Behebung von Security Health Analytics-Ergebnissen

>

Auf dieser Seite finden Sie eine Liste von Referenzleitfäden und -techniken zur Behebung von Security Health Analytics-Ergebnissen mithilfe von Security Command Center.

Sie benötigen entsprechende IAM-Rollen (Identity and Access Management), um Ergebnisse ansehen oder bearbeiten und auf Google Cloud-Ressourcen zugreifen oder sie ändern zu können. Wenn Sie im Security Command Center Dashboard auf Zugriffsfehler zugreifen, bitten Sie Ihren Administrator um Hilfe und sehen Sie sich die Zugriffssteuerung an, um Informationen zu Rollen zu erhalten. Informationen zum Beheben von Ressourcenfehlern finden Sie in der Dokumentation zu den betroffenen Produkten.

Behebung von Security Health Analytics-Ergebnissen

In diesem Abschnitt finden Sie Anleitungen zur Behebung von Problemen bei allen Sicherheitsintegritätsanalysen.

ADMIN_SERVICE_ACCOUNT

Ein Dienstkonto in Ihrer Organisation hat die Berechtigungen Administrator, Inhaber oder Bearbeiter. Diese Rollen enthalten umfassende Berechtigungen und sollten Dienstkonten nicht zugewiesen werden. Weitere Informationen zu Dienstkonten und den verfügbaren Rollen finden Sie unter Dienstkonten.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie die IAM-Richtlinienseite auf.
    IAM-Richtlinie aufrufen
  2. Für jedes gefundene Mitglied:
    1. Klicken Sie neben dem Mitglied auf Bearbeiten .
    2. Klicken Sie zum Entfernen von Berechtigungen neben der entsprechenden Rolle auf Löschen .
    3. Klicken Sie auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

API_KEY_APIS_UNRESTRICTED

API-Schlüssel werden zu umfassend verwendet.

Uneingeschränkte API-Schlüssel sind nicht sicher, da sie von Geräten abgerufen werden können, auf denen der Schlüssel gespeichert ist oder öffentlich sichtbar sein kann, z. B. mit einem Browser. Konfigurieren Sie API-Schlüssel gemäß dem Prinzip der geringsten Berechtigung so, dass sie nur APIs aufrufen, die von der Anwendung benötigt werden. Weitere Informationen finden Sie unter API-Schlüssel verwenden.

So können Sie dieses Ergebnis beheben:

  1. Wechseln Sie zur Seite API-Schlüssel.
    API-Schlüssel aufrufen
  2. Für jeden API-Schlüssel:
    1. Klicken Sie auf Bearbeiten .
    2. Klicken Sie unter API-Einschränkungen auf Schlüssel einschränken.
    3. Wählen Sie in der Drop-down-Liste APIs auswählen aus, welche APIs zugelassen werden sollen.
    4. Klicken Sie auf Speichern. Es kann bis zu fünf Minuten dauern, bis die Einstellungen wirksam werden.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

API_KEY_APPS_UNRESTRICTED

API-Schlüssel werden uneingeschränkt verwendet, um die Verwendung durch eine nicht vertrauenswürdige Anwendung zu ermöglichen.

Uneingeschränkte API-Schlüssel sind nicht sicher, da sie auf Geräten abgerufen werden können, auf denen der Schlüssel gespeichert ist oder öffentlich sichtbar sein kann, z. B. mit einem Browser. Beschränkt auf das Prinzip der geringsten Berechtigung die Nutzung der API-Schlüssel auf vertrauenswürdige Hosts, HTTP-Verweis-URLs und Anwendungen. Weitere Informationen finden Sie unter Anwendungseinschränkungen hinzufügen.

So können Sie dieses Ergebnis beheben:

  1. Wechseln Sie zur Seite API-Schlüssel.
    Go API-Schlüssel
  2. Für jeden API-Schlüssel:
    1. Klicken Sie auf Bearbeiten .
    2. Wählen Sie unter Anwendungseinschränkungen eine Einschränkungskategorie aus. Pro Schlüssel kann eine Anwendungseinschränkung festgelegt werden.
    3. Klicken Sie auf Element hinzufügen, um Einschränkungen je nach den Anforderungen Ihrer Anwendung hinzuzufügen.
    4. Klicken Sie auf Fertig.
    5. Klicken Sie auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

API_KEY_EXISTS

Ein Projekt verwendet API-Schlüssel anstelle der Standardauthentifizierung.

API-Schlüssel sind nicht sicher, da sie einfache verschlüsselte Strings sind und leicht zu finden und zu verwenden sind. Sie können auf Geräten abgerufen werden, auf denen der Schlüssel gespeichert ist oder öffentlich sichtbar sein kann, z. B. mit einem Browser. Außerdem werden durch API-Schlüssel keine Nutzer oder Anwendungen eindeutig identifiziert, die Anfragen stellen. Verwenden Sie stattdessen einen Standardauthentifizierungsablauf. Weitere Informationen finden Sie unter Als Endnutzer authentifizieren.

So können Sie dieses Ergebnis beheben:

  1. Konfigurieren Sie Ihre Anwendungen mit einer alternativen Authentifizierungsmethode.
  2. Rufen Sie die Seite API-Anmeldedaten auf.
    Zur API-Anmeldedaten
  3. Klicken Sie im Abschnitt API-Schlüssel neben jedem API-Schlüssel auf Löschen .

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

API_KEY_NOT_ROTATED

Ein API-Schlüssel wurde seit mehr als 90 Tagen nicht rotiert.

API-Schlüssel laufen nicht ab. Wenn also ein gestohlener Schlüssel gestohlen wird, kann er unbefristet verwendet werden, sofern er nicht vom Projektinhaber widerrufen oder rotiert wird. Durch das Neuerstellen von API-Schlüsseln lässt sich die Zeit reduzieren, mit der ein gestohlener API-Schlüssel auf Daten in einem manipulierten oder gekündigten Konto zugreifen kann. Rotieren Sie API-Schlüssel mindestens alle 90 Tage. Weitere Informationen finden Sie unter API-Schlüssel sichern.

So können Sie dieses Ergebnis beheben:

  1. Wechseln Sie zur Seite API-Schlüssel.
    API-Schlüssel aufrufen
  2. Für jeden API-Schlüssel:
    1. Prüfen Sie das Datum unter Erstellungsdatum.
    2. Wenn der Schlüssel älter als 90 Tage ist, klicken Sie auf den Namen des Schlüssels oder auf Bearbeiten .
    3. Klicken Sie oben auf der Seite auf Schlüssel neu generieren.
    4. Klicken Sie auf Schlüssel ersetzen.
    5. Damit Ihre Apps weiterhin ohne Unterbrechung ausgeführt werden, aktualisieren Sie sie auf den neuen API-Schlüssel. Der alte API-Schlüssel funktioniert 24 Stunden, bevor er dauerhaft deaktiviert wird.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

AUDIT_CONFIG_NOT_VISIBLEED

Logmesswerte und -benachrichtigungen sind nicht zum Überwachen von Änderungen an Audit-Logs konfiguriert.

Cloud Logging erzeugt Administratoraktivitäts- und Datenzugriffslogs, die Sicherheitsanalysen, das Verfolgen von Ressourcenänderungen und die Complianceprüfung ermöglichen. Durch das Monitoring der Änderungen an der Audit-Konfiguration stellen Sie sicher, dass alle Aktivitäten im Projekt jederzeit überprüft werden können. Weitere Informationen finden Sie unter Übersicht zu logbasierten Messwerten.

Abhängig von der Informationsmenge können die Cloud Monitoring-Kosten beträchtlich sein. Weitere Informationen zu Ihrer Nutzung des Dienstes und zu dessen Kosten finden Sie unter Kostenoptimierung für die Operations Suite von Google Cloud.

Um das Ergebnis zu beheben, erstellen Sie bei Bedarf Messwerte und Benachrichtigungsrichtlinien:

Messwert erstellen

  1. Rufen Sie die Seite Logbasierte Messwerte auf.
    Logbasierte Messwerte aufrufen
  2. Klicken Sie auf Messwert erstellen.
  3. Wählen Sie unter Messwerttyp die Option Zähler aus.
  4. Unter Details:
    1. Legen Sie unter Name des Logmesswerts einen Namen fest.
    2. Fügen Sie eine Beschreibung hinzu.
    3. Legen Sie Einheiten auf 1 fest.
  5. Kopieren Sie unter Filterauswahl den folgenden Text und fügen Sie ihn in das Feld Build-Filter ein. Ersetzen Sie gegebenenfalls den vorhandenen Text:
      protoPayload.methodName="SetIamPolicy"
      AND protoPayload.serviceData.policyDelta.auditConfigDeltas:*
    
  6. Klicken Sie auf Messwert erstellen. Sie sehen eine Bestätigung.

Benachrichtigungsrichtlinie erstellen

  1. Rufen Sie die Seite Logbasierte Messwerte auf.
    Logbasierte Messwerte aufrufen
  2. Wählen Sie im Abschnitt Benutzerdefinierte Messwerte den Messwert aus, den Sie im vorherigen Abschnitt erstellt haben.
  3. Klicken Sie auf Mehr und anschließend auf Benachrichtigung aus Messwert erstellen. Wenn Sie aufgefordert werden, Ihr Projekt einem Arbeitsbereich hinzuzufügen, führen Sie diesen Vorgang aus.
  4. Klicken Sie auf der Seite, die geöffnet wird, im Navigationsmenü auf Benachrichtigungen.
  5. Klicken Sie unter Was möchten Sie erfassen? auf Bedingung hinzufügen und füllen Sie das Dialogfeld aus, um festzulegen, welche Ressourcen überwacht und wann Benachrichtigungen ausgelöst werden. Informationen zu den Feldern in einer Bedingung finden Sie unter Bedingungen angeben.
  6. Wenn Sie fertig sind, klicken Sie auf Hinzufügen und dann auf Weiter.
  7. Klicken Sie unter Wer soll benachrichtigt werden? auf das Drop-down-Menü Benachrichtigungskanäle und wählen Sie aus, wie Sie benachrichtigt werden möchten. Weitere Informationen finden Sie unter Benachrichtigungskanäle verwalten.
  8. Klicken Sie auf OK und dann auf Weiter.
  9. Legen Sie unter Wie kann das Problem behoben werden? den Namen der Benachrichtigung fest.
  10. Klicken Sie auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

AUDIT_LOGGING_DISABLED

Audit-Logging wurde für diese Ressource deaktiviert.

Aktivieren Sie Cloud Logging für alle Dienste, um alle Administratoraktivitäten zu verfolgen, Lesezugriff und Schreibzugriff auf Nutzerdaten zu erhalten. Abhängig von der Informationsmenge können die Cloud Logging-Kosten beträchtlich sein. Weitere Informationen zu Ihrer Nutzung des Dienstes und seiner Kosten finden Sie unter Kostenoptimierung für die Operations Suite von Google Cloud.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie die Seite Standardmäßige Audit-Konfiguration auf.
    Zur Standard-Audit-Konfiguration
  2. Wählen Sie auf dem Tab Logtyp die Option Administratorlesevorgang, Datenlesevorgang und Datenschreibvorgang aus.
  3. Klicken Sie auf Speichern.
  4. Entfernen Sie auf dem Tab Ausgenommene Nutzer alle aufgelisteten Nutzer, indem Sie neben dem jeweiligen Namen auf Löschen klicken.
  5. Klicken Sie auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

AUTO_BACKUP_DISABLED

In einer Cloud SQL-Datenbank sind keine automatischen Sicherungen aktiviert.

Aktivieren Sie automatische Sicherungen für Ihre SQL-Instanzen, um Datenverluste zu vermeiden. Weitere Informationen finden Sie unter On-Demand- und automatische Sicherungen erstellen und verwalten.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie die Seite SQL-Instanzsicherungen auf.
    Zu den SQL-Instanzsicherungen
  2. Klicken Sie neben Einstellungen auf Bearbeiten .
  3. Klicken Sie das Kästchen für Automatische Sicherungen an.
  4. Wählen Sie im Drop-down-Menü ein Zeitfenster für die automatische Sicherung Ihrer Daten aus.
  5. Klicken Sie auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

AUTO_REPAIR_DISABLED

Die Funktion zur automatischen Reparatur eines Google Kubernetes Engine-Clusters (GKE), die Knoten in einem fehlerfreien Zustand funktioniert, ist deaktiviert.

Wenn die Option aktiviert ist, führt GKE regelmäßig Prüfungen des Systemzustands der Knoten in Ihrem Cluster durch. Wenn ein Knoten aufeinanderfolgende Systemdiagnosen über einen längeren Zeitraum fehlschlägt, initiiert GKE einen Reparaturprozess für diesen Knoten. Weitere Informationen finden Sie unter Knoten automatisch wiederherstellen.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie die Seite Kubernetes-Cluster auf.
    Kubernetes-Cluster aufrufen

  2. Klicken Sie auf den Tab Knoten.

  3. Führen Sie für jeden Knotenpool die folgenden Schritte aus:

    1. Klicken Sie auf den Namen des Knotenpools, um die zugehörige Detailseite aufzurufen.
    2. Klicken Sie auf Bearbeiten .
    3. Wählen Sie unter Verwaltung die Option Automatische Reparatur aktivieren aus.
    4. Klicken Sie auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

AUTO_UPGRADE_DISABLED

Die Funktion für automatische Upgrades eines GKE-Clusters, die die Cluster- und Knotenpools auf der neuesten stabilen Version von Kubernetes speichert, ist deaktiviert.

Weitere Informationen finden Sie unter Knoten automatisch aktualisieren.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie die Seite Kubernetes-Cluster auf.
    Kubernetes-Cluster aufrufen
  2. Klicken Sie in der Liste der Cluster auf den Namen des Clusters.
  3. Klicken Sie auf den Tab Knoten.
  4. Für jeden Knotenpool gilt:
    1. Klicken Sie auf den Namen des Knotenpools, um die zugehörige Detailseite aufzurufen.
    2. Klicken Sie auf Bearbeiten .
    3. Wählen Sie unter Verwaltung die Option Automatisches Upgrade aktivieren aus.
    4. Klicken Sie auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

BUCKET_CMER_DISABLED

Ein Bucket ist nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verschlüsselt.

Durch das Festlegen eines CMEK in einem Bucket erhalten Sie mehr Kontrolle über den Zugriff auf Ihre Daten. Weitere Informationen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel.

Sie können das Ergebnis korrigieren, indem Sie CMEK mit einem Bucket verwenden. Führen Sie dazu Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden aus. Für CMEK fallen zusätzliche Kosten für Cloud KMS an.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

BUCKET_IAM_NOT_FAILED

Logmesswerte und -benachrichtigungen sind nicht zum Überwachen von Änderungen an den Cloud Storage-IAM-Berechtigungen konfiguriert.

Wenn Sie die Änderungen an den Bucket-Berechtigungen in Cloud Storage überwachen, können Sie privilegierte Nutzer oder verdächtige Aktivitäten identifizieren. Weitere Informationen finden Sie in der Übersicht zu logbasierten Messwerten.

Abhängig von der Informationsmenge können die Cloud Monitoring-Kosten beträchtlich sein. Weitere Informationen zu Ihrer Nutzung des Dienstes und zu dessen Kosten finden Sie unter Kostenoptimierung für die Operations Suite von Google Cloud.

So können Sie dieses Ergebnis beheben:

Messwert erstellen

  1. Rufen Sie die Seite Logbasierte Messwerte auf.
    Logbasierte Messwerte aufrufen
  2. Klicken Sie auf Messwert erstellen.
  3. Wählen Sie unter Messwerttyp die Option Zähler aus.
  4. Unter Details:
    1. Legen Sie unter Name des Logmesswerts einen Namen fest.
    2. Fügen Sie eine Beschreibung hinzu.
    3. Legen Sie Einheiten auf 1 fest.
  5. Kopieren Sie unter Filterauswahl den folgenden Text und fügen Sie ihn in das Feld Build-Filter ein. Ersetzen Sie gegebenenfalls den vorhandenen Text:
      resource.type=gcs_bucket
      AND protoPayload.methodName="storage.setIamPermissions"
    
  6. Klicken Sie auf Messwert erstellen. Sie sehen eine Bestätigung.

Benachrichtigungsrichtlinie erstellen

  1. Rufen Sie die Seite Logbasierte Messwerte auf.
    Logbasierte Messwerte aufrufen
  2. Wählen Sie unter Benutzerdefinierte Messwerte den Messwert aus, den Sie im vorherigen Abschnitt erstellt haben.
  3. Klicken Sie auf Mehr und anschließend auf Benachrichtigung aus Messwert erstellen. Wenn Sie aufgefordert werden, Ihr Projekt einem Arbeitsbereich hinzuzufügen, führen Sie diesen Vorgang aus.
  4. Klicken Sie auf der Seite, die geöffnet wird, im Navigationsmenü auf Benachrichtigungen.
  5. Klicken Sie unter Was möchten Sie erfassen? auf Bedingung hinzufügen und füllen Sie das Dialogfeld aus, um festzulegen, welche Ressourcen überwacht und wann Benachrichtigungen ausgelöst werden. Informationen zu den Feldern in einer Bedingung finden Sie unter Bedingungen angeben.
  6. Wenn Sie fertig sind, klicken Sie auf Hinzufügen und dann auf Weiter.
  7. Klicken Sie unter Wer soll benachrichtigt werden? auf das Drop-down-Menü Benachrichtigungskanäle und wählen Sie aus, wie Sie benachrichtigt werden möchten. Weitere Informationen finden Sie unter Benachrichtigungskanäle verwalten.
  8. Klicken Sie auf OK und dann auf Weiter.
  9. Legen Sie unter Wie kann das Problem behoben werden? den Namen der Benachrichtigung fest.
  10. Klicken Sie auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

BUCKET_LOGGING_DISABLED

Es ist ein Storage-Bucket ohne Logging aktiviert.

Damit Sicherheitsprobleme besser untersucht und der Speicherverbrauch besser überwacht werden können, sollten Sie Zugriffslogs und Speicherinformationen für Ihre Cloud Storage-Buckets aktivieren. Zugriffslogs liefern Informationen über alle Anfragen an einen bestimmten Bucket und die Speicherlogs liefern Informationen über den Speicherverbrauch dieses Buckets.

Um dieses Ergebnis zu beheben, richten Sie das Logging für den Bucket ein, der im Rahmen der Sicherheitsintegritäts-Analyse angezeigt wird, indem Sie die Anleitung Nutzungs- und Speicherlogs befolgen.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

BUCKET_POLICY_ONLY_DISABLED

Der einheitliche Zugriff auf Bucket-Ebene, der bisher nur "Nur Bucket-Richtlinie" genannt wurde, wird nicht konfiguriert.

Der einheitliche Zugriff auf Bucket-Ebene vereinfacht die Kontrolle auf Bucket-Ebene, indem Berechtigungen (ACLs) auf Objektebene deaktiviert werden. Wenn diese aktiviert sind, gewähren nur IAM-Berechtigungen auf Bucket-Ebene Zugriff auf den Bucket und die Objekte, die er enthält. Weitere Informationen finden Sie unter Einheitlicher Zugriff auf Bucket-Ebene.

So können Sie dieses Ergebnis beheben:

  1. Wechseln Sie zum Cloud Storage-Browser.
    Zum Cloud Storage-Browser
  2. Klicken Sie in der Bucket-Liste auf den Namen des gewünschten Buckets.
  3. Klicken Sie auf den Tab Berechtigungen.
  4. Klicken Sie auf der Karte Zugriffssteuerung auf Zu einheitlich wechseln.
  5. Wählen Sie im Dialogfeld Einheitlich aus.
  6. Klicken Sie auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

CLUSTER_LOGGING_DISABLED

Logging ist für GKE-Cluster nicht aktiviert.

Aktivieren Sie Cloud Logging auf Ihren Clustern, um Sicherheitsprobleme zu untersuchen und die Nutzung zu überwachen.

Abhängig von der Informationsmenge können die Cloud Logging-Kosten beträchtlich sein. Weitere Informationen zu Ihrer Nutzung des Dienstes und seiner Kosten finden Sie unter Kostenoptimierung für die Operations Suite von Google Cloud.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Kubernetes-Cluster auf.
    Kubernetes-Cluster aufrufen
  2. Wählen Sie den Cluster aus, der im Security Health Analytics-Ergebnis aufgeführt ist.
  3. Klicken Sie auf  Bearbeiten.

    Wenn die Clusterkonfiguration kürzlich geändert wurde, ist die Schaltfläche "Bearbeiten" möglicherweise deaktiviert. Wenn Sie die Clustereinstellungen nicht bearbeiten können, warten Sie einige Minuten und versuchen Sie es dann noch einmal.

  4. Wählen Sie in der Drop-down-Liste Legacy-Stackdriver Logging oder Stackdriver Kubernetes Engine Monitoring die Option Aktiviert aus.

    Diese Optionen sind nicht miteinander kompatibel. Achten Sie darauf, dass Sie entweder Stackdriver Kubernetes Engine Monitoring allein oder Legacy-Stackdriver Logging mit Legacy-Stackdriver Monitoring verwenden.

  5. Klicken Sie auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

CLUSTER_MONITORING_DISABLED

Monitoring ist auf GKE-Clustern deaktiviert.

Aktivieren Sie Cloud Monitoring auf Ihren Clustern, um Sicherheitsprobleme zu untersuchen und die Nutzung zu überwachen.

Abhängig von der Informationsmenge können die Cloud Monitoring-Kosten beträchtlich sein. Weitere Informationen zu Ihrer Nutzung des Dienstes und zu dessen Kosten finden Sie unter Kostenoptimierung für die Operations Suite von Google Cloud.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Kubernetes-Cluster auf.
    Kubernetes-Cluster aufrufen
  2. Wählen Sie den Cluster aus, der im Security Health Analytics-Ergebnis aufgeführt ist.
  3. Klicken Sie auf  Bearbeiten.

    Wenn die Clusterkonfiguration kürzlich geändert wurde, ist die Schaltfläche "Bearbeiten" möglicherweise deaktiviert. Wenn Sie die Clustereinstellungen nicht bearbeiten können, warten Sie einige Minuten und versuchen Sie es dann noch einmal.

  4. Wählen Sie in der Drop-down-Liste Legacy-Stackdriver Monitoring oder Stackdriver Kubernetes Engine Monitoring die Option Aktiviert aus.

    Diese Optionen sind nicht miteinander kompatibel. Achten Sie darauf, dass Sie entweder Stackdriver Kubernetes Engine Monitoring allein oder Legacy-Stackdriver Monitoring mit Legacy-Stackdriver Logging verwenden.

  5. Klicken Sie auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED

Clusterhosts sind nicht für den Zugriff auf Google APIs mit privaten, internen IP-Adressen konfiguriert.

Der private Google-Zugriff ermöglicht VM-Instanzen, die nur private, interne IP-Adressen haben, die öffentlichen IP-Adressen von Google APIs und Diensten. Weitere Informationen finden Sie unter Privaten Google-Zugriff konfigurieren.

So können Sie dieses Ergebnis beheben:

  1. Zur Seite Virtual Private Cloud-Netzwerke
    Zu VPC-Netzwerken
  2. Klicken Sie in der Liste der Netzwerke auf den Namen des gewünschten Netzwerks.
  3. Klicken Sie auf der Seite VPC-Netzwerkdetails auf den Tab Subnetze.
  4. Klicken Sie in der Liste der Subnetze auf den Namen des Subnetzes, das dem Kubernetes-Cluster zugeordnet ist.
  5. Klicken Sie auf der Seite Subnetzdetails auf Bearbeiten .
  6. Wählen Sie unter Privater Google-Zugriff die Option Ein aus.
  7. Klicken Sie auf Speichern.
  8. Informationen zum Entfernen öffentlicher (externer) IP-Adressen aus VM-Instanzen, deren einziger externer Traffic zu Google APIs ist, finden Sie unter Zuweisung einer statischen externen IP-Adresse aufheben.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

Projektweite SSH-Schlüssel werden verwendet, wodurch eine Anmeldung in allen Instanzen des Projekts möglich ist.

Die Verwendung projektweiter SSH-Schlüsseln erleichtert die Verwaltung von SSH-Schlüsseln. Wenn sie manipuliert werden, stellt dies jedoch ein Sicherheitsrisiko dar, das sich auf alle Instanzen in einem Projekt auswirken kann. Sie sollten instanzspezifische SSH-Schlüssel verwenden, die die Angriffsfläche begrenzen, wenn SSH-Schlüssel manipuliert werden. Weitere Informationen finden Sie unter SSH-Schlüssel in Metadaten verwalten.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie die Seite VM-Instanzen auf.
    Zur Seite "VM-Instanzen"
  2. Klicken Sie in der Liste der Instanzen auf den Namen der Instanz.
  3. Klicken Sie auf der Seite VM-Instanzdetails auf Bearbeiten.
  4. Wählen Sie unter SSH-Schlüssel die Option Projektweite SSH-Schlüssel blockieren aus.
  5. Klicken Sie auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

COMPUTE_SECURE_BOOT_DISABLED

Bei einer Shielded VM ist Secure Boot nicht aktiviert.

Mit Secure Boot können Sie Ihre virtuellen Maschinen vor Rootkits und Bootkits schützen. Compute Engine aktiviert Secure Secure nicht standardmäßig, da einige nicht signierte Treiber und Low-Level-Software nicht kompatibel sind. Wenn Ihre VM keine inkompatible Software verwendet und sie mit aktiviertem Secure Boot gestartet wird, empfiehlt Google die Verwendung von Secure Boot. Wenn Sie Module von Drittanbietern mit Nvidia-Treibern verwenden, achten Sie darauf, dass sie mit Secure Boot kompatibel sind, bevor Sie sie aktivieren.

Weitere Informationen finden Sie unter Secure Boot.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite VM-Instanzen auf.
    Zur Seite "VM-Instanzen"
  2. Klicken Sie in der Liste der Instanzen auf den Namen der Instanz.
  3. Klicken Sie auf der Seite VM-Instanzdetails auf Beenden.
  4. Klicken Sie nach dem Beenden der Instanz auf Bearbeiten.
  5. Wählen Sie unter Shielded VM (Shielded VM) die Option Secure Boot aktivieren aus.
  6. Klicken Sie auf Speichern.
  7. Klicken Sie auf Starten, um die Instanz zu starten.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

COMPUTE_SERIAL_PORTS_ENABLED

Serielle Ports sind für eine Instanz aktiviert, sodass Verbindungen zur seriellen Konsole der Instanz möglich sind.

Wenn Sie die interaktive serielle Konsole auf einer Instanz aktivieren, können Clients von jeder IP-Adresse aus eine Verbindung zu dieser Instanz herstellen. Daher sollte die interaktive serielle Konsolenunterstützung deaktiviert werden. Weitere Informationen finden Sie unter Zugriff für Projekte aktivieren.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie die Seite VM-Instanzen auf.
    Zur Seite "VM-Instanzen"
  2. Klicken Sie in der Liste der Instanzen auf den Namen der Instanz.
  3. Klicken Sie auf der Seite VM-Instanzdetails auf Bearbeiten.
  4. Entfernen Sie unter Remotezugriff die Option Verbindung zu seriellen Ports aktivieren.
  5. Klicken Sie auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

COS_NICHT_ANZEIGEN

Compute Engine-VMs nutzen nicht das Container-Optimized OS, das für die sichere Ausführung von Docker-Containern in Google Cloud entwickelt wurde.

Container-Optimized OS ist das von Google empfohlene Betriebssystem für das Hosting und die Ausführung von Containern in Google Cloud. Es bietet eine minimale Angriffsfläche und automatische Aktualisierungen sorgen dafür, dass Sicherheitslücken rechtzeitig geschlossen werden. Weitere Informationen finden Sie unter Übersicht über Container-Optimized OS.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie die Seite Kubernetes-Cluster auf.
    Kubernetes-Cluster aufrufen
  2. Klicken Sie in der Liste der Cluster auf den Namen des Clusters.
  3. Klicken Sie auf den Tab Knoten.
  4. Für jeden Knotenpool gilt:
    1. Klicken Sie auf den Namen des Knotenpools, um die zugehörige Detailseite aufzurufen.
    2. Klicken Sie auf Bearbeiten .
    3. Klicken Sie unter Knoten -> Image-Typ auf Ändern.
    4. Wählen Sie Container-Optimized OS aus und klicken Sie dann auf Ändern.
    5. Klicken Sie auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

CUSTOM_ROLE_NOT_VISIBLEED

Logmesswerte und -benachrichtigungen sind nicht für das Überwachen benutzerdefinierter Rollenänderungen konfiguriert.

IAM bietet vordefinierte und benutzerdefinierte Rollen, die Zugriff auf bestimmte Google Cloud-Ressourcen gewähren. Durch das Monitoring der Rollenerstellung, Löschen und Aktualisierung von Aktivitäten können Sie überschüssige Rollen in einem frühen Stadium erkennen. Weitere Informationen finden Sie unter Übersicht über logbasierte Messwerte.

Abhängig von der Informationsmenge können die Cloud Monitoring-Kosten beträchtlich sein. Weitere Informationen zu Ihrer Nutzung des Dienstes und zu dessen Kosten finden Sie unter Kostenoptimierung für die Operations Suite von Google Cloud.

So können Sie dieses Ergebnis beheben:

Messwert erstellen

  1. Rufen Sie die Seite Logbasierte Messwerte auf.
    Logbasierte Messwerte aufrufen
  2. Klicken Sie auf Messwert erstellen.
  3. Wählen Sie unter Messwerttyp die Option Zähler aus.
  4. Unter Details:
    1. Legen Sie unter Name des Logmesswerts einen Namen fest.
    2. Fügen Sie eine Beschreibung hinzu.
    3. Legen Sie Einheiten auf 1 fest.
  5. Kopieren Sie unter Filterauswahl den folgenden Text und fügen Sie ihn in das Feld Build-Filter ein. Ersetzen Sie gegebenenfalls den vorhandenen Text:
      resource.type="iam_role"
      AND protoPayload.methodName="google.iam.admin.v1.CreateRole"
      OR protoPayload.methodName="google.iam.admin.v1.DeleteRole"
      OR protoPayload.methodName="google.iam.admin.v1.UpdateRole"
    
  6. Klicken Sie auf Messwert erstellen. Sie sehen eine Bestätigung.

Benachrichtigungsrichtlinie erstellen

  1. Rufen Sie die Seite Logbasierte Messwerte auf.
    Logbasierte Messwerte aufrufen
  2. Wählen Sie unter Benutzerdefinierte Messwerte den Messwert aus, den Sie im vorherigen Abschnitt erstellt haben.
  3. Klicken Sie auf Mehr und anschließend auf Benachrichtigung aus Messwert erstellen. Wenn Sie aufgefordert werden, Ihr Projekt einem Arbeitsbereich hinzuzufügen, führen Sie diesen Vorgang aus.
  4. Klicken Sie auf der Seite, die geöffnet wird, im Navigationsmenü auf Benachrichtigungen.
  5. Klicken Sie unter Was möchten Sie erfassen? auf Bedingung hinzufügen und füllen Sie das Dialogfeld aus, um festzulegen, welche Ressourcen überwacht und wann Benachrichtigungen ausgelöst werden. Informationen zu den Feldern in einer Bedingung finden Sie unter Bedingungen angeben.
  6. Wenn Sie fertig sind, klicken Sie auf Hinzufügen und dann auf Weiter.
  7. Klicken Sie unter Wer soll benachrichtigt werden? auf das Drop-down-Menü Benachrichtigungskanäle und wählen Sie aus, wie Sie benachrichtigt werden möchten. Weitere Informationen finden Sie unter Benachrichtigungskanäle verwalten.
  8. Klicken Sie auf OK und dann auf Weiter.
  9. Legen Sie unter Wie kann das Problem behoben werden? den Namen der Benachrichtigung fest.
  10. Klicken Sie auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

DEFAULT_NETWORK

Das Standardnetzwerk ist in einem Projekt vorhanden.

Standardnetzwerke haben automatisch erstellte Firewallregeln und Netzwerkkonfigurationen, die möglicherweise nicht sicher sind. Weitere Informationen finden Sie unter Standardnetzwerk.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite VPC-Netzwerke auf.
    Zu VPC-Netzwerken
  2. Klicken Sie in der Liste der Netzwerke auf den Namen des Standardnetzwerks.
  3. Klicken Sie auf der Seite VPC-Netzwerkdetails auf VPC-Netzwerk löschen.
  4. Informationen zum Erstellen eines neuen Netzwerks mit benutzerdefinierten Firewallregeln finden Sie unter Netzwerke erstellen.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

DEFAULT_SERVICE_ACCOUNT_sleep

Eine Compute Engine-Instanz ist für die Verwendung des Standarddienstkontos konfiguriert.

Das Compute Engine-Standarddienstkonto hat die Rolle Bearbeiter für das Projekt, um den Lese- und Schreibzugriff auf die meisten Google Cloud-Dienste zu gewähren. Verwenden Sie nicht das standardmäßige Compute Engine-Dienstkonto, um Berechtigungen bei Eskalationen und nicht autorisierten Zugriff zu verhindern. Erstellen Sie stattdessen ein neues Dienstkonto und weisen Sie nur die Berechtigungen zu, die Ihre Instanz benötigt. Weitere Informationen zu Rollen und Berechtigungen finden Sie unter Zugriffssteuerung.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite VM-Instanzen auf.
    Zur Seite „VM-Instanzen“
  2. Wählen Sie die Instanz aus, die mit der Suche von Security Health Analytics zusammenhängt.
  3. Klicken Sie auf der Seite Instanzdetails, die geladen wird, auf Beenden.
  4. Klicken Sie nach dem Beenden der Instanz auf Bearbeiten.
  5. Wählen Sie im Abschnitt Dienstkonto ein Dienstkonto aus, das nicht das Compute Engine-Standarddienstkonto ist. Möglicherweise müssen Sie zuerst ein neues Dienstkonto erstellen. Weitere Informationen zu IAM-Rollen und -Berechtigungen finden Sie unter Zugriffssteuerung.
  6. Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzdetails angezeigt.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

DISK_CMEK_DISABLED

Laufwerke auf dieser VM werden nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verschlüsselt.

Mit CMEK werden Schlüssel, die Sie in Cloud KMS erstellen und verwalten, verpackt, welche Schlüssel Google zur Verschlüsselung Ihrer Daten verwendet. Dadurch erhalten Sie mehr Kontrolle über den Zugriff auf Ihre Daten. Weitere Informationen finden Sie unter Ressourcen mit Cloud KMS-Schlüsseln schützen.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Compute Engine-Laufwerke auf.
    Zu Compute Engine-Laufwerken
  2. Klicken Sie in der Liste der Laufwerke auf den Namen des entsprechenden Laufwerks.
  3. Klicken Sie auf der Seite Laufwerk verwalten auf Löschen.
  4. Informationen zum Erstellen eines neuen Laufwerks mit aktiviertem CMEK finden Sie unter Neuen nichtflüchtigen Speicher mit eigenen Schlüsseln verschlüsseln. Für CMEK fallen zusätzliche Kosten für Cloud KMS an.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

DISK_CSEK_DISABLED

Laufwerke auf dieser VM werden nicht mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln (Customer-Supplied Encryption Keys, CSEK) verschlüsselt. Laufwerke für kritische VMs sollten mit CSEK verschlüsselt werden.

Wenn Sie eigene Verschlüsselungsschlüssel angeben, verwendet Compute Engine Ihren Schlüssel, um die von Google generierten Schlüssel zum Verschlüsseln und Entschlüsseln Ihrer Daten zu schützen. Weitere Informationen finden Sie unter Vom Kunden bereitgestellte Verschlüsselungsschlüssel. Bei CSEK fallen zusätzliche Kosten für Cloud KMS an.

So können Sie dieses Ergebnis beheben:

Laufwerk löschen und erstellen

Sie können nur neue nichtflüchtige Speicher mit einem eigenen Schlüssel verschlüsseln. Vorhandene nichtflüchtige Speicher können nicht mit einem eigenen Schlüssel verschlüsselt werden.

  1. Rufen Sie in der Cloud Console die Seite Compute Engine-Laufwerke auf.
    Zu Compute Engine-Laufwerken
  2. Klicken Sie in der Liste der Laufwerke auf den Namen des entsprechenden Laufwerks.
  3. Klicken Sie auf der Seite Laufwerk verwalten auf Löschen.
  4. Informationen zum Erstellen eines neuen Laufwerks mit aktiviertem CSEK finden Sie unter Laufwerke mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln verschlüsseln.
  5. Führen Sie die restlichen Schritte aus, um den Detektor zu aktivieren.

Detektor aktivieren

  1. Rufen Sie in der Cloud Console die Seite Assets des Security Command Center auf.
    Zu den Assets
  2. Klicken Sie neben View by (Anzeigen nach) auf Resource Type (Ressourcentyp).
  3. Wählen Sie in der Liste der Ressourcen Disk aus. Die Tabelle enthält eine Liste Ihrer Laufwerke.
  4. Klicken Sie unter resourceProperties.name auf das Kästchen neben dem Namen des Laufwerks, das Sie mit CSEK verwenden möchten. Klicken Sie dann auf Sicherheitsmarkierungen festlegen.
  5. Klicken Sie im Dialogfeld auf Add Mark (Mark hinzufügen).
  6. Geben Sie im Feld key den Wert enforce_customer_supplied_disk_encryption_keys und im Feld value true ein.
  7. Klicken Sie auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

DNSSEC_DISABLED

Domain Name System Security Extensions (DNSSEC) ist für Cloud DNS-Zonen deaktiviert.

DNSSEC validiert DNS-Antworten und verringert die Risiken, wie etwa DNS-Hacking und Personen-in-the-Middle-Angriffe, indem DNS-Einträge kryptografisch signiert werden. Sie sollten DNSSEC aktivieren. Weitere Informationen finden Sie in der Übersicht über DNS-Sicherheitserweiterungen (DNSSEC).

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Cloud DNS auf.
    Cloud DNS-Netzwerke aufrufen
  2. Suchen Sie die Zeile mit der DNS-Zone, die im Ergebnis angegeben ist.
  3. Klicken Sie in der Zeile auf die DNSSEC-Einstellung und wählen Sie dann unter DNSSEC die Option Aktiviert aus.
  4. Lesen Sie die Informationen im angezeigten Dialogfeld. Wenn Sie zufrieden sind, klicken Sie auf Aktivieren.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

EGRESS_DENY_RULE_NOT_SET

In einer Firewall ist keine Regel zum Ablehnen von ausgehendem Traffic festgelegt.

Eine Firewall, die den gesamten ausgehenden Netzwerktraffic ablehnt, mit Ausnahme der Verbindungen, die von anderen Firewalls explizit autorisiert werden. Weitere Informationen finden Sie unter Fälle für ausgehenden Traffic.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Firewall auf.
    Zur Firewall
  2. Klicken Sie auf Firewallregel erstellen.
  3. Geben Sie der Firewall einen Namen und optional eine Beschreibung.
  4. Wählen Sie unter Traffic-Richtung die Option Ausgehend aus.
  5. Wählen Sie unter Aktion bei Übereinstimmung Ablehnen aus.
  6. Wählen Sie im Drop-down-Menü Ziele die Option Alle Instanzen im Netzwerk aus.
  7. Wählen Sie im Drop-down-Menü Zielfilter die Option IP-Bereiche aus und geben Sie 0.0.0.0/0 in das Feld Ziel-IP-Bereiche ein. auf.
  8. Wählen Sie unter Protokolle und Ports die Option Alle ablehnen aus.
  9. Klicken Sie auf Regel deaktivieren und wählen Sie unter Erzwingung die Option Aktiviert aus.
  10. Klicken Sie auf Erstellen.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

FIREWALL_NOT_FAILED

Logmesswerte und -benachrichtigungen sind nicht zum Überwachen von Änderungen der Firewallregeln für das VPC-Netzwerk konfiguriert.

Durch die Erstellung und Aktualisierung von Firewallregeln können Sie mehr über Änderungen am Netzwerkzugriff erfahren und verdächtige Aktivitäten schnell erkennen. Weitere Informationen finden Sie unter Übersicht über logbasierte Messwerte.

Abhängig von der Informationsmenge können die Cloud Monitoring-Kosten beträchtlich sein. Weitere Informationen zu Ihrer Nutzung des Dienstes und seiner Kosten finden Sie unter Kostenoptimierung für die Operations Suite von Google Cloud.

So können Sie dieses Ergebnis beheben:

Messwert erstellen

  1. Rufen Sie die Seite Logbasierte Messwerte auf.
    Logbasierte Messwerte aufrufen
  2. Klicken Sie auf Messwert erstellen.
  3. Wählen Sie unter Messwerttyp die Option Zähler aus.
  4. Unter Details:
    1. Legen Sie unter Name des Logmesswerts einen Namen fest.
    2. Fügen Sie eine Beschreibung hinzu.
    3. Legen Sie Einheiten auf 1 fest.
  5. Kopieren Sie unter Filterauswahl den folgenden Text und fügen Sie ihn in das Feld Build-Filter ein. Ersetzen Sie gegebenenfalls den vorhandenen Text:
      resource.type="gce_firewall_rule"
      AND jsonPayload.event_subtype="compute.firewalls.patch"
      OR jsonPayload.event_subtype="compute.firewalls.insert"
    
  6. Klicken Sie auf Messwert erstellen. Sie sehen eine Bestätigung.

Benachrichtigungsrichtlinie erstellen

  1. Rufen Sie die Seite Logbasierte Messwerte auf.
    Logbasierte Messwerte aufrufen
  2. Wählen Sie unter Benutzerdefinierte Messwerte den Messwert aus, den Sie im vorherigen Abschnitt erstellt haben.
  3. Klicken Sie auf Mehr und anschließend auf Benachrichtigung aus Messwert erstellen. Wenn Sie aufgefordert werden, Ihr Projekt einem Arbeitsbereich hinzuzufügen, führen Sie diesen Vorgang aus.
  4. Klicken Sie auf der Seite, die geöffnet wird, im Navigationsmenü auf Benachrichtigungen.
  5. Klicken Sie unter Was möchten Sie erfassen? auf Bedingung hinzufügen und füllen Sie das Dialogfeld aus, um festzulegen, welche Ressourcen überwacht und wann Benachrichtigungen ausgelöst werden. Informationen zu den Feldern in einer Bedingung finden Sie unter Bedingungen angeben.
  6. Wenn Sie fertig sind, klicken Sie auf Hinzufügen und dann auf Weiter.
  7. Klicken Sie unter Wer soll benachrichtigt werden? auf das Drop-down-Menü Benachrichtigungskanäle und wählen Sie aus, wie Sie benachrichtigt werden möchten. Weitere Informationen finden Sie unter Benachrichtigungskanäle verwalten.
  8. Klicken Sie auf OK und dann auf Weiter.
  9. Legen Sie unter Wie kann das Problem behoben werden? den Namen der Benachrichtigung fest.
  10. Klicken Sie auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

FIREWALL_RULE_LOGGING_DISABLED

Logging von Firewallregeln ist deaktiviert.

Durch das Logging der Firewallregeln können Sie die Auswirkungen Ihrer Firewallregeln überwachen, überprüfen und analysieren. Dies kann nützlich sein, um den Netzwerkzugriff zu prüfen oder frühzeitig zu warnen, dass das Netzwerk nicht genehmigt verwendet wird. Die Kosten für Logs können erheblich sein. Weitere Informationen zum Logging von Firewallregeln und zu dessen Kosten finden Sie unter Logging von Firewallregeln verwenden.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Firewall auf.
    Zur Firewall
  2. Klicken Sie in der Liste der Firewallregeln auf den Namen der gewünschten Firewallregel.
  3. Klicken Sie auf  Bearbeiten.
  4. Wählen Sie unter Logs die Option Ein aus.
  5. Klicken Sie auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

FLOW_LOGS_DISABLED

In einem VPC-Subnetzwerk sind Flusslogs deaktiviert.

VPC-Flusslogs erfassen eine Stichprobe von Netzwerkflüssen, die von VM-Instanzen gesendet und empfangen werden. Diese Flussprotokolle können für Netzwerküberwachung, Forensik, Echtzeit-Sicherheitsanalysen und Kostenoptimierung verwendet werden. Weitere Informationen zu Flusslogs und ihren Kosten finden Sie unter VPC-Flusslogs verwenden.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie die Seite VPC-Netzwerke auf.
    Zu VPC-Netzwerken
  2. Klicken Sie in der Liste der Netzwerke auf den Namen des gewünschten Netzwerks.
  3. Klicken Sie auf der Seite VPC-Netzwerkdetails auf den Tab Subnetze.
  4. Klicken Sie in der Liste der Subnetze auf den Namen des Subnetzes, das Sie im Ergebnis gefunden haben.
  5. Klicken Sie auf der Seite Subnetzdetails auf Bearbeiten.
  6. Wählen Sie unter Fluss-Logs die Option Ein.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

FULL_API_ACCESS

Eine Compute Engine-Instanz ist für die Verwendung des Standarddienstkontos mit uneingeschränktem Zugriff auf alle Google Cloud APIs konfiguriert.

Eine Instanz, die mit dem standardmäßigen Dienstkontobereich Uneingeschränkten Zugriff auf alle Cloud APIs zulassen konfiguriert ist, ermöglicht Nutzern möglicherweise, Vorgänge oder API-Aufrufe durchzuführen, für die sie keine IAM-Berechtigungen haben. Weitere Informationen finden Sie unter Standardmäßiges Compute Engine-Dienstkonto.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite VM-Instanzen auf.
    Zur Seite "VM-Instanzen"
  2. Klicken Sie in der Liste der Instanzen auf den Namen der Instanz.
  3. Klicken Sie auf Beenden, wenn die Instanz gerade gestartet wird.
  4. Klicken Sie nach dem Beenden der Instanz auf Bearbeiten.
  5. Wählen Sie im Drop-down-Menü unter Dienstkonto die Option Standardmäßiges Compute Engine-Dienstkonto aus.
  6. Achten Sie darauf, dass im Abschnitt Zugriffsbereiche die Option Uneingeschränkten Zugriff auf alle Cloud APIs zulassen nicht ausgewählt ist.
  7. Klicken Sie auf Speichern.
  8. Klicken Sie auf Starten, um die Instanz zu starten.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

HTTP_LOAD_BALANCER

Eine Compute Engine-Instanz verwendet einen Load-Balancer, der für die Verwendung eines Ziel-HTTP-Proxys anstelle eines Ziel-HTTPS-Proxys konfiguriert ist.

Konfigurieren Sie Ihre HTTP(S)-Load-Balancer so, dass nur HTTPS-Traffic zugelassen wird. So schützen Sie die Integrität Ihrer Daten und verhindern, dass Eindringlinge Ihre Kommunikation manipulieren. Weitere Informationen finden Sie unter Übersicht über das externe HTTP(S)-Load-Balancing.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Zielproxys auf.
    Weiter zu Zielproxys
  2. Klicken Sie in der Liste der Zielproxys auf den Namen des Zielproxys.
  3. Klicken Sie auf den Link unter der URL-Zuordnung.
  4. Klicken Sie auf  Bearbeiten.
  5. Klicken Sie auf Front-End-Konfiguration.
  6. Löschen Sie alle Front-End-IP- und Portkonfigurationen, die HTTP-Traffic zulassen, und erstellen Sie neue, die HTTPS-Traffic zulassen.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

IP_ALIAS_DISABLED

Ein GKE-Cluster wurde mit deaktivierten Alias-IP-Bereichen erstellt.

Wenn Sie Alias-IP-Bereiche aktivieren, werden GKE-Cluster IP-Adressen aus einem bekannten CIDR-Block zugewiesen, sodass Ihr Cluster skalierbar ist und besser mit Google Cloud-Produkten und -Entitäten interagieren kann. Weitere Informationen finden Sie unter Alias-IP-Bereiche – Übersicht.

So können Sie dieses Ergebnis beheben:

Derzeit können Sie keinen vorhandenen Cluster zum Verwenden von Alias-IP-Adressen migrieren. So erstellen Sie einen neuen Cluster mit aktivierten Alias-IP-Adressen:

  1. Rufen Sie in der Cloud Console die Seite Kubernetes-Cluster auf.
    Kubernetes-Cluster aufrufen
  2. Klicken Sie auf Erstellen.
  3. Klicken Sie im Navigationsbereich unter Cluster auf Netzwerk.
  4. Wählen Sie unter Erweiterte Netzwerkoptionen die Option VPC-natives Traffic-Routing aktivieren (verwendet Alias-IP) aus.
  5. Klicken Sie auf Erstellen.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

IP_FORWARDING_ENABLED

Die IP-Weiterleitung ist für Compute Engine-Instanzen aktiviert.

Verhindern Sie Datenverluste oder Informationen, indem Sie die IP-Weiterleitung von Datenpaketen für Ihre VMs deaktivieren.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite VM-Instanzen auf.
    Zur Seite "VM-Instanzen"
  2. Klicken Sie in der Liste der Instanzen auf das Kästchen neben dem Namen der Instanz.
  3. Klicken Sie auf Löschen.
  4. Wählen Sie zum Erstellen einer neuen Instanz Instanz erstellen aus.
  5. Wenn die IP-Weiterleitung deaktiviert ist, klicken Sie auf Verwaltung, Laufwerke, Netzwerke, SSH-Schlüssel und dann auf Netzwerke.
  6. Klicken Sie unter Netzwerkschnittstellen auf Bearbeiten.
  7. Achten Sie darauf, dass im Drop-down-Menü unter IP-Weiterleitung die Option Aus ausgewählt ist.
  8. Geben Sie beliebige andere Instanzparameter an und klicken Sie dann auf Erstellen. Weitere Informationen finden Sie unter VM-Instanz erstellen und starten.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

KMS_KEY_NOT_ROTATED

Für einen Cloud KMS-Verschlüsselungsschlüssel ist keine Rotation konfiguriert.

Die Rotation Ihrer Verschlüsselungsschlüssel bietet regelmäßig Schutz, falls ein Schlüssel manipuliert wird. Außerdem wird die Anzahl der verschlüsselten Nachrichten begrenzt, die für eine bestimmte Schlüsselversion für die Kryptanalyse verfügbar sind. Weitere Informationen finden Sie unter Schlüsselrotation.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Cloud KMS-Schlüssel auf.
    Cloud KMS-Schlüssel aufrufen
  2. Klicken Sie auf den Namen des Schlüsselbunds, das Sie im Ergebnis erhalten.
  3. Klicken Sie auf den Namen des im Ergebnis angegebenen Schlüssels.
  4. Klicken Sie auf Rotationszeitraum bearbeiten.
  5. Legen Sie einen Rotationszeitraum von maximal 90 Tagen fest.
  6. Klicken Sie auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

KMS_PROJEKT_HAS_OWNER

Ein Nutzer hat roles/Owner-Berechtigungen für ein Projekt mit kryptografischen Schlüsseln. Weitere Informationen finden Sie unter Berechtigungen und Rollen.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie die IAM-Seite auf.
    Zur Seite "IAM"
  2. Wählen Sie bei Bedarf das Projekt im Ergebnis aus.
  3. Für jedes Mitglied, dem die Rolle Inhaber zugewiesen ist, gilt:
    1. Klicken Sie auf  Bearbeiten.
    2. Klicken Sie im Bereich Berechtigungen bearbeiten neben der Rolle Inhaber auf Löschen.
    3. Klicken Sie auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

KMS_PUBLIC_KEY

Ein Cloud KMS-Cryptokey oder Cloud KMS Key Ring ist öffentlich und für jeden im Internet zugänglich. Weitere Informationen finden Sie unter IAM mit Cloud KMS verwenden.

So beheben Sie das Ergebnis, wenn es mit einem Kryptoschlüssel zusammenhängt:

  1. Rufen Sie in der Cloud Console die Seite Cryptographic Keys (Kryptografische Schlüssel) auf.
    Kryptografische Schlüssel
  2. Wählen Sie unter Name den Schlüsselbund aus, der den kryptografischen Schlüssel für die Ergebnisse von Security Health Analytics enthält.
  3. Klicken Sie auf der Seite Schlüsselbunddetails das Kästchen neben dem kryptografischen Schlüssel an.
  4. Wenn das Infofeld nicht angezeigt wird, klicken Sie auf die Schaltfläche Infofeld ansehen.
  5. Verwenden Sie das Filterfeld vor Rolle / Mitglied, um Mitglieder für allUsers und allAuthenticatedUsers zu suchen und klicken Sie auf Löschen. , um den Zugriff für diese Mitglieder zu entfernen.

So beheben Sie das Ergebnis, wenn es mit einem Schlüsselbund verbunden ist:

  1. Rufen Sie in der Cloud Console die Seite Cryptographic Keys (Kryptografische Schlüssel) auf.
    Kryptografische Schlüssel
  2. Suchen Sie die Zeile mit dem Schlüsselbund im Befund und klicken Sie das Kästchen an.
  3. Wenn das Infofeld nicht angezeigt wird, klicken Sie auf die Schaltfläche Infofeld ansehen.
  4. Verwenden Sie das Filterfeld vor Rolle / Mitglied, um Mitglieder für allUsers und allAuthenticatedUsers zu suchen und klicken Sie auf Löschen. , um den Zugriff für diese Mitglieder zu entfernen.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

KMS_ROLE_SEPARATION

Mindestens einem Mitglied Ihrer Organisation wurden mehrere Cloud KMS-Berechtigungen zugewiesen. Wir empfehlen, keinem Konto gleichzeitig Cloud KMS-Administrator und andere Cloud KMS-Berechtigungen zuzuweisen. Weitere Informationen finden Sie unter Berechtigungen und Rollen.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die IAM-Seite auf.
    IAM aufrufen
  2. Klicken Sie neben dem im Security Health Analytics-Ergebnis aufgeführten Mitglied auf Edit (Bearbeiten).
  3. Klicken Sie zum Entfernen von Berechtigungen neben Cloud KMS Admin auf Löschen . Wenn Sie alle Berechtigungen für das Mitglied entfernen möchten, klicken Sie neben allen anderen Berechtigungen auf Löschen.
  4. Klicken Sie auf Speichern.
  5. Wiederholen Sie die vorherigen Schritte für alle im Security Health Analytics-Ergebnis aufgeführten Mitglieder.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

LEGACY_AUTHORIZATION_ENABLED

Die Legacy-Autorisierung ist für GKE-Cluster aktiviert.

In Kubernetes können Sie über eine rollenbasierte Zugriffssteuerung (RBAC) Rollen mit Regeln definieren, die aus einem Satz von Berechtigungen bestehen, und Berechtigungen auf Cluster- und Namespace-Ebene erteilen. Durch diese Funktion wird die Sicherheit verbessert, da Nutzer nur Zugriff auf bestimmte Ressourcen haben. Sie können die alte attributbasierte Zugriffssteuerung (ABAC) deaktivieren.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Kubernetes-Cluster auf.
    Kubernetes-Cluster aufrufen
  2. Wählen Sie den Cluster aus, der im Security Health Analytics-Ergebnis aufgeführt ist.
  3. Klicken Sie auf  Bearbeiten.

    Wenn die Clusterkonfiguration kürzlich geändert wurde, ist die Schaltfläche "Bearbeiten" möglicherweise deaktiviert. Wenn Sie die Clustereinstellungen nicht bearbeiten können, warten Sie einige Minuten und versuchen Sie es dann noch einmal.

  4. Wählen Sie in der Drop-down-Liste Alte Autorisierung die Option Deaktiviert aus.

  5. Klicken Sie auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

LEGACY_METADATA_ENABLED –

Legacy-Metadaten sind für GKE-Cluster aktiviert.

Der Instanzmetadatenserver von Compute Engine macht die Legacy-Endpunkte /0.1/ und /v1beta1/ verfügbar, die keine Metadatenabfrage-Header erzwingen. Dieses Feature in den /v1/ APIs erschwert potenziellen Angreifern das Abrufen von Instanzmetadaten. Wenn nicht erforderlich, sollten Sie diese Legacy-APIs /0.1/ und /v1beta1/ deaktivieren.

Weitere Informationen finden Sie unter Legacy-Metadaten-APIs deaktivieren und davon umstellen.

So können Sie dieses Ergebnis beheben:

Derzeit können Sie Legacy-Metadaten-APIs nur beim Erstellen eines neuen Clusters oder beim Hinzufügen eines neuen Knotenpools zu einem vorhandenen Cluster deaktivieren. Informationen zum Aktualisieren eines vorhandenen Clusters zum Deaktivieren von Legacy-Metadaten-APIs finden Sie unter Arbeitslasten zu verschiedenen Maschinentypen migrieren.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

LEGACY_NETWORK

In einem Projekt ist ein Legacy-Netzwerk vorhanden.

Legacy-Netzwerke werden nicht empfohlen, da viele neue Google Cloud-Sicherheitsfeatures in Legacy-Netzwerken nicht unterstützt werden. Verwenden Sie stattdessen VPC-Netzwerke. Weitere Informationen finden Sie unter Legacy-Netzwerke.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite VPC-Netzwerke auf.
    Zu VPC-Netzwerken
  2. Wenn Sie ein neues Nicht-Legacy-Netzwerk erstellen möchten, klicken Sie auf Netzwerk erstellen.
  3. Kehren Sie zur Seite VPC-Netzwerke zurück.
  4. Klicken Sie in der Liste der Netzwerke auf legacy_network.
  5. Klicken Sie auf der Seite VPC-Netzwerkdetails auf VPC-Netzwerk löschen.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

SHAREDED_RETENTION_POLICY_NOT_SET

Für Logs werden keine gesperrten Aufbewahrungsrichtlinien festgelegt.

Eine gesperrte Aufbewahrungsrichtlinie verhindert, dass Logs überschrieben und der Log-Bucket gelöscht wird. Weitere Informationen finden Sie unter Aufbewahrungsrichtlinien und Aufbewahrungsrichtlinien für Sperren.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Storage-Browser auf.
    Zum Storage-Browser
  2. Wählen Sie den Bucket aus, der in den Ergebnissen von Security Health Analytics aufgeführt ist.
  3. Klicken Sie auf der Seite Bucket-Details auf den Tab Aufbewahrung.
  4. Wenn keine Aufbewahrungsrichtlinie festgelegt wurde, klicken Sie auf Aufbewahrungsrichtlinie festlegen.
  5. Geben Sie eine Aufbewahrungsdauer ein.
  6. Klicken Sie auf Speichern. Die Aufbewahrungsrichtlinie wird auf dem Tab Aufbewahrung angezeigt.
  7. Klicken Sie auf Sperren, damit die Aufbewahrungsdauer nicht verkürzt oder entfernt wird.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

LOG_NOT_EXPORTIERT

Für eine Ressource ist keine entsprechende Logsenke konfiguriert.

Mit Cloud Logging können Sie schnell die Ursache für Probleme in Ihren Systemen und Anwendungen ermitteln. Allerdings werden die meisten Logs nur 30 Tage lang aufbewahrt. Exporte von allen Logeinträgen, um die Speicherdauer zu verlängern. Weitere Informationen finden Sie unter Übersicht über Logexporte.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie die Seite Logs Router auf.
    Logs Router aufrufen
  2. Klicken Sie auf Senke erstellen.
  3. Füllen Sie die erforderlichen Felder aus. Mit Einbeziehungs- und Ausschlussfiltern können Sie auswählen, welche Logs exportiert werden sollen. Lassen Sie die Einschluss- und Ausschlussfilter leer, damit alle Logs exportiert werden.
  4. Klicken Sie auf Senke erstellen.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

MASTER_AUTHORIZED_NETWORKS_DISABLED

Autorisierte Masternetzwerke sind auf GKE-Clustern nicht aktiviert.

Autorisierte Master-Netzwerke verbessern die Sicherheit für Ihren Containercluster, indem sie den Zugriff durch bestimmte IP-Adressen auf Steuerebene Ihres Clusters verhindern. Weitere Informationen finden Sie unter Autorisierte Netzwerke für den Zugriff auf Steuerungsebene erstellen.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Kubernetes-Cluster auf.
    Kubernetes-Cluster aufrufen
  2. Wählen Sie den Cluster aus, der im Security Health Analytics-Ergebnis aufgeführt ist.
  3. Klicken Sie auf  Bearbeiten.

    Wenn die Clusterkonfiguration kürzlich geändert wurde, ist die Schaltfläche "Bearbeiten" möglicherweise deaktiviert. Wenn Sie die Clustereinstellungen nicht bearbeiten können, warten Sie einige Minuten und versuchen Sie es dann noch einmal.

  4. Wählen Sie in der Drop-down-Liste Autorisierte Masternetzwerke die Option Aktiviert aus.

  5. Klicken Sie auf Autorisiertes Netzwerk hinzufügen.

  6. Geben Sie die gewünschten autorisierten Netzwerke an.

  7. Klicken Sie auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

MFA-NOT_ENFORCED

Die Multi-Faktor-Authentifizierung, insbesondere die Bestätigung in zwei Schritten, ist für einige Nutzer in Ihrer Organisation deaktiviert.

Die Multi-Faktor-Authentifizierung wird verwendet, um Konten vor unbefugtem Zugriff zu schützen. Dies ist das wichtigste Tool zum Schutz Ihrer Organisation vor gehackten Anmeldedaten. Weitere Informationen finden Sie unter Ihr Unternehmen mit der Bestätigung in zwei Schritten schützen.

So können Sie dieses Ergebnis beheben:

  1. Wechseln Sie zur Seite Admin-Konsole.
    Zur Admin-Konsole
  2. Erzwingen Sie die Bestätigung in zwei Schritten für alle Organisationseinheiten.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

NETZWERK

Logmesswerte und -benachrichtigungen sind nicht zum Überwachen von VPC-Netzwerkänderungen konfiguriert.

Überwachen Sie VPC-Netzwerkänderungen, um fehlerhafte oder nicht autorisierte Änderungen an der Netzwerkeinrichtung zu erkennen. Weitere Informationen finden Sie unter Übersicht zu logbasierten Messwerten.

Abhängig von der Informationsmenge können die Cloud Monitoring-Kosten beträchtlich sein. Weitere Informationen zu Ihrer Nutzung des Dienstes und zu dessen Kosten finden Sie unter Kostenoptimierung für die Operations Suite von Google Cloud.

So können Sie dieses Ergebnis beheben:

Messwert erstellen

  1. Rufen Sie die Seite Logbasierte Messwerte auf.
    Logbasierte Messwerte aufrufen
  2. Klicken Sie auf Messwert erstellen.
  3. Wählen Sie unter Messwerttyp die Option Zähler aus.
  4. Unter Details:
    1. Legen Sie unter Name des Logmesswerts einen Namen fest.
    2. Fügen Sie eine Beschreibung hinzu.
    3. Legen Sie Einheiten auf 1 fest.
  5. Kopieren Sie unter Filterauswahl den folgenden Text und fügen Sie ihn in das Feld Build-Filter ein. Ersetzen Sie gegebenenfalls den vorhandenen Text:
      resource.type=gce_network AND jsonPayload.event_subtype="compute.networks.insert"
      OR jsonPayload.event_subtype="compute.networks.patch"
      OR jsonPayload.event_subtype="compute.networks.delete"
      OR jsonPayload.event_subtype="compute.networks.removePeering"
      OR jsonPayload.event_subtype="compute.networks.addPeering"
    
  6. Klicken Sie auf Messwert erstellen. Sie sehen eine Bestätigung.

Benachrichtigungsrichtlinie erstellen

  1. Rufen Sie die Seite Logbasierte Messwerte auf.
    Logbasierte Messwerte aufrufen
  2. Wählen Sie unter Benutzerdefinierte Messwerte den Messwert aus, den Sie im vorherigen Abschnitt erstellt haben.
  3. Klicken Sie auf Mehr und anschließend auf Benachrichtigung aus Messwert erstellen. Wenn Sie aufgefordert werden, Ihr Projekt einem Arbeitsbereich hinzuzufügen, führen Sie diesen Vorgang aus.
  4. Klicken Sie auf der Seite, die geöffnet wird, im Navigationsmenü auf Benachrichtigungen.
  5. Klicken Sie unter Was möchten Sie erfassen? auf Bedingung hinzufügen und füllen Sie das Dialogfeld aus, um festzulegen, welche Ressourcen überwacht und wann Benachrichtigungen ausgelöst werden. Informationen zu den Feldern in einer Bedingung finden Sie unter Bedingungen angeben.
  6. Wenn Sie fertig sind, klicken Sie auf Hinzufügen und dann auf Weiter.
  7. Klicken Sie unter Wer soll benachrichtigt werden? auf das Drop-down-Menü Benachrichtigungskanäle und wählen Sie aus, wie Sie benachrichtigt werden möchten. Weitere Informationen finden Sie unter Benachrichtigungskanäle verwalten.
  8. Klicken Sie auf OK und dann auf Weiter.
  9. Legen Sie unter Wie kann das Problem behoben werden? den Namen der Benachrichtigung fest.
  10. Klicken Sie auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

NETWORK_POLICY_DISABLED

Die Netzwerkrichtlinie ist für GKE-Cluster deaktiviert.

Standardmäßig ist die Pod-zu-Pod-Kommunikation offen. Offene Kommunikation erlaubt Pods, sich direkt mit Knoten zu verbinden, mit oder ohne Netzwerkadressübersetzung. Eine NetworkPolicy-Ressource ist wie eine Firewall auf Pod-Ebene, die Verbindungen zwischen Pods einschränkt, es sei denn, die Ressource NetworkPolicy lässt die Verbindung ausdrücklich zu. Informationen zum Definieren von Netzwerkrichtlinien

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Kubernetes-Cluster auf.
    Kubernetes-Cluster aufrufen
  2. Klicken Sie auf den Namen des Clusters, der unter "Sicherheitsintegritäts-Analyse" aufgeführt ist.
  3. Klicken Sie unter Netzwerk in der Zeile für Netzwerkrichtlinie auf Bearbeiten.

    Wenn die Clusterkonfiguration kürzlich geändert wurde, ist die Schaltfläche "Bearbeiten" möglicherweise deaktiviert. Wenn Sie die Clustereinstellungen nicht bearbeiten können, warten Sie einige Minuten und versuchen Sie es dann noch einmal.

  4. Wählen Sie im Dialogfeld Netzwerkrichtlinien für Master aktivieren und Netzwerkrichtlinie für Knoten aktivieren aus.

  5. Klicken Sie auf Änderungen speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

NODEPOOL_BOOT_CME_DISABLED

Bootlaufwerke in diesem Knotenpool werden nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verschlüsselt. Mit CMEK können Nutzer die Standardverschlüsselungsschlüssel für Bootlaufwerke in einem Knotenpool konfigurieren.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie die Seite Kubernetes-Cluster auf.
    Kubernetes-Cluster aufrufen
  2. Klicken Sie in der Liste der Cluster auf den Namen des Clusters.
  3. Klicken Sie auf den Tab Knoten.
  4. Klicken Sie für jeden Knotenpool default-pool auf Löschen .
  5. Informationen zum Erstellen neuer Knotenpools mit CMEK finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) verwenden. Für CMEK fallen zusätzliche Kosten für Cloud KMS an.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

NON_ORG_IAM_MEMBER

Ein Nutzer außerhalb Ihrer Organisation hat IAM-Berechtigungen für ein Projekt oder eine Organisation. Übersicht über IAM-Berechtigungen

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die IAM-Seite auf.
    IAM aufrufen
  2. Klicken Sie auf das Kästchen neben Nutzern außerhalb Ihrer Organisation.
  3. Klicken Sie auf Entfernen.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

OBJECT_VERSIONING_DISABLED

Die Objektversionsverwaltung ist für einen Storage-Bucket nicht aktiviert, in dem Senken konfiguriert sind.

Damit Sie auch bereits gelöschte oder überschriebene Objekte abrufen können, bietet Cloud Storage die Möglichkeit der Objektversionsverwaltung. Aktivieren Sie die Objektversionierung, um Ihre Cloud Storage-Daten vor dem Überschreiben oder versehentlichen Löschen zu schützen. Objektversionierung aktivieren

Um dieses Ergebnis zu beheben, verwenden Sie den Befehl gsutil versioning set on mit dem entsprechenden Wert:

    gsutil versioning set on gs://finding.assetDisplayName

Ersetzen Sie finding.assetDisplayName durch den Namen des entsprechenden Buckets.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

OPEN_CASSANDRA_PORT

Firewallregeln, die eine Verbindung von einer beliebigen IP-Adresse zu einer Cassandra-Ports ermöglichen, können Ihre Cassandra-Dienste für Angreifer überlasten. Weitere Informationen finden Sie unter VPC-Firewallregeln.

Die Cassandra-Dienstports sind:

  • TCP - 7000, 7001, 7199, 8888, 9042, 9160, 61620, 61621

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Firewall auf.
    Zur Firewall
  2. Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel.
  3. Klicken Sie auf  Bearbeiten.
  4. Löschen Sie unter Quell-IP-Bereiche den Wert 0.0.0.0/0.
  5. Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die mit der Instanz verbunden werden sollen.
  6. Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
  7. Klicken Sie auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

OPEN_CISCOSECURE_WEBSM_PORT

Firewallregeln, die eine Verbindung von einer beliebigen IP-Adresse zu einer CiscoSecure/WebSM-Ports zulassen, können Ihre CiscoSecure/WebSM-Dienste für Angreifer zur Verfügung stellen. Weitere Informationen finden Sie unter VPC-Firewallregeln.

Die Ports von CiscoSecure/WebSM:

  • TCP - 9090

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Firewall auf.
    Zur Firewall
  2. Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel.
  3. Klicken Sie auf  Bearbeiten.
  4. Löschen Sie unter Quell-IP-Bereiche den Wert 0.0.0.0/0.
  5. Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die mit der Instanz verbunden werden sollen.
  6. Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
  7. Klicken Sie auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

OPEN_DIRECTORY_DIENSTSA_PORT

Firewallregeln, die eine beliebige IP-Adresse für die Verbindung mit Verzeichnisports zulassen, könnten Ihre Verzeichnisdienste für Angreifer ausnutzen. Weitere Informationen finden Sie unter VPC-Firewallregeln.

Die Verzeichnisdienst-Ports sind:

  • TCP - 445
  • UDP - 445

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Firewall auf.
    Zur Firewall
  2. Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel.
  3. Klicken Sie auf  Bearbeiten.
  4. Löschen Sie unter Quell-IP-Bereiche den Wert 0.0.0.0/0.
  5. Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die mit der Instanz verbunden werden sollen.
  6. Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
  7. Klicken Sie auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

OPEN_DNS_PORT

Firewallregeln, die eine Verbindung von einer beliebigen IP-Adresse zu DNS-Ports ermöglichen, können Ihre DNS-Dienste für Angreifer zugänglich machen. Weitere Informationen finden Sie unter VPC-Firewallregeln.

Die DNS-Dienstports sind:

  • TCP - 53
  • UDP - 53

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Firewall auf.
    Zur Firewall
  2. Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel.
  3. Klicken Sie auf  Bearbeiten.
  4. Löschen Sie unter Quell-IP-Bereiche den Wert 0.0.0.0/0.
  5. Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die mit der Instanz verbunden werden sollen.
  6. Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
  7. Klicken Sie auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

OPEN_ELASTICSEARCH_PORT

Firewallregeln, die eine Verbindung von jeder IP-Adresse zur Verbindung zu Elasticsearch-Ports ermöglichen, können Ihre Elasticsearch-Dienste für Angreifer überfordern. Weitere Informationen finden Sie unter VPC-Firewallregeln.

Die Elasticsearch-Dienstports sind:

  • TCP - 9200, 9300

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Firewall auf.
    Zur Firewall
  2. Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel.
  3. Klicken Sie auf  Bearbeiten.
  4. Löschen Sie unter Quell-IP-Bereiche den Wert 0.0.0.0/0.
  5. Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die mit der Instanz verbunden werden sollen.
  6. Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
  7. Klicken Sie auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

OPEN_FIREWALL

Firewallregeln, die Verbindungen von allen IP-Adressen wie 0.0.0.0/0 oder von allen Ports zulassen, können Ressourcen unnötigerweise Angriffen durch unerwünschte Quellen aussetzen. Diese Regeln sollten entfernt oder explizit auf die vorgesehenen Quell-IP-Bereiche oder -Ports ausgerichtet werden. In Anwendungen, die öffentlich sein sollen, sollten Sie beispielsweise die zulässigen Ports für die Anwendung wie 80 und 443 einschränken. Wenn Ihre Anwendung Verbindungen von allen IP-Adressen oder Ports zulassen muss, können Sie das Asset auflisten.

Weitere Informationen zum Aktualisieren von Firewallregeln

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Firewallregeln auf.
    Zu den Firewallregeln
  2. Klicken Sie auf die im Feld "Sicherheitsintegritäts-Analyse" aufgeführte Firewallregel und dann auf Bearbeiten.
  3. Bearbeiten Sie unter Quell-IP-Bereiche die IP-Werte, um den zulässigen IP-Bereich einzuschränken.
  4. Wählen Sie unter Protokolle und Ports die Option Angegebene Protokolle und Ports und dann die zulässigen Protokolle aus und geben Sie die zulässigen Ports ein.
  5. Klicken Sie auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

OPEN_FTP_PORT

Firewallregeln, die eine Verbindung von einer beliebigen IP-Adresse zu FTP-Ports zulassen, können Angreifern Ihre FTP-Dienste zur Verfügung stellen. Weitere Informationen finden Sie unter VPC-Firewallregeln.

Die FTP-Dienstports sind:

  • TCP - 21

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Firewall auf.
    Zur Firewall
  2. Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel.
  3. Klicken Sie auf  Bearbeiten.
  4. Löschen Sie unter Quell-IP-Bereiche den Wert 0.0.0.0/0.
  5. Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die mit der Instanz verbunden werden sollen.
  6. Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
  7. Klicken Sie auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

OPEN_HTTP_PORT

Firewallregeln, die einer beliebigen IP-Adresse die Verbindung zu HTTP-Ports erlauben, können Angreifern Ihre HTTP-Dienste zur Verfügung stellen. Weitere Informationen finden Sie unter VPC-Firewallregeln.

Die HTTP-Dienstports sind:

  • TCP - 80

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Firewall auf.
    Zur Firewall
  2. Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel.
  3. Klicken Sie auf  Bearbeiten.
  4. Löschen Sie unter Quell-IP-Bereiche den Wert 0.0.0.0/0.
  5. Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die mit der Instanz verbunden werden sollen.
  6. Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
  7. Klicken Sie auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

OPEN_LDAP_PORT

Firewallregeln, die jede IP-Adresse die Verbindung zu LDAP-Ports ermöglichen, können LDAP-Dienste gegenüber Angreifern zur Verfügung stellen. Weitere Informationen finden Sie unter VPC-Firewallregeln.

Die LDAP-Dienstports sind:

  • TCP - 389, 636
  • UDP - 389

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Firewall auf.
    Zur Firewall
  2. Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel.
  3. Klicken Sie auf  Bearbeiten.
  4. Löschen Sie unter Quell-IP-Bereiche den Wert 0.0.0.0/0.
  5. Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die mit der Instanz verbunden werden sollen.
  6. Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
  7. Klicken Sie auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

OPEN_MEMCACHED_PORT

Firewallregeln, die eine Verbindung von einer beliebigen IP-Adresse zu Memcached-Ports ermöglichen, können Ihre Memcached-Dienste für Angreifer ausnutzen. Weitere Informationen finden Sie unter VPC-Firewallregeln.

Die Memcached-Dienstports sind:

  • TCP - 11211, 11214, 11215
  • UDP - 11211, 11214, 11215

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Firewall auf.
    Zur Firewall
  2. Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel.
  3. Klicken Sie auf  Bearbeiten.
  4. Löschen Sie unter Quell-IP-Bereiche den Wert 0.0.0.0/0.
  5. Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die mit der Instanz verbunden werden sollen.
  6. Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
  7. Klicken Sie auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

OPEN_MOGODB_PORT

Firewallregeln, die eine Verbindung von einer beliebigen IP-Adresse zu MongoDB-Ports ermöglichen, können MongoDB-Dienste für Angreifer überwiegen. Weitere Informationen finden Sie unter VPC-Firewallregeln.

Die MongoDB-Dienstports sind:

  • TCP - 27017, 27018, 27019

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Firewall auf.
    Zur Firewall
  2. Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel.
  3. Klicken Sie auf  Bearbeiten.
  4. Löschen Sie unter Quell-IP-Bereiche den Wert 0.0.0.0/0.
  5. Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die mit der Instanz verbunden werden sollen.
  6. Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
  7. Klicken Sie auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

OPEN_MYSQL_PORT

Firewallregeln, die eine Verbindung von einer beliebigen IP-Adresse zu MySQL-Ports zulassen, können Ihre MySQL-Dienste für Angreifer verfügbar machen. Weitere Informationen finden Sie unter VPC-Firewallregeln.

Die MySQL-Dienstports sind:

  • TCP - 3306

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Firewall auf.
    Zur Firewall
  2. Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel.
  3. Klicken Sie auf  Bearbeiten.
  4. Löschen Sie unter Quell-IP-Bereiche den Wert 0.0.0.0/0.
  5. Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die mit der Instanz verbunden werden sollen.
  6. Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
  7. Klicken Sie auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

OPEN_NETBIOS_PORT

Firewallregeln, die einer beliebigen IP-Adresse die Verbindung zu NetBIOS-Ports erlauben, können Ihre NetBIOS-Dienste für Angreifer überlasten. Weitere Informationen finden Sie unter VPC-Firewallregeln.

Die NetBIOS-Dienstports sind:

  • TCP - 137, 138, 139
  • UDP - 137, 138, 139

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Firewall auf.
    Zur Firewall
  2. Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel.
  3. Klicken Sie auf  Bearbeiten.
  4. Löschen Sie unter Quell-IP-Bereiche den Wert 0.0.0.0/0.
  5. Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die mit der Instanz verbunden werden sollen.
  6. Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
  7. Klicken Sie auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

OPEN_ORACLEDB_PORT

Firewallregeln, die eine Verbindung von einer beliebigen IP-Adresse zu Oracle-Ports ermöglichen, können Ihre OracleDB-Dienste für Angreifer überfordern. Weitere Informationen finden Sie unter VPC-Firewallregeln – Übersicht.

Die OracleDB-Dienstports sind:

  • TCP - 1521, 2483, 2484
  • UDP - 2483, 2484

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Firewall auf.
    Zur Firewall
  2. Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel.
  3. Klicken Sie auf  Bearbeiten.
  4. Löschen Sie unter Quell-IP-Bereiche den Wert 0.0.0.0/0.
  5. Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die mit der Instanz verbunden werden sollen.
  6. Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
  7. Klicken Sie auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

OPEN_POP3_PORT

Firewallregeln, die eine Verbindung von einer beliebigen IP-Adresse zu POP3-Ports zulassen, können Ihre POP3-Dienste für Angreifer zur Verfügung stellen. Weitere Informationen finden Sie unter VPC-Firewallregeln.

Die POP3-Dienstports sind:

  • TCP - 110

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Firewall auf.
    Zur Firewall
  2. Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel.
  3. Klicken Sie auf  Bearbeiten.
  4. Löschen Sie unter Quell-IP-Bereiche den Wert 0.0.0.0/0.
  5. Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die mit der Instanz verbunden werden sollen.
  6. Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
  7. Klicken Sie auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

OPEN_POSTGRESQL_PORT

Firewallregeln, die eine Verbindung von einer beliebigen IP-Adresse zu PostgreSQL-Ports ermöglichen, können Ihre PostgreSQL-Dienste gegenüber Angreifern nutzen. Weitere Informationen finden Sie unter VPC-Firewallregeln.

Die PostgreSQL-Dienstports sind:

  • TCP - 5432
  • UDP - 5432

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Firewall auf.
    Zur Firewall
  2. Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel.
  3. Klicken Sie auf  Bearbeiten.
  4. Löschen Sie unter Quell-IP-Bereiche den Wert 0.0.0.0/0.
  5. Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die mit der Instanz verbunden werden sollen.
  6. Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
  7. Klicken Sie auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

OPEN_RDP_PORT

Firewallregeln, die eine Verbindung von einer beliebigen IP-Adresse zu RDP-Ports ermöglichen, können Ihre RDP-Dienste für Angreifer verfügbar machen. Weitere Informationen finden Sie unter VPC-Firewallregeln.

Die RDP-Dienstports sind:

  • TCP - 3389
  • UDP - 3389

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Firewall auf.
    Zur Firewall
  2. Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel.
  3. Klicken Sie auf  Bearbeiten.
  4. Löschen Sie unter Quell-IP-Bereiche den Wert 0.0.0.0/0.
  5. Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die mit der Instanz verbunden werden sollen.
  6. Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
  7. Klicken Sie auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

OPEN_REDIS_PORT

Firewallregeln, die eine Verbindung von einer beliebigen IP-Adresse zu Redis-Ports ermöglichen, können Ihre Redis-Dienste für Angreifer freigeben. Weitere Informationen finden Sie unter VPC-Firewallregeln.

Die Redis-Dienstports sind:

  • TCP - 6379

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Firewall auf.
    Zur Firewall
  2. Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel.
  3. Klicken Sie auf  Bearbeiten.
  4. Löschen Sie unter Quell-IP-Bereiche den Wert 0.0.0.0/0.
  5. Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die mit der Instanz verbunden werden sollen.
  6. Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
  7. Klicken Sie auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

OPEN_SMTP_PORT

Firewallregeln, die eine Verbindung von einer beliebigen IP-Adresse zu SMTP-Ports zulassen, können Angreifern Ihre SMTP-Dienste zur Verfügung stellen. Weitere Informationen finden Sie unter VPC-Firewallregeln.

Die SMTP-Dienstports sind:

  • TCP - 25

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Firewall auf.
    Zur Firewall
  2. Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel.
  3. Klicken Sie auf  Bearbeiten.
  4. Löschen Sie unter Quell-IP-Bereiche den Wert 0.0.0.0/0.
  5. Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die mit der Instanz verbunden werden sollen.
  6. Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
  7. Klicken Sie auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

OPEN_SSH_PORT

Firewallregeln, die eine Verbindung von einer beliebigen IP-Adresse zu SSH-Ports zulassen, können Ihre SSH-Dienste für Angreifer zugänglich machen. Weitere Informationen finden Sie unter VPC-Firewallregeln.

Die SSH-Dienstports sind:

  • SCTP - 22
  • TCP - 22

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Firewall auf.
    Zur Firewall
  2. Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel.
  3. Klicken Sie auf  Bearbeiten.
  4. Löschen Sie unter Quell-IP-Bereiche den Wert 0.0.0.0/0.
  5. Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die mit der Instanz verbunden werden sollen.
  6. Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
  7. Klicken Sie auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

OPEN_TELNET_PORT

Firewallregeln, die einer beliebigen IP-Adresse die Verbindung zu Telnet-Ports ermöglichen, können Ihre Telnet-Dienste für Angreifer freigeben. Weitere Informationen finden Sie unter VPC-Firewallregeln.

Die Telnet-Dienstports sind:

  • TCP - 23

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Firewall auf.
    Zur Firewall
  2. Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel.
  3. Klicken Sie auf  Bearbeiten.
  4. Löschen Sie unter Quell-IP-Bereiche den Wert 0.0.0.0/0.
  5. Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die mit der Instanz verbunden werden sollen.
  6. Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
  7. Klicken Sie auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

ORG_POLICY_VERTRAULICH_VM_POLICY

Eine Compute Engine-Ressource verstößt gegen die constraints/compute.restrictNonConfidentialComputing-Organisationsrichtlinie. Weitere Informationen zu dieser Einschränkung für Organisationsrichtlinien finden Sie unter Einschränkungen für Organisationsrichtlinien erzwingen.

In Ihrer Organisation muss für diese VM der vertrauliche VM-Dienst aktiviert sein. VMs, für die dieser Dienst nicht aktiviert ist, verwenden nicht die Laufzeitspeicherverschlüsselung und stellt sie zu Laufzeit-Angriffen bereit.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie die Seite VM-Instanzen auf.
    Zur Seite "VM-Instanzen"
  2. Klicken Sie in der Liste der Instanzen auf den Namen der Instanz.
  3. Wenn die VM den vertraulichen VM-Dienst nicht benötigt, verschieben Sie ihn in einen neuen Ordner oder Projekt.
  4. Wenn die VM eine vertrauliche VM erfordert, klicken Sie auf Löschen.
  5. Informationen zum Erstellen einer neuen Instanz mit aktivierter vertraulicher VM finden Sie unter Schnellstart: Vertrauliche VM-Instanz erstellen.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

ORG_POLICY_LOCATION_EINSCHRÄNKUNG

Mit der Einschränkung der Organisationsrichtlinie gcp.resourceLocations können Sie die Erstellung neuer Ressourcen auf ausgewählte Cloud-Regionen beschränken. Weitere Informationen finden Sie unter Ressourcenstandorte einschränken.

So können Sie dieses Ergebnis beheben:

Der Detektor ORG_POLICY_LOCATION_RESTRICTION deckt viele Ressourcentypen und Anleitungen zur Problembehebung für jede Ressource ab. Der allgemeine Ansatz zur Behebung von Standortverstößen ist Folgendes:

  1. Kopieren, sichern oder sichern Sie die Ressource, die nicht zur Region gehört, in eine Ressource innerhalb der Region. Eine Anleitung zum Verschieben von Ressourcen finden Sie in der Dokumentation zu den einzelnen Diensten.
  2. Löschen Sie die ursprüngliche Ressource, die außerhalb der Region liegt, oder die zugehörigen Daten.

Dies ist nicht für alle Ressourcentypen möglich. Weitere Informationen finden Sie in den angepassten Empfehlungen, die im Ergebnis enthalten sind.

Weitere Überlegungen

Verwaltete Ressourcen

Die Lebenszyklus von Ressourcen wird manchmal von anderen Ressourcen verwaltet und kontrolliert. Beispielsweise werden in einer verwalteten Compute Engine-Instanz Compute Engine-Instanzen gemäß der Autoscaling-Richtlinie der Instanzgruppe erstellt und gelöscht. Wenn verwaltete und Verwaltung von Ressourcen für den Standortdurchsetzung gelten, werden beide möglicherweise als Verletzung der Organisationsrichtlinie gemeldet. Die Wiederherstellung der Ergebnisse für verwaltete Ressourcen sollte auf der Ressourcenverwaltung durchgeführt werden, um die Stabilität des Vorgangs sicherzustellen.

Verwendete Ressourcen

Bestimmte Ressourcen werden von anderen Ressourcen genutzt. Beispielsweise wird ein Compute Engine-Laufwerk, das an eine laufende Compute Engine-Instanz angehängt ist, von der Instanz als verwendet verwendet. Wenn die verwendete Ressource gegen die Organisationsrichtlinie für Standorte verstößt, müssen Sie prüfen, ob die Ressource verwendet wird, bevor Sie den Standortverstoß beheben.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

OS_LOGIN_DISABLED

OS Login ist für diese Compute Engine-Instanz deaktiviert.

OS Login aktiviert die zentralisierte Verwaltung von SSH-Schlüsseln mit IAM und deaktiviert die metadatenbasierte SSH-Schlüsselkonfiguration aller Instanzen eines Projekts. Weitere Informationen zum Einrichten und Konfigurieren von OS Login

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Metadaten auf.
    Zu den Metadaten
  2. Klicken Sie zuerst auf Bearbeiten und dann auf Element hinzufügen.
  3. Fügen Sie ein Element mit dem Schlüssel enable-oslogin und dem Wert TRUE hinzu.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

OVER_PRIVILEGED_ACCOUNT

Ein GKE-Knoten verwendet den Standarddienstknoten von Compute Engine, der standardmäßig einen breiten Zugriff bietet und für die Ausführung des GKE-Clusters überfordert ist.

So können Sie dieses Ergebnis beheben:

Folgen Sie der Anleitung unter Google-Dienstkonten mit der geringsten Berechtigung verwenden.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

OVER_PRIVILEGED_SCOPES

Ein Knotendienstkonto hat breite Zugriffsbereiche.

Zugriffsbereiche sind die herkömmliche Methode, Berechtigungen für Ihre Instanz festzulegen. Wenn Sie die Wahrscheinlichkeit einer Rechteausweitung bei einem Angriff verringern möchten, erstellen Sie ein Dienstkonto mit minimalen Berechtigungen, um Ihren GKE-Cluster auszuführen.

Um das Ergebnis zu beheben, folgen Sie der Anleitung unter Google-Dienstkonten mit der geringsten Berechtigung verwenden.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Ein Nutzer hat anstelle von einem bestimmten Dienstkonto die iam.serviceAccountUser oder iam.serviceAccountTokenCreator auf Projektebene.

Wenn Sie einem Nutzer diese Rollen für ein Projekt zuweisen, erhält er Zugriff auf alle bestehenden und zukünftigen Dienstkonten im Projekt. Dies kann dazu führen, dass Berechtigungen unbeabsichtigt ausgegeben werden. Weitere Informationen finden Sie unter Dienstkontoberechtigungen.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie die IAM-Seite auf.
    Zur Seite "IAM"
  2. Wählen Sie bei Bedarf das Projekt im Ergebnis aus.
  3. Für jedes Mitglied, das zugewiesen ist roles/iam.serviceAccountUser oder roles/iam.serviceAccountTokenCreator:
    1. Klicken Sie auf  Bearbeiten.
    2. Klicken Sie im Bereich Berechtigungen bearbeiten neben den Rollen auf Löschen.
    3. Klicken Sie auf Speichern.
  4. Folgen Sie dieser Anleitung, um einzelnen Nutzern die Berechtigung zu geben, ein einzelnes Dienstkonto zu übernehmen. Sie müssen die Anleitungen für jedes Dienstkonto befolgen, dessen Identität Sie ausgewählten Nutzern ermöglichen möchten.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

INHABER:

Logmesswerte und -benachrichtigungen werden nicht zum Überwachen von Zuweisungen oder Änderungen von Projektinhaberschaft konfiguriert.

Die IAM-Rolle Inhaber hat die höchste Berechtigungsstufe für ein Projekt. Richten Sie Benachrichtigungen ein, damit Sie informiert sind, wenn neue Inhaber hinzugefügt oder entfernt werden. Weitere Informationen finden Sie unter Übersicht über logbasierte Messwerte.

Abhängig von der Informationsmenge können die Cloud Monitoring-Kosten beträchtlich sein. Weitere Informationen zu Ihrer Nutzung des Dienstes und zu dessen Kosten finden Sie unter Kostenoptimierung für die Operations Suite von Google Cloud.

So können Sie dieses Ergebnis beheben:

Messwert erstellen

  1. Rufen Sie die Seite Logbasierte Messwerte auf.
    Logbasierte Messwerte aufrufen
  2. Klicken Sie auf Messwert erstellen.
  3. Wählen Sie unter Messwerttyp die Option Zähler aus.
  4. Unter Details:
    1. Legen Sie unter Name des Logmesswerts einen Namen fest.
    2. Fügen Sie eine Beschreibung hinzu.
    3. Legen Sie Einheiten auf 1 fest.
  5. Kopieren Sie unter Filterauswahl den folgenden Text und fügen Sie ihn in das Feld Build-Filter ein. Ersetzen Sie gegebenenfalls den vorhandenen Text:
      (protoPayload.serviceName="cloudresourcemanager.googleapis.com")
      AND (ProjectOwnership OR projectOwnerInvitee)
      OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE"
      AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")
      OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD"
      AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")
    
  6. Klicken Sie auf Messwert erstellen. Sie sehen eine Bestätigung.

Benachrichtigungsrichtlinie erstellen

  1. Rufen Sie die Seite Logbasierte Messwerte auf.
    Logbasierte Messwerte aufrufen
  2. Wählen Sie unter Benutzerdefinierte Messwerte den Messwert aus, den Sie im vorherigen Abschnitt erstellt haben.
  3. Klicken Sie auf Mehr und anschließend auf Benachrichtigung aus Messwert erstellen. Wenn Sie aufgefordert werden, Ihr Projekt einem Arbeitsbereich hinzuzufügen, führen Sie diesen Vorgang aus.
  4. Klicken Sie auf der Seite, die geöffnet wird, im Navigationsmenü auf Benachrichtigungen.
  5. Klicken Sie unter Was möchten Sie erfassen? auf Bedingung hinzufügen und füllen Sie das Dialogfeld aus, um festzulegen, welche Ressourcen überwacht und wann Benachrichtigungen ausgelöst werden. Informationen zu den Feldern in einer Bedingung finden Sie unter Bedingungen angeben.
  6. Wenn Sie fertig sind, klicken Sie auf Hinzufügen und dann auf Weiter.
  7. Klicken Sie unter Wer soll benachrichtigt werden? auf das Drop-down-Menü Benachrichtigungskanäle und wählen Sie aus, wie Sie benachrichtigt werden möchten. Weitere Informationen finden Sie unter Benachrichtigungskanäle verwalten.
  8. Klicken Sie auf OK und dann auf Weiter.
  9. Legen Sie unter Wie kann das Problem behoben werden? den Namen der Benachrichtigung fest.
  10. Klicken Sie auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

POD_SECURITY_POLICY_DISABLED

PodSecurityPolicy ist auf einem GKE-Cluster deaktiviert.

Eine PodSecurityPolicy ist eine Ressource für die Zugangssteuerung, mit der Anforderungen zur Erstellung und Aktualisierung von Pods in einem Cluster validiert werden. Cluster akzeptieren keine Pods, die die in PodSecurityPolicy definierten Bedingungen nicht erfüllen.

Definieren und autorisieren Sie PodSecurityPolicies und aktivieren Sie den PodSecurityPolicy-Controller, um dieses Ergebnis zu beheben. Eine Anleitung finden Sie unter PodSecurityPolicies verwenden.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

PRIMITIVE_ROLES_USE

Ein Nutzer hat eine der folgenden grundlegenden IAM-Rollen: roles/owner, roles/editor oder roles/viewer. Diese Rollen sind zu weit gefasst und sollten nicht verwendet werden. Stattdessen sollten sie nur pro Projekt zugewiesen werden.

Weitere Informationen finden Sie unter Rollen verstehen.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie die IAM-Richtlinienseite auf.
    IAM-Richtlinie aufrufen
  2. Verwenden Sie für jeden Nutzer nur eine einfache Rolle. Verwenden Sie stattdessen detailliertere Rollen.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

PRIVATE_CLUSTER_DISABLED

Für einen GKE-Cluster ist ein privater Cluster deaktiviert.

Bei privaten Clustern können Knoten nur interne IP-Adressen haben. Dieses Feature begrenzt den ausgehenden Internetzugriff für Knoten. Wenn ein Clusterknoten keine öffentliche IP-Adresse hat, ist er nicht auffindbar oder öffentlich im öffentlichen Internet verfügbar. Mit einem internen Load-Balancer können Sie jedoch Traffic zu diesen Knoten weiterleiten. Weitere Informationen finden Sie unter Private Cluster.

Sie können einen vorhandenen Cluster nicht privat machen. Erstellen Sie einen neuen privaten Cluster, um dieses Ergebnis zu beheben:

  1. Rufen Sie in der Cloud Console die Seite Kubernetes-Cluster auf.
    Kubernetes-Cluster aufrufen
  2. Klicken Sie auf Cluster erstellen.
  3. Klicken Sie auf Verfügbarkeit, Netzwerk, Sicherheit und weitere Funktionen und dann auf die Kästchen für VPC nativ aktivieren (mit Alias-IP) und Privater Cluster.
  4. Klicken Sie auf Erstellen.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

PRIVATE_GOOGLE_ACCESS_DISABLED

Es gibt private Subnetze ohne Zugriff auf öffentliche Google APIs.

Der private Google-Zugriff ermöglicht VM-Instanzen, die nur über interne (private) IP-Adressen verfügen, die öffentlichen IP-Adressen von Google APIs und Diensten.

Weitere Informationen finden Sie unter Privaten Google-Zugriff konfigurieren.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie die Seite VPC-Netzwerke auf.
    Zu VPC-Netzwerken
  2. Klicken Sie in der Liste der Netzwerke auf den Namen des gewünschten Netzwerks.
  3. Klicken Sie auf der Seite VPC-Netzwerkdetails auf den Tab Subnetze.
  4. Klicken Sie in der Liste der Subnetze auf den Namen des Subnetzes, das dem Kubernetes-Cluster zugeordnet ist.
  5. Klicken Sie auf der Seite Subnetzdetails auf Bearbeiten .
  6. Wählen Sie unter Privater Google-Zugriff die Option Ein aus.
  7. Klicken Sie auf Speichern.
  8. Informationen zum Entfernen öffentlicher (externer) IP-Adressen aus VM-Instanzen, deren einziger externer Traffic zu Google APIs ist, finden Sie unter Zuweisung einer statischen externen IP-Adresse aufheben.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

PUBLIC_BUCKET_ACL

Ein Bucket ist öffentlich und jeder im Internet kann darauf zugreifen.

Weitere Informationen finden Sie unter Zugriffssteuerung.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Storage-Browser auf.
    Zum Browser "Storage"
  2. Wählen Sie den Bucket aus, der in den Ergebnissen von Security Health Analytics aufgeführt ist.
  3. Klicken Sie auf der Seite Bucket-Details auf den Tab Berechtigungen.
  4. Klicken Sie neben Anzeigen nach auf Rollen.
  5. Suchen Sie im Feld Filter nach allUsers und allAuthenticatedUsers.
  6. Klicken Sie auf Löschen , um alle IAM-Berechtigungen für allUsers und allAuthenticatedUsers zu entfernen.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

PUBLIC_COMPUTE_IMAGE

Ein Compute Engine-Image ist öffentlich und jeder im Internet kann darauf zugreifen. allUsers steht für alle Nutzer im Internet und allAuthenticatedUsers repräsentiert jeden, der mit einem Google-Konto Keine dieser Optionen ist auf Nutzer innerhalb Ihrer Organisation beschränkt.

Compute Engine-Images können vertrauliche Informationen wie Verschlüsselungsschlüssel oder lizenzierte Software enthalten. Solche vertraulichen Informationen sollten nicht öffentlich zugänglich sein. Wenn Sie dieses Compute Engine-Image öffentlich machen möchten, darf es keine vertraulichen Informationen enthalten.

Weitere Informationen finden Sie unter Zugriffssteuerung.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite mit den Compute Engine-Images auf.
    Compute Engine-Images aufrufen
  2. Klicken Sie das Kästchen neben dem Image public-image an und klicken Sie dann auf Infofeld ansehen.
  3. Suchen Sie im Feld Filter nach Mitgliedern für allUsers und allAuthenticatedUsers.
  4. Erweitern Sie die Rolle, aus der Sie Nutzer entfernen möchten.
  5. Klicken Sie auf Löschen, um einen Nutzer aus dieser Rolle zu entfernen.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

PUBLIC_DATASET

Ein BigQuery-Dataset ist öffentlich und für jeden im Internet zugänglich. Das IAM-Mitglied allUsers stellt jeden im Internet dar und allAuthenticatedUsers stellt alle Personen dar, die in einem Google-Dienst angemeldet sind. Beide sind auf Nutzer innerhalb Ihrer Organisation beschränkt.

Weitere Informationen finden Sie unter Zugriff auf Datasets steuern.

So können Sie dieses Ergebnis beheben:

  1. Seite BigQuery-Dataset öffnen
    BigQuery-Dataset aufrufen
  2. Klicken Sie auf Share Dataset (Dataset freigeben).
  3. Verwenden Sie im Bereich Dataset-Berechtigungen das Feld Mitglieder suchen, um nach allUsers und allAuthenticatedUsers zu suchen. den Zugriff für diese Mitglieder entfernen.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

PUBLIC_IP_ADDRESS

Eine Compute Engine-Instanz hat eine öffentliche IP-Adresse.

Vermeiden Sie es, Ihren VMs öffentliche IP-Adressen zuzuweisen, um die Angriffsfläche Ihrer Organisation zu verringern. Beendete Instanzen werden möglicherweise weiterhin mit einer öffentlichen IP-Suche gekennzeichnet, z. B. wenn die Netzwerkschnittstellen so konfiguriert sind, dass beim Start eine sitzungsspezifische öffentliche IP-Adresse zugewiesen wird. Achten Sie darauf, dass die Netzwerkkonfigurationen für beendete Instanzen keinen externen Zugriff enthalten.

Weitere Informationen finden Sie unter Sichere Verbindung zu VM-Instanzen herstellen.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite VM-Instanzen auf.
    Zur Seite VM-Instanzen
  2. Klicken Sie in der Liste der Instanzen auf das Kästchen neben dem Namen der Instanz.
  3. Klicken Sie auf  Bearbeiten.
  4. Für jede Schnittstelle unterNetzwerkschnittstellen klicken Sie auf "Bearbeiten" und festlegen Externe IP-Adresse bisKein Filter auf.
  5. Klicken Sie auf Fertig und anschließend auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

PUBLIC_LOG_BUCKET

Ein Storage-Bucket ist öffentlich und wird als Logsenke verwendet. Somit kann jeder im Internet auf Logs zugreifen, die in diesem Bucket gespeichert sind. allUsers steht für jeden im Internet, allAuthenticatedUsers stellt alle dar, die bei einem Google-Dienst angemeldet sind. Keines ist auf Nutzer innerhalb Ihrer Organisation beschränkt.

Weitere Informationen finden Sie unter Zugriffssteuerung.

So können Sie dieses Ergebnis beheben:

  1. Wechseln Sie zum Cloud Storage-Browser.
    Zum Cloud Storage-Browser
  2. Klicken Sie in der Bucket-Liste auf den Namen des Buckets, der im Ergebnis angegeben ist.
  3. Klicken Sie auf den Tab Berechtigungen.
  4. Entfernen Sie allUsers und allAuthenticatedUsers aus den Mitgliedern des Buckets.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

PUBLIC_SQL_INSTANCE

Ihre SQL-Instanz ist 0.0.0.0/0 als zulässiges Netzwerk zulässig. Das kann bedeuten, dass jeder IPv4-Client die Netzwerk-Firewall weitergeben und Anmeldeversuche an Ihre Instanz durchführen kann, einschließlich Clients, die Sie möglicherweise nicht zulassen möchten. Clients benötigen weiterhin gültige Anmeldedaten, um sich in Ihrer Instanz anmelden zu können.

Weitere Informationen finden Sie unter Mit autorisierten Netzwerken autorisieren.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Cloud SQL-Instanzen auf.
    Cloud SQL-Instanzen aufrufen
  2. Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
  3. Klicken Sie auf  Bearbeiten.
  4. Klicken Sie im Navigationsbereich auf Verbindungen.
  5. Löschen Sie unter Autorisierte Netzwerke den Eintrag 0.0.0.0/0 und fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die Sie mit der Instanz verbinden möchten.
  6. Klicken Sie auf Fertig und anschließend auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

PUBSUB_gserviceaccount_DISABLED

Ein Pub/Sub-Thema wird nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verschlüsselt.

Mit CMEK werden Schlüssel, die Sie in Cloud KMS erstellen und verwalten, verpackt, welche Schlüssel Google zur Verschlüsselung Ihrer Daten verwendet. Dadurch erhalten Sie mehr Kontrolle über den Zugriff auf Ihre Daten.

Um dieses Ergebnis zu beheben, löschen Sie das vorhandene Thema und erstellen Sie ein neues:

  1. Rufen Sie in der Cloud Console die Seite Pub/Sub (Themen) auf.

    Zu den Themen

  2. Falls erforderlich, wählen Sie das Projekt aus, das das Pub/Sub-Thema enthält.

  3. Klicken Sie unter dem gefundenen Thema auf das Kästchen und dann auf Delete (Löschen).

  4. Informationen zum Erstellen eines neuen Pub/Sub-Themas mit CMEK finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden. Für CMEK fallen zusätzliche Kosten für Cloud KMS an.

  5. Ergebnisse veröffentlichen oder andere Daten im CMEK-fähigen Pub/Sub-Thema veröffentlichen

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

ROUTE_NOT_FAILED

Logmesswerte und -benachrichtigungen sind nicht zum Überwachen von Änderungen der VPC-Netzwerkrouten konfiguriert.

Google Cloud-Routen sind Ziele und Hops, die den Pfad definieren, den der Netzwerkverkehr von einer VM-Instanz zu einer Ziel-IP führt. Durch das Monitoring von Änderungen an Routingtabellen können Sie dafür sorgen, dass der gesamte VPC-Traffic durch den erwarteten Pfad fließt.

Weitere Informationen finden Sie unter Übersicht über logbasierte Messwerte.

Abhängig von der Informationsmenge können die Cloud Monitoring-Kosten beträchtlich sein. Weitere Informationen zu Ihrer Nutzung des Dienstes und zu dessen Kosten finden Sie unter Kostenoptimierung für die Operations Suite von Google Cloud.

So können Sie dieses Ergebnis beheben:

Messwert erstellen

  1. Rufen Sie die Seite Logbasierte Messwerte auf.
    Logbasierte Messwerte aufrufen
  2. Klicken Sie auf Messwert erstellen.
  3. Wählen Sie unter Messwerttyp die Option Zähler aus.
  4. Unter Details:
    1. Legen Sie unter Name des Logmesswerts einen Namen fest.
    2. Fügen Sie eine Beschreibung hinzu.
    3. Legen Sie Einheiten auf 1 fest.
  5. Kopieren Sie unter Filterauswahl den folgenden Text und fügen Sie ihn in das Feld Build-Filter ein. Ersetzen Sie gegebenenfalls den vorhandenen Text:
      resource.type="gce_route"
      AND jsonPayload.event_subtype="compute.routes.delete"
      OR jsonPayload.event_subtype="compute.routes.insert"
    
  6. Klicken Sie auf Messwert erstellen. Sie sehen eine Bestätigung.

Benachrichtigungsrichtlinie erstellen

  1. Rufen Sie die Seite Logbasierte Messwerte auf.
    Logbasierte Messwerte aufrufen
  2. Wählen Sie unter Benutzerdefinierte Messwerte den Messwert aus, den Sie im vorherigen Abschnitt erstellt haben.
  3. Klicken Sie auf Mehr und anschließend auf Benachrichtigung aus Messwert erstellen. Wenn Sie aufgefordert werden, Ihr Projekt einem Arbeitsbereich hinzuzufügen, führen Sie diesen Vorgang aus.
  4. Klicken Sie auf der Seite, die geöffnet wird, im Navigationsmenü auf Benachrichtigungen.
  5. Klicken Sie unter Was möchten Sie erfassen? auf Bedingung hinzufügen und füllen Sie das Dialogfeld aus, um festzulegen, welche Ressourcen überwacht und wann Benachrichtigungen ausgelöst werden. Informationen zu den Feldern in einer Bedingung finden Sie unter Bedingungen angeben.
  6. Wenn Sie fertig sind, klicken Sie auf Hinzufügen und dann auf Weiter.
  7. Klicken Sie unter Wer soll benachrichtigt werden? auf das Drop-down-Menü Benachrichtigungskanäle und wählen Sie aus, wie Sie benachrichtigt werden möchten. Weitere Informationen finden Sie unter Benachrichtigungskanäle verwalten.
  8. Klicken Sie auf OK und dann auf Weiter.
  9. Legen Sie unter Wie kann das Problem behoben werden? den Namen der Benachrichtigung fest.
  10. Klicken Sie auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

REDIS_ROLE_SHARED_ON_ORG

Eine Redis-IAM-Rolle wird auf Organisations- oder Ordnerebene zugewiesen.

Die folgenden Redis-IAM-Rollen sollten nur pro Projekt und nicht auf Organisations- oder Ordnerebene zugewiesen werden:

  • roles/redis.admin
  • roles/redis.viewer
  • roles/redis.editor

Weitere Informationen finden Sie unter Zugriffssteuerung und Berechtigungen.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie die IAM-Richtlinienseite auf.
    IAM-Richtlinie aufrufen
  2. Entfernen Sie die im Ergebnis angegebenen Redis IAM-Rollen und fügen Sie sie stattdessen den einzelnen Projekten hinzu.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

RSASHA1_FOR_SIGNING

RSASHA1 wird zur Schlüsselsignatur in Cloud DNS-Zonen verwendet. Der für die Schlüsselsignatur verwendete Algorithmus sollte nicht schwach sein.

Sie können das Ergebnis korrigieren, indem Sie den Algorithmus durch einen empfohlenen ersetzen. Eine Anleitung hierzu finden Sie im Abschnitt Erweiterte Signaturoptionen verwenden.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

SERVICE_ACCOUNT_KEY_NOT_ROTATED

Ein vom Nutzer verwalteter Dienstkontoschlüssel wurde seit mehr als 90 Tagen nicht rotiert.

Nutzerverwaltete Dienstkontoschlüssel sollten alle 90 Tage rotiert werden, um sicherzustellen, dass Daten mit einem alten Schlüssel nicht zugänglich sind, der möglicherweise verloren gegangen, manipuliert oder gestohlen wurde. Weitere Informationen finden Sie unter Dienstkontoschlüssel verwalten.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie die Seite Dienstkonten auf.
    Zur Seite "Dienstkonten"
  2. Wählen Sie bei Bedarf das im Ergebnis enthaltene Projekt aus.
  3. Suchen Sie in der Liste der Dienstkonten nach dem gefundenen Dienstkonto und klicken Sie auf Löschen. Bevor Sie fortfahren, sollten Sie überlegen, wie sich das Löschen eines Dienstkontos auf Ihre Produktionsressourcen auswirken könnte.
  4. Erstellen Sie einen neuen Dienstkontoschlüssel, um den alten zu ersetzen. Weitere Informationen finden Sie unter Dienstkontoschlüssel erstellen.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

SERVICE_ACCOUNT_ROLE_SEPARATION

Mindestens einem Mitglied Ihrer Organisation wurden mehrere Dienstkontoberechtigungen zugewiesen. Kein Konto sollte gleichzeitig Dienstkonto-Berechtigungen und andere Dienstkontoberechtigungen haben. Weitere Informationen zu Dienstkonten und den verfügbaren Rollen finden Sie unter Dienstkonten.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite IAM auf.
    IAM aufrufen
  2. Klicken Sie neben dem im Security Health Analytics-Ergebnis aufgeführten Mitglied auf Edit (Bearbeiten).
  3. Klicken Sie zum Entfernen von Berechtigungen neben Dienstkonto-Administrator auf Löschen . Wenn Sie alle Dienstkontoberechtigungen entfernen möchten, klicken Sie neben allen anderen Berechtigungen auf Löschen.
  4. Klicken Sie auf Speichern.
  5. Wiederholen Sie die vorherigen Schritte für alle im Security Health Analytics-Ergebnis aufgeführten Mitglieder.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

SHIELDED_VM_DISABLED

Shielded VM ist für diese Compute Engine-Instanz deaktiviert.

Shielded VMs sind virtuelle Maschinen (VMs) in Google Cloud, die durch eine Reihe von Sicherheitsfunktionen gegen Rootkits und Bootkits geschützt werden. Shielded VM stellt sicher, dass Bootloader und Firmware signiert und verifiziert sind. Shielded VM

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite VM-Instanzen auf.
    Zur Seite „VM-Instanzen“
  2. Wählen Sie die Instanz aus, die mit der Suche von Security Health Analytics zusammenhängt.
  3. Klicken Sie auf der Seite Instanzdetails, die geladen wird, auf Beenden.
  4. Klicken Sie nach dem Beenden der Instanz auf Bearbeiten.
  5. Legen Sie im Abschnitt Shielded VM die Option vTPM aktivieren und Integrity Monitoring aktivieren fest, um Shielded VM zu aktivieren.
  6. Wenn Sie keine benutzerdefinierten oder nicht signierten Treiber verwenden, aktivieren Sie auch Secure Boot.
  7. Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzdetails angezeigt.
  8. Klicken Sie auf Starten, um die Instanz zu starten.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

SQL_CMEK_DISABLED

Eine SQL-Datenbankinstanz verwendet keine vom Kunden verwalteten Verschlüsselungsschlüssel (CMEK).

Mit CMEK werden Schlüssel, die Sie in Cloud KMS erstellen und verwalten, verpackt, welche Schlüssel Google zur Verschlüsselung Ihrer Daten verwendet. Dadurch erhalten Sie mehr Kontrolle über den Zugriff auf Ihre Daten. Weitere Informationen finden Sie in der CMEK-Übersicht für Ihr Produkt: Cloud SQL for MySQL, Cloud SQL for PostgreSQL oder Cloud SQL. für SQL Server. Für CMEK fallen zusätzliche Kosten für Cloud KMS an.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Cloud SQL-Instanzen auf.
    Cloud SQL-Instanzen aufrufen
  2. Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
  3. Klicken Sie auf Löschen.
  4. Folgen Sie der Anleitung zum Konfigurieren von CMEK für Ihr Produkt, um eine neue Instanz mit aktiviertem CMEK zu erstellen:
    1. Cloud SQL for MySQL
    2. Cloud SQL for PostgreSQL
    3. Cloud SQL for SQL Server

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

SQL_CONTAINED_DATABASE_AUTHENTICATION

Bei einer Cloud SQL for SQL Server-Datenbankinstanz ist das Flag für die integrierte Datenbankauthentifizierung nicht auf Aus gesetzt.

Mit dem Flag Integrierte Datenbankauthentifizierung wird gesteuert, ob enthaltene Datenbanken erstellt oder angehängt werden können. Eine enthaltene Datenbank enthält alle Datenbankeinstellungen und -metadaten, die zum Definieren der Datenbank erforderlich sind, und hat keine Konfigurationsabhängigkeiten auf der Instanz der Datenbank Engine, in der die Datenbank installiert ist.

Die Aktivierung dieses Flags wird aus folgenden Gründen nicht empfohlen:

  • Nutzer können auf der Ebene des Datenbankmoduls eine Verbindung zur Datenbank ohne Authentifizierung herstellen.
  • Durch das Isolieren der Datenbank aus der Datenbank Engine ist es möglich, die Datenbank auf eine andere Instanz von SQL Server zu verschieben.

Enthaltene Datenbanken weisen einzigartige Bedrohungen auf, die von Administratoren von SQL Server-Datenbank-Engines verstanden und beseitigt werden sollten. Die meisten Bedrohungen führen durch den Authentifizierungsvorgang USER WITH PASSWORD, durch den die Authentifizierungsgrenze von der Datenbank-Engine-Ebene auf die Datenbankebene verschoben wird.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Cloud SQL-Instanzen auf.
    Cloud SQL-Instanzen aufrufen
  2. Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
  3. Klicken Sie auf  Bearbeiten.
  4. Legen Sie im Abschnitt Datenbank-Flags für das Datenbank-Flag Verbundene Datenbankauthentifizierung den Wert Aus fest.
  5. Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

SQL_CROSS_DB_OWNERSHIP_CHAINING

Bei einer Cloud SQL for SQL Server-Datenbankinstanz ist das Datenbank-Flag Cross-DB-Inhaberschaftskette nicht auf Aus gesetzt.

Mit dem Flag Cross-DB-Inhaberschaft erstellen können Sie die datenbankübergreifende Verkettung der Datenbanken auf Datenbankebene steuern oder die datenbankübergreifende Verkettung der Datenbanken für alle Datenbankanweisungen zulassen.

Das Aktivieren dieses Flags wird nur empfohlen, wenn alle Datenbanken, die von der SQL Server-Instanz gehostet werden, an der datenbankübergreifenden Verkettung der datenbank beteiligt sind und Sie sich der Auswirkungen der Sicherheit dieser Einstellung bewusst sind.

Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Cloud SQL-Instanzen auf.
    Cloud SQL-Instanzen aufrufen
  2. Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
  3. Klicken Sie auf  Bearbeiten.
  4. Legen Sie im Abschnitt Datenbank-Flags für das Datenbank-Flag Cross-DB-Inhaberschaftskette den Wert Off fest.
  5. Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

SQL_INSTANCE_NOT_FAILED

Logmesswerte und -benachrichtigungen sind nicht zum Überwachen von Änderungen an der Cloud SQL-Instanz konfiguriert.

Eine falsche Konfiguration von SQL-Instanzoptionen kann zu Sicherheitsrisiken führen. Das Deaktivieren der automatischen Sicherungs- und Hochverfügbarkeitsoptionen kann die Geschäftskontinuität beeinträchtigen und nicht durch das Einschränken autorisierter Netzwerke die Präsenz auf nicht vertrauenswürdige Netzwerke erhöhen. Durch das Monitoring der Änderungen an der SQL-Instanzkonfiguration können Sie die erforderliche Zeit zum Erkennen und Korrigieren von Fehlkonfigurationen verkürzen.

Weitere Informationen finden Sie unter Übersicht zu logbasierten Messwerten.

Abhängig von der Informationsmenge können die Cloud Monitoring-Kosten beträchtlich sein. Weitere Informationen zu Ihrer Nutzung des Dienstes und zu dessen Kosten finden Sie unter Kostenoptimierung für die Operations Suite von Google Cloud.

So können Sie dieses Ergebnis beheben:

Messwert erstellen

  1. Rufen Sie die Seite Logbasierte Messwerte auf.
    Logbasierte Messwerte aufrufen
  2. Klicken Sie auf Messwert erstellen.
  3. Wählen Sie unter Messwerttyp die Option Zähler aus.
  4. Unter Details:
    1. Legen Sie unter Name des Logmesswerts einen Namen fest.
    2. Fügen Sie eine Beschreibung hinzu.
    3. Legen Sie Einheiten auf 1 fest.
  5. Kopieren Sie unter Filterauswahl den folgenden Text und fügen Sie ihn in das Feld Build-Filter ein. Ersetzen Sie gegebenenfalls den vorhandenen Text:
      protoPayload.methodName="cloudsql.instances.update"
    
  6. Klicken Sie auf Messwert erstellen. Sie sehen eine Bestätigung.

Benachrichtigungsrichtlinie erstellen

  1. Rufen Sie die Seite Logbasierte Messwerte auf.
    Logbasierte Messwerte aufrufen
  2. Wählen Sie unter Benutzerdefinierte Messwerte den Messwert aus, den Sie im vorherigen Abschnitt erstellt haben.
  3. Klicken Sie auf Mehr und anschließend auf Benachrichtigung aus Messwert erstellen. Wenn Sie aufgefordert werden, Ihr Projekt einem Arbeitsbereich hinzuzufügen, führen Sie diesen Vorgang aus.
  4. Klicken Sie auf der Seite, die geöffnet wird, im Navigationsmenü auf Benachrichtigungen.
  5. Klicken Sie unter Was möchten Sie erfassen? auf Bedingung hinzufügen und füllen Sie das Dialogfeld aus, um festzulegen, welche Ressourcen überwacht und wann Benachrichtigungen ausgelöst werden. Informationen zu den Feldern in einer Bedingung finden Sie unter Bedingungen angeben.
  6. Wenn Sie fertig sind, klicken Sie auf Hinzufügen und dann auf Weiter.
  7. Klicken Sie unter Wer soll benachrichtigt werden? auf das Drop-down-Menü Benachrichtigungskanäle und wählen Sie aus, wie Sie benachrichtigt werden möchten. Weitere Informationen finden Sie unter Benachrichtigungskanäle verwalten.
  8. Klicken Sie auf OK und dann auf Weiter.
  9. Legen Sie unter Wie kann das Problem behoben werden? den Namen der Benachrichtigung fest.
  10. Klicken Sie auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

SQL_LOCAL_INFILE

Bei einer Cloud SQL for MySQL-Datenbankinstanz ist das Datenbank-Flag local_infile nicht auf Aus gesetzt. Aufgrund von Sicherheitsproblemen, die mit dem Flag local_infile verknüpft sind, sollte es deaktiviert werden. Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Cloud SQL-Instanzen auf.
    Cloud SQL-Instanzen aufrufen
  2. Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
  3. Klicken Sie auf  Bearbeiten.
  4. Legen Sie im Abschnitt Datenbank-Flags für das Datenbank-Flag local_infile den Wert Aus fest.
  5. Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

SQL_LOG_CHECKPOINTS_DISABLED

In einer Cloud SQL for PostgreSQL-Datenbankinstanz ist das Datenbank-Flag log_checkpoints nicht auf Ein gesetzt.

Wenn Sie log_checkpoints aktivieren, werden Prüfpunkte und Neustartpunkte im Serverlog protokolliert. Die Statistiken enthalten einige Statistiken, einschließlich der Anzahl der geschriebenen Zwischenspeicher und der Zeit, die für das Schreiben benötigt wird.

Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Cloud SQL-Instanzen auf.
    Cloud SQL-Instanzen aufrufen
  2. Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
  3. Klicken Sie auf  Bearbeiten.
  4. Legen Sie im Abschnitt Datenbank-Flags für das Datenbank-Flag log_checkpoints den Wert On fest.
  5. Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

SQL_LOG_CONNECTIONS_DISABLED

In einer Cloud SQL for PostgreSQL-Datenbankinstanz ist das Datenbank-Flag log_connections nicht auf On gesetzt.

Durch Aktivieren der Einstellung log_connections werden versuchte Verbindungen zum Server protokolliert und nach Abschluss der Clientauthentifizierung. Diese Logs können bei der Behebung von Problemen hilfreich sein und auf unbeabsichtigte Verbindungsversuche mit dem Server verweisen.

Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Cloud SQL-Instanzen auf.
    Cloud SQL-Instanzen aufrufen
  2. Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
  3. Klicken Sie auf  Bearbeiten.
  4. Legen Sie im Abschnitt Datenbank-Flags für das Datenbank-Flag log_connections den Wert On fest.
  5. Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

SQL_LOG_DISCONNECTIONS_DISABLED

In einer Cloud SQL for PostgreSQL-Datenbankinstanz ist das Datenbank-Flag log_disconnections nicht auf On gesetzt.

Wenn Sie die Einstellung log_disconnections aktivieren, werden am Ende jeder Sitzung Logeinträge erstellt. Diese Logs sind bei der Behebung von Problemen und bei der Bestätigung von ungewöhnlichen Aktivitäten über einen bestimmten Zeitraum hilfreich. Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Cloud SQL-Instanzen auf.
    Cloud SQL-Instanzen aufrufen
  2. Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
  3. Klicken Sie auf  Bearbeiten.
  4. Legen Sie im Abschnitt Datenbank-Flags für das Datenbank-Flag log_disconnections den Wert On fest.
  5. Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

SQL_LOG_LOCK_WAITS_DISABLED

Bei einer Cloud SQL for PostgreSQL-Datenbankinstanz ist das Datenbank-Flag log_lock_waits nicht auf On gesetzt.

Durch Aktivieren der Einstellung log_lock_waits werden Logeinträge erstellt, wenn die Sitzung länger als die deadlock_timeout-Zeit benötigt, um eine Sperre zu erhalten. Mit den Logs können Sie feststellen, ob Sperrensperren eine schlechte Leistung verursachen.

Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Cloud SQL-Instanzen auf.
    Cloud SQL-Instanzen aufrufen
  2. Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
  3. Klicken Sie auf  Bearbeiten.
  4. Legen Sie im Abschnitt Datenbank-Flags das Datenbank-Flag log_lock_waits mit dem Wert On fest.
  5. Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

In einer Cloud SQL for PostgreSQL-Datenbankinstanz ist das Datenbank-Flag log_min_duration_statement nicht auf -1 festgelegt.

Das Flag log_min_duration_statement bewirkt, dass SQL-Anweisungen, die länger als eine angegebene Zeit dauern, protokolliert werden. Sie sollten diese Einstellung deaktivieren, da SQL-Anweisungen möglicherweise vertrauliche Informationen enthalten, die nicht protokolliert werden sollen. Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Cloud SQL-Instanzen auf.
    Cloud SQL-Instanzen aufrufen
  2. Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
  3. Klicken Sie auf  Bearbeiten.
  4. Legen Sie im Abschnitt Datenbank-Flags das Datenbank-Flag log_min_duration_statement auf den Wert -1 fest.
  5. Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

SQL_LOG_MIN_ERROR_STATEMENT

Für eine Cloud SQL for PostgreSQL-Datenbankinstanz ist das Datenbank-Flag log_min_duration_statement nicht ordnungsgemäß festgelegt.

Das Flag log_min_error_statement steuert, ob SQL-Anweisungen, die Fehlerbedingungen verursachen, in Serverlogs aufgezeichnet werden. SQL-Anweisungen des angegebenen Schweregrads oder höher werden mit Meldungen für die Fehleranweisungen protokolliert. Je größer der Schweregrad, desto mehr Nachrichten werden erfasst.

Wenn log_min_error_statement nicht auf den richtigen Wert eingestellt ist, werden Nachrichten möglicherweise nicht als Fehlermeldungen klassifiziert. Ein zu niedriger Schweregrad würde die Anzahl der Nachrichten erhöhen und die Ermittlung tatsächlicher Fehler erschweren. Ein zu hoher Schweregrad kann dazu führen, dass Fehlermeldungen bei tatsächlichen Fehlern nicht protokolliert werden.

Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Cloud SQL-Instanzen auf.
    Cloud SQL-Instanzen aufrufen
  2. Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
  3. Klicken Sie auf  Bearbeiten.
  4. Legen Sie im Abschnitt Datenbank-Flags das Datenbank-Flag log_min_duration_statement gemäß der Logging-Richtlinie Ihrer Organisation auf einen der folgenden empfohlenen Werte fest.
    • debug5
    • debug4
    • debug3
    • debug2
    • debug1
    • info
    • notice
    • warning
    • error
  5. Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

SQL_LOG_TEMP_FILES

Für eine Cloud SQL for PostgreSQL-Datenbankinstanz ist das Datenbank-Flag log_temp_files nicht auf 0 gesetzt.

Temporäre Dateien können für Sortiervorgänge, Hashes und temporäre Abfrageergebnisse erstellt werden. Wenn Sie das Flag log_temp_files auf 0 setzen, werden alle Informationen zu temporären Dateien protokolliert. Durch das Logging aller temporären Dateien können Sie mögliche Leistungsprobleme erkennen. Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Cloud SQL-Instanzen auf.
    Cloud SQL-Instanzen aufrufen
  2. Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
  3. Klicken Sie auf  Bearbeiten.
  4. Legen Sie im Abschnitt Datenbank-Flags das Datenbank-Flag log_temp_files auf den Wert 0 fest.
  5. Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

SQL_NO_ROOT_PASSWORD

Für eine MySQL-Datenbankinstanz wurde kein Passwort für das Root-Konto festgelegt. Sie sollten der MySQL-Datenbankinstanz ein Passwort hinzufügen. Weitere Informationen finden Sie unter MySQL-Nutzer.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Cloud SQL-Instanzen auf.
    Zu SQL-Instanzen
  2. Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
  3. Wählen Sie auf der Seite Instanzdetails den Tab Nutzer aus.
  4. Klicken Sie neben dem Nutzer root auf das Dreipunkt-Menü und wählen Sie Passwort ändern aus.
  5. Geben Sie ein neues, starkes Passwort ein und klicken Sie auf OK.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

SQL_PUBLIC_IP

Eine Cloud SQL-Datenbank hat eine öffentliche IP-Adresse.

Damit die Angriffsfläche der Organisation reduziert werden kann, sollten Cloud SQL-Datenbanken keine öffentlichen IP-Adressen haben. Private IP-Adressen bieten eine höhere Netzwerksicherheit und eine niedrigere Latenz für Ihre Anwendung.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Cloud SQL-Instanzen auf.
    Zu SQL-Instanzen
  2. Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
  3. Entfernen Sie auf dem Tab Verbindungen das Häkchen aus dem Kästchen Publicffentliche IP-Adressen.
  4. Wenn die Instanz nicht für die Verwendung einer privaten IP-Adresse konfiguriert ist, finden Sie weitere Informationen unter Private IP-Adresse für eine vorhandene Instanz konfigurieren.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

SQL_WEAK_ROOT_PASSWORD

Für eine MySQL-Datenbankinstanz wurde für das Root-Konto ein schwaches Passwort festgelegt. Sie sollten ein starkes Passwort für die Instanz festlegen. Weitere Informationen finden Sie unter MySQL-Nutzer.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Cloud SQL-Instanzen auf.
    Zu SQL-Instanzen
  2. Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
  3. Wählen Sie auf der Seite Instanzdetails den Tab Nutzer aus.
  4. Klicken Sie neben dem Nutzer root auf das Dreipunkt-Menü und wählen Sie Passwort ändern aus.
  5. Geben Sie ein neues, starkes Passwort ein und klicken Sie auf OK.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

SSL_NOT_ENFORCED

Eine Cloud SQL-Datenbankinstanz erfordert nicht, dass alle eingehenden Verbindungen SSL verwenden.

Damit bei sensiblen Daten bei der Übertragung durch unverschlüsselte Kommunikation keine Datenlecks entstehen, sollten alle bei Ihrer SQL-Datenbank eingehenden Verbindungen SSL verwenden. SSL/TLS konfigurieren.

Sie können dieses Ergebnis beheben, indem Sie für Ihre SQL-Instanzen nur SSL-Verbindungen zulassen:

  1. Rufen Sie in der Cloud Console die Seite Cloud SQL-Instanzen auf.
    Zu SQL-Instanzen
  2. Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
  3. Klicken Sie auf dem Tab Verbindungen auf Nur SSL-Verbindungen zulassen.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

TOO_MANY_KMS_USERS

Begrenzt die Anzahl der Hauptnutzer, die kryptografische Schlüssel verwenden können. Die folgenden vordefinierten Rollen gewähren Berechtigungen zum Verschlüsseln, Entschlüsseln oder Signieren von Daten mit kryptografischen Schlüsseln:

  • roles/owner
  • roles/cloudkms.cryptoKeyEncrypterDecrypter
  • roles/cloudkms.cryptoKeyEncrypter
  • roles/cloudkms.cryptoKeyDecrypter
  • roles/cloudkms.signer
  • roles/cloudkms.signerVerifier

Weitere Informationen finden Sie unter Berechtigungen und Rollen.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Cloud KMS-Schlüssel auf.
    Cloud KMS-Schlüssel aufrufen
  2. Klicken Sie auf den Namen des Schlüsselbunds, das Sie im Ergebnis erhalten.
  3. Klicken Sie auf den Namen des im Ergebnis angegebenen Schlüssels.
  4. Klicken Sie das Kästchen neben der primären Version an und klicken Sie dann auf Infofeld ansehen.
  5. Reduzieren Sie die Anzahl der Hauptkonten, die die Berechtigungen zum Verschlüsseln, Entschlüsseln oder Signieren von Daten auf höchstens drei haben. Klicken Sie neben einem Mitglied auf Löschen , um Berechtigungen zu widerrufen.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

NUTZER_MANAGED_SERVICE_ACCOUNT_KEY

Ein Nutzer verwaltet einen Dienstkontoschlüssel.

Dienstkonten sollten keine vom Nutzer verwalteten Schlüssel haben, da sie einfach zu bereinigen sind. Weitere Informationen finden Sie unter Dienstkontoschlüssel verwalten.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie die Seite Dienstkonten auf.
    Zur Seite "Dienstkonten"
  2. Wählen Sie bei Bedarf das im Ergebnis enthaltene Projekt aus.
  3. Löschen Sie vom Nutzer verwaltete Dienstkontoschlüssel, die im Ergebnis angegeben sind, wenn sie von keiner Anwendung verwendet werden.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

WEAT_SSL_POLICY

Eine Compute Engine-Instanz hat eine schwache SSL-Richtlinie.

HTTPS- und SSL-Proxy-Load-Balancer verwenden SSL-Richtlinien, um das Protokoll und die Chiffresammlungen zu ermitteln, die in den TLS-Verbindungen zwischen Nutzern und dem Internet verwendet werden. Diese Verbindungen verschlüsseln sensible Daten, um zu verhindern, dass böswillige Abwanderer auf sie zugreifen. Eine schwache SSL-Richtlinie ermöglicht Clients, die veraltete Versionen von TLS verwenden, um eine Verbindung mit einer weniger sicheren Cipher Suite oder einem Protokoll herzustellen. Eine Liste der empfohlenen und veralteten Chiffresammlungen finden Sie auf der Seite "TLS-Parameter" auf [iana.org]. (https://www.iana.org/assignments/tls-parameters/tls-parameters.xhtml#tls-parameters-4)

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Zielproxys auf.
    Weiter zu Zielproxys
  2. Suchen Sie den Zielproxy, der in den Befund- und Weiterleitungsregeln in der Spalte Verwendet von angegeben ist.
  3. Informationen zum Erstellen einer neuen oder zum Aktualisieren einer vorhandenen SSL-Richtlinie finden Sie unter SSL-Richtlinien verwenden. Die Richtlinie sollte mindestens eine minimale TLS-Version von 1.2 und ein modernes oder eingeschränktes Profil haben.
  4. Wenn Sie ein benutzerdefiniertes Profil verwenden möchten , müssen die folgenden Chiffresammlungen deaktiviert sein:
    • TLS_RSA_WITH_AES_128_GCM_SHA256
    • TLS_RSA_WITH_AES_256_GCM_SHA384
    • TLS_RSA_WITH_AES_128_CBC_SHA
    • TLS_RSA_WITH_AES_256_CBC_SHA
    • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  5. Wenden Sie die SSL-Richtlinie auf alle zuvor angegebenen Weiterleitungsregeln an.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

WEB_UI_ENABLED

Die GKE-Web-UI (Dashboard) ist aktiviert.

Ein Kubernetes-Dienstkonto mit privilegierten Back-Ends ermöglicht die Kubernetes-Weboberfläche. Wenn er manipuliert wurde, kann das Dienstkonto missbraucht werden. Wenn Sie die Cloud Console bereits verwenden, erweitert die Kubernetes-Weboberfläche die Angriffsfläche unnötig. Kubernetes-Weboberfläche deaktivieren

Deaktivieren Sie die Kubernetes-Weboberfläche, um dieses Ergebnis zu beheben:

  1. Rufen Sie in der Cloud Console die Seite Kubernetes-Cluster auf.
    Kubernetes-Cluster aufrufen
  2. Klicken Sie auf den Namen des Clusters, der unter "Sicherheitsintegritäts-Analyse" aufgeführt ist.
  3. Klicken Sie auf  Bearbeiten.

    Wenn die Clusterkonfiguration kürzlich geändert wurde, ist die Schaltfläche "Bearbeiten" möglicherweise deaktiviert. Wenn Sie die Clustereinstellungen nicht bearbeiten können, warten Sie einige Minuten und versuchen Sie es dann noch einmal.

  4. Klicken Sie auf Add-ons. Der Abschnitt wird erweitert, damit Sie alle verfügbaren Add-ons sehen.

  5. Wählen Sie in der Drop-down-Liste Kubernetes-Dashboard die Option Deaktiviert aus.

  6. Klicken Sie auf Speichern.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen

WORKLOAD_IDENTITY_DISABLED

Workload Identity ist in einem GKE-Cluster deaktiviert.

Für das Aufrufen von Google Cloud-Diensten aus GKE wird Workload Identity empfohlen, weil es bessere Sicherheitsmerkmale bietet und leichter zu verwalten ist. Wenn diese Funktion aktiviert wird, schützt sie einige potenziell vertrauliche Systemmetadaten vor Nutzerarbeitslasten, die in Ihrem Cluster ausgeführt werden. Lesen Sie die Informationen zur Metadatenverbergung.

Folgen Sie der Anleitung unter Arbeitslastidentität auf einem Cluster aktivieren, um diese Befunde zu beheben.

Weitere Informationen zu unterstützten Asset- und Scaneinstellungen