo) Fai clic su Documentazione, quindi aggiungi le eventuali informazioni da includere in un messaggio di notifica.
9. Fai clic su Nome avviso e inserisci un nome per il criterio di avviso.
10. Fai clic su Crea criterio.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Firewall rule logging disabled

Nome categoria nell'API: FIREWALL_RULE_LOGGING_DISABLED

Il logging delle regole firewall è disabilitato.

Il logging delle regole firewall consente di controllare, verificare e analizzare gli effetti le tue regole firewall. Può essere utile per controllare l'accesso alla rete o per fornire preavviso circa un utilizzo non approvato della rete. Il costo di log possono essere significativi. Per ulteriori informazioni sulle regole firewall Logging e relativo costo, consulta Utilizzo del logging delle regole firewall.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Firewall nella console Google Cloud.

   Vai a Firewall

2. Nell'elenco delle regole firewall, fai clic sul nome di quella che ti interessa.

3. Fai clic su edit Modifica.

4. In Log, seleziona On.

5. Fai clic su Salva.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Flow logs disabled

Nome categoria nell'API: FLOW_LOGS_DISABLED

Esiste una subnet VPC con i log di flusso disabilitati.

I log di flusso VPC registrano un campione di flussi di rete inviati e ricevuti di istanze VM di Compute Engine. Questi log possono essere usati per monitoraggio della rete, analisi forensi, analisi della sicurezza in tempo reale e ottimizzazione delle spese. Per ulteriori informazioni sui log di flusso e sui relativi costi, consulta Utilizzare Log di flusso VPC.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Reti VPC nel nella console Google Cloud.

   Vai alle reti VPC

2. Nell'elenco delle reti, fai clic sul nome della rete desiderata.

3. Nella pagina Dettagli rete VPC, fai clic sul pulsante Subnet .

4. Nell'elenco delle subnet, fai clic sul nome della subnet indicata ricerca.

5. Nella pagina Dettagli subnet, fai clic su edit Modifica.

6. In Log di flusso, seleziona On.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Flow logs settings not recommended

Nome categoria nell'API: VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Nella configurazione di una subnet in una rete VPC, il servizio Log di flusso VPC disattivato o non configurato in base ai consigli di CIS Benchmark 1.3. I log di flusso VPC registrano un campione di flussi di rete inviati e ricevuti dalla VM di Compute Engine, che possono essere utilizzate per rilevare minacce.

Per ulteriori informazioni sui log di flusso VPC e sui relativi costi, consulta Utilizzo Log di flusso VPC.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Reti VPC nel nella console Google Cloud.

   Vai alle reti VPC

2. Nell'elenco delle reti, fai clic sul nome della rete.

3. Nella pagina Dettagli rete VPC, fai clic sul pulsante Subnet .

4. Nell'elenco delle subnet, fai clic sul nome della subnet indicata ricerca.

5. Nella pagina Dettagli subnet, fai clic su edit Modifica.

6. In Log di flusso, seleziona On.

   1. Facoltativamente, modifica la configurazione dei log facendo clic sul Pulsante Configura log per espandere la scheda. CIS Benchmarks consiglia le seguenti impostazioni:
      1. Imposta Intervallo di aggregazione su 5 sec.
      2. Nella casella di controllo Campi aggiuntivi, seleziona il valore Includi metadati.
      3. Imposta Frequenza di campionamento su 100%.
      4. Fai clic sul pulsante SALVA.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Full API access

Nome categoria nell'API: FULL_API_ACCESS

Un'istanza Compute Engine è configurata per utilizzare l'account di servizio predefinito con accesso completo a tutte le API Google Cloud.

Un'istanza configurata con l'account di servizio predefinito e l'accesso all'API l'ambito impostato su Consenti l'accesso completo a tutte le API Cloud potrebbe consentire agli utenti di eseguire operazioni o chiamate API per cui non hanno IAM autorizzazioni aggiuntive. Per ulteriori informazioni, consulta Account di servizio predefinito Compute Engine.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Istanze VM nella console Google Cloud.

   Vai a Istanze VM

2. Nell'elenco delle istanze, fai clic sul nome dell'istanza nel risultato.

3. Se l'istanza è in esecuzione, fai clic su stop Interrompi.

4. Quando l'istanza viene arrestata, fai clic su edit Modifica.

5. Nella sezione Sicurezza e accesso, in Account di servizio, Seleziona Account di servizio predefinito Compute Engine.

6. In Ambiti di accesso, seleziona Consenti l'accesso predefinito oppure Impostare l'accesso per ogni API. Questo limita il numero di API che qualsiasi processo o carico di lavoro che utilizza l'account di servizio VM predefinito.

7. Se hai selezionato Imposta l'accesso per ogni API, segui questi passaggi:

   • Disabilita Cloud Platform impostandolo su Nessuna.
   • Abilita le API specifiche richieste dall'account di servizio VM predefinito a cui accedono.

8. Fai clic su Salva.

9. Fai clic su play_arrow Inizia per avviare l'istanza.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

HTTP load balancer

Nome categoria nell'API: HTTP_LOAD_BALANCER

Un'istanza Compute Engine utilizza un bilanciatore del carico configurato per utilizzare proxy HTTP di destinazione anziché un proxy HTTPS di destinazione.

Per proteggere l'integrità dei tuoi dati e impedire a intrusi di manomettere configurare i bilanciatori del carico HTTP(S) in modo da consentire per via del traffico. Per saperne di più, consulta Panoramica del bilanciamento del carico HTTP(S) esterno.

Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Proxy di destinazione nella console Google Cloud.

   Vai a Proxy di destinazione

2. Nell'elenco dei proxy di destinazione, fai clic sul nome del proxy di destinazione nella ricerca.

3. Fai clic sul link sotto la mappa URL.

4. Fai clic su edit Modifica.

5. Fai clic su Configurazione frontend.

6. Elimina tutte le configurazioni IP frontend e di porta che consentono il traffico HTTP e crearne di nuove che consentano il traffico HTTPS.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Instance OS login disabled

Nome categoria nell'API: INSTANCE_OS_LOGIN_DISABLED

OS Login è disabilitato su questa istanza Compute Engine.

OS Login consente la gestione centralizzata delle chiavi SSH con IAM, e disabilita la configurazione delle chiavi SSH basate su metadati su tutte le istanze in progetto. Scopri come impostare e configurare OS Login.

Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Istanze VM nella console Google Cloud.

   Vai a Istanze VM

2. Nell'elenco delle istanze, fai clic sul nome dell'istanza nel risultato.

3. Nella pagina Dettagli istanza visualizzata, fai clic su stop Interrompi.

4. Dopo l'arresto dell'istanza, fai clic su edit Modifica.

5. Nella sezione Metadati personalizzati, assicurati che l'elemento con la chiave enable-oslogin ha il valore TRUE.

6. Fai clic su Salva.

7. Fai clic su play_arrow Avvia per avviare in esecuzione in un'istanza Compute Engine.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Integrity monitoring disabled

Nome categoria nell'API: INTEGRITY_MONITORING_DISABLED

Il monitoraggio dell'integrità è disabilitato su un cluster GKE.

Monitoraggio dell'integrità consente di monitorare e verificare l'integrità in fase di avvio runtime dei nodi schermati utilizzando Monitoring. In questo modo puoi rispondere a eventuali errori di integrità impedire il deployment dei nodi compromessi nel cluster.

Per correggere questo risultato, completa i seguenti passaggi:

Una volta eseguito il provisioning, il nodo non può essere aggiornato per abilitare il monitoraggio dell'integrità. Devi creare un nuovo pool di nodi con il monitoraggio dell'integrità abilitato.

1. Vai alla pagina Cluster Kubernetes nella console Google Cloud.

   Vai ai cluster Kubernetes

2. Fai clic sul nome del cluster nel risultato.

3. Fai clic su Aggiungi pool di nodi.

4. Nella scheda Sicurezza, assicurati che l'opzione Abilita il monitoraggio dell'integrità sia in un bucket con il controllo delle versioni attivo.

5. Fai clic su Crea.

6. Per eseguire la migrazione dei carichi di lavoro dai pool di nodi non conformi esistenti a sui nuovi pool di nodi, consulta Migrazione di carichi di lavoro a diversi tipi di macchine.

7. Dopo aver spostato i carichi di lavoro, elimina l'originale non conforme pool di nodi.

   1. Nella pagina Cluster Kubernetes, nel menu Pool di nodi, fai clic sull'icona del pool di nodi che vuoi eliminare.
   2. Fai clic su Rimuovi pool di nodi.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Intranode visibility disabled

Nome categoria nell'API: INTRANODE_VISIBILITY_DISABLED

La visibilità tra nodi è disabilitata per un cluster GKE.

Se abiliti la visibilità tra nodi, il traffico tra i pod dei vari nodi sarà visibile ai la struttura di networking. Con questa funzionalità, puoi utilizzare il flusso VPC logging o altre funzionalità VPC per monitorare o controllare i tra nodi per via del traffico. Per ottenere i log, devi abilitare quelli del flusso VPC nella subnet selezionata. Per ulteriori informazioni, consulta Utilizzo del flusso VPC log.

Per correggere questo risultato, completa i seguenti passaggi:

Una volta eseguito il provisioning, il nodo non può essere aggiornato per abilitare il monitoraggio dell'integrità. Devi creare un nuovo pool di nodi con il monitoraggio dell'integrità abilitato.

1. Vai alla pagina Cluster Kubernetes nella console Google Cloud.

   Vai ai cluster Kubernetes

2. Nella sezione Networking, fai clic sull'icona di modifica (edit) nella sezione Intranodo visibilità.

   Se la configurazione del cluster è stata modificata di recente, il pulsante di modifica potrebbe essere disattivata. Se non riesci a modificare le impostazioni del cluster, attendi minuti e riprova.

3. Nella finestra di dialogo, seleziona Abilita visibilità tra nodi.

4. Fai clic su Salva modifiche.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

IP alias disabled

Nome categoria nell'API: IP_ALIAS_DISABLED

È stato creato un cluster GKE con intervalli IP alias disabilitati.

Quando abiliti gli intervalli IP alias, i cluster GKE allocano IP indirizzi IP da un blocco CIDR noto, in modo che il cluster sia scalabile e meglio con i prodotti e le entità Google Cloud. Per ulteriori informazioni, vedi Panoramica degli intervalli IP alias.

Per correggere questo risultato, completa i seguenti passaggi:

Non puoi eseguire la migrazione di un cluster esistente per utilizzare IP alias. Per creare un nuovo cluster con IP alias abilitato, procedi nel seguente modo:

1. Vai alla pagina Cluster Kubernetes nella console Google Cloud.

   Vai ai cluster Kubernetes

2. Fai clic su Crea.

3. Nel riquadro di navigazione, in Cluster, fai clic su Networking.

4. In Opzioni di networking avanzate, seleziona Abilita traffico nativo VPC. routing (mediante IP alias).

5. Fai clic su Crea.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

IP forwarding enabled

Nome categoria nell'API: IP_FORWARDING_ENABLED

L'IP forwarding è abilitato sulle istanze di Compute Engine.

Impedisci la perdita di dati o la divulgazione di informazioni disattivando l'IP forwarding dei dati e pacchetti per le tue VM.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Istanze VM nella console Google Cloud.

   Vai a Istanze VM

2. Nell'elenco delle istanze, seleziona la casella accanto al nome dell'istanza in il risultato.

3. Fai clic su delete Elimina.

4. Seleziona Crea istanza per creare una nuova istanza in sostituzione di quella eliminati.

5. Per assicurarti che l'inoltro IP sia disattivato, fai clic su Gestione, dischi, networking, chiavi SSH e fai clic su Networking.

6. In Interfacce di rete, fai clic su edit Modifica.

7. In Inoltro IP, nel menu a discesa, assicurati che sia impostato su Off. selezionato.

8. Specifica eventuali altri parametri dell'istanza e fai clic su Crea. Per ulteriori informazioni consulta Creare e avviare un'istanza VM.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

KMS key not rotated

Nome categoria nell'API: KMS_KEY_NOT_ROTATED

La rotazione non è configurata su una chiave di crittografia Cloud KMS.

La rotazione regolare delle chiavi di crittografia offre protezione nel caso in cui una chiave venga compromessi e limita il numero di messaggi criptati disponibili la crittoanalisi per una specifica versione della chiave. Per ulteriori informazioni, consulta le sezioni Chiave la rotazione.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Chiavi Cloud KMS nella console Google Cloud.

   Vai alle chiavi di Cloud KMS

2. Fai clic sul nome del keyring indicato nel risultato.

3. Fai clic sul nome della chiave indicata nel risultato.

4. Fai clic su Modifica periodo di rotazione.

5. Imposta il periodo di rotazione su un massimo di 90 giorni.

6. Fai clic su Salva.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

KMS project has owner

Nome categoria nell'API: KMS_PROJECT_HAS_OWNER

Un utente dispone di autorizzazioni roles/Owner in un progetto che dispone di chiavi di crittografia. Per ulteriori informazioni, consulta la sezione Autorizzazioni e ruoli.

Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina IAM nella console Google Cloud.

   Vai alla pagina IAM

2. Se necessario, seleziona il progetto nel risultato.

3. Per ogni entità a cui è assegnato il ruolo Proprietario:

   1. Fai clic su edit Modifica.
   2. Nel riquadro Modifica autorizzazioni, accanto al ruolo Proprietario, fai clic su delete Elimina.
   3. Fai clic su Salva.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

KMS public key

Nome categoria nell'API: KMS_PUBLIC_KEY

una crittografia di Cloud KMS o un keyring di Cloud KMS è pubblico accessibile a chiunque su internet. Per ulteriori informazioni, consulta la sezione Utilizzo IAM con Cloud KMS.

Per correggere questo risultato, se è correlato a una crittografia:

1. Vai alla pagina Chiavi di crittografia nella console Google Cloud.

   Chiavi di crittografia

2. In Nome, seleziona il keyring che contiene la chiave di crittografia relative al risultato di Security Health Analytics.

3. Nella pagina Dettagli keyring visualizzata, seleziona la casella di controllo accanto al chiave di crittografia.

4. Se il RIQUADRO INFORMAZIONI non viene visualizzato, fai clic sul pulsante MOSTRA RIQUADRO INFORMAZIONI.

5. Utilizza la casella di filtro che precede Ruolo / Entità per cercare tra le entità. allUsers e allAuthenticatedUsers, quindi fai clic su Elimina delete per rimuovere l'accesso a questi tra cui scegliere.

Per correggere questo risultato, se è correlato a un keyring:

1. Vai alla pagina Chiavi di crittografia nella console Google Cloud.

   Chiavi di crittografia

2. Trova la riga con il keyring nel risultato e seleziona la casella di controllo.

3. Se il RIQUADRO INFORMAZIONI non viene visualizzato, fai clic sul pulsante MOSTRA RIQUADRO INFORMAZIONI.

4. Utilizza la casella di filtro che precede Ruolo / Entità per cercare tra le entità. allUsers e allAuthenticatedUsers, quindi fai clic su Elimina delete per rimuovere l'accesso a questi tra cui scegliere.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

KMS role separation

Nome categoria nell'API: KMS_ROLE_SEPARATION

Questo risultato non è disponibile per le attivazioni a livello di progetto.

A una o più entità sono assegnate più autorizzazioni Cloud KMS. Me Consigliamo di fare in modo che nessun account disponga di Amministratore Cloud KMS insieme ad altre autorizzazioni Cloud KMS. Per ulteriori informazioni, vedi Autorizzazioni e ruoli.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina IAM nella console Google Cloud.

   Vai a IAM

2. Per ogni entità elencata nel risultato:

   1. Verificare se il ruolo è stato ereditato da una cartella o una risorsa dell'organizzazione osservando la colonna Ereditarietà. Se la colonna contiene un link a una risorsa padre, fai clic sul link per andare alla pagina IAM.
   2. Fai clic su Modifica edit successivo a un'entità.
   3. Per rimuovere le autorizzazioni, fai clic su Elimina. delete accanto ad Amministratore Cloud KMS. Se vuoi rimuovere tutte le autorizzazioni per l'entità, fai clic su Elimina accanto a tutte le altre autorizzazioni.

