Behebung von Security Health Analytics-Ergebnissen

>

Auf dieser Seite finden Sie eine Liste von Referenzleitfäden und -techniken zur Behebung von Security Health Analytics-Ergebnissen mithilfe von Security Command Center.

Behebung von Security Health Analytics-Ergebnissen

BUCKET_LOGGING_DISABLED

Damit Sicherheitsprobleme besser untersucht und der Speicherverbrauch besser überwacht werden können, sollten Sie Zugriffslogs und Speicherinformationen für Ihre Cloud Storage-Buckets aktivieren. Zugriffslogs liefern Informationen über alle Anfragen an einen bestimmten Bucket und die Speicherlogs liefern Informationen über den Speicherverbrauch dieses Buckets.

Richten Sie zur Behebung dieses Ergebnisses das Logging für den Bucket ein, der im Security Health Analytics-Ergebnis angegeben ist, indem Sie den Leitfaden Zugriffs- und Speicherlogs befolgen.

CLUSTER_LOGGING_DISABLED

Wir empfehlen Ihnen, Cloud Logging auf Ihren Clustern zu aktivieren. Dies hilft bei der Untersuchung von Sicherheitsproblemen und bei der Überwachung der Nutzung.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Kubernetes-Cluster auf.
    Zur Seite "Kubernetes-Cluster"
  2. Wählen Sie den Cluster aus, der im Security Health Analytics-Ergebnis aufgeführt ist.
  3. Klicken Sie auf Bearbeiten.

    Wenn die Clusterkonfiguration kürzlich geändert wurde, ist die Schaltfläche "Bearbeiten" möglicherweise deaktiviert. Wenn Sie die Clustereinstellungen nicht bearbeiten können, warten Sie einige Minuten und versuchen Sie es dann noch einmal.

  4. Wählen Sie in der Drop-down-Liste Legacy-Stackdriver Logging oder Stackdriver Kubernetes Engine Monitoring die Option Aktiviert aus.

    Diese Optionen sind nicht miteinander kompatibel. Achten Sie darauf, dass Sie entweder Stackdriver Kubernetes Engine Monitoring allein oder Legacy-Stackdriver Logging mit Legacy-Stackdriver Monitoring verwenden.

  5. Klicken Sie auf Speichern.

CLUSTER_MONITORING_DISABLED

Wir empfehlen Ihnen, Cloud Monitoring auf Ihren Clustern zu aktivieren. Dies hilft bei der Untersuchung von Sicherheitsproblemen und bei der Überwachung der Nutzung.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Kubernetes-Cluster auf.
    Zur Seite "Kubernetes-Cluster"
  2. Wählen Sie den Cluster aus, der im Security Health Analytics-Ergebnis aufgeführt ist.
  3. Klicken Sie auf Bearbeiten.

    Wenn die Clusterkonfiguration kürzlich geändert wurde, ist die Schaltfläche "Bearbeiten" möglicherweise deaktiviert. Wenn Sie die Clustereinstellungen nicht bearbeiten können, warten Sie einige Minuten und versuchen Sie es dann noch einmal.

  4. Wählen Sie in der Drop-down-Liste Legacy-Stackdriver Monitoring oder Stackdriver Kubernetes Engine Monitoring die Option Aktiviert aus.

    Diese Optionen sind nicht miteinander kompatibel. Achten Sie darauf, dass Sie entweder Stackdriver Kubernetes Engine Monitoring allein oder Legacy-Stackdriver Monitoring mit Legacy-Stackdriver Logging verwenden.

  5. Klicken Sie auf Speichern.

DEFAULT_SERVICE_ACCOUNT_sleep

Das Compute Engine-Standarddienstkonto hat die Rolle "Bearbeiter" des Projekts, um einen Lese- und Schreibzugriff auf die meisten Google Cloud-Dienste zu gewähren. Verwenden Sie nicht das standardmäßige Compute Engine-Dienstkonto, um Berechtigungen bei Eskalationen und nicht autorisierten Zugriff zu verhindern. Stattdessen sollten Sie ein neues Dienstkonto erstellen und nur die Berechtigungen zuweisen, die von der Instanz benötigt werden. Weitere Informationen zu Rollen und Berechtigungen finden Sie unter Zugriffssteuerung.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite VM-Instanzen auf.
    Zur Seite "VM-Instanzen"
  2. Wählen Sie die Instanz aus, die mit der Suche von Security Health Analytics zusammenhängt.
  3. Klicken Sie auf der Seite Instanzdetails, die geladen wird, auf Beenden.
  4. Wenn die Instanz nicht mehr ausgeführt wird, klicken Sie auf Bearbeiten.
  5. Wählen Sie im Abschnitt Dienstkonto ein Dienstkonto aus, das nicht das Compute Engine-Standarddienstkonto ist. Möglicherweise müssen Sie zuerst ein neues Dienstkonto erstellen. Weitere Informationen zu den Rollen und Berechtigungen in der Identitäts- und Zugriffsverwaltung finden Sie unter Zugriffssteuerung.
  6. Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzdetails angezeigt.

KMS_PUBLIC_KEY

Der KMS-Kryptoschlüssel oder KMS-Schlüsselring, der von der Security Health Analytics angezeigt wird, ist öffentlich und kann von jedem im Internet aufgerufen werden.

So beheben Sie das Ergebnis, wenn es mit einem KMS-Kryptoschlüssel zusammenhängt:

  1. Rufen Sie in der Cloud Console die Seite Kryptografische Schlüssel auf.
    Kryptografische Schlüssel
  2. Wählen Sie unter Name den Schlüsselbund aus, der den kryptografischen Schlüssel für die Ergebnisse von Security Health Analytics enthält.
  3. Klicken Sie auf der Seite Schlüsselbunddetails das Kästchen neben dem kryptografischen Schlüssel an.
  4. Wenn das Infofeld nicht angezeigt wird, klicken Sie auf die Schaltfläche Infofeld ansehen.
  5. Filterfeld oben verwendenRolle / Mitglied Mitglieder suchen fürNutzer allAuthenticatedUsers und klicken Sie auf das Papierkorbsymbol, um den Zugriff für diese Mitglieder zu entfernen.

So beheben Sie das gefundene Ergebnis, wenn es mit einem KMS-Schlüsselring verknüpft ist:

  1. Rufen Sie in der Cloud Console die Seite Kryptografische Schlüssel auf.
    Kryptografische Schlüssel
  2. Suchen Sie die Zeile mit dem in der Benutzeroberfläche beschriebenen Schlüsselbund und klicken Sie das Kästchen an.
  3. Wenn das Infofeld nicht angezeigt wird, klicken Sie auf die Schaltfläche Infofeld ansehen.
  4. Filterfeld oben verwendenRolle / Mitglied Mitglieder suchen fürNutzer allAuthenticatedUsers und klicken auf das Papierkorbsymbol, um den Zugriff für diese Mitglieder zu entfernen.

KMS_ROLE_SEPARATION

Mindestens einem Mitglied Ihrer Organisation wurden mehrere KMS-Berechtigungen zugewiesen. Es wird empfohlen, keinem Konto gleichzeitig Cloud KMS-Administrator und andere KMS-Berechtigungen zuzuweisen.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die IAM-Seite auf.
    Zur IAM-Seite
  2. Klicken Sie neben dem Mitglied, das im Security Health Analytics-Ergebnis aufgeführt ist, auf Bearbeiten.
  3. Klicken Sie neben Cloud KMS-Administrator auf Löschen, um Berechtigungen zu entfernen. Wenn Sie alle Berechtigungen für das Mitglied entfernen möchten, klicken Sie neben allen anderen Berechtigungen auf Löschen.
  4. Klicken Sie auf Speichern.
  5. Wiederholen Sie die vorherigen Schritte für alle im Security Health Analytics-Ergebnis aufgeführten Mitglieder.

LEGACY_AUTHORIZATION_ENABLED

In Kubernetes können Sie über eine rollenbasierte Zugriffssteuerung (Role-based access control, RBAC) Rollen mit Regeln definieren, die aus einem Satz von Berechtigungen bestehen, und Berechtigungen auf Cluster- und Namespace-Ebene erteilen. Durch diese Funktion wird die Sicherheit verbessert, da Nutzer nur Zugriff auf bestimmte Ressourcen haben. Es wird empfohlen, die alte attributbasierte Zugriffssteuerung (ABAC) zu deaktivieren.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Kubernetes-Cluster auf.
    Zur Seite "Kubernetes-Cluster"
  2. Wählen Sie den Cluster aus, der im Security Health Analytics-Ergebnis aufgeführt ist.
  3. Klicken Sie auf Bearbeiten.

    Wenn die Clusterkonfiguration kürzlich geändert wurde, ist die Schaltfläche "Bearbeiten" möglicherweise deaktiviert. Wenn Sie die Clustereinstellungen nicht bearbeiten können, warten Sie einige Minuten und versuchen Sie es dann noch einmal.

  4. Wählen Sie in der Drop-down-Liste Alte Autorisierung die Option Deaktiviert aus.

  5. Klicken Sie auf Speichern.

MASTER_AUTHORIZED_NETWORKS_DISABLED

Autorisierte Master-Netzwerke verbessern die Sicherheit Ihres Containerclusters, da sie den Zugriff über bestimmte IP-Adressen auf die Steuerebene Ihres Clusters verhindern.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Kubernetes-Cluster auf.
    Zur Seite "Kubernetes-Cluster"
  2. Wählen Sie den Cluster aus, der im Security Health Analytics-Ergebnis aufgeführt ist.
  3. Klicken Sie auf Bearbeiten.

    Wenn die Clusterkonfiguration kürzlich geändert wurde, ist die Schaltfläche "Bearbeiten" möglicherweise deaktiviert. Wenn Sie die Clustereinstellungen nicht bearbeiten können, warten Sie einige Minuten und versuchen Sie es dann noch einmal.

  4. Wählen Sie in der Drop-down-Liste Autorisierte Masternetzwerke die Option Aktiviert aus.

  5. Klicken Sie auf Autorisiertes Netzwerk hinzufügen.

  6. Geben Sie die gewünschten autorisierten Netzwerke an.

  7. Klicken Sie auf Speichern.

NETWORK_POLICY_DISABLED

Standardmäßig ist die Pod-zu-Pod-Kommunikation offen. Durch die offene Kommunikation können Pods eine direkte Verbindung zwischen Knoten herstellen, mit oder ohne NAT. Eine NetworkPolicy ist wie eine Firewall auf Pod-Ebene, die Verbindungen zwischen Pods einschränkt, es sei denn, die NetworkPolicy erlaubt die Verbindung ausdrücklich. Lesen Sie die Informationen zum Definieren von Netzwerkrichtlinien.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Kubernetes-Cluster auf.
    Zur Seite "Kubernetes-Cluster"
  2. Wählen Sie den Cluster aus, der im Security Health Analytics-Ergebnis aufgeführt ist.
  3. Klicken Sie auf Bearbeiten.

    Wenn die Clusterkonfiguration kürzlich geändert wurde, ist die Schaltfläche "Bearbeiten" möglicherweise deaktiviert. Wenn Sie die Clustereinstellungen nicht bearbeiten können, warten Sie einige Minuten und versuchen Sie es dann noch einmal.

  4. Wählen Sie im Drop-down-Menü Netzwerkrichtlinie für Master und Netzwerkrichtlinie für Knoten die Option Aktiviert aus.

  5. Klicken Sie auf Speichern.

NON_ORG_IAM_MEMBER

Ein Nutzer außerhalb Ihrer Organisation hat IAM-Berechtigungen für ein Projekt oder eine Organisation. Übersicht über IAM-Berechtigungen

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die IAM-Seite auf.
    Zur IAM-Seite
  2. Klicken Sie auf das Kästchen neben Nutzern außerhalb Ihrer Organisation.
  3. Klicken Sie auf Entfernen.

OBJECT_VERSIONING_DISABLED

Damit Sie auch bereits gelöschte oder überschriebene Objekte abrufen können, bietet Cloud Storage die Möglichkeit der Objektversionsverwaltung. Aktivieren Sie die Objektversionierung, um Ihre Cloud Storage-Daten vor dem Überschreiben oder versehentlichen Löschen zu schützen. Objektversionierung aktivieren

Zur Behebung dieses Problems verwenden Sie den Befehl gsutil versioning set on mit dem entsprechenden Wert, z. B. gsutil versioning set on gs://finding.assetDisplayName.

OPEN_FIREWALL

Firewallregeln, die Verbindungen von allen IP-Adressen wie 0.0.0.0/0 oder von allen Ports zulassen, können Ressourcen unnötigerweise Angriffen durch unerwünschte Quellen aussetzen. Diese Regeln sollten entfernt oder explizit auf die vorgesehenen Quell-IP-Bereiche oder -Ports ausgerichtet werden. In Anwendungen, die öffentlich sein sollen, sollten Sie beispielsweise die zulässigen Ports für die Anwendung wie 80 und 443 einschränken. Wenn Ihre Anwendung Verbindungen von allen IP-Adressen oder Ports zulassen muss, können Sie das Asset auflisten.

Weitere Informationen zum Aktualisieren von Firewallregeln

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite "Firewallregeln" auf.
    Zur Seite "Firewallregeln"
  2. Klicken Sie auf die Firewallregel, die im Security Health Analytics-Ergebnis aufgeführt ist, und klicken Sie dann auf Bearbeiten.
  3. Bearbeiten Sie unter Quell-IP-Bereiche die IP-Werte, um den Bereich der zulässigen IP-Adressen einzuschränken.
  4. Wählen Sie unter Protokolle und Ports die Option Angegebene Protokolle und Ports aus, klicken Sie die Kästchen für zulässige Protokolle an und geben Sie die zulässigen Ports ein.
  5. Klicken Sie auf Speichern.

ORG_POLICY_LOCATION_EINSCHRÄNKUNG

Mit der Einschränkung der Organisationsrichtlinie gcp.resourceLocations können Sie die Erstellung neuer Ressourcen auf ausgewählte Cloud-Regionen beschränken. Weitere Informationen finden Sie unter Ressourcenstandorte einschränken.

So können Sie dieses Ergebnis beheben:

Der Detektor ORG_POLICY_LOCATION_RESTRICTION deckt viele Ressourcentypen und Anleitungen zur Problembehebung für jede Ressource ab. Der allgemeine Ansatz zur Behebung von Standortverstößen ist Folgendes:

  1. Kopieren, verschieben oder sichern Sie die Ressource, die nicht zur Region gehört, in eine Ressource innerhalb der Region. Eine Anleitung zum Verschieben von Ressourcen finden Sie in der Dokumentation zu den einzelnen Diensten.
  2. Löschen Sie die ursprüngliche Ressource, die außerhalb der Region liegt, oder die zugehörigen Daten.

Dies ist nicht für alle Ressourcentypen möglich. Weitere Informationen finden Sie in den angepassten Empfehlungen, die im Ergebnis enthalten sind.

Weitere Überlegungen

Verwaltete Ressourcen

Die Lebenszykluszyklen von Ressourcen können von anderen Ressourcen verwaltet und kontrolliert werden. Beispielsweise werden in einer verwalteten Compute Engine-Instanz gemäß den Autoscaling-Richtlinien der Instanzgruppe Compute Engine-Instanzen erstellt und gelöscht. Wenn verwaltete und Verwaltung von Ressourcen für den Standortdurchsetzung gelten, werden beide möglicherweise als Verstöße gegen die Organisationsrichtlinie gemeldet. Die Wiederherstellung der Ergebnisse für verwaltete Ressourcen sollte auf der Ressourcenverwaltung durchgeführt werden, um die Stabilität des Vorgangs sicherzustellen.

Verwendete Ressourcen

Bestimmte Ressourcen werden von anderen Ressourcen genutzt. Beispielsweise wird ein Compute Engine-Laufwerk, das an eine laufende Compute Engine-Instanz angehängt ist, von der Instanz als verwendet verwendet. Wenn die verwendete Ressource gegen die Organisationsrichtlinie für Standorte verstößt, müssen Sie prüfen, ob die Ressource verwendet wird, bevor Sie den Standortverstoß beheben.

OS_LOGIN_DISABLED

OS Login aktiviert die zentralisierte Verwaltung von SSH-Schlüsseln mit IAM und deaktiviert die metadatenbasierte SSH-Schlüsselkonfiguration aller Instanzen eines Projekts. Lesen Sie die Informationen zum Einrichten und Konfigurieren von OS Login.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Metadaten auf.
    Öffnen Sie die Seite "Metadaten".
  2. Klicken Sie zuerst auf Bearbeiten und dann auf Element hinzufügen.
  3. Fügen Sie ein Element mit dem Schlüssel enable-oslogin und dem Wert TRUE hinzu.

POD_SECURITY_POLICY_DISABLED

Eine PodSecurityPolicy ist eine Ressource für die Zugangssteuerung, mit der Anforderungen zur Erstellung und Aktualisierung von Pods in einem Cluster validiert werden. Die PodSecurityPolicy definiert eine Reihe von Bedingungen, die Pods erfüllen müssen, um vom Cluster akzeptiert zu werden.

Definieren und autorisieren Sie PodSecurityPolicies und aktivieren Sie den PodSecurityPolicy-Controller, um dieses Ergebnis zu beheben. Eine Anleitung finden Sie in der Anleitung PodSecurityPolicies.

PRIVATE_CLUSTER_DISABLED

Bei privaten Clustern können Knoten nur interne IP-Adressen haben. Dadurch wird der ausgehende Internetzugriff eingeschränkt. Ohne öffentliche IP-Adresse sind Clusterknoten nicht auffindbar und für das öffentliche Internet nicht sichtbar. Mit einem internen Load-Balancer können Sie jedoch Traffic zu diesen Knoten weiterleiten.

Sie können einen vorhandenen Cluster nicht privat machen. Erstellen Sie einen neuen privaten Cluster, um dieses Ergebnis zu beheben:

  1. Rufen Sie in der Cloud Console die Seite Kubernetes-Cluster auf.
    Zur Seite "Kubernetes-Cluster"
  2. Klicken Sie auf Cluster erstellen.
  3. Klicken Sie auf Verfügbarkeit, Netzwerk, Sicherheit und weitere Funktionen und dann auf die Kästchen für VPC nativ aktivieren (mit Alias-IP) und Privater Cluster.
  4. Klicken Sie auf Erstellen.

PUBLIC_BUCKET_ACL

Der für das Ergebnis der Security Health Analytics-Erkennung angegebene Bucket ist öffentlich und jeder im Internet kann darauf zugreifen.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Storage-Browser auf.
    Storage-Browser
  2. Wählen Sie den Bucket aus, der in den Ergebnissen von Security Health Analytics aufgeführt ist.
  3. Klicken Sie auf der Seite Bucket-Details auf den Tab Berechtigungen.
  4. Klicken Sie unter Rolle(n) auf Löschen, um alle IAM-Berechtigungen zu entfernen, die allUsers und allAuthenticatedUsers gewährt wurden.

SERVICE_ACCOUNT_ROLE_SEPARATION

Mindestens einem Mitglied Ihrer Organisation wurden mehrere Dienstkontoberechtigungen zugewiesen. Es wird empfohlen, keinem Konto gleichzeitig Dienstkontoadministrator-Berechtigungen und andere Dienstkontoberechtigungen zuzuweisen.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die IAM-Seite auf.
    Zur IAM-Seite
  2. Klicken Sie neben dem Mitglied, das im Security Health Analytics-Ergebnis aufgeführt ist, auf Bearbeiten.
  3. Klicken Sie zum Entfernen von Berechtigungen neben Dienstkontoadministrator auf Löschen. Wenn Sie alle Dienstkontoberechtigungen entfernen möchten, klicken Sie neben allen anderen Berechtigungen auf Löschen.
  4. Klicken Sie auf Speichern.
  5. Wiederholen Sie die vorherigen Schritte für alle im Security Health Analytics-Ergebnis aufgeführten Mitglieder.

SHIELDED_VM_DISABLED

Shielded VMs sind virtuelle Maschinen (VMs) in Google Cloud, die durch eine Reihe von Sicherheitsfunktionen gegen Rootkits und Bootkits geschützt werden. Shielded VMs gewährleisten, dass Bootloader und Firmware signiert und verifiziert werden. Shielded VM

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite VM-Instanzen auf.
    Zur Seite "VM-Instanzen"
  2. Wählen Sie die Instanz aus, die mit der Suche von Security Health Analytics zusammenhängt.
  3. Klicken Sie auf der Seite Instanzdetails, die geladen wird, auf Beenden.
  4. Wenn die Instanz nicht mehr ausgeführt wird, klicken Sie auf Bearbeiten.
  5. Legen Sie im Abschnitt Shielded VM die Option vTPM aktivieren und Integrity Monitoring aktivieren fest, um Shielded VM zu aktivieren.
  6. Wenn Sie keine benutzerdefinierten oder nicht signierten Treiber verwenden, aktivieren Sie auch Secure Boot.
  7. Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzdetails angezeigt.
  8. Klicken Sie nun auf Starten, um die Instanz zu starten.

SQL_CONTAINED_DATABASE_AUTHENTICATION

Für die Cloud SQL for SQL Server-Datenbankinstanz, die durch die Ergebnisse der Sicherheitsintegritäts-Analyse angegeben wird, ist das Datenbank-Flag Verbundene Datenbankauthentifizierung nicht auf Aus gesetzt.

Mit dem Flag Integrierte Datenbankauthentifizierung wird gesteuert, ob enthaltene Datenbanken erstellt oder angehängt werden können. Eine enthaltene Datenbank enthält alle Datenbankeinstellungen und -metadaten, die zum Definieren der Datenbank erforderlich sind, und hat keine Konfigurationsabhängigkeiten auf der Instanz der Datenbank-Engine, auf der die Datenbank installiert ist.

Die Aktivierung dieses Flags wird aus folgenden Gründen nicht empfohlen:

  • Nutzer können ohne Authentifizierung auf Datenbankebene auf die Datenbank zugreifen.
  • Durch das Isolieren der Datenbank aus der Datenbank Engine ist es möglich, die Datenbank auf eine andere Instanz von SQL Server zu verschieben.

Enthaltene Datenbanken weisen einzigartige Bedrohungen auf, die von Administratoren von SQL Server-Datenbank-Engines verstanden und beseitigt werden sollten. Die meisten Bedrohungen führen zu einer PASSWORD -Authentifizierung. Damit wird die Authentifizierungsmethode von der Datenbank-Engine-Ebene auf die Datenbankebene verschoben.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Cloud SQL-Instanzen auf.
    Zur Seite "Cloud SQL-Instanzen"
  2. Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
  3. Klicken Sie auf Bearbeiten.
  4. Legen Sie im Abschnitt Datenbank-Flags für das Datenbank-Flag Verbundene Datenbankauthentifizierung den Wert Aus fest.
  5. Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.

SQL_CROSS_DB_OWNERSHIP_CHAINING

Für die Cloud SQL for SQL Server-Datenbankinstanz, die im Ergebnis der Sicherheitsintegritäts-Analyse angegeben wird, ist das Datenbank-Flag cross db Ownershiping nicht auf Off gesetzt.

Mit dem Flag Cross-DB-Inhaberschaft erstellen können Sie die datenbankübergreifende Verkettung der Datenbanken auf Datenbankebene steuern oder die datenbankübergreifende Verkettung der Datenbanken für alle Datenbankanweisungen zulassen.

Das Aktivieren dieses Flags wird nur empfohlen, wenn alle Datenbanken, die von der SQL Server-Instanz gehostet werden, an der datenbankübergreifenden Verkettung der datenbank beteiligt sind und Sie die Sicherheitsbeeinträchtigungen dieser Einstellung kennen.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Cloud SQL-Instanzen auf.
    Zur Seite "Cloud SQL-Instanzen"
  2. Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
  3. Klicken Sie auf Bearbeiten.
  4. Legen Sie im Abschnitt Datenbank-Flags für das Datenbank-Flag Cross-DB-Inhaberschaftskette den Wert Off fest.
  5. Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.

SQL_LOCAL_INFILE

Für die Datenbankinstanz von Cloud SQL for MySQL, die im Ergebnis der Sicherheitsintegritäts-Analyse angegeben wird, ist das Datenbank-Flag local_infile nicht auf Aus gesetzt. Aufgrund von Sicherheitsproblemen, die mit dem Flag local_infile verknüpft sind, wird empfohlen, diese Option zu deaktivieren.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Cloud SQL-Instanzen auf.
    Zur Seite "Cloud SQL-Instanzen"
  2. Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
  3. Klicken Sie auf Bearbeiten.
  4. Legen Sie im Abschnitt Datenbank-Flags für das Datenbank-Flag local_infile den Wert Aus fest.
  5. Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.

SQL_LOG_CHECKPOINTS_DISABLED

Das Attribut log_checkpoints für die Cloud SQL for PostgreSQL-Datenbankinstanz ist auf On nicht gesetzt.

Wenn Sie log_checkpoints aktivieren, werden Prüfpunkte und Neustartpunkte im Serverlog protokolliert. Die Statistiken enthalten einige Statistiken, einschließlich der Anzahl der geschriebenen Zwischenspeicher und der Zeit, die für das Schreiben benötigt wird.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Cloud SQL-Instanzen auf.
    Zur Seite "Cloud SQL-Instanzen"
  2. Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
  3. Klicken Sie auf Bearbeiten.
  4. Legen Sie im Abschnitt Datenbank-Flags für das Datenbank-Flag log_checkpoints den Wert On fest.
  5. Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.

SQL_LOG_CONNECTIONS_DISABLED

Für die Cloud SQL for PostgreSQL-Datenbankinstanz, die Sie anhand der Sicherheitsintegritäts-Analyse finden, ist das Datenbank-Flag log_connections nicht auf On gesetzt.

Durch Aktivieren der Einstellung log_connections werden versuchte Verbindungen zum Server protokolliert und nach Abschluss der Clientauthentifizierung. Diese Logs können bei der Behebung von Problemen hilfreich sein und auf unbeabsichtigte Verbindungsversuche mit dem Server verweisen.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Cloud SQL-Instanzen auf.
    Zur Seite "Cloud SQL-Instanzen"
  2. Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
  3. Klicken Sie auf Bearbeiten.
  4. Legen Sie im Abschnitt Datenbank-Flags das Datenbank-Flag log_connections auf den Wert On fest.
  5. Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.

SQL_LOG_DISCONNECTIONS_DISABLED

Für die Cloud SQL for PostgreSQL-Datenbankinstanz, die Sie anhand der Sicherheitsintegritäts-Analyse finden, ist das Datenbank-Flag log_disconnections nicht auf On gesetzt.

Wenn Sie die Einstellung log_disconnections aktivieren, werden am Ende jeder Sitzung Logeinträge erstellt. Diese Logs sind bei der Behebung von Problemen und bei der Bestätigung von ungewöhnlichen Aktivitäten über einen bestimmten Zeitraum hilfreich.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Cloud SQL-Instanzen auf.
    Zur Seite "Cloud SQL-Instanzen"
  2. Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
  3. Klicken Sie auf Bearbeiten.
  4. Legen Sie im Abschnitt Datenbank-Flags für das Datenbank-Flag log_disconnections den Wert On fest.
  5. Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.

SQL_LOG_LOCK_WAITS_DISABLED

Das Feld log_lock_waits für die Datenbank-Instanz von Cloud SQL for PostgreSQL wurde nicht auf On gesetzt.

Durch Aktivieren der Einstellung log_lock_waits werden Logeinträge erstellt, wenn die Sitzung länger als die deadlock_timeout-Zeit benötigt, um eine Sperre zu erhalten. Mithilfe der Logs kann ermittelt werden, ob die Sperren die Leistung beeinträchtigen.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Cloud SQL-Instanzen auf.
    Zur Seite "Cloud SQL-Instanzen"
  2. Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
  3. Klicken Sie auf Bearbeiten.
  4. Legen Sie im Abschnitt Datenbank-Flags das Datenbank-Flag log_lock_waits mit dem Wert On fest.
  5. Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.

SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

Das Feld log_min_duration_statement für die Datenbank-SQL-PostgreSQL-Datenbank ist nicht auf -1 festgelegt.

Das Flag log_min_duration_statement führt dazu, dass SQL-Anweisungen, die länger als eine angegebene Zeit dauern, protokolliert werden. Es wird empfohlen, diese Einstellung zu deaktivieren, da SQL-Anweisungen möglicherweise vertrauliche Informationen enthalten, die nicht protokolliert werden sollen.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Cloud SQL-Instanzen auf.
    Zur Seite "Cloud SQL-Instanzen"
  2. Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
  3. Klicken Sie auf Bearbeiten.
  4. Legen Sie im Abschnitt Datenbank-Flags das Datenbank-Flag log_min_duration_statement auf den Wert -1 fest.
  5. Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.

SQL_LOG_TEMP_FILES

Für die Cloud SQL for PostgreSQL-Datenbankinstanz, die Sie anhand der Sicherheitsintegritäts-Analyse finden, ist das Datenbank-Flag log_temp_files nicht auf 0 gesetzt.

Temporäre Dateien können für Sortiervorgänge, Hashes und temporäre Abfrageergebnisse erstellt werden. Wenn Sie das Flag log_temp_files auf 0 setzen, werden alle Informationen zu temporären Dateien protokolliert. Durch das Logging aller temporären Dateien können Sie mögliche Leistungsprobleme erkennen.

So können Sie dieses Ergebnis beheben:

  1. Rufen Sie in der Cloud Console die Seite Cloud SQL-Instanzen auf.
    Zur Seite "Cloud SQL-Instanzen"
  2. Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
  3. Klicken Sie auf Bearbeiten.
  4. Legen Sie im Abschnitt Datenbank-Flags das Datenbank-Flag log_temp_files auf den Wert 0 fest.
  5. Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.

SQL_NO_ROOT_PASSWORD

Die von Security Health Analytics angegebenen MySQL-Datenbankinstanzen haben für das Root-Konto kein Passwort festgelegt.

Um dieses Ergebnis zu beheben, fügen Sie den MySQL-Datenbankinstanzen ein Passwort hinzu:

  1. Rufen Sie in der Cloud Console die Seite SQL-Instanzen auf.
    Weiter zur Seite "SQL-Instanzen"
  2. Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
  3. Wählen Sie auf der Seite Instanzdetails den Tab Nutzer aus.
  4. Klicken Sie neben dem Nutzer root auf Mehr und wählen Sie Passwort ändern aus.
  5. Geben Sie ein neues, starkes Passwort ein und klicken Sie auf OK.

SQL_WEAK_ROOT_PASSWORD

Die in den Security Health Analytics-Ergebnissen angegebenen MySQL-Datenbankinstanzen haben ein schwaches Passwort für das Root-Konto.

Legen Sie ein starkes Passwort für die MySQL-Datenbankinstanzen fest, um dieses Ergebnis zu beheben:

  1. Rufen Sie in der Cloud Console die Seite SQL-Instanzen auf.
    Weiter zur Seite "SQL-Instanzen"
  2. Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
  3. Wählen Sie auf der Seite Instanzdetails den Tab Nutzer aus.
  4. Klicken Sie neben dem Nutzer root auf Mehr und wählen Sie Passwort ändern aus.
  5. Geben Sie ein neues, starkes Passwort ein und klicken Sie auf OK.

SSL_NOT_ENFORCED

Damit bei sensiblen Daten bei der Übertragung durch unverschlüsselte Kommunikation keine Datenlecks entstehen, sollten alle bei Ihrer SQL-Datenbank eingehenden Verbindungen SSL verwenden. SSL/TLS konfigurieren.

Sie können dieses Ergebnis beheben, indem Sie für Ihre SQL-Instanzen nur SSL-Verbindungen zulassen:

  1. Rufen Sie in der Cloud Console die Seite SQL-Instanzen auf.
    Weiter zur Seite "SQL-Instanzen"
  2. Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
  3. Klicken Sie auf dem Tab Verbindungen auf Nur SSL-Verbindungen zulassen.

WEB_UI_ENABLED

Ein Kubernetes-Dienstkonto mit privilegierten Back-Ends ermöglicht die Kubernetes-Weboberfläche. Wenn er manipuliert wurde, kann das Dienstkonto missbraucht werden. Wenn Sie die Cloud Console bereits verwenden, erweitert die Kubernetes-Weboberfläche die Angriffsfläche unnötig. Kubernetes-Weboberfläche deaktivieren

Deaktivieren Sie die Kubernetes-Weboberfläche, um dieses Ergebnis zu beheben:

  1. Rufen Sie in der Cloud Console die Seite Kubernetes-Cluster auf.
    Zur Seite "Kubernetes-Cluster"
  2. Wählen Sie den Cluster aus, der im Security Health Analytics-Ergebnis aufgeführt ist.
  3. Klicken Sie auf Bearbeiten.

    Wenn die Clusterkonfiguration kürzlich geändert wurde, ist die Schaltfläche "Bearbeiten" möglicherweise deaktiviert. Wenn Sie die Clustereinstellungen nicht bearbeiten können, warten Sie einige Minuten und versuchen Sie es dann noch einmal.

  4. Klicken Sie auf Add-ons. Der Abschnitt wird erweitert, damit Sie alle verfügbaren Add-ons sehen.

  5. Wählen Sie in der Drop-down-Liste Kubernetes-Dashboard die Option Deaktiviert aus.

  6. Klicken Sie auf Speichern.

WORKLOAD_IDENTITY_DISABLED

Für das Aufrufen von Google Cloud-Diensten aus GKE wird Workload Identity empfohlen, weil es bessere Sicherheitsmerkmale bietet und leichter zu verwalten ist. Wenn diese Funktion aktiviert wird, schützt sie einige potenziell vertrauliche Systemmetadaten vor Nutzerarbeitslasten, die in Ihrem Cluster ausgeführt werden. Lesen Sie die Informationen zur Metadatenverbergung.

Folgen Sie der Anleitung unter Workload Identity auf einem vorhandenen Cluster aktivieren, um dieses Ergebnis zu beheben.