Behebung von Security Health Analytics-Ergebnissen

Auf dieser Seite finden Sie eine Liste von Referenzleitfäden und -techniken zur Behebung von Security Health Analytics-Ergebnissen mithilfe von Security Command Center.

Sie benötigen ausreichende IAM-Rollen (Identity and Access Management), um die Ergebnisse anzusehen oder zu bearbeiten und auf Google Cloud-Ressourcen zuzugreifen oder diese zu ändern. Wenn beim Zugriff auf Security Command Center in der Google Cloud Console Berechtigungsfehler auftreten, bitten Sie Ihren Administrator um Unterstützung. Informationen zu Rollen finden Sie unter Zugriffssteuerung. Informationen zum Beheben von Ressourcenfehlern finden Sie in der Dokumentation der betroffenen Produkte.

Behebung von Security Health Analytics-Ergebnissen

Dieser Abschnitt enthält Anweisungen zur Behebung aller Ergebnisse von Security Health Analytics.

Deaktivierung von Ergebnissen nach Korrektur

Nachdem Sie eine Sicherheitslücke oder ein Fehlkonfigurationsergebnis behoben haben, setzt Security Health Analytics den Status des Ergebnisses beim nächsten Scan automatisch auf INACTIVE. Wie lange Security Health Analytics benötigt, um ein korrigiertes Ergebnis auf INACTIVE zu setzen, hängt davon ab, wann das Ergebnis behoben ist und vom Zeitplan des Scans, der das Ergebnis erkennt.

Security Health Analytics legt auch den Status eines Ergebnisses auf INACTIVE fest, wenn ein Scan erkennt, dass die vom Ergebnis betroffene Ressource gelöscht ist. Wenn Sie ein Ergebnis für eine gelöschte Ressource aus der Anzeige entfernen möchten, während Security Health Analytics das Löschen der Ressource erkennt, können Sie das Ergebnis stummschalten. Informationen zum Ausblenden eines Ergebnisses finden Sie unter Ergebnisse in Security Command Center ausblenden.

Verwenden Sie die „Ausblenden“ nicht, um korrigierte Ergebnisse für vorhandene Ressourcen auszublenden. Wenn das Problem wieder auftritt und Security Health Analytics den ACTIVE-Status des Ergebnisses wiederherstellt, wird das wieder aktivierte Ergebnis möglicherweise nicht angezeigt, da ausgeblendete Ergebnisse von jeder Ergebnisabfrage ausgeschlossen werden, die NOT mute="MUTED" angibt, z. B. der Standardergebnisabfrage.

Informationen zu Scanintervallen finden Sie unter Scantypen in Security Health Analytics.

`Access Transparency disabled`

Kategoriename in der API: ACCESS_TRANSPARENCY_DISABLED

In Access Transparency wird protokolliert, wenn Google Cloud-Mitarbeiter auf Projekte in Ihrer Organisation zugreifen, um Support zu leisten. Aktivieren Sie Access Transparency, um zu protokollieren, wer von Google Cloud wann und warum auf Ihre Informationen zugreift. Weitere Informationen finden Sie unter Access Transparency.

Zum Aktivieren der Access Transparency für ein Projekt muss das Projekt mit einem Rechnungskonto verknüpft sein.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Access Transparency Admin (roles/axt.admin) auf Organisationsebene zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Ausführen dieser Aufgabe benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Diese vordefinierte Rolle enthält die Berechtigungen axt.labels.get und axt.labels.set, die zum Ausführen dieser Aufgabe erforderlich sind. Möglicherweise können Sie diese Berechtigungen auch mit einer benutzerdefinierten Rolle oder anderen vordefinierten Rollen erhalten.

Schritte zur Abhilfe

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Prüfen Sie Ihre Berechtigungen auf Organisationsebene:
1. Rufen Sie in der Google Cloud Console die Seite Identity and Access Management auf.
  
  Identitäts- und Zugriffsverwaltung aufrufen
2. Wenn Sie dazu aufgefordert werden, wählen Sie im Auswahlmenü die Google Cloud-Organisation aus.
Wählen Sie über das Auswahlmenü ein beliebiges Google Cloud-Projekt in der Organisation aus.