3. Fai clic su Salva.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Legacy authorization enabled

Nome categoria nell'API: LEGACY_AUTHORIZATION_ENABLED

L'autorizzazione precedente è abilitata sui cluster GKE.

In Kubernetes, controllo dell'accesso basato su ruoli (RBAC) consente di definire ruoli con regole contenente un set di autorizzazioni e concedere le autorizzazioni a livello di cluster a livello di spazio dei nomi. Questa funzionalità offre maggiore sicurezza garantendo che gli utenti hanno accesso solo a risorse specifiche. Valuta la possibilità di disattivare il precedente controllo controllo dell'accesso basato su attributi (ABAC).

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Cluster Kubernetes nella console Google Cloud.

   Vai ai cluster Kubernetes

2. Seleziona il cluster elencato nel risultato di Security Health Analytics.

3. Fai clic su edit Modifica.

   Se la configurazione del cluster è stata modificata di recente, il pulsante di modifica potrebbe essere disattivata. Se non riesci a modificare le impostazioni del cluster, attendi qualche minuto e riprova.

4. Nell'elenco a discesa Autorizzazione precedente, seleziona Disabilitata.

5. Fai clic su Salva.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Legacy metadata enabled

Nome categoria nell'API: LEGACY_METADATA_ENABLED

I metadati legacy sono abilitati sui cluster GKE.

Il server di metadati dell'istanza di Compute Engine espone le versioni precedenti di /0.1/ Endpoint /v1beta1/, che non applicano intestazioni delle query sui metadati. Si tratta di un funzionalità nelle API di /v1/ che rende più difficile un potenziale utente malintenzionato per recuperare i metadati dell'istanza. A meno che non sia richiesto, ti consigliamo disabilita le API /0.1/ e /v1beta1/ legacy.

Per ulteriori informazioni, consulta Disattivare e passare dai metadati precedenti per le API.

Per correggere questo risultato, completa i seguenti passaggi:

Puoi disabilitare le API di metadati legacy solo quando crei una nuova cluster o quando aggiungi un nuovo pool di nodi a un cluster esistente. Per aggiornare un cluster esistente e disabilitare le API dei metadati legacy. Consulta Migrazione dei carichi di lavoro in diversi tipi di macchine.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Legacy network

Nome categoria nell'API: LEGACY_NETWORK

In un progetto è presente una rete legacy.

Le reti legacy sono sconsigliate perché molte nuove non sono supportate nelle reti precedenti. Usa invece il VPC reti. Per ulteriori informazioni, vedi Reti legacy.

Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Reti VPC nel nella console Google Cloud.

   Vai alle reti VPC

2. Per creare una nuova rete non legacy, fai clic su Crea rete.

3. Torna alla pagina Reti VPC.

4. Nell'elenco delle reti, fai clic su legacy_network.

5. Nella pagina Dettagli rete VPC, fai clic su delete Elimina rete VPC.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Load balancer logging disabled

Nome categoria nell'API: LOAD_BALANCER_LOGGING_DISABLED

Il logging è disabilitato per il servizio di backend in un bilanciatore del carico.

L'abilitazione del logging per un bilanciatore del carico consente di visualizzare il traffico di rete HTTP(S) per le tue applicazioni web. Per saperne di più, vedi Bilanciatore del carico.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Cloud Load Balancing nella nella console Google Cloud.

   Vai a Cloud Load Balancing

2. Fai clic sul nome del bilanciatore del carico.

3. Fai clic su Modifica edit.

4. Fai clic su Configurazione backend.

5. Nella pagina Configurazione backend, fai clic su edit.

6. Nella sezione Logging, seleziona Abilita il logging e scegli la migliore per il tuo progetto.

7. Per completare la modifica del servizio di backend, fai clic su Aggiorna.

8. Per completare la modifica del bilanciatore del carico, fai clic su Aggiorna.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Locked retention policy not set

Nome categoria nell'API: LOCKED_RETENTION_POLICY_NOT_SET

Non è impostato un criterio di conservazione bloccato per i log.

Un criterio di conservazione bloccato impedisce che i log vengano sovrascritti e il log del bucket. Per ulteriori informazioni, consulta Bucket Blocca.

Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Browser Storage nella console Google Cloud.

   Vai al browser di Storage

2. Seleziona il bucket elencato nel risultato di Security Health Analytics.

3. Nella pagina Dettagli bucket, fai clic sulla scheda Conservazione.

4. Se non è stato impostato un criterio di conservazione, fai clic su Imposta criterio di conservazione.

5. Inserisci un periodo di conservazione.

6. Fai clic su Salva. Il criterio di conservazione viene visualizzato nella scheda Conservazione.

7. Fai clic su Blocca per assicurarti che il periodo di conservazione non venga ridotto. o rimosso.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Log not exported

Nome categoria nell'API: LOG_NOT_EXPORTED

Per una risorsa non è configurato un sink di log appropriato.

Cloud Logging consente di trovare rapidamente la causa principale dei problemi del sistema e applicazioni. Tuttavia, per impostazione predefinita, la maggior parte dei log viene conservata solo per 30 giorni. Esporta delle copie di tutte le voci di log per estendere il periodo di archiviazione. Per ulteriori informazioni consulta Panoramica delle esportazioni dei log.

Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Router dei log nella console Google Cloud.

   Vai al router dei log

2. Fai clic su Crea sink.

3. Per assicurarti che tutti i log vengano esportati, lascia le opzioni di inclusione ed esclusione filtri vuoti.

4. Fai clic su Crea sink.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Master authorized networks disabled

Nome categoria nell'API: MASTER_AUTHORIZED_NETWORKS_DISABLED

Le reti autorizzate del piano di controllo non sono abilitate sui cluster GKE.

Le reti autorizzate del piano di controllo migliorano la sicurezza per il tuo cluster di container impedendo a specifici indirizzi IP di accedere al piano di controllo del cluster. Per saperne di più, vedi Aggiungere reti autorizzate per l'accesso al piano di controllo.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Cluster Kubernetes nella console Google Cloud.

   Vai ai cluster Kubernetes

2. Seleziona il cluster elencato nel risultato di Security Health Analytics.

3. Fai clic su edit Modifica.

   Se la configurazione del cluster è stata modificata di recente, il pulsante di modifica potrebbe essere disattivata. Se non riesci a modificare le impostazioni del cluster, attendi qualche minuto e riprova.

4. Nell'elenco a discesa Reti autorizzate del piano di controllo, seleziona Abilitata.

5. Fai clic su Aggiungi rete autorizzata.

6. Specifica le reti autorizzate che vuoi utilizzare.

7. Fai clic su Salva.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

MFA not enforced

Nome categoria nell'API: MFA_NOT_ENFORCED

Questo risultato non è disponibile per le attivazioni a livello di progetto.

L'autenticazione a più fattori, in particolare la verifica in due passaggi (V2P), è disattivata per alcuni utenti dell'organizzazione.

L'autenticazione a più fattori viene utilizzata per proteggere gli account da accessi non autorizzati ed è lo strumento più importante per proteggere la tua organizzazione compromissione delle credenziali di accesso. Per ulteriori informazioni, consulta Proteggere l'attività con la verifica in due passaggi.

Per correggere questo risultato, completa i seguenti passaggi:

1. Nella console Google Cloud, vai alla pagina della Console di amministrazione.

   Vai alla Console di amministrazione

2. Applica in modo forzato la verifica in due passaggi a tutte le unità organizzative.

Elimina risultati di questo tipo

Per eliminare risultati di questo tipo, definisci una regola di disattivazione che disattivi automaticamente l'audio risultati futuri di questo tipo. Per ulteriori informazioni, vedi Disattivazione dei risultati in Security Command Center.

Sebbene non sia un modo consigliato per eliminare i risultati, puoi anche aggiungi contrassegni di sicurezza dedicati agli asset in modo che i rilevatori di Security Health Analytics non creino risultati per queste risorse.

• Per evitare che questo risultato venga riattivato, aggiungi il contrassegno di sicurezza allow_mfa_not_enforced con un valore pari a true per la risorsa.
• Per ignorare le potenziali violazioni per unità organizzative specifiche, aggiungi la sezione Il contrassegno di sicurezza di excluded_orgunits alla risorsa con un elenco separato da virgole di percorsi delle unità organizzative nel campo value. Ad esempio: excluded_orgunits:/people/vendors/vendorA,/people/contractors/contractorA.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Network not monitored

Nome categoria nell'API: NETWORK_NOT_MONITORED

Le metriche di log e gli avvisi non sono configurati per monitorare la rete VPC modifiche.

Per rilevare modifiche errate o non autorizzate alla configurazione della rete, monitora modifiche alla rete VPC. Per ulteriori informazioni, consulta Panoramica dei log- basate su metriche.

A seconda della quantità di informazioni, i costi di Cloud Monitoring possono essere significativi. A l'utilizzo del servizio e i suoi costi, vedi Ottimizzazione dei costi per Google Cloud Observability.

Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale.

Per correggere questo risultato, completa i seguenti passaggi:

Crea metrica

1. Vai alla pagina Metriche basate su log nella console Google Cloud.

   Vai a Metriche basate su log

2. Fai clic su Crea metrica.

3. In Tipo di metrica, seleziona Contatore.

4. In Dettagli:

   1. Imposta un Nome metrica di log.
   2. Aggiungi una descrizione.
   3. Imposta Unità su 1.

5. In Selezione filtro, copia e incolla il seguente testo nel Crea filtro, sostituendo il testo esistente, se necessario:

     resource.type="gce_network"
     AND (protoPayload.methodName:"compute.networks.insert"
     OR protoPayload.methodName:"compute.networks.patch"
     OR protoPayload.methodName:"compute.networks.delete"
     OR protoPayload.methodName:"compute.networks.removePeering"
     OR protoPayload.methodName:"compute.networks.addPeering")
   

6. Fai clic su Crea metrica. Viene visualizzata una conferma.

Crea criterio di avviso

1. Nella console Google Cloud, vai alla pagina Metriche basate su log:

   Vai a Metriche basate su log

   Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.

2. Nella sezione Metriche definite dall'utente, seleziona la metrica che hai creato. nella sezione precedente.

3. Fai clic su Altro more_vert, quindi Fai clic su Crea avviso da metrica.

   Si apre la finestra di dialogo Nuova condizione con la metrica e la trasformazione dei dati opzioni precompilate.

4. Fai clic su Avanti.
   1. Rivedi le impostazioni precompilate. Potresti voler modificare il Valore soglia.
   2. Fai clic su Nome condizione e inserisci un nome per la condizione.
5. Fai clic su Avanti.

6. Per aggiungere notifiche al criterio di avviso, fai clic su Canali di notifica. Nella finestra di dialogo, seleziona una o più notifiche canali dal menu, quindi fai clic su OK.

   Per ricevere notifiche quando gli incidenti vengono aperti e chiusi, controlla Notifica di chiusura dell'incidente. Per impostazione predefinita, le notifiche vengono inviate solo quando vengono aperti gli incidenti.

7. (Facoltativo) Aggiorna la Durata della chiusura automatica degli incidenti. Questo campo determina quando Il monitoraggio chiude gli incidenti in assenza di dati delle metriche.
8. (Facoltativo) Fai clic su Documentazione, quindi aggiungi le eventuali informazioni da includere in un messaggio di notifica.
9. Fai clic su Nome avviso e inserisci un nome per il criterio di avviso.
10. Fai clic su Crea criterio.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Network policy disabled

Nome categoria nell'API: NETWORK_POLICY_DISABLED

Il criterio di rete è disabilitato sui cluster GKE.

La comunicazione pod-to-pod è aperta per impostazione predefinita. La comunicazione aperta consente ai pod si connettono direttamente tra i nodi, con o senza Network Address Translation. R La risorsa NetworkPolicy è come un firewall a livello di pod che limita le connessioni tra i pod, a meno che la risorsa NetworkPolicy non consenta esplicitamente connessione. Scopri come definire un criterio di rete.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Cluster Kubernetes nella console Google Cloud.

   Vai ai cluster Kubernetes

2. Fai clic sul nome del cluster elencato nel risultato di Security Health Analytics.

3. In Networking, nella riga Criterio di rete di Calico Kubernetes, fai clic su edit Modifica.

   Se la configurazione del cluster è stata modificata di recente, il pulsante di modifica potrebbe essere disattivata. Se non riesci a modificare le impostazioni del cluster, attendi qualche minuto e riprova.

4. Nella finestra di dialogo, seleziona Abilita criterio di rete di Calico Kubernetes per il piano di controllo e Abilita il criterio di rete di Calico Kubernetes per i nodi.

5. Fai clic su Salva modifiche.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Nodepool boot CMEK disabled

Nome categoria nell'API: NODEPOOL_BOOT_CMEK_DISABLED

I dischi di avvio in questo pool di nodi non sono criptati con la crittografia gestita dal cliente (CMEK). CMEK consente all'utente di configurare le chiavi di crittografia predefinite di avvio dei dischi in un pool di nodi.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Cluster Kubernetes nella console Google Cloud.

   Vai ai cluster Kubernetes

2. Nell'elenco dei cluster, fai clic sul nome del cluster nel risultato.

3. Fai clic sulla scheda Nodi.

4. Per ogni pool di nodi default-pool, fai clic su Elimina delete.

5. Quando ti viene richiesto di confermare, fai clic su Elimina.

6. Per creare nuovi pool di nodi utilizzando CMEK, consulta Utilizzo delle chiavi di crittografia (CMEK). CMEK comporta costi aggiuntivi correlati a Cloud KMS.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Nodepool secure boot disabled

Nome categoria nell'API: NODEPOOL_SECURE_BOOT_DISABLED

L'avvio protetto è disabilitato per un cluster GKE.

Abilita l'avvio protetto per i nodi GKE schermati per verificare dei componenti di avvio dei nodi. Per maggiori informazioni, vedi Avvio protetto.

Per correggere questo risultato, completa i seguenti passaggi:

Una volta eseguito il provisioning di un pool di nodi, non è possibile aggiornarlo per abilitare Avvio protetto. Devi creare un nuovo pool di nodi con l'avvio protetto abilitato.

1. Vai alla pagina Cluster Kubernetes nella console Google Cloud.

   Vai ai cluster Kubernetes

2. Fai clic sul nome del cluster nel risultato.

3. Fai clic su Aggiungi pool di nodi.

4. Nel menu Pool di nodi, procedi nel seguente modo:

   1. Fai clic sul nome del nuovo pool di nodi per espandere la scheda.
   2. Seleziona Sicurezza e poi, sotto Opzioni nascoste, seleziona Attiva l'avvio protetto.
   3. Fai clic su Crea.
   4. Per eseguire la migrazione dei carichi di lavoro dai pool di nodi non conformi esistenti a sui nuovi pool di nodi, consulta Migrazione di carichi di lavoro a diversi tipi di macchine.
   5. Dopo aver spostato i carichi di lavoro, elimina l'originale non conforme pool di nodi.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Non org IAM member

Nome categoria nell'API: NON_ORG_IAM_MEMBER

Un utente esterno all'organizzazione o al progetto dispone di autorizzazioni IAM su un progetto o organizzazione. Scopri di più sulle autorizzazioni IAM.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina IAM nella console Google Cloud.

   Vai a IAM

2. Seleziona la casella di controllo accanto agli utenti esterni all'organizzazione o al progetto.

3. Fai clic su Rimuovi.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Object versioning disabled

Nome categoria nell'API: OBJECT_VERSIONING_DISABLED

Il controllo delle versioni degli oggetti non è abilitato in un bucket di archiviazione in cui sono configurati i sink.

Per supportare il recupero di oggetti eliminati o sovrascritti, Cloud Storage offre la funzionalità Controllo delle versioni degli oggetti. Abilita oggetto Controllo delle versioni per proteggere i dati di Cloud Storage sovrascritto o eliminato accidentalmente. Scopri come abilitare il controllo delle versioni degli oggetti.

Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale.

Per correggere questo risultato, usa il comando gsutil versioning set on con il valore appropriato:

    gsutil versioning set on gs://finding.assetDisplayName

Sostituisci finding.assetDisplayName con il nome del del bucket pertinente.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Open Cassandra port

Nome categoria nell'API: OPEN_CASSANDRA_PORT

Le regole firewall che autorizzano qualsiasi indirizzo IP a connettersi alle porte Cassandra i tuoi servizi Cassandra a utenti malintenzionati. Per ulteriori informazioni, vedi Panoramica delle regole firewall VPC.

Le porte del servizio Cassandra sono:

• TCP - 7000, 7001, 7199, 8888, 9042, 9160, 61620, 61621

Questo risultato viene generato per regole firewall vulnerabili, anche se disattivare intenzionalmente le regole. Risultati attivi per regole firewall disabilitate ti avvisa delle configurazioni non sicure che consentono traffico indesiderato se abilitato.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Firewall nella console Google Cloud.

   Vai a Firewall

2. Nell'elenco delle regole firewall, fai clic sul nome della regola nella ricerca.

3. Fai clic su edit Modifica.

4. In Intervalli IP di origine, elimina 0.0.0.0/0.

5. Aggiungi indirizzi o intervalli IP specifici a cui vuoi consentire la connessione in esecuzione in un'istanza Compute Engine.

6. Aggiungi i protocolli specifici e le porte che vuoi aprire sull'istanza.

7. Fai clic su Salva.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Open ciscosecure websm port

Nome categoria nell'API: OPEN_CISCOSECURE_WEBSM_PORT

Regole firewall che autorizzano qualsiasi indirizzo IP a connettersi alle porte CiscoSecure/WebSM i tuoi servizi CiscoSecure/WebSM potrebbero essere esposti a malintenzionati. Per ulteriori informazioni, vedi Panoramica delle regole firewall VPC.

Le porte del servizio CiscoSecure/WebSM sono:

• TCP - 9090

Questo risultato viene generato per regole firewall vulnerabili, anche se disattivare intenzionalmente le regole. Risultati attivi per regole firewall disabilitate ti avvisa delle configurazioni non sicure che consentono traffico indesiderato se abilitato.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Firewall nella console Google Cloud.

   Vai a Firewall

2. Nell'elenco delle regole firewall, fai clic sul nome della regola nella ricerca.

3. Fai clic su edit Modifica.

4. In Intervalli IP di origine, elimina 0.0.0.0/0.

5. Aggiungi indirizzi o intervalli IP specifici a cui vuoi consentire la connessione in esecuzione in un'istanza Compute Engine.

6. Aggiungi i protocolli specifici e le porte che vuoi aprire sull'istanza.

7. Fai clic su Salva.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Open directory services port

Nome categoria nell'API: OPEN_DIRECTORY_SERVICES_PORT

Le regole firewall che autorizzano qualsiasi indirizzo IP a connettersi alle porte della directory i tuoi servizi di directory ai malintenzionati. Per ulteriori informazioni, vedi Panoramica delle regole firewall VPC.

Le porte del servizio di directory sono:

• TCP - 445
• UDP - 445

Questo risultato viene generato per regole firewall vulnerabili, anche se disattivare intenzionalmente le regole. Risultati attivi per regole firewall disabilitate ti avvisa delle configurazioni non sicure che consentono traffico indesiderato se abilitato.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Firewall nella console Google Cloud.

   Vai a Firewall

2. Nell'elenco delle regole firewall, fai clic sul nome della regola nella ricerca.

3. Fai clic su edit Modifica.

4. In Intervalli IP di origine, elimina 0.0.0.0/0.

5. Aggiungi indirizzi o intervalli IP specifici a cui vuoi consentire la connessione in esecuzione in un'istanza Compute Engine.

6. Aggiungi i protocolli specifici e le porte che vuoi aprire sull'istanza.

7. Fai clic su Salva.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Open DNS port

Nome categoria nell'API: OPEN_DNS_PORT

Le regole firewall che autorizzano qualsiasi indirizzo IP a connettersi alle porte DNS potrebbero esporre i tuoi servizi DNS ai malintenzionati. Per ulteriori informazioni, vedi VPC panoramica sulle regole firewall.

Le porte del servizio DNS sono:

• TCP - 53
• UDP - 53

Questo risultato viene generato per regole firewall vulnerabili, anche se disattivare intenzionalmente le regole. Risultati attivi per regole firewall disabilitate ti avvisa delle configurazioni non sicure che consentono traffico indesiderato se abilitato.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Firewall nella console Google Cloud.

   Vai a Firewall

2. Nell'elenco delle regole firewall, fai clic sul nome della regola nella ricerca.

3. Fai clic su edit Modifica.

4. In Intervalli IP di origine, elimina 0.0.0.0/0.

5. Aggiungi indirizzi o intervalli IP specifici a cui vuoi consentire la connessione in esecuzione in un'istanza Compute Engine.

6. Aggiungi i protocolli specifici e le porte che vuoi aprire sull'istanza.

7. Fai clic su Salva.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Open Elasticsearch port

Nome categoria nell'API: OPEN_ELASTICSEARCH_PORT

Le regole firewall che autorizzano qualsiasi indirizzo IP a connettersi alle porte Elasticsearch i tuoi servizi Elasticsearch a utenti malintenzionati. Per ulteriori informazioni, vedi Panoramica delle regole firewall VPC.

Le porte del servizio Elasticsearch sono:

• TCP - 9200, 9300

Questo risultato viene generato per regole firewall vulnerabili, anche se disattivare intenzionalmente le regole. Risultati attivi per regole firewall disabilitate ti avvisa delle configurazioni non sicure che consentono traffico indesiderato se abilitato.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Firewall nella console Google Cloud.

   Vai a Firewall

2. Nell'elenco delle regole firewall, fai clic sul nome della regola nella ricerca.

3. Fai clic su edit Modifica.

4. In Intervalli IP di origine, elimina 0.0.0.0/0.

5. Aggiungi indirizzi o intervalli IP specifici a cui vuoi consentire la connessione in esecuzione in un'istanza Compute Engine.

6. Aggiungi i protocolli specifici e le porte che vuoi aprire sull'istanza.

7. Fai clic su Salva.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Open firewall

Nome categoria nell'API: OPEN_FIREWALL

Regole firewall che consentono le connessioni da tutti gli indirizzi IP, ad esempio 0.0.0.0/0 o da tutte le porte potrebbero esporre inutilmente le risorse agli attacchi provenienti fonti. Queste regole dovrebbero essere rimosse o limitate esplicitamente all'ambito da intervalli IP o porte di origine. Ad esempio, nelle applicazioni destinate a essere pubbliche, valuta la possibilità di limitare le porte consentite a quelle necessarie per l'applicazione, come 80 e 443. Se l'applicazione deve consentire le connessioni da tutti gli indirizzi IP o puoi aggiungere l'asset a una lista consentita. Scopri di più su Aggiornamento delle regole firewall.

Questo risultato viene generato per regole firewall vulnerabili, anche se disattivare intenzionalmente le regole. Risultati attivi per regole firewall disabilitate ti avvisa delle configurazioni non sicure che consentono traffico indesiderato se abilitato.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Regole firewall nella console Google Cloud.

   Vai a Regole firewall

2. Fai clic sulla regola firewall elencata nel risultato di Security Health Analytics. fai clic su edit Modifica.

3. In Intervalli IP di origine, modifica i valori IP per limitare l'intervallo di IP. consentito.

4. In Protocolli e porte, seleziona Protocolli e porte specificati, seleziona i protocolli consentiti e inserisci le porte consentite.

5. Fai clic su Salva.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Open FTP port

Nome categoria nell'API: OPEN_FTP_PORT

Le regole firewall che autorizzano qualsiasi indirizzo IP a connettersi alle porte FTP potrebbero esporre i tuoi servizi FTP a utenti malintenzionati. Per ulteriori informazioni, vedi VPC panoramica sulle regole firewall.

Le porte del servizio FTP sono:

• TCP - 21

Questo risultato viene generato per regole firewall vulnerabili, anche se disattivare intenzionalmente le regole. Risultati attivi per regole firewall disabilitate ti avvisa delle configurazioni non sicure che consentono traffico indesiderato se abilitato.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Firewall nella console Google Cloud.

   Vai a Firewall

2. Nell'elenco delle regole firewall, fai clic sul nome della regola nella ricerca.

3. Fai clic su edit Modifica.

4. In Intervalli IP di origine, elimina 0.0.0.0/0.

5. Aggiungi indirizzi o intervalli IP specifici a cui vuoi consentire la connessione in esecuzione in un'istanza Compute Engine.

6. Aggiungi i protocolli specifici e le porte che vuoi aprire sull'istanza.

7. Fai clic su Salva.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Open group IAM member

Nome categoria nell'API: OPEN_GROUP_IAM_MEMBER

Una o più entità che hanno accesso a un'organizzazione, a un progetto o a una cartella sono account Google Gruppi a cui è possibile partecipare senza approvazione.

I clienti Google Cloud possono utilizzare Gruppi per gestire i ruoli e le autorizzazioni per i membri delle rispettive organizzazioni o per applicare criteri di accesso raccolte di utenti. Invece di concedere i ruoli direttamente ai membri, gli amministratori possono concedere ruoli e autorizzazioni a Google Gruppi e quindi aggiungere a gruppi specifici. I membri di un gruppo ereditano tutti i ruoli del gruppo autorizzazioni, che consentono ai membri di accedere a risorse e servizi specifici.

Se un account Google Gruppi aperto viene utilizzato come entità in un ambiente IAM associazione, chiunque può ereditare il ruolo associato semplicemente entrando a far parte del gruppo direttamente o indirettamente (tramite un sottogruppo). Ti consigliamo di revocare i ruoli i gruppi aperti o limitarne l'accesso.

Per correggere questo risultato, esegui una delle seguenti procedure.

Rimuovi il gruppo dal criterio IAM

1. Vai alla pagina IAM nella console Google Cloud.

   Vai a IAM

2. Se necessario, seleziona il progetto, la cartella o l'organizzazione nel risultato.

3. Revocare il ruolo di ogni gruppo aperto identificato nel risultato.

Limita l'accesso ai gruppi aperti

1. Accedi a Google Gruppi.
2. Aggiornare le impostazioni di ogni gruppo aperto e i relativi sottogruppi, per specificare chi può unirsi al gruppo e chi deve approvarli.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Open HTTP port

Nome categoria nell'API: OPEN_HTTP_PORT

Le regole firewall che autorizzano qualsiasi indirizzo IP a connettersi alle porte HTTP potrebbero esporre i tuoi servizi HTTP ai malintenzionati. Per ulteriori informazioni, vedi VPC panoramica sulle regole firewall.

Le porte del servizio HTTP sono:

• TCP - 80

Questo risultato viene generato per regole firewall vulnerabili, anche se disattivare intenzionalmente le regole. Risultati attivi per regole firewall disabilitate ti avvisa delle configurazioni non sicure che consentono traffico indesiderato se abilitato.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Firewall nella console Google Cloud.

   Vai a Firewall

2. Nell'elenco delle regole firewall, fai clic sul nome della regola nella ricerca.

3. Fai clic su edit Modifica.

4. In Intervalli IP di origine, elimina 0.0.0.0/0.

5. Aggiungi indirizzi o intervalli IP specifici a cui vuoi consentire la connessione in esecuzione in un'istanza Compute Engine.

6. Aggiungi i protocolli specifici e le porte che vuoi aprire sull'istanza.

7. Fai clic su Salva.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Open LDAP port

Nome categoria nell'API: OPEN_LDAP_PORT

Le regole firewall che autorizzano qualsiasi indirizzo IP a connettersi alle porte LDAP potrebbero esporre i tuoi servizi LDAP agli utenti malintenzionati. Per ulteriori informazioni, vedi VPC panoramica sulle regole firewall.

Le porte del servizio LDAP sono:

• TCP - 389, 636
• UDP - 389

Questo risultato viene generato per regole firewall vulnerabili, anche se disattivare intenzionalmente le regole. Risultati attivi per regole firewall disabilitate ti avvisa delle configurazioni non sicure che consentono traffico indesiderato se abilitato.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Firewall nella console Google Cloud.

   Vai a Firewall

2. Nell'elenco delle regole firewall, fai clic sul nome della regola nella ricerca.

3. Fai clic su edit Modifica.

4. In Intervalli IP di origine, elimina 0.0.0.0/0.

5. Aggiungi indirizzi o intervalli IP specifici a cui vuoi consentire la connessione in esecuzione in un'istanza Compute Engine.

6. Aggiungi i protocolli specifici e le porte che vuoi aprire sull'istanza.

7. Fai clic su Salva.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Open Memcached port

Nome categoria nell'API: OPEN_MEMCACHED_PORT

Le regole firewall che autorizzano qualsiasi indirizzo IP a connettersi alle porte Memcached i tuoi servizi Memcached a utenti malintenzionati. Per ulteriori informazioni, vedi Panoramica delle regole firewall VPC.

Le porte del servizio Memcached sono:

• TCP - 11211, 11214, 11215
• UDP - 11211, 11214, 11215

Questo risultato viene generato per regole firewall vulnerabili, anche se disattivare intenzionalmente le regole. Risultati attivi per regole firewall disabilitate ti avvisa delle configurazioni non sicure che consentono traffico indesiderato se abilitato.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Firewall nella console Google Cloud.

   Vai a Firewall

2. Nell'elenco delle regole firewall, fai clic sul nome della regola nella ricerca.

3. Fai clic su edit Modifica.

4. In Intervalli IP di origine, elimina 0.0.0.0/0.

5. Aggiungi indirizzi o intervalli IP specifici a cui vuoi consentire la connessione in esecuzione in un'istanza Compute Engine.

6. Aggiungi i protocolli specifici e le porte che vuoi aprire sull'istanza.

7. Fai clic su Salva.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Open MongoDB port

Nome categoria nell'API: OPEN_MONGODB_PORT

Le regole firewall che autorizzano qualsiasi indirizzo IP a connettersi alle porte MongoDB i tuoi servizi MongoDB ai malintenzionati. Per ulteriori informazioni, vedi Panoramica delle regole firewall VPC.

Le porte del servizio MongoDB sono:

• TCP - 27017, 27018, 27019

Questo risultato viene generato per regole firewall vulnerabili, anche se disattivare intenzionalmente le regole. Risultati attivi per regole firewall disabilitate ti avvisa delle configurazioni non sicure che consentono traffico indesiderato se abilitato.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Firewall nella console Google Cloud.

   Vai a Firewall

2. Nell'elenco delle regole firewall, fai clic sul nome della regola nella ricerca.

3. Fai clic su edit Modifica.

4. In Intervalli IP di origine, elimina 0.0.0.0/0.

5. Aggiungi indirizzi o intervalli IP specifici a cui vuoi consentire la connessione in esecuzione in un'istanza Compute Engine.

6. Aggiungi i protocolli specifici e le porte che vuoi aprire sull'istanza.

7. Fai clic su Salva.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Open MySQL port

Nome categoria nell'API: OPEN_MYSQL_PORT

Le regole firewall che autorizzano qualsiasi indirizzo IP a connettersi alle porte MySQL potrebbero esporre i tuoi servizi MySQL ai malintenzionati. Per ulteriori informazioni, vedi VPC panoramica sulle regole firewall.

Le porte del servizio MySQL sono:

• TCP - 3306

Questo risultato viene generato per regole firewall vulnerabili, anche se disattivare intenzionalmente le regole. Risultati attivi per regole firewall disabilitate ti avvisa delle configurazioni non sicure che consentono traffico indesiderato se abilitato.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Firewall nella console Google Cloud.

   Vai a Firewall

2. Nell'elenco delle regole firewall, fai clic sul nome della regola nella ricerca.

3. Fai clic su edit Modifica.

4. In Intervalli IP di origine, elimina 0.0.0.0/0.

5. Aggiungi indirizzi o intervalli IP specifici a cui vuoi consentire la connessione in esecuzione in un'istanza Compute Engine.

6. Aggiungi i protocolli specifici e le porte che vuoi aprire sull'istanza.

7. Fai clic su Salva.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Open NetBIOS port

Nome categoria nell'API: "OPEN_NETBIOS_PORT

Le regole firewall che autorizzano qualsiasi indirizzo IP a connettersi alle porte NetBIOS i tuoi servizi NetBIOS a utenti malintenzionati. Per ulteriori informazioni, vedi Panoramica delle regole firewall VPC.

Le porte del servizio NetBIOS sono:

• TCP - 137, 138, 139
• UDP - 137, 138, 139

Questo risultato viene generato per regole firewall vulnerabili, anche se disattivare intenzionalmente le regole. Risultati attivi per regole firewall disabilitate ti avvisa delle configurazioni non sicure che consentono traffico indesiderato se abilitato.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Firewall nella console Google Cloud.

   Vai a Firewall

2. Nell'elenco delle regole firewall, fai clic sul nome della regola nella ricerca.

3. Fai clic su edit Modifica.

4. In Intervalli IP di origine, elimina 0.0.0.0/0.

5. Aggiungi indirizzi o intervalli IP specifici a cui vuoi consentire la connessione in esecuzione in un'istanza Compute Engine.

6. Aggiungi i protocolli specifici e le porte che vuoi aprire sull'istanza.

7. Fai clic su Salva.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Open OracleDB port

Nome categoria nell'API: OPEN_ORACLEDB_PORT

Le regole firewall che autorizzano qualsiasi indirizzo IP a connettersi alle porte OracleDB i tuoi servizi OracleDB a utenti malintenzionati. Per ulteriori informazioni, vedi Panoramica delle regole firewall VPC.

Le porte del servizio OracleDB sono:

• TCP - 1521, 2483, 2484
• UDP - 2483, 2484

Questo risultato viene generato per regole firewall vulnerabili, anche se disattivare intenzionalmente le regole. Risultati attivi per regole firewall disabilitate ti avvisa delle configurazioni non sicure che consentono traffico indesiderato se abilitato.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Firewall nella console Google Cloud.

   Vai a Firewall

2. Nell'elenco delle regole firewall, fai clic sul nome della regola nella ricerca.

3. Fai clic su edit Modifica.

4. In Intervalli IP di origine, elimina 0.0.0.0/0.

5. Aggiungi indirizzi o intervalli IP specifici a cui vuoi consentire la connessione in esecuzione in un'istanza Compute Engine.

6. Aggiungi i protocolli specifici e le porte che vuoi aprire sull'istanza.

7. Fai clic su Salva.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Open POP3 port

Nome categoria nell'API: OPEN_POP3_PORT

Le regole firewall che autorizzano qualsiasi indirizzo IP a connettersi alle porte POP3 potrebbero esporre i tuoi servizi POP3 a utenti malintenzionati. Per ulteriori informazioni, vedi VPC panoramica sulle regole firewall.

Le porte del servizio POP3 sono:

• TCP - 110

Questo risultato viene generato per regole firewall vulnerabili, anche se disattivare intenzionalmente le regole. Risultati attivi per regole firewall disabilitate ti avvisa delle configurazioni non sicure che consentono traffico indesiderato se abilitato.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Firewall nella console Google Cloud.

   Vai a Firewall

2. Nell'elenco delle regole firewall, fai clic sul nome della regola nella ricerca.

3. Fai clic su edit Modifica.

4. In Intervalli IP di origine, elimina 0.0.0.0/0.

5. Aggiungi indirizzi o intervalli IP specifici a cui vuoi consentire la connessione in esecuzione in un'istanza Compute Engine.

6. Aggiungi i protocolli specifici e le porte che vuoi aprire sull'istanza.

7. Fai clic su Salva.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Open PostgreSQL port

Nome categoria nell'API: OPEN_POSTGRESQL_PORT

Le regole firewall che autorizzano qualsiasi indirizzo IP a connettersi alle porte PostgreSQL i tuoi servizi PostgreSQL a utenti malintenzionati. Per ulteriori informazioni, vedi Panoramica delle regole firewall VPC.

Le porte dei servizi PostgreSQL sono:

• TCP - 5432
• UDP - 5432

Questo risultato viene generato per regole firewall vulnerabili, anche se disattivare intenzionalmente le regole. Risultati attivi per regole firewall disabilitate ti avvisa delle configurazioni non sicure che consentono traffico indesiderato se abilitato.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Firewall nella console Google Cloud.

   Vai a Firewall

2. Nell'elenco delle regole firewall, fai clic sul nome della regola nella ricerca.

3. Fai clic su edit Modifica.

4. In Intervalli IP di origine, elimina 0.0.0.0/0.

5. Aggiungi indirizzi o intervalli IP specifici a cui vuoi consentire la connessione in esecuzione in un'istanza Compute Engine.

6. Aggiungi i protocolli specifici e le porte che vuoi aprire sull'istanza.

7. Fai clic su Salva.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Open RDP port

Nome categoria nell'API: OPEN_RDP_PORT

Le regole firewall che autorizzano qualsiasi indirizzo IP a connettersi alle porte RDP potrebbero esporre i tuoi servizi RDP ai malintenzionati. Per ulteriori informazioni, vedi VPC panoramica sulle regole firewall.

Le porte del servizio RDP sono:

• TCP - 3389
• UDP - 3389

Questo risultato viene generato per regole firewall vulnerabili, anche se disattivare intenzionalmente le regole. Risultati attivi per regole firewall disabilitate ti avvisa delle configurazioni non sicure che consentono traffico indesiderato se abilitato.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Firewall nella console Google Cloud.

   Vai a Firewall

2. Nell'elenco delle regole firewall, fai clic sul nome della regola nella ricerca.

3. Fai clic su edit Modifica.

4. In Intervalli IP di origine, elimina 0.0.0.0/0.

5. Aggiungi indirizzi o intervalli IP specifici a cui vuoi consentire la connessione in esecuzione in un'istanza Compute Engine.

6. Aggiungi i protocolli specifici e le porte che vuoi aprire sull'istanza.

7. Fai clic su Salva.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Open Redis port

Nome categoria nell'API: OPEN_REDIS_PORT

Le regole firewall che autorizzano qualsiasi indirizzo IP a connettersi alle porte Redis potrebbero esporre i tuoi servizi Redis ai malintenzionati. Per ulteriori informazioni, vedi VPC panoramica sulle regole firewall.

Le porte del servizio Redis sono:

• TCP - 6379

Questo risultato viene generato per regole firewall vulnerabili, anche se disattivare intenzionalmente le regole. Risultati attivi per regole firewall disabilitate ti avvisa delle configurazioni non sicure che consentono traffico indesiderato se abilitato.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Firewall nella console Google Cloud.

   Vai a Firewall

2. Nell'elenco delle regole firewall, fai clic sul nome della regola nella ricerca.

3. Fai clic su edit Modifica.

4. In Intervalli IP di origine, elimina 0.0.0.0/0.

5. Aggiungi indirizzi o intervalli IP specifici a cui vuoi consentire la connessione in esecuzione in un'istanza Compute Engine.

6. Aggiungi i protocolli specifici e le porte che vuoi aprire sull'istanza.

7. Fai clic su Salva.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Open SMTP port

Nome categoria nell'API: OPEN_SMTP_PORT

Le regole firewall che autorizzano qualsiasi indirizzo IP a connettersi alle porte SMTP potrebbero esporre i tuoi servizi SMTP ai malintenzionati. Per ulteriori informazioni, vedi VPC panoramica sulle regole firewall.

Le porte del servizio SMTP sono:

• TCP - 25

Questo risultato viene generato per regole firewall vulnerabili, anche se disattivare intenzionalmente le regole. Risultati attivi per regole firewall disabilitate ti avvisa delle configurazioni non sicure che consentono traffico indesiderato se abilitato.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Firewall nella console Google Cloud.

   Vai a Firewall

2. Nell'elenco delle regole firewall, fai clic sul nome della regola nella ricerca.

3. Fai clic su edit Modifica.

4. In Intervalli IP di origine, elimina 0.0.0.0/0.

5. Aggiungi indirizzi o intervalli IP specifici a cui vuoi consentire la connessione in esecuzione in un'istanza Compute Engine.

6. Aggiungi i protocolli specifici e le porte che vuoi aprire sull'istanza.

7. Fai clic su Salva.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Open SSH port

Nome categoria nell'API: OPEN_SSH_PORT

Le regole firewall che autorizzano qualsiasi indirizzo IP a connettersi alle porte SSH potrebbero esporre i tuoi servizi SSH ai malintenzionati. Per ulteriori informazioni, vedi VPC panoramica sulle regole firewall.

Le porte del servizio SSH sono:

• SCTP - 22
• TCP - 22

Questo risultato viene generato per regole firewall vulnerabili, anche se disattivare intenzionalmente le regole. Risultati attivi per regole firewall disabilitate ti avvisa delle configurazioni non sicure che consentono traffico indesiderato se abilitato.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Firewall nella console Google Cloud.

   Vai a Firewall

2. Nell'elenco delle regole firewall, fai clic sul nome della regola nella ricerca.

3. Fai clic su edit Modifica.

4. In Intervalli IP di origine, elimina 0.0.0.0/0.

5. Aggiungi indirizzi o intervalli IP specifici a cui vuoi consentire la connessione in esecuzione in un'istanza Compute Engine.

6. Aggiungi i protocolli specifici e le porte che vuoi aprire sull'istanza.

7. Fai clic su Salva.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Open Telnet port

Nome categoria nell'API: OPEN_TELNET_PORT

Le regole firewall che autorizzano qualsiasi indirizzo IP a connettersi alle porte Telnet potrebbero esporre i servizi Telnet ai malintenzionati. Per ulteriori informazioni, vedi VPC panoramica sulle regole firewall.

Le porte del servizio Telnet sono:

• TCP - 23

Questo risultato viene generato per regole firewall vulnerabili, anche se disattivare intenzionalmente le regole. Risultati attivi per regole firewall disabilitate ti avvisa delle configurazioni non sicure che consentono traffico indesiderato se abilitato.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Firewall nella console Google Cloud.

   Vai a Firewall

2. Nell'elenco delle regole firewall, fai clic sul nome della regola nella ricerca.

3. Fai clic su edit Modifica.

4. In Intervalli IP di origine, elimina 0.0.0.0/0.

5. Aggiungi indirizzi o intervalli IP specifici a cui vuoi consentire la connessione in esecuzione in un'istanza Compute Engine.

6. Aggiungi i protocolli specifici e le porte che vuoi aprire sull'istanza.

7. Fai clic su Salva.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Org policy Confidential VM policy

Nome categoria nell'API: ORG_POLICY_CONFIDENTIAL_VM_POLICY

Una risorsa Compute Engine non è conforme alla constraints/compute.restrictNonConfidentialComputing organizzazione . Per saperne di più su questo vincolo del criterio dell'organizzazione, consulta Applicazione vincoli dei criteri dell'organizzazione.

La tua organizzazione richiede che questa VM disponga del servizio Confidential VM in un bucket con il controllo delle versioni attivo. Le VM in cui questo servizio non è abilitato non utilizzeranno la memoria di runtime della crittografia, esponendoli ad attacchi alla memoria di runtime.

Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Istanze VM nella console Google Cloud.

   Vai a Istanze VM

2. Nell'elenco delle istanze, fai clic sul nome dell'istanza nel risultato.

3. Se la VM non richiede il servizio Confidential VM, sposta in una nuova cartella o progetto.

4. Se la VM richiede Confidential VM, fai clic su delete Elimina.

5. Per creare una nuova istanza con Confidential VM abilitata, consulta Guida rapida: creazione di un'istanza Confidential VM.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Org policy location restriction

Nome categoria nell'API: ORG_POLICY_LOCATION_RESTRICTION

Il vincolo gcp.resourceLocations del criterio dell'organizzazione ti consente di limitare la creazione di nuove risorse per le regioni Cloud selezionate. Per saperne di più, consulta Limitazione delle località delle risorse.

Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale.

Per correggere questo risultato, completa i seguenti passaggi:

Il rilevatore ORG_POLICY_LOCATION_RESTRICTION copre molte risorse tipi e correzione le istruzioni sono diverse per ogni risorsa. L'approccio generale per risolvere le violazioni delle località comprendono:

1. Copia, sposta o esegui il backup della risorsa al di fuori della regione o dei relativi dati in un risorsa della regione. Leggi la documentazione per i singoli servizi per ricevere istruzioni sullo spostamento delle risorse.
2. Elimina la risorsa originale esterna alla regione o i relativi dati.

Questo approccio non è possibile per tutti i tipi di risorse. Per istruzioni, consulta il i suggerimenti personalizzati forniti nel risultato.

Ulteriori considerazioni

Per correggere questo risultato, considera quanto segue.

Risorse gestite

I cicli di vita delle risorse sono talvolta gestiti e controllati da altri Google Cloud. Ad esempio, un gruppo di istanze Compute Engine gestite crea distrugge le istanze di Compute Engine in base alla sua criterio di scalabilità automatica del gruppo. Se le risorse gestite rientrano nell'ambito di dell'applicazione della località, entrambi potrebbero essere segnalati per violazione Criterio dell'organizzazione. La correzione dei risultati per le risorse gestite deve vengono eseguiti sulla risorsa di gestione per garantire la stabilità operativa.

Risorse in uso

Alcune risorse vengono utilizzate da altre risorse. Ad esempio, un Il disco Compute Engine è collegato a un disco Compute Engine in esecuzione. è considerata in uso dall'istanza. Se la risorsa in uso viola i criteri dell'organizzazione relativi alla località, devi assicurarti che la risorsa non sia in uso prima di risolvere la violazione della località.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

OS login disabled

Nome categoria nell'API: OS_LOGIN_DISABLED

OS Login è disabilitato su questa istanza Compute Engine.

OS Login consente la gestione centralizzata delle chiavi SSH con IAM, e disabilita la configurazione delle chiavi SSH basate su metadati su tutte le istanze in progetto. Scopri come impostare e configurare OS Login.

Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Metadati nella console Google Cloud.

   Vai a Metadati

2. Fai clic prima su Modifica e poi su Aggiungi elemento.

3. Aggiungi un elemento con chiave enable-oslogin e valore TRUE.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Over privileged account

Nome categoria nell'API: OVER_PRIVILEGED_ACCOUNT

Un nodo GKE sta utilizzando il nodo di servizio predefinito di Compute Engine, che ha accesso ampio per impostazione predefinita e che potrebbe avere privilegi in eccesso per l'esecuzione di cluster GKE.

Per correggere questo risultato, completa i seguenti passaggi:

Segui le istruzioni per utilizzare gli account di servizio Google con privilegi minimi.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Over privileged scopes

Nome categoria nell'API: OVER_PRIVILEGED_SCOPES

Un account di servizio del nodo ha ambiti di accesso ampio.

Gli ambiti di accesso sono il metodo legacy per specificare le autorizzazioni per l'istanza. Per ridurre la possibilità di escalation dei privilegi in un attacco, creare e utilizzare un account di servizio con privilegi minimi per eseguire cluster GKE.

Per correggere questo risultato, segui le istruzioni per Utilizzare il privilegio minimo. Account di servizio Google.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Over privileged service account user

Nome categoria nell'API: OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Un utente ha iam.serviceAccountUser o iam.serviceAccountTokenCreator ruoli a livello di progetto, cartella o organizzazione, anziché un account di servizio specifico.

La concessione di questi ruoli a un utente per un progetto, una cartella o un'organizzazione offre ai accesso utente a tutti gli account di servizio esistenti e futuri in quell'ambito. Questo potrebbe comportare un'escalation involontaria dei privilegi. Per ulteriori informazioni informazioni, consulta Autorizzazioni dell'account di servizio.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina IAM nella console Google Cloud.

   Vai alla pagina IAM

2. Se necessario, seleziona il progetto, la cartella o l'organizzazione nel risultato.

3. Per ogni entità a cui è assegnato roles/iam.serviceAccountUser o roles/iam.serviceAccountTokenCreator, procedi nel seguente modo:

   1. Fai clic su edit Modifica.
   2. Nel riquadro Modifica autorizzazioni, accanto ai ruoli, fai clic su delete Elimina.
   3. Fai clic su Salva.

4. Segui questa guida per concedere ai singoli utenti l'autorizzazione a rubare l'identità di un con un singolo account di servizio. Ti servono seguire la guida per ogni account di servizio che vuoi consentire agli utenti selezionati di si spaccia per te.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Owner not monitored

Nome categoria nell'API: OWNER_NOT_MONITORED

Le metriche del log e gli avvisi non sono configurati per monitorare la proprietà del progetto compiti o modifiche.

Il ruolo Proprietario IAM dispone del livello di privilegio più elevato su una progetto. Per proteggere le tue risorse, configura avvisi per ricevere notifiche quando nuovi proprietari vengono aggiunti o rimossi. Per ulteriori informazioni, consulta Panoramica delle metrics.

A seconda della quantità di informazioni, i costi di Cloud Monitoring possono essere significativi. A l'utilizzo del servizio e i suoi costi, vedi Ottimizzazione dei costi per Google Cloud Observability.

Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale.

Per correggere questo risultato, completa i seguenti passaggi:

Crea metrica

1. Vai alla pagina Metriche basate su log nella console Google Cloud.

   Vai a Metriche basate su log

2. Fai clic su Crea metrica.

3. In Tipo di metrica, seleziona Contatore.

4. In Dettagli:

   1. Imposta un Nome metrica di log.
   2. Aggiungi una descrizione.
   3. Imposta Unità su 1.

5. In Selezione filtro, copia e incolla il seguente testo nel Crea filtro, sostituendo il testo esistente, se necessario:

     (protoPayload.serviceName="cloudresourcemanager.googleapis.com")
     AND (ProjectOwnership OR projectOwnerInvitee)
     OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE"
     AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")
     OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD"
     AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")
   

6. Fai clic su Crea metrica. Viene visualizzata una conferma.

Crea criterio di avviso

1. Nella console Google Cloud, vai alla pagina Metriche basate su log:

   Vai a Metriche basate su log

   Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.

2. Nella sezione Metriche definite dall'utente, seleziona la metrica che hai creato. nella sezione precedente.

3. Fai clic su Altro more_vert, quindi Fai clic su Crea avviso da metrica.

   Si apre la finestra di dialogo Nuova condizione con la metrica e la trasformazione dei dati opzioni precompilate.

4. Fai clic su Avanti.
   1. Rivedi le impostazioni precompilate. Potresti voler modificare il Valore soglia.
   2. Fai clic su Nome condizione e inserisci un nome per la condizione.
5. Fai clic su Avanti.

6. Per aggiungere notifiche al criterio di avviso, fai clic su Canali di notifica. Nella finestra di dialogo, seleziona una o più notifiche canali dal menu, quindi fai clic su OK.

   Per ricevere notifiche quando gli incidenti vengono aperti e chiusi, controlla Notifica di chiusura dell'incidente. Per impostazione predefinita, le notifiche vengono inviate solo quando vengono aperti gli incidenti.

7. (Facoltativo) Aggiorna la Durata della chiusura automatica degli incidenti. Questo campo determina quando Il monitoraggio chiude gli incidenti in assenza di dati delle metriche.
8. (Facoltativo) Fai clic su Documentazione, quindi aggiungi le eventuali informazioni da includere in un messaggio di notifica.
9. Fai clic su Nome avviso e inserisci un nome per il criterio di avviso.
10. Fai clic su Crea criterio.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Pod security policy disabled

Nome categoria nell'API: POD_SECURITY_POLICY_DISABLED

PodSecurityPolicy è disabilitato su un cluster GKE.

Un PodSecurityPolicy è una risorsa controller di ammissione che convalida richieste per creare e aggiornare pod su un cluster. I cluster non accetteranno pod che non soddisfano le condizioni definite in PodSecurityPolicy.

Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale.

Per correggere questo risultato, definisci e autorizza PodSecurityPolicies. attivare il controller PodSecurityPolicy. Per istruzioni, vedi Con PodSecurityPolicies.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Primitive roles used

Nome categoria nell'API: PRIMITIVE_ROLES_USED

Un utente ha uno dei seguenti ruoli IAM di base: roles/owner, roles/editor o roles/viewer. Questi ruoli sono troppo permissivi e non dovrebbero . Dovrebbero invece essere assegnati solo per progetto.

Per ulteriori informazioni, vedi Informazioni ruoli.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina del criterio IAM nella console Google Cloud.

   Vai al criterio IAM

2. Per ogni utente a cui viene assegnato un ruolo primitivo, valuta la possibilità di utilizzare ruoli.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Private cluster disabled

Nome categoria nell'API: PRIVATE_CLUSTER_DISABLED

Un cluster GKE ha un cluster privato disabilitato.

I cluster privati consentono ai nodi di avere solo indirizzi IP privati. Questa funzionalità limita l'accesso a internet in uscita per i nodi. Se un nodo cluster non ha un un indirizzo IP pubblico, non potrà essere trovato o esposto sulla rete internet pubblica. Tu può comunque instradare traffico a un nodo utilizzando un bilanciatore del carico interno. Per ulteriori informazioni informazioni, consulta Cluster privati.

Non puoi rendere privato un cluster esistente. Per correggere questo risultato, crea un nuovo cluster privato:

1. Vai alla pagina Cluster Kubernetes nella console Google Cloud.

   Vai ai cluster Kubernetes

2. Fai clic su Crea cluster.

3. Nel menu di navigazione, in Cluster, seleziona Networking.

4. Seleziona il pulsante di opzione per Cluster privato.

5. In Opzioni di rete avanzate, seleziona la casella di controllo Abilita. Routing del traffico VPC nativo (mediante IP alias).

6. Fai clic su Crea.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Private Google access disabled

Nome categoria nell'API: PRIVATE_GOOGLE_ACCESS_DISABLED

Esistono subnet private senza accesso alle API pubbliche di Google.

L'accesso privato Google abilita le istanze VM con solo IP interno (privato) per raggiungere gli indirizzi IP pubblici delle API e dei servizi Google.

Per ulteriori informazioni, vedi Configurazione dell'accesso privato Google.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Reti VPC nel nella console Google Cloud.

   Vai alle reti VPC

2. Nell'elenco delle reti, fai clic sul nome della rete desiderata.

3. Nella pagina Dettagli rete VPC, fai clic sul pulsante Subnet .

4. Nell'elenco delle subnet, fai clic sul nome della subnet associata al Kubernetes nel risultato.

5. Nella pagina Dettagli subnet, fai clic su Modifica edit.

6. In Accesso privato Google, seleziona On.

7. Fai clic su Salva.

8. Per rimuovere gli IP pubblici (esterni) dalle istanze VM il cui il traffico è indirizzato alle API di Google. Consulta l'articolo Annullamento dell'assegnazione di un indirizzo IP esterno statico.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Public bucket ACL

Nome categoria nell'API: PUBLIC_BUCKET_ACL

Un bucket è pubblico e chiunque su internet può accedervi.

Per ulteriori informazioni, consulta la Panoramica delle il controllo dell'accesso.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Browser Storage nella console Google Cloud.

   Vai al browser di Storage

2. Seleziona il bucket elencato nel risultato di Security Health Analytics.

3. Nella pagina Dettagli bucket, fai clic sulla scheda Autorizzazioni.

4. Accanto a Visualizza per, fai clic su Ruoli.

5. Nella casella Filter, cerca allUsers e allAuthenticatedUsers.

6. Fai clic su Elimina delete. per rimuovere tutte le autorizzazioni IAM concesse a allUsers e allAuthenticatedUsers.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Public Compute image

Nome categoria nell'API: PUBLIC_COMPUTE_IMAGE

Un'immagine Compute Engine è pubblica e chiunque su internet può accedervi. allUsers rappresenta chiunque su internet e allAuthenticatedUsers rappresenta chiunque sia autenticato con un Account Google; nessuna delle due è limitati agli utenti della tua organizzazione.

Le immagini Compute Engine potrebbero contenere informazioni sensibili, come la crittografia chiavi o software concesso in licenza. Queste informazioni sensibili non devono essere accessibili. Se volevi rendere pubblica questa immagine Compute Engine, assicurati che non contenga informazioni sensibili.

Per ulteriori informazioni, vedi Controllo dell'accesso Panoramica.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina delle immagini di Compute Engine nel nella console Google Cloud.

   Vai alle immagini Compute Engine

2. Seleziona la casella accanto all'immagine public-image e fai clic su Mostra Riquadro informazioni.

3. Nella casella Filtro, cerca le entità allUsers e allAuthenticatedUsers.

4. Espandi il ruolo per cui vuoi rimuovere gli utenti.

5. Fai clic su delete Elimina per per rimuovere un utente da quel ruolo.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Public dataset

Nome categoria nell'API: PUBLIC_DATASET

Un set di dati BigQuery è pubblico e accessibile a chiunque su internet. L'entità IAM allUsers rappresenta chiunque su internet e allAuthenticatedUsers rappresenta chiunque abbia eseguito l'accesso a un servizio; nessuno dei due è vincolato agli utenti della tua organizzazione.

Per ulteriori informazioni, consulta la sezione Controllo l'accesso ai set di dati.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Explorer di BigQuery nella nella console Google Cloud.

   Vai al set di dati BigQuery

2. Nell'elenco dei set di dati, fai clic sul nome del set di dati identificati nel risultato. Si apre il riquadro Informazioni sul set di dati.

3. Nella parte superiore del riquadro Informazioni sul set di dati, fai clic su CONDIVISIONE.

4. Nel menu a discesa, fai clic su Autorizzazioni.

5. Nel riquadro Autorizzazioni set di dati, inserisci allUsers e allAuthenticatedUsers e rimuovi l'accesso per queste entità.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Public IP address

Nome categoria nell'API: PUBLIC_IP_ADDRESS

Un'istanza Compute Engine ha un indirizzo IP pubblico.

Per ridurre il numero di utenti superficie di attacco, evita di assegnare IP pubblici alle VM. Le istanze arrestate potrebbero comunque essere contrassegnate con un IP pubblico risultato, ad esempio se le interfacce di rete sono configurate per assegnare e un IP pubblico temporaneo all'avvio. Assicurati che le configurazioni di rete per le istanze arrestate non includono l'accesso esterno.

Per ulteriori informazioni, consulta Connessione sicura alla VM di Compute Engine.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Istanze VM nella console Google Cloud.

   Vai a Istanze VM

2. Nell'elenco delle istanze, seleziona la casella accanto al nome dell'istanza in il risultato.

3. Fai clic su edit Modifica.

4. Per ogni interfaccia in Interfacce di rete, fai clic su edit Modifica e imposta IP esterno su Nessuno.

5. Fai clic su Fine e poi su Salva.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Public log bucket

Nome categoria nell'API: PUBLIC_LOG_BUCKET

Questo risultato non è disponibile per le attivazioni a livello di progetto.

Un bucket di archiviazione è pubblico e utilizzato come sink di log, il che significa che chiunque si trovi internet può accedere ai log archiviati in questo bucket. allUsers rappresenta chiunque su internet e allAuthenticatedUsers rappresenta chiunque sia ha eseguito l'accesso a un servizio Google; nessuno dei due è vincolato agli utenti all'interno del tuo dell'organizzazione.

Per ulteriori informazioni, consulta la Panoramica delle il controllo dell'accesso.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina del browser Cloud Storage nella nella console Google Cloud.

   Vai al browser Cloud Storage

2. Nell'elenco dei bucket, fai clic sul nome del bucket indicato nella ricerca.

3. Fai clic sulla scheda Autorizzazioni.

4. Rimuovi allUsers e allAuthenticatedUsers dall'elenco di tra cui scegliere.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Public SQL instance

Nome categoria nell'API: PUBLIC_SQL_INSTANCE

L'istanza SQL ha 0.0.0.0/0 come rete consentita. Questa occorrenza significa che qualsiasi client IPv4 possa superare il firewall di rete e tentare di effettuare l'accesso la tua istanza, inclusi i client che non intendevi autorizzare. Clienti devono comunque avere credenziali valide per accedere all'istanza.

Per ulteriori informazioni, consulta la sezione Autorizzazione con reti.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Istanze Cloud SQL nella console Google Cloud.

   Vai a Istanze Cloud SQL

2. Seleziona l'istanza elencata nel risultato di Security Health Analytics.

3. Fai clic su edit Modifica.

4. Nel pannello di navigazione, fai clic su Connessioni.

5. In Reti autorizzate, elimina 0.0.0.0/0 e aggiungi un IP specifico o gli intervalli IP che vuoi consentire di connettersi all'istanza.

6. Fai clic su Fine e poi su Salva.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Pubsub CMEK disabled

Nome categoria nell'API: PUBSUB_CMEK_DISABLED

Un argomento Pub/Sub non è criptato e le chiavi di crittografia gestite dal cliente (CMEK).

Con CMEK, le chiavi che crei e gestisci in Cloud KMS eseguono il wrapping delle chiavi che Google utilizza per criptare i tuoi dati, offrendoti un maggiore controllo sull'accesso i tuoi dati.

Per correggere questo risultato, elimina l'argomento esistente e creane uno nuovo:

1. Vai alla pagina Argomenti di Pub/Sub nella console Google Cloud.

   Vai ad Argomenti

2. Se necessario, seleziona il progetto contenente Pub/Sub per ogni argomento.

3. Seleziona la casella di controllo accanto all'argomento elencato nel risultato, quindi fai clic su delete Elimina.

4. Per creare un nuovo argomento Pub/Sub con CMEK abilitata, vedi Utilizzo delle chiavi di crittografia gestite dal cliente. CMEK comporta costi aggiuntivi correlati a Cloud KMS.

5. Pubblicare risultati o altri dati nella piattaforma abilitata per CMEK Pub/Sub.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Route not monitored

Nome categoria nell'API: ROUTE_NOT_MONITORED

Le metriche di log e gli avvisi non sono configurati per monitorare la rete VPC modifiche al percorso.

Le route di Google Cloud sono destinazioni e hop che definiscono il percorso il traffico di rete passa da un'istanza VM a un IP di destinazione. Monitorando modifiche alle tabelle delle route, puoi fare in modo che tutto il traffico VPC passa attraverso un percorso previsto.

Per ulteriori informazioni, consulta Panoramica delle metrics.

A seconda della quantità di informazioni, i costi di Cloud Monitoring possono essere significativi. A l'utilizzo del servizio e i suoi costi, vedi Ottimizzazione dei costi per Google Cloud Observability.

Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale.

Per correggere questo risultato, completa i seguenti passaggi:

Crea metrica

1. Vai alla pagina Metriche basate su log nella console Google Cloud.

   Vai a Metriche basate su log

2. Fai clic su Crea metrica.

3. In Tipo di metrica, seleziona Contatore.

4. In Dettagli:

   1. Imposta un Nome metrica di log.
   2. Aggiungi una descrizione.
   3. Imposta Unità su 1.

5. In Selezione filtro, copia e incolla il seguente testo nel Crea filtro, sostituendo il testo esistente, se necessario:

     resource.type="gce_route"
     AND (protoPayload.methodName:"compute.routes.delete"
     OR protoPayload.methodName:"compute.routes.insert")
   

6. Fai clic su Crea metrica. Viene visualizzata una conferma.

Crea criterio di avviso

1. Nella console Google Cloud, vai alla pagina Metriche basate su log:

   Vai a Metriche basate su log

   Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.

2. Nella sezione Metriche definite dall'utente, seleziona la metrica che hai creato. nella sezione precedente.

3. Fai clic su Altro more_vert, quindi Fai clic su Crea avviso da metrica.

   Si apre la finestra di dialogo Nuova condizione con la metrica e la trasformazione dei dati opzioni precompilate.

4. Fai clic su Avanti.
   1. Rivedi le impostazioni precompilate. Potresti voler modificare il Valore soglia.
   2. Fai clic su Nome condizione e inserisci un nome per la condizione.
5. Fai clic su Avanti.

6. Per aggiungere notifiche al criterio di avviso, fai clic su Canali di notifica. Nella finestra di dialogo, seleziona una o più notifiche canali dal menu, quindi fai clic su OK.

   Per ricevere notifiche quando gli incidenti vengono aperti e chiusi, controlla Notifica di chiusura dell'incidente. Per impostazione predefinita, le notifiche vengono inviate solo quando vengono aperti gli incidenti.

7. (Facoltativo) Aggiorna la Durata della chiusura automatica degli incidenti. Questo campo determina quando Il monitoraggio chiude gli incidenti in assenza di dati delle metriche.
8. (Facoltativo) Fai clic su Documentazione, quindi aggiungi le eventuali informazioni da includere in un messaggio di notifica.
9. Fai clic su Nome avviso e inserisci un nome per il criterio di avviso.
10. Fai clic su Crea criterio.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Redis role used on org

Nome categoria nell'API: REDIS_ROLE_USED_ON_ORG

Questo risultato non è disponibile per le attivazioni a livello di progetto.

Un ruolo IAM Redis viene assegnato a livello di organizzazione o cartella.

I seguenti ruoli IAM Redis devono essere assegnati per progetto e non a livello di organizzazione o cartella:

• roles/redis.admin
• roles/redis.viewer
• roles/redis.editor

Per ulteriori informazioni, vedi Controllo dell'accesso e autorizzazioni.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina del criterio IAM nella console Google Cloud.

   Vai al criterio IAM

2. Rimuovi i ruoli IAM Redis indicati nel risultato e aggiungi nei singoli progetti.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Release channel disabled

Nome categoria nell'API: RELEASE_CHANNEL_DISABLED

Un cluster GKE non è iscritto a un canale di rilascio.

Iscriviti a un canale di rilascio per automatizzare gli upgrade delle versioni al cluster GKE. La funzionalità riduce anche la gestione delle versioni la complessità al numero di funzionalità e al livello di stabilità richiesti. Per ulteriori informazioni informazioni, consulta Canali di rilascio.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Cluster Kubernetes nella console Google Cloud.

   Vai ai cluster Kubernetes

2. Nella sezione Impostazioni di base del cluster, fai clic sull'icona di modifica (edit) nella sezione Release canale.

   Se la configurazione del cluster è stata modificata di recente, il pulsante di modifica potrebbe essere disattivata. Se non riesci a modificare le impostazioni del cluster, attendi minuti e riprova.

3. Nella finestra di dialogo, seleziona Canale di rilascio, quindi scegli il canale di rilascio canale a cui vuoi iscriverti.

   Se non è possibile eseguire l'upgrade della versione del piano di controllo del cluster a un canale di rilascio, quel canale potrebbe essere disattivato come opzione.

4. Fai clic su Salva modifiche.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

RSASHA1 for signing

Nome categoria nell'API: RSASHA1_FOR_SIGNING

RSASHA1 viene utilizzato per la firma della chiave nelle zone Cloud DNS. L'algoritmo utilizzato per la firma della chiave non dovrebbe essere debole.

Per correggere questo risultato, sostituisci l'algoritmo con uno consigliato seguendo la guida all'utilizzo delle opzioni di firma avanzate.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Service account key not rotated

Nome categoria nell'API: SERVICE_ACCOUNT_KEY_NOT_ROTATED

Questo risultato non è disponibile per le attivazioni a livello di progetto.

Una chiave dell'account di servizio gestita dall'utente non è stata ruotata per più di 90 giorni.

In generale, le chiavi degli account di servizio gestiti dall'utente devono essere ruotate almeno ogni 90 giorni, per garantire che non sia possibile accedere ai dati con una chiave precedente che potrebbe essere che sono stati smarriti, compromessi o rubati. Per ulteriori informazioni, vedi Ruota le chiavi degli account di servizio per ridurre i rischi per la sicurezza causati dalla compromissione di chiavi.

Se hai generato tu la coppia di chiave pubblica/privata, la chiave privata è stata archiviata in un modulo di sicurezza hardware (HSM) e caricato la chiave pubblica su Google, devono ruotare la chiave ogni 90 giorni. Puoi invece ruotare la chiave riteniamo che possa essere stata compromessa.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Account di servizio nella console Google Cloud.

   Vai a Service account

2. Se necessario, seleziona il progetto indicato nel risultato.

3. Nell'elenco degli account di servizio, individua quello indicato nella trova e fai clic su delete Elimina. Prima di procedere, valuta le conseguenze sull'eliminazione di un account di servizio che potrebbe avere sulle tue risorse di produzione.

4. Crea una nuova chiave dell'account di servizio per sostituire quella precedente. Per ulteriori informazioni consulta la sezione Creazione delle chiavi degli account di servizio.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Service account role separation

Nome categoria nell'API: SERVICE_ACCOUNT_ROLE_SEPARATION

Questo risultato non è disponibile per le attivazioni a livello di progetto.

Una o più entità della tua organizzazione hanno più account di servizio autorizzazioni assegnate. Nessun account deve avere contemporaneamente un account di servizio Amministratore e altre autorizzazioni per l'account di servizio. Per scoprire di più sul servizio e i ruoli disponibili, consulta Servizi Google Cloud.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina IAM nella console Google Cloud.

   Vai a IAM

2. Per ogni entità elencata nel risultato:

   1. Verificare se il ruolo è stato ereditato da una cartella o una risorsa dell'organizzazione osservando la colonna Ereditarietà. Se la colonna contiene un link a una risorsa padre, fai clic sul link per andare alla pagina IAM.
   2. Fai clic su Modifica edit successivo a un'entità.
   3. Per rimuovere le autorizzazioni, fai clic su Elimina. delete accanto a Servizio Amministratore account. Se vuoi rimuovere tutte le autorizzazioni dell'account di servizio, fai clic su Elimina accanto a tutte le altre autorizzazioni.

3. Fai clic su Salva.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Shielded VM disabled

Nome categoria nell'API: SHIELDED_VM_DISABLED

La Shielded VM è disabilitata su questa istanza Compute Engine.

Le Shielded VM sono macchine virtuali (VM) su Google Cloud protette da un un insieme di controlli di sicurezza che contribuiscono alla difesa da rootkit e bootkit. Le Shielded VM aiutano a garantire che il bootloader e il firmware siano firmati e verificati. Scopri di più sulla VM schermata.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Istanze VM nella console Google Cloud.

   Vai a Istanze VM

2. Seleziona l'istanza relativa al risultato di Security Health Analytics.

3. Nella pagina Dettagli istanza visualizzata, fai clic su stop Interrompi.

4. Dopo l'arresto dell'istanza, fai clic su edit Modifica.

5. Nella sezione Shielded VM, attiva Attiva vTPM e Attiva il monitoraggio dell'integrità per abilitare la Shielded VM.

6. Facoltativamente, se non usi driver personalizzati o non firmati, quindi attiva anche Avvio protetto.

7. Fai clic su Salva. La nuova configurazione viene visualizzata in Dettagli istanza .

8. Fai clic su play_arrow Avvia per avviare in esecuzione in un'istanza Compute Engine.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

SQL CMEK disabled

Nome categoria nell'API: SQL_CMEK_DISABLED

Un'istanza di database SQL non sta utilizzando chiavi di crittografia gestite dal cliente (CMEK).

Con CMEK, le chiavi che crei e gestisci in Cloud KMS eseguono il wrapping delle chiavi che Google utilizza per criptare i tuoi dati, offrendoti un maggiore controllo sull'accesso i tuoi dati. Per saperne di più, vedi le panoramiche di CMEK per il tuo prodotto: Cloud SQL per MySQL, Cloud SQL per PostgreSQL oppure Cloud SQL per SQL Server. CMEK comporta costi aggiuntivi relative a Cloud KMS.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Istanze Cloud SQL nella nella console Google Cloud.

   Vai a Istanze Cloud SQL

2. Seleziona l'istanza elencata nel risultato di Security Health Analytics.

3. Fai clic su delete Elimina.

4. Per creare una nuova istanza con CMEK abilitata, segui le istruzioni per configura CMEK per il tuo prodotto:

   1. Cloud SQL per MySQL
   2. Cloud SQL per PostgreSQL
   3. Cloud SQL per SQL Server

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

SQL contained database authentication

Nome categoria nell'API: SQL_CONTAINED_DATABASE_AUTHENTICATION

Un'istanza di un database Cloud SQL per SQL Server non ha il database contenuto il flag di database Authentication impostato su Off.

Il flag autenticazione database contenuti stabilisce se puoi creare o meno o collegare database contenuti al motore di database. Un database contenuto include tutte le impostazioni e i metadati necessari per definire il database non ha dipendenze di configurazione sull'istanza del motore di database in cui in cui il database sia installato.

L'attivazione di questo flag non è consigliata per i seguenti motivi:

• Gli utenti possono connettersi al database senza autenticazione nel database Livello motore di ricerca.
• Isolare il database dal motore di database consente di spostare il database in un'altra istanza di SQL Server.

I database contenuti affrontano minacce uniche che devono essere comprese e ridotte dagli amministratori del motore di database SQL Server. La maggior parte delle minacce deriva dalla Processo di autenticazione USER WITH PASSWORD, che sposta l'autenticazione dal livello del motore di database al livello del database.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Istanze Cloud SQL nella nella console Google Cloud.

   Vai a Istanze Cloud SQL

2. Seleziona l'istanza elencata nel risultato di Security Health Analytics.

3. Fai clic su edit Modifica.

4. Nella sezione Flag di database, imposta il database contenuto il flag di database Authentication con il valore Off.

5. Fai clic su Salva. La nuova configurazione viene visualizzata nell'istanza Panoramica.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

SQL cross DB ownership chaining

Nome categoria nell'API: SQL_CROSS_DB_OWNERSHIP_CHAINING

Un'istanza di un database Cloud SQL per SQL Server non ha la proprietà cross-db chaining del flag di database impostato su Off.

Il flag cross db ownership chaining consente di controllare il concatenamento della proprietà tra database a livello di database della proprietà tra database per tutte le istruzioni di database.

L'attivazione di questo flag non è consigliata a meno che non tutti i database ospitati dal flag L'istanza SQL Server partecipa al concatenamento della proprietà tra database a conoscenza delle implicazioni per la sicurezza di questa impostazione.

Per ulteriori informazioni, consulta Configurazione del database e i flag facoltativi.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Istanze Cloud SQL nella nella console Google Cloud.

   Vai a Istanze Cloud SQL

2. Seleziona l'istanza elencata nel risultato di Security Health Analytics.

3. Fai clic su edit Modifica.

4. Nella sezione Flag di database, imposta la proprietà cross db chaining di database con il valore Off.

5. Fai clic su Salva. La nuova configurazione viene visualizzata nell'istanza Panoramica.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

SQL external scripts enabled

Nome categoria nell'API: SQL_EXTERNAL_SCRIPTS_ENABLED

Un'istanza di database Cloud SQL per SQL Server non ha Flag di database external scripts enabled impostato su Off.

Quando è attivata, questa impostazione consente l'esecuzione di script con determinate da estensioni di lingua remote. Poiché questa funzione può influire negativamente sulla sicurezza del sistema, ti consigliamo di disabilitarlo.

Per ulteriori informazioni, consulta Configurazione dei flag di database.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Istanze Cloud SQL nella nella console Google Cloud.

   Vai a Istanze Cloud SQL

2. Seleziona l'istanza elencata nel risultato di Security Health Analytics.

3. Fai clic su edit Modifica.

4. Nella sezione Flag di database, imposta gli script esterni abilitati il flag di database con il valore Off.

5. Fai clic su Salva. La nuova configurazione viene visualizzata nell'istanza Panoramica.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

SQL instance not monitored

Nome categoria nell'API: SQL_INSTANCE_NOT_MONITORED

Questo risultato non è disponibile per le attivazioni a livello di progetto.

Le metriche di log e gli avvisi non sono configurati per monitorare l'istanza Cloud SQL modifiche alla configurazione.

La configurazione errata delle opzioni dell'istanza SQL può causare rischi per la sicurezza. Disabilitazione in corso... le opzioni di backup automatico e alta disponibilità potrebbero influire sulla continuità aziendale la mancata limitazione delle reti autorizzate potrebbe aumentare l'esposizione ai contenuti non attendibili reti. Il monitoraggio delle modifiche alla configurazione dell'istanza SQL consente di ridurre tempo necessario per rilevare e correggere gli errori di configurazione.

Per ulteriori informazioni, consulta Panoramica dei log- basate su metriche.

A seconda della quantità di informazioni, i costi di Cloud Monitoring possono essere significativi. A l'utilizzo del servizio e i suoi costi, vedi Ottimizzazione dei costi per Google Cloud Observability.

Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale.

Per correggere questo risultato, completa i seguenti passaggi:

Crea metrica

1. Vai alla pagina Metriche basate su log nella console Google Cloud.

   Vai a Metriche basate su log

2. Fai clic su Crea metrica.

3. In Tipo di metrica, seleziona Contatore.

4. In Dettagli:

   1. Imposta un Nome metrica di log.
   2. Aggiungi una descrizione.
   3. Imposta Unità su 1.

5. In Selezione filtro, copia e incolla il seguente testo nel Crea filtro, sostituendo il testo esistente, se necessario:

     protoPayload.methodName="cloudsql.instances.update"
     OR protoPayload.methodName="cloudsql.instances.create"
     OR protoPayload.methodName="cloudsql.instances.delete"
   

6. Fai clic su Crea metrica. Viene visualizzata una conferma.

Crea criterio di avviso

1. Nella console Google Cloud, vai alla pagina Metriche basate su log:

   Vai a Metriche basate su log

   Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.

2. Nella sezione Metriche definite dall'utente, seleziona la metrica che hai creato. nella sezione precedente.

3. Fai clic su Altro more_vert, quindi Fai clic su Crea avviso da metrica.

   Si apre la finestra di dialogo Nuova condizione con la metrica e la trasformazione dei dati opzioni precompilate.

4. Fai clic su Avanti.
   1. Rivedi le impostazioni precompilate. Potresti voler modificare il Valore soglia.
   2. Fai clic su Nome condizione e inserisci un nome per la condizione.
5. Fai clic su Avanti.

6. Per aggiungere notifiche al criterio di avviso, fai clic su Canali di notifica. Nella finestra di dialogo, seleziona una o più notifiche canali dal menu, quindi fai clic su OK.

   Per ricevere notifiche quando gli incidenti vengono aperti e chiusi, controlla Notifica di chiusura dell'incidente. Per impostazione predefinita, le notifiche vengono inviate solo quando vengono aperti gli incidenti.

7. (Facoltativo) Aggiorna la Durata della chiusura automatica degli incidenti. Questo campo determina quando Il monitoraggio chiude gli incidenti in assenza di dati delle metriche.
8. (Facoltativo) Fai clic su Documentazione, quindi aggiungi le eventuali informazioni da includere in un messaggio di notifica.
9. Fai clic su Nome avviso e inserisci un nome per il criterio di avviso.
10. Fai clic su Crea criterio.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

SQL local infile

Nome categoria nell'API: SQL_LOCAL_INFILE

Un'istanza di un database Cloud SQL per MySQL non ha il file local_infile il flag di database impostato su Off. A causa di problemi di sicurezza associati local_infile, dovrebbe essere disattivato. Per ulteriori informazioni, vedi Configurazione dei flag di database.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Istanze Cloud SQL nella nella console Google Cloud.

   Vai a Istanze Cloud SQL

2. Seleziona l'istanza elencata nel risultato di Security Health Analytics.

3. Fai clic su edit Modifica.

4. Nella sezione Flag di database, imposta il database local_infile con il valore Off.

5. Fai clic su Salva. La nuova configurazione viene visualizzata nell'istanza Panoramica.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

SQL log checkpoints disabled

Nome categoria nell'API: SQL_LOG_CHECKPOINTS_DISABLED

Un'istanza di database Cloud SQL per PostgreSQL non ha Flag di database log_checkpoints impostato su On.

L'abilitazione di log_checkpoints fa sì che vengano registrati i punti di controllo e i punti di riavvio nel log del server. Alcune statistiche sono incluse nei messaggi di log, tra cui il numero di buffer scritti e il tempo di scrittura.

Per ulteriori informazioni, consulta Configurazione del database e i flag facoltativi.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Istanze Cloud SQL nella nella console Google Cloud.

   Vai a Istanze Cloud SQL

2. Seleziona l'istanza elencata nel risultato di Security Health Analytics.

3. Fai clic su edit Modifica.

4. Nella sezione Flag di database, imposta il database log_checkpoints con il valore On.

5. Fai clic su Salva. La nuova configurazione viene visualizzata nell'istanza Panoramica.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

SQL log connections disabled

Nome categoria nell'API: SQL_LOG_CONNECTIONS_DISABLED

Un'istanza di database Cloud SQL per PostgreSQL non ha Flag di database log_connections impostato su On.

L'abilitazione dell'impostazione log_connections causa i tentativi di connessione al server per la registrazione, oltre al corretto completamento della procedura autenticazione. I log possono essere utili per risolvere i problemi e verificare tentativi insoliti di connessione al server.

Per ulteriori informazioni, consulta Configurazione del database e i flag facoltativi.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Istanze Cloud SQL nella nella console Google Cloud.

   Vai a Istanze Cloud SQL

2. Seleziona l'istanza elencata nel risultato di Security Health Analytics.

3. Fai clic su edit Modifica.

4. Nella sezione Flag di database, imposta il database log_connections con il valore On.

5. Fai clic su Salva. La nuova configurazione viene visualizzata nell'istanza Panoramica.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

SQL log disconnections disabled

Nome categoria nell'API: SQL_LOG_DISCONNECTIONS_DISABLED

Un'istanza di database Cloud SQL per PostgreSQL non ha Flag di database log_disconnections impostato su On.

Se si abilita l'impostazione log_disconnections vengono create voci di log alla fine ogni sessione. I log sono utili per la risoluzione dei problemi e per attività insolita in un periodo di tempo. Per ulteriori informazioni, consulta Configurazione di database.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Istanze Cloud SQL nella nella console Google Cloud.

   Vai a Istanze Cloud SQL

2. Seleziona l'istanza elencata nel risultato di Security Health Analytics.

3. Fai clic su edit Modifica.

4. Nella sezione Flag di database, imposta log_disconnections il flag di database con il valore On.

5. Fai clic su Salva. La nuova configurazione viene visualizzata nell'istanza Panoramica.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

SQL log duration disabled

Nome categoria nell'API: SQL_LOG_DURATION_DISABLED

Un'istanza di database Cloud SQL per PostgreSQL non ha Flag di database log_duration impostato su On.

Quando il parametro log_duration è abilitato, questa impostazione determina il tempo di esecuzione e durata di ogni istruzione completata da registrare. Monitorare il periodo di tempo necessario per eseguire le query può essere fondamentale per identificare le query lente la risoluzione dei problemi del database.

Per ulteriori informazioni, consulta Configurazione del database e i flag facoltativi.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Istanze Cloud SQL nella nella console Google Cloud.

   Vai a Istanze Cloud SQL

2. Seleziona l'istanza elencata nel risultato di Security Health Analytics.

3. Fai clic su edit Modifica.

4. Nella sezione Flag di database, imposta log_duration il flag di database su On.

5. Fai clic su Salva. La nuova configurazione viene visualizzata nell'istanza Panoramica.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

SQL log error verbosity

Nome categoria nell'API: SQL_LOG_ERROR_VERBOSITY

Un'istanza di database Cloud SQL per PostgreSQL non ha Flag di database log_error_verbosity impostato su default o su verbose.

Il flag log_error_verbosity controlla la quantità di dettagli nei messaggi registrati. Maggiore è il livello di dettaglio, maggiori saranno i dettagli registrati nei messaggi. Ti consigliamo di impostare il flag su default o su verbose.

Per ulteriori informazioni, consulta Configurazione del database e i flag facoltativi.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Istanze Cloud SQL nella nella console Google Cloud.

   Vai a Istanze Cloud SQL

2. Seleziona l'istanza elencata nel risultato di Security Health Analytics.

3. Fai clic su edit Modifica.

4. Nella sezione Flag di database, imposta log_error_verbosity il flag di database su default o su verbose.

5. Fai clic su Salva. La nuova configurazione viene visualizzata nell'istanza Panoramica.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

SQL log lock waits disabled

Nome categoria nell'API: SQL_LOG_LOCK_WAITS_DISABLED

Un'istanza di database Cloud SQL per PostgreSQL non ha Flag di database log_lock_waits impostato su On.

L'abilitazione dell'impostazione log_lock_waits crea voci di log quando tempi di attesa più lunghi rispetto a deadlock_timeout per acquisire un blocco. I log sono utili per determinare se i tempi di attesa del blocco causino una scarsa delle prestazioni.

Per ulteriori informazioni, consulta Configurazione del database e i flag facoltativi.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Istanze Cloud SQL nella nella console Google Cloud.

   Vai a Istanze Cloud SQL

2. Seleziona l'istanza elencata nel risultato di Security Health Analytics.

3. Fai clic su edit Modifica.

4. Nella sezione Flag di database, imposta il database log_lock_waits con il valore On.

5. Fai clic su Salva. La nuova configurazione viene visualizzata nell'istanza Panoramica.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

SQL log min duration statement enabled

Nome categoria nell'API: SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

Un'istanza di database Cloud SQL per PostgreSQL non ha Flag di database log_min_duration_statement impostato su -1.

Il flag log_min_duration_statement causa istruzioni SQL che vengono eseguite più a lungo rispetto al tempo specificato per la registrazione. Valuta la possibilità di disabilitare questa impostazione perché SQL potrebbero contenere informazioni sensibili che non devono essere registrate. Per Per ulteriori informazioni, consulta la sezione Configurazione dei flag di database.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Istanze Cloud SQL nella nella console Google Cloud.

   Vai a Istanze Cloud SQL

2. Seleziona l'istanza elencata nel risultato di Security Health Analytics.

3. Fai clic su edit Modifica.

4. Nella sezione Flag di database, imposta log_min_duration_statement flag di database con il valore -1.

5. Fai clic su Salva. La nuova configurazione viene visualizzata nell'istanza Panoramica.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

SQL log min error statement

Nome categoria nell'API: SQL_LOG_MIN_ERROR_STATEMENT

Un'istanza di database Cloud SQL per PostgreSQL non ha Il flag di database log_min_error_statement impostato correttamente.

Il flag log_min_error_statement controlla se le istruzioni SQL che causano vengono registrate nei log del server. delle istruzioni SQL con gravità o maggiore vengono registrati con messaggi per le istruzioni con errori. La maggiore è la gravità, minore è il numero di messaggi registrato.

Se log_min_error_statement non è impostato sul valore corretto, i messaggi potrebbero non essere classificati come messaggi di errore. Se la gravità impostata è troppo bassa, potrebbe aumentare il numero di messaggi e rendere difficile l'individuazione di errori veri e propri. Una gravità impostata un valore troppo alto potrebbe causare la mancata registrazione dei messaggi relativi agli errori effettivi.

Per ulteriori informazioni, consulta Configurazione del database e i flag facoltativi.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Istanze Cloud SQL nella nella console Google Cloud.

   Vai a Istanze Cloud SQL

2. Seleziona l'istanza elencata nel risultato di Security Health Analytics.

3. Fai clic su edit Modifica.

4. Nella sezione Flag di database, imposta il valore Il flag di database log_min_error_statement con uno dei seguenti consigliati, in base ai criteri di logging della tua organizzazione.

   • debug5
   • debug4
   • debug3
   • debug2
   • debug1
   • info
   • notice
   • warning
   • error

5. Fai clic su Salva. La nuova configurazione viene visualizzata nell'istanza Panoramica.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

SQL log min error statement severity

Nome categoria nell'API: SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

Un'istanza di database Cloud SQL per PostgreSQL non ha Il flag di database log_min_error_statement impostato correttamente.

Il flag log_min_error_statement controlla se le istruzioni SQL che causano vengono registrate nei log del server. delle istruzioni SQL la gravità o più restrittiva vengono registrati con messaggi per le istruzioni con errori. La più restrittiva è la gravità, minore è il numero di messaggi registrato.

Se log_min_error_statement non è impostato sul valore corretto, i messaggi potrebbero non essere classificati come messaggi di errore. Se la gravità impostata è troppo bassa, aumenterà il il numero di messaggi e rendere difficile l'individuazione di errori veri e propri. Un livello di gravità troppo alto (troppo limite) potrebbe causare messaggi di errore per errori effettivi non verranno registrati.

Ti consigliamo di impostare questo flag su error o su un valore più restrittivo.

Per ulteriori informazioni, consulta Configurazione del database e i flag facoltativi.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Istanze Cloud SQL nella nella console Google Cloud.

   Vai a Istanze Cloud SQL

2. Seleziona l'istanza elencata nel risultato di Security Health Analytics.

3. Fai clic su edit Modifica.

4. Nella sezione Flag di database, imposta il valore Il flag di database log_min_error_statement con uno dei seguenti consigliati, in base ai criteri di logging della tua organizzazione.

   • error
   • log
   • fatal
   • panic

5. Fai clic su Salva. La nuova configurazione viene visualizzata nell'istanza Panoramica.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

SQL log min messages

Nome categoria nell'API: SQL_LOG_MIN_MESSAGES

Un'istanza di database Cloud SQL per PostgreSQL non ha Flag di database log_min_messages impostato su almeno warning.

Il flag log_min_messages controlla quali livelli di messaggi vengono registrati in log del server. Più elevata è la gravità, minore è il numero di messaggi registrato. Impostazione una soglia troppo bassa può comportare un aumento della dimensione e della durata dell'archiviazione dei log, rendendo difficile l'individuazione di errori veri e propri.

Per ulteriori informazioni, consulta Configurazione dei flag di database.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Istanze Cloud SQL nella nella console Google Cloud.

   Vai a Istanze Cloud SQL

2. Seleziona l'istanza elencata nel risultato di Security Health Analytics.

3. Fai clic su edit Modifica.

4. Nella sezione Flag di database, imposta il valore Flag di database log_min_messages con uno dei seguenti consigliati, in base ai criteri di logging della tua organizzazione.

   • debug5
   • debug4
   • debug3
   • debug2
   • debug1
   • info
   • notice
   • warning

5. Fai clic su Salva. La nuova configurazione viene visualizzata nell'istanza Panoramica.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

SQL log executor stats enabled

Nome categoria nell'API: SQL_LOG_EXECUTOR_STATS_ENABLED

Un'istanza di database Cloud SQL per PostgreSQL non ha Flag di database log_executor_stats impostato su Off.

Quando viene attivato il flag log_executor_stats, le prestazioni dell'esecutore. statistiche sono incluse nei log PostgreSQL per ogni query. Questa impostazione può essere utile per la risoluzione dei problemi, ma può aumentare significativamente il numero log e l'overhead delle prestazioni.

Per ulteriori informazioni, consulta Configurazione del database e i flag facoltativi.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Istanze Cloud SQL nella console Google Cloud.

   Vai a Istanze Cloud SQL

2. Seleziona l'istanza elencata nel risultato di Security Health Analytics.

3. Fai clic su edit Modifica.

4. Nella sezione Flag di database, imposta il database log_executor_stats su Off.

5. Fai clic su Salva. La nuova configurazione viene visualizzata nell'istanza Panoramica.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

SQL log hostname enabled

Nome categoria nell'API: `SQL_LOG_HOSTNAME_ENABLED

Un'istanza di database Cloud SQL per PostgreSQL non ha Flag di database log_hostname impostato su Off.

Quando il flag log_hostname è attivato, il nome host dell'host che si connette dei dati nel log. Per impostazione predefinita, i messaggi di log della connessione mostrano solo l'indirizzo IP. Questo può essere utile per la risoluzione dei problemi. Tuttavia, può comportare l'overhead perché per ogni istruzione registrata, la risoluzione DNS necessaria per convertire un indirizzo IP in un nome host.

Per ulteriori informazioni, consulta Configurazione del database e i flag facoltativi.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Istanze Cloud SQL nella console Google Cloud.

   Vai a Istanze Cloud SQL

2. Seleziona l'istanza elencata nel risultato di Security Health Analytics.

3. Fai clic su edit Modifica.

4. Nella sezione Flag di database, imposta il database log_hostname su Off.

5. Fai clic su Salva. La nuova configurazione viene visualizzata nell'istanza Panoramica.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

SQL log parser stats enabled

Nome categoria nell'API: SQL_LOG_PARSER_STATS_ENABLED

Un'istanza di database Cloud SQL per PostgreSQL non ha Flag di database log_parser_stats impostato su Off.

Quando il flag log_parser_stats viene attivato, le statistiche sulle prestazioni dei parser incluse nei log PostgreSQL per ogni query. Questo può essere utile per risolvere i problemi, ma può aumentare notevolmente il numero di log dell'overhead delle prestazioni.

Per ulteriori informazioni, consulta Configurazione del database e i flag facoltativi.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Istanze Cloud SQL nella console Google Cloud.

   Vai a Istanze Cloud SQL

2. Seleziona l'istanza elencata nel risultato di Security Health Analytics.

3. Fai clic su edit Modifica.

4. Nella sezione Flag di database, imposta il database log_parser_stats su Off.

5. Fai clic su Salva. La nuova configurazione viene visualizzata nell'istanza Panoramica.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

SQL log planner stats enabled

Nome categoria nell'API: SQL_LOG_PLANNER_STATS_ENABLED

Un'istanza di database Cloud SQL per PostgreSQL non ha Flag di database log_planner_stats impostato su Off.

Quando viene attivato il flag log_planner_stats, viene utilizzato un metodo di profilazione non elaborato per log delle statistiche sulle prestazioni dello strumento di pianificazione PostgreSQL. Questo può essere utile per risolvere i problemi, ma può aumentare notevolmente il numero di log dell'overhead delle prestazioni.

Per ulteriori informazioni, consulta Configurazione del database e i flag facoltativi.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Istanze Cloud SQL nella console Google Cloud.

   Vai a Istanze Cloud SQL

2. Seleziona l'istanza elencata nel risultato di Security Health Analytics.

3. Fai clic su edit Modifica.

4. Nella sezione Flag di database, imposta il database log_planner_stats su Off.

5. Fai clic su Salva. La nuova configurazione viene visualizzata nell'istanza Panoramica.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

SQL log statement

Nome categoria nell'API: SQL_LOG_STATEMENT

Un'istanza di database Cloud SQL per PostgreSQL non ha Flag di database log_statement impostato su ddl.

Il valore di questo flag controlla quali istruzioni SQL vengono registrate. Il logging aiuta risolvere i problemi operativi e consentire l'analisi forense. Se questo flag non è impostato sul valore corretto, le informazioni pertinenti potrebbero essere ignorate nascondersi in troppi messaggi. Un valore di ddl (tutte le istruzioni di definizione dei dati) se non diversamente indicato dal criterio di logging della tua organizzazione.

Per ulteriori informazioni, consulta Configurazione del database e i flag facoltativi.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Istanze Cloud SQL nella console Google Cloud.

   Vai a Istanze Cloud SQL

2. Seleziona l'istanza elencata nel risultato di Security Health Analytics.

3. Fai clic su edit Modifica.

4. Nella sezione Flag di database, imposta il database log_statement per ddl.

5. Fai clic su Salva. La nuova configurazione viene visualizzata nell'istanza Panoramica.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

SQL log statement stats enabled

Nome categoria nell'API: SQL_LOG_STATEMENT_STATS_ENABLED

Un'istanza di database Cloud SQL per PostgreSQL non ha Flag di database log_statement_stats impostato su Off.

Quando il flag log_statement_stats è attivato, le prestazioni end-to-end statistiche sono incluse nei log PostgreSQL per ogni query. Questa impostazione può essere utile per la risoluzione dei problemi, ma può aumentare significativamente il numero log e l'overhead delle prestazioni.

Per ulteriori informazioni, consulta Configurazione del database e i flag facoltativi.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Istanze Cloud SQL nella console Google Cloud.

   Vai a Istanze Cloud SQL

2. Seleziona l'istanza elencata nel risultato di Security Health Analytics.

3. Fai clic su edit Modifica.

4. Nella sezione Flag di database, imposta il database log_statement_stats su Off.

5. Fai clic su Salva. La nuova configurazione viene visualizzata nell'istanza Panoramica.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

SQL log temp files

Nome categoria nell'API: SQL_LOG_TEMP_FILES

Un'istanza di database Cloud SQL per PostgreSQL non ha Flag di database log_temp_files impostato su 0.

Potrebbero essere creati file temporanei per ordinamenti, hash e risultati temporanei delle query. Se imposti il flag log_temp_files su 0, tutti i file temporanei informazioni da registrare. La registrazione di tutti i file temporanei è utile per identificare potenziali problemi di prestazioni. Per ulteriori informazioni, consulta Configurazione del database e i flag facoltativi.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Istanze Cloud SQL nella console Google Cloud.

   Vai a Istanze Cloud SQL

2. Seleziona l'istanza elencata nel risultato di Security Health Analytics.

3. Fai clic su edit Modifica.

4. Nella sezione Flag di database, imposta il database log_temp_files con il valore 0.

5. Fai clic su Salva. La nuova configurazione viene visualizzata nell'istanza Panoramica.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

SQL no root password

Nome categoria nell'API: SQL_NO_ROOT_PASSWORD

Per un'istanza di database MySQL non è impostata una password per l'account root. Tu deve aggiungere una password all'istanza del database MySQL. Per ulteriori informazioni, vedi Utenti MySQL.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Istanze Cloud SQL nella nella console Google Cloud.

   Vai a Istanze Cloud SQL

2. Seleziona l'istanza elencata nel risultato di Security Health Analytics.

3. Nella pagina Dettagli istanza visualizzata, seleziona la scheda Utenti.

4. Accanto all'utente root, fai clic su Altro , quindi seleziona Cambia password.

5. Inserisci una nuova password efficace e fai clic su Ok.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

SQL public IP

Nome categoria nell'API: SQL_PUBLIC_IP

Un database Cloud SQL ha un indirizzo IP pubblico.

Per ridurre la superficie di attacco della tua organizzazione, i database Cloud SQL non devono avere indirizzi IP pubblici. Gli indirizzi IP privati forniscono sicurezza di rete e latenza più bassa per l'applicazione.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Istanze Cloud SQL nella nella console Google Cloud.

   Vai a Istanze Cloud SQL

2. Seleziona l'istanza elencata nel risultato di Security Health Analytics.

3. Nel menu a sinistra, fai clic su Connections (Connessioni).

4. Fai clic sulla scheda Networking e deseleziona la casella di controllo IP pubblico.

5. Se l'istanza non è già configurata per utilizzare un IP privato, consulta Configurazione dell'IP privato per un'istanza esistente.

6. Fai clic su Salva.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

SQL remote access enabled

Nome categoria nell'API: SQL_REMOTE_ACCESS_ENABLED

Un'istanza di un database Cloud SQL per SQL Server non ha l'accesso remoto il flag di database impostato su Off.

Quando è attivata, questa impostazione concede l'autorizzazione per eseguire stored procedure locali da server remoti o stored procedure remote dal server locale. Questa funzionalità può essere utilizzata in modo illecito per lanciare un attacco Denial of Service (DoS) su tra i server remoti, trasferendo l'elaborazione delle query a una destinazione. Per impedire utilizzi illeciti, ti consigliamo di disabilitare questa impostazione.

Per ulteriori informazioni, consulta Configurazione dei flag di database.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Istanze Cloud SQL nella nella console Google Cloud.

   Vai a Istanze Cloud SQL

2. Seleziona l'istanza elencata nel risultato di Security Health Analytics.

3. Fai clic su edit Modifica.

4. Nella sezione Flag, imposta remote access su Off.

5. Fai clic su Salva. La nuova configurazione viene visualizzata nell'istanza Panoramica.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

SQL skip show database disabled

Nome categoria nell'API: SQL_SKIP_SHOW_DATABASE_DISABLED

Un'istanza di un database Cloud SQL per MySQL non ha skip_show_database flag di database impostato su On.

Quando è attivato, questo flag impedisce agli utenti di utilizzare MOSTRA DATABASES se non dispongono del privilegio SHOW DATABASES. Con questo gli utenti senza autorizzazione esplicita non possono vedere i database che appartengono ad altri utenti. Consigliamo di abilitare questo flag.

Per ulteriori informazioni, vedi Configurazione dei flag di database.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Istanze Cloud SQL nella nella console Google Cloud.

   Vai a Istanze Cloud SQL

2. Seleziona l'istanza elencata nel risultato di Security Health Analytics.

3. Fai clic su edit Modifica.

4. Nella sezione Flag, imposta skip_show_database su On.

5. Fai clic su Salva. La nuova configurazione viene visualizzata nell'istanza Panoramica.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

SQL trace flag 3625

Nome categoria nell'API: SQL_TRACE_FLAG_3625

Un'istanza di database Cloud SQL per SQL Server non ha il 3625 (flag di traccia) flag di database impostato su On.

Questo flag limita la quantità di informazioni restituite agli utenti che non del ruolo predefinito del server sysadmin, mascherando i parametri di alcuni di errore utilizzando gli asterischi (******). Per evitare divulgazione di informazioni sensibili, consigliamo di abilitare questo flag.

Per ulteriori informazioni, consulta Configurazione dei flag di database.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Istanze Cloud SQL nella nella console Google Cloud.

   Vai a Istanze Cloud SQL

2. Seleziona l'istanza elencata nel risultato di Security Health Analytics.

3. Fai clic su edit Modifica.

4. Nella sezione Flag di database, imposta 3625 su On.

5. Fai clic su Salva. La nuova configurazione viene visualizzata nell'istanza Panoramica.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

SQL user connections configured

Nome categoria nell'API: SQL_USER_CONNECTIONS_CONFIGURED

Un'istanza del database Cloud SQL per SQL Server include il database user connection configurato.

L'opzione user connection (Connessioni utente) specifica il numero massimo di connessioni simultanee connessioni utente consentite su un'istanza di SQL Server. Poiché si tratta di un dinamica (con autoconfigurazione), SQL Server regola il numero massimo le connessioni utente automaticamente in base alle esigenze, fino al valore massimo consentito. Il valore predefinito è 0, il che significa che vengono effettuate fino a 32.767 connessioni utente consentito. Per questo motivo, sconsigliamo di configurare il flag di database user connection.

Per ulteriori informazioni, consulta Configurazione dei flag di database.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Istanze Cloud SQL nella nella console Google Cloud.

   Vai a Istanze Cloud SQL

2. Seleziona l'istanza elencata nel risultato di Security Health Analytics.

3. Fai clic su edit Modifica.

4. Nella sezione Flag di database, accanto a user connection, fai clic su delete Elimina.

5. Fai clic su Salva. La nuova configurazione viene visualizzata nell'istanza Panoramica.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

SQL user options configured

Nome categoria nell'API: SQL_USER_OPTIONS_CONFIGURED

Un'istanza di database Cloud SQL per SQL Server ha il flag di database user options configurato.

Questa impostazione sostituisce i valori predefiniti globali delle opzioni SET per tutti gli utenti. Poiché gli utenti e le applicazioni potrebbero presupporre che le opzioni SET di database predefinite siano in uso, l'impostazione delle opzioni utente potrebbe causare risultati imprevisti. Per questo motivo, sconsigliamo di configurare il flag di database user options.

Per ulteriori informazioni, consulta Configurazione dei flag di database.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Istanze Cloud SQL nella nella console Google Cloud.

   Vai a Istanze Cloud SQL

2. Seleziona l'istanza elencata nel risultato di Security Health Analytics.

3. Fai clic su edit Modifica.

4. Nella sezione Flag di database, accanto a user options, fai clic su delete Elimina.

5. Fai clic su Salva. La nuova configurazione viene visualizzata nell'istanza Panoramica.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

SQL weak root password

Nome categoria nell'API: SQL_WEAK_ROOT_PASSWORD

Un'istanza di database MySQL ha una password debole impostata per l'account root. Tu devi impostare una password efficace per l'istanza. Per ulteriori informazioni, consulta MySQL utenti.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Istanze Cloud SQL nella nella console Google Cloud.

   Vai a Istanze Cloud SQL

2. Seleziona l'istanza elencata nel risultato di Security Health Analytics.

3. Nella pagina Dettagli istanza visualizzata, seleziona la scheda Utenti.

4. Accanto all'utente root, fai clic su Altro , quindi seleziona Cambia password.

5. Inserisci una nuova password efficace e fai clic su Ok.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

SSL not enforced

Nome categoria nell'API: SSL_NOT_ENFORCED

Un'istanza di database Cloud SQL non richiede tutte le connessioni in entrata per utilizzare SSL.

Per evitare fughe di dati sensibili in transito tramite comunicazioni non criptate, tutte le connessioni in entrata nell'istanza del database SQL devono utilizzare SSL. Impara scopri di più su come configurare SSL/TLS.

Per correggere questo risultato, consenti solo le connessioni SSL per le istanze SQL:

1. Vai alla pagina Istanze Cloud SQL nella nella console Google Cloud.

   Vai a Istanze Cloud SQL

2. Seleziona l'istanza elencata nel risultato di Security Health Analytics.

3. Nella scheda Connessioni, fai clic su Consenti solo connessioni SSL oppure Richiedi certificati client attendibili. Per ulteriori informazioni, vedi Applica la crittografia SSL/TLS.

4. Se scegli Richiedi certificati client attendibili, crea un nuovo client certificato. Per ulteriori informazioni, vedi Crea un nuovo certificato client.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Too many KMS users

Nome categoria nell'API: TOO_MANY_KMS_USERS

Limita a tre il numero di utenti entità che possono utilizzare le chiavi di crittografia. I seguenti ruoli predefiniti concedono le autorizzazioni per criptare, decriptare o firmare che utilizzano chiavi di crittografia:

• roles/owner
• roles/cloudkms.cryptoKeyEncrypterDecrypter
• roles/cloudkms.cryptoKeyEncrypter
• roles/cloudkms.cryptoKeyDecrypter
• roles/cloudkms.signer
• roles/cloudkms.signerVerifier

Per ulteriori informazioni, consulta la sezione Autorizzazioni e ruoli.

Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Chiavi Cloud KMS nella console Google Cloud.

   Vai a Chiavi Cloud KMS

2. Fai clic sul nome del keyring indicato nel risultato.

3. Fai clic sul nome della chiave indicata nel risultato.

4. Seleziona la casella accanto alla versione principale, quindi fai clic su Mostra informazioni. Riquadro.

5. Riduci il numero di entità con autorizzazioni per criptare, decriptare che firma i dati a tre o meno. Per revocare le autorizzazioni, fai clic su Elimina. delete accanto a ogni principale.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

User managed service account key

Nome categoria nell'API: USER_MANAGED_SERVICE_ACCOUNT_KEY

Un utente gestisce una chiave dell'account di servizio. Se non vengono gestite correttamente, le chiavi degli account di servizio comportano un rischio per la sicurezza. Dovresti Scegliere un'alternativa più sicura alle chiavi degli account di servizio ove possibile. Se devi autenticarti con una chiave dell'account di servizio, sei responsabile della chiave privata e per le altre operazioni descritte Best practice per la gestione delle chiavi degli account di servizio. Se ti viene impedito di creare una chiave dell'account di servizio, è possibile che questa disattivato per la tua organizzazione. Per ulteriori informazioni, vedi Gestione delle risorse dell'organizzazione sicure per impostazione predefinita.

Per correggere questo risultato, completa i seguenti passaggi:

1. Vai alla pagina Account di servizio nella console Google Cloud.

   Vai a Service account

2. Se necessario, seleziona il progetto indicato nel risultato.

3. Elimina le chiavi dell'account di servizio gestite dall'utente indicate nel risultato, se non sono utilizzati da nessuna applicazione.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Weak SSL policy

Nome categoria nell'API: WEAK_SSL_POLICY

Un'istanza Compute Engine ha un criterio SSL debole o utilizza Google Cloud criterio SSL predefinito con versione TLS precedente alla 1.2.

I bilanciatori del carico HTTPS e del proxy SSL utilizzano i criteri SSL per determinare il protocollo e suite di crittografia utilizzate nelle connessioni TLS stabilite tra gli utenti e internet. Queste connessioni criptano i dati sensibili per prevenire impedire l'accesso da parte delle intercettazioni. Un criterio SSL debole consente ai client di utilizzare versioni obsolete di TLS per connettersi con un protocollo o una suite di crittografia meno sicura. Per un elenco delle suite di crittografia consigliate e obsolete, visita il sito web TLS di iana.org dei parametri di rete.

Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale.

I passaggi di correzione per questo risultato variano a seconda che questo risultato è stato attivato dall'utilizzo di un criterio SSL predefinito di Google Cloud o che consente un pacchetto di crittografia debole o una versione TLS minima precedente alla 1.2. Segui la procedura riportata di seguito corrispondente all'attivatore del risultato.

Risoluzione predefinita dei criteri SSL di Google Cloud

1. Vai alla pagina Proxy di destinazione nella console Google Cloud.

   Vai a Proxy di destinazione

2. Trova il proxy di destinazione indicato nel risultato e annota le regole di forwarding in nella colonna Utilizzato da.

3. Per creare un nuovo criterio SSL, consulta la sezione Utilizzo di SSL . Il criterio deve avere un parametro Versione TLS minima 1.2 e Profilo moderno o limitato.

4. Per utilizzare un profilo Personalizzato , assicurati che le seguenti suite di crittografia siano disattivata:

   • TLS_RSA_WITH_AES_128_GCM_SHA256
   • TLS_RSA_WITH_AES_256_GCM_SHA384
   • TLS_RSA_WITH_AES_128_CBC_SHA
   • TLS_RSA_WITH_AES_256_CBC_SHA
   • TLS_RSA_WITH_3DES_EDE_CBC_SHA

5. Applica il criterio SSL a ogni regola di forwarding osservata in precedenza.

La suite di crittografia debole o la versione TLS di livello inferiore hanno consentito la correzione

1. Nella console Google Cloud, vai alla pagina Criteri SSL .

   Vai ai criteri SSL

2. Trova il bilanciatore del carico indicato nella colonna Utilizzato da.

3. Fai clic sotto il nome della norma.

4. Fai clic su edit Modifica.

5. Cambia Versione TLS minima su TLS 1.2 e Profilo su Moderno o Con restrizioni.

6. Per utilizzare un profilo Personalizzato, assicurati che le seguenti suite di crittografia siano disattivata:

   • TLS_RSA_WITH_AES_128_GCM_SHA256
   • TLS_RSA_WITH_AES_256_GCM_SHA384
   • TLS_RSA_WITH_AES_128_CBC_SHA
   • TLS_RSA_WITH_AES_256_CBC_SHA
   • TLS_RSA_WITH_3DES_EDE_CBC_SHA

7. Fai clic su Salva.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Web UI enabled

Nome categoria nell'API: WEB_UI_ENABLED

L'interfaccia utente web di GKE (dashboard) è abilitata.

Un account di servizio Kubernetes con privilegi elevati esegue il backup del web Kubernetes a riga di comando. Se compromesso, l'account di servizio può essere utilizzato in modo illecito. Se sei già con la console Google Cloud, l'interfaccia web di Kubernetes estende superficie di attacco inutilmente. Scopri di più sulla disattivazione del servizio Kubernetes web a riga di comando.

Per correggere questo risultato, disabilita l'interfaccia web di Kubernetes:

1. Vai alla pagina Cluster Kubernetes nella console Google Cloud.

   Vai ai cluster Kubernetes

2. Fai clic sul nome del cluster elencato nel risultato di Security Health Analytics.

3. Fai clic su edit Modifica.

   Se la configurazione del cluster è stata modificata di recente, il pulsante di modifica potrebbe essere disattivata. Se non riesci a modificare le impostazioni del cluster, attendi qualche minuto e riprova.

4. Fai clic su Componenti aggiuntivi. La sezione si espande per mostrare i componenti aggiuntivi disponibili.

5. Nell'elenco a discesa Dashboard Kubernetes, seleziona Disabilitata.

6. Fai clic su Salva.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Workload Identity disabled

Nome categoria nell'API: WORKLOAD_IDENTITY_DISABLED

Workload Identity è disabilitato su un cluster GKE.

Workload Identity è il metodo consigliato per accedere ai servizi Google Cloud da GKE perché offre proprietà di sicurezza migliorate e gestibilità. L'attivazione protegge alcuni sistemi potenzialmente sensibili dai carichi di lavoro utente in esecuzione sul cluster. Informazioni su Occultamento dei metadati.

Per correggere questo risultato, segui la guida per Abilitare Workload Identity su un cluster.

read_more Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.