Access Transparency wird auf einer Google Cloud-Projektseite konfiguriert, aber für die gesamte Organisation aktiviert.
Gehen Sie zur Seite IAM & Verwaltung > Einstellungen.
Klicken Sie auf Access Transparency aktivieren.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`AlloyDB auto backup disabled`

Kategoriename in der API: ALLOYDB_AUTO_BACKUP_DISABLED

Für einen AlloyDB for PostgreSQL-Cluster sind keine automatischen Sicherungen aktiviert.

Aktivieren Sie automatische Sicherungen für Ihren Cluster, um Datenverluste zu vermeiden. Weitere Informationen finden Sie unter Zusätzliche automatische Sicherungen konfigurieren.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite mit den AlloyDB for PostgreSQL-Clustern auf.

Zu AlloyDB for PostgreSQL-Clustern
Klicken Sie in der Spalte Ressourcenname auf einen Cluster.
Klicken Sie auf Datenschutz.
Klicken Sie im Bereich Richtlinie für automatische Sicherungen in der Zeile Automatische Sicherungen auf Bearbeiten.
Klicken Sie das Kästchen Automatische Sicherungen an.
Klicken Sie auf Aktualisieren.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`AlloyDB log min error statement severity`

Kategoriename in der API: ALLOYDB_LOG_MIN_ERROR_STATEMENT_SEVERITY

Bei einer AlloyDB for PostgreSQL-Instanz ist das Datenbank-Flag log_min_error_statement nicht auf error oder einen anderen empfohlenen Wert festgelegt.

Das Flag log_min_error_statement steuert, ob SQL-Anweisungen, die Fehlerbedingungen verursachen, in Serverlogs aufgezeichnet werden. SQL-Anweisungen mit dem angegebenen Schweregrad oder höher werden in Logs geschrieben. Je höher der Schweregrad, desto weniger Meldungen werden aufgezeichnet. Wenn ein zu hoher Schweregrad festgelegt ist, werden Fehlermeldungen möglicherweise nicht in Logs geschrieben.

Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite mit den AlloyDB for PostgreSQL-Clustern auf.

Zu AlloyDB for PostgreSQL-Clustern
Klicken Sie in der Spalte Ressourcenname auf den Cluster.
Klicken Sie im Bereich Instanzen im Cluster für die Instanz auf Bearbeiten.
Klicken Sie auf Advanced Configuration Options.
Legen Sie im Bereich Flags das Datenbank-Flag log_min_error_statement gemäß der Logging-Richtlinie Ihrer Organisation auf einen der folgenden empfohlenen Werte fest.
- debug5
- debug4
- debug3
- debug2
- debug1
- info
- notice
- warning
- error
Klicken Sie auf Instanz aktualisieren.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`AlloyDB log min messages`

Kategoriename in der API: ALLOYDB_LOG_MIN_MESSAGES

Bei einer AlloyDB for PostgreSQL-Instanz ist das Datenbank-Flag log_min_messages nicht auf mindestens warning festgelegt.

Das Flag log_min_messages steuert, welche Nachrichtenebenen in Serverlogs aufgezeichnet werden. Je höher der Schweregrad, desto weniger Meldungen werden aufgezeichnet. Wenn Sie den Schwellenwert zu niedrig ansetzen, können Größe und Länge des Logspeichers erhöht werden, wodurch das Auffinden tatsächlicher Fehler erschwert wird.

Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite mit den AlloyDB for PostgreSQL-Clustern auf.

Zu AlloyDB for PostgreSQL-Clustern
Klicken Sie in der Spalte Ressourcenname auf den Cluster.
Klicken Sie im Bereich Instanzen im Cluster für die Instanz auf Bearbeiten.
Klicken Sie auf Advanced Configuration Options.
Legen Sie im Bereich Flags das Datenbank-Flag log_min_messages gemäß der Logging-Richtlinie Ihrer Organisation auf einen der folgenden empfohlenen Werte fest.
- debug5
- debug4
- debug3
- debug2
- debug1
- info
- notice
- warning
Klicken Sie auf Instanz aktualisieren.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`AlloyDB log error verbosity`

Kategoriename in der API: ALLOYDB_LOG_ERROR_VERBOSITY

Bei einer AlloyDB for PostgreSQL-Instanz ist das Datenbank-Flag log_error_verbosity nicht auf default oder einen anderen weniger restriktiven Wert festgelegt.

Das Flag log_error_verbosity steuert die Detailgenauigkeit in den protokollierten Nachrichten. Je höher der Ausführlichkeitsgrad, desto mehr Details werden in den Meldungen aufgezeichnet. Wir empfehlen, dieses Flag auf default oder einen anderen weniger einschränkenden Wert festzulegen.

Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite mit den AlloyDB for PostgreSQL-Clustern auf.

Zu AlloyDB for PostgreSQL-Clustern
Klicken Sie in der Spalte Ressourcenname auf den Cluster.
Klicken Sie im Bereich Instanzen im Cluster für die Instanz auf Bearbeiten.
Klicken Sie auf Advanced Configuration Options.
Legen Sie im Bereich Flags das Datenbank-Flag log_error_verbosity gemäß der Logging-Richtlinie Ihrer Organisation auf einen der folgenden empfohlenen Werte fest.
- default
- verbose
Klicken Sie auf Instanz aktualisieren.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Admin service account`

Kategoriename in der API: ADMIN_SERVICE_ACCOUNT

Einem Dienstkonto in Ihrer Organisation oder Ihrem Projekt sind die Berechtigungen Administrator, Inhaber oder Bearbeiter zugewiesen. Diese Rollen haben umfassende Berechtigungen und sollten nicht Dienstkonten zugewiesen werden. Weitere Informationen zu Dienstkonten und den dafür verfügbaren Rollen finden Sie unter Dienstkonten.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite IAM-Richtlinien auf.

Zur IAM-Richtlinie
Für jedes im Ergebnis identifizierte Hauptkonto:
1. Klicken Sie neben dem Hauptkonto auf Bearbeiten .
2. Klicken Sie neben der entsprechenden Rolle oben auf Löschen , um die Berechtigungen zu entfernen.
3. Klicken Sie auf Speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Alpha cluster enabled`

Kategoriename in der API: ALPHA_CLUSTER_ENABLED

Alphaclusterfunktionen sind für einen GKE-Cluster (Google Kubernetes Engine) aktiviert.

Mit Alphaclustern können erste Nutzer mit Arbeitslasten experimentieren, die neue Features verwenden, bevor sie für die Allgemeinheit veröffentlicht werden. In Alphaclustern sind alle Features der GKE API aktiviert. Allerdings sind diese Cluster nicht durch das GKE-SLA abgedeckt und erhalten keine Sicherheitsupdates. Außerdem sind automatische Knotenupgrades und die automatische Knotenreparatur deaktiviert und es können keine Upgrades durchgeführt werden. Nach 30 Tagen werden sie außerdem automatisch gelöscht.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Alphacluster können nicht deaktiviert werden. Sie müssen einen neuen Cluster mit deaktivierten Alphafeatures erstellen.

Rufen Sie in der Google Cloud Console die GKE-Seite Kubernetes Cluster auf.

Zur Seite "Kubernetes-Cluster"
Klicken Sie auf Erstellen.
Wählen Sie neben dem zu erstellenden Clustertyp Konfigurieren aus.
Im Tab Features muss Kubernetes-Alphafeatures in diesem Cluster aktivieren deaktiviert sein.
Hinweis: Wenn Sie GKE Autopilot ausgewählt haben, wird diese Option nicht angezeigt, da Alpha-Cluster nicht unterstützt werden.
Klicken Sie auf Erstellen.
Informationen zum Verschieben von Arbeitslasten auf den neuen Cluster finden Sie unter Arbeitslasten zu anderen Maschinentypen migrieren.
Informationen zum Löschen des ursprünglichen Clusters finden Sie unter Cluster löschen.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`API key APIs unrestricted`

Kategoriename in der API: API_KEY_APIS_UNRESTRICTED

API-Schlüssel werden zu umfassend verwendet.

Uneingeschränkte API-Schlüssel sind unsicher, da sie von Geräten, auf denen der Schlüssel gespeichert wird oder öffentlich sichtbar ist, abgerufen werden können, z. B. aus einem Browser. Konfigurieren Sie API-Schlüssel nach dem Prinzip der geringsten Berechtigung so, dass nur APIs aufgerufen werden, die für die Anwendung erforderlich sind. Weitere Informationen finden Sie unter Einschränkungen für API-Schlüssel anwenden.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite API-Schlüssel auf.

Zu den API-Schlüsseln
Führen Sie für jeden API-Schlüssel die folgenden Schritte aus:
1. Rufen Sie im Abschnitt API-Schlüssel in der Zeile für jeden API-Schlüssel, für den Sie APIs einschränken müssen, das Menü Aktionen auf. Klicken Sie dazu auf .
2. Klicken Sie im Menü Aktionen auf API-Schlüssel bearbeiten. Die Seite API-Schlüssel bearbeiten wird geöffnet.
3. Wählen Sie im Abschnitt API-Einschränkungen die Option APIs einschränken aus. Das Drop-down-Menü APIs auswählen wird angezeigt.
4. Wählen Sie in der Drop-down-Liste APIs auswählen aus, welche APIs zugelassen werden sollen.
  
  Warnung:Legen Sie die API-Einschränkungen nicht auf Google Cloud APIs fest, da dies den Zugriff auf alle von Google Cloud angebotenen Dienste ermöglicht.
5. Klicken Sie auf Speichern. Es kann bis zu fünf Minuten dauern, bis die Einstellungen wirksam werden.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`API key apps unrestricted`

Kategoriename in der API: API_KEY_APPS_UNRESTRICTED

API-Schlüssel werden uneingeschränkt verwendet und ermöglichen die Nutzung durch nicht vertrauenswürdige Anwendungen.

Uneingeschränkte API-Schlüssel sind unsicher, da sie auf Geräten, auf denen der Schlüssel gespeichert wird oder öffentlich sichtbar ist, abgerufen werden können, z. B. aus einem Browser. Beschränken Sie nach dem Prinzip der geringsten Berechtigung die Nutzung von API-Schlüsseln auf vertrauenswürdige Hosts, HTTP-Verweis-URLs und Anwendungen. Weitere Informationen finden Sie unter Einschränkungen für API-Schlüssel anwenden.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite API-Schlüssel auf.

Zu den API-Schlüsseln
Führen Sie für jeden API-Schlüssel die folgenden Schritte aus:
1. Rufen Sie im Abschnitt API-Schlüssel in der Zeile für jeden API-Schlüssel, für den Sie Anwendungen einschränken müssen, das Menü Aktionen auf. Klicken Sie dazu auf das Symbol .
2. Klicken Sie im Menü Aktionen auf API-Schlüssel bearbeiten. Die Seite API-Schlüssel bearbeiten wird geöffnet.
3. Wählen Sie auf der Seite API-Schlüssel bearbeiten unter Anwendungseinschränkungen eine Einschränkungskategorie aus. Sie können pro Schlüssel eine Anwendungseinschränkung festlegen.
4. Klicken Sie im Feld Element hinzufügen, das beim Auswählen einer Einschränkung angezeigt wird, auf Element hinzufügen, um je nach den Anforderungen Ihrer Anwendung Einschränkungen hinzuzufügen.
5. Wenn Sie alle gewünschten Elemente hinzugefügt haben, klicken Sie auf Fertig.
  
  Warnung: Legen Sie als HTTP-Verweis-URLs keine Platzhalterzeichen fest, die den Zugriff auf beliebige/breite HTTP-Verweis-URLs zulassen. Beispiel:* .*.[TLD] oder.[TLD]/* . Legen Sie keine IP-Adressen und Verweis-URLs fest, die Host zulassen (0.0.0.0 .::0 oder0.0.0.0/0).
6. Klicken Sie auf Speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`API key exists`

Kategoriename in der API: API_KEY_EXISTS

Ein Projekt nutzt API-Schlüssel anstelle der Standardauthentifizierung.

API-Schlüssel sind weniger sicher als andere Authentifizierungsmethoden, da sie einfach verschlüsselte Strings sind und von anderen leicht erkannt und verwendet werden können. Sie können auf Geräten, auf denen der Schlüssel gespeichert oder öffentlich sichtbar ist, z. B. aus einem Browser abgerufen werden. Außerdem lassen sich Nutzer oder Anwendungen, von denen Anfragen gesendet werden, nicht eindeutig von API-Schlüsseln identifizieren. Alternativ können Sie einen Standardauthentifizierungsvorgang mit Dienstkonten oder Nutzerkonten verwenden.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Ihre Anwendungen sollten mit einer alternativen Art der Authentifizierung konfiguriert werden.
Rufen Sie in der Google Cloud Console die Seite Anmeldedaten der API auf.

Zu den API-Anmeldedaten
Zeigen Sie im Abschnitt API-Schlüssel in der Zeile für jeden API-Schlüssel, den Sie löschen müssen, das Menü Aktionen an. Dazu klicken Sie auf das Symbol .
Klicken Sie im Menü Aktionen auf API-Schlüssel löschen.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`API key not rotated`

Kategoriename in der API: API_KEY_NOT_ROTATED

Der API-Schlüssel wurde seit mehr als 90 Tagen nicht rotiert.

API-Schlüssel laufen nicht ab. Wenn ein Schlüssel gestohlen wird, kann er unbefristet verwendet werden, wenn er nicht vom Projektinhaber aufgehoben oder rotiert wird. Werden API-Schlüssel regelmäßig neu generiert, können gestohlene API-Schlüssel weniger lange verwendet werden, um Daten auf einem manipulierten oder gekündigten Konto aufzurufen. Rotieren Sie API-Schlüssel mindestens alle 90 Tage. Weitere Informationen finden Sie unter API-Schlüssel sichern.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite API-Schlüssel auf.

Zu den API-Schlüsseln
Führen Sie für jeden API-Schlüssel die folgenden Schritte aus:
1. Klicken im Bereich API-Schlüssel in der Zeile des zu rotierenden API-Schlüssels auf das Symbol , um das Menü Aktionen aufzurufen.
2. Klicken Sie im Menü Aktionen auf API-Schlüssel bearbeiten. Die Seite API-Schlüssel bearbeiten wird geöffnet.
3. Wenn auf der Seite API-Schlüssel bearbeiten das Datum im Feld Erstellungsdatum älter als 90 Tage ist, ersetzen Sie den Schlüssel, indem Sie auf Schlüssel neu generieren oben auf der Seite klicken. Ein neuer Ersatzschlüssel wird generiert.
4. Klicken Sie auf Speichern.
5. Damit Ihre Anwendungen weiterhin unterbrechungsfrei funktionieren, sollten Sie den neuen API-Schlüssel aktualisieren. Der alte API-Schlüssel funktioniert 24 Stunden, bevor er dauerhaft deaktiviert wird.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Audit config not monitored`

Kategoriename in der API: AUDIT_CONFIG_NOT_MONITORED

Logmesswerte und Benachrichtigungen sind nicht so konfiguriert, dass Änderungen an der Audit-Konfiguration überwacht werden.

Cloud-Audit-Logging erstellt Administrator- und Datenzugriffslogs, die Sicherheitsanalysen, das Verfolgen von Ressourcenänderungen und die Complianceprüfung ermöglichen. Durch das Monitoring der Audit-Konfigurationsänderungen sorgen Sie dafür, dass alle Aktivitäten in Ihrem Projekt jederzeit geprüft werden können. Weitere Informationen finden Sie in der Übersicht zu logbasierten Messwerten.

Abhängig von der Menge der Informationen können die Cloud Monitoring-Kosten erheblich sein. Informationen zur Nutzung des Dienstes und zu seinen Kosten finden Sie unter Kostenoptimierung für die Beobachtbarkeit von Google Cloud.

Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Erstellen Sie Messwerte, falls nötig, und erstellen Sie Benachrichtigungsrichtlinien, um dieses Ergebnis zu beheben:

Messwert erstellen

Rufen Sie in der Google Cloud Console die Seite Logbasierte Messwerte auf.

Weiter zu logbasierten Messwerten
Klicken Sie auf Messwert erstellen.
Wählen Sie unter Messwerttyp die Option Zähler aus.
Unter Details:
1. Legen Sie unter Name des Logmesswerts einen Namen fest.
2. Fügen Sie eine Beschreibung hinzu.
3. Legen Sie Einheiten auf 1 fest.
Kopieren Sie unter Filterauswahl den folgenden Text und fügen Sie ihn in das Feld Filter erstellen ein. Ersetzen Sie bei Bedarf den vorhandenen Text:
```
  protoPayload.methodName="SetIamPolicy"
  AND protoPayload.serviceData.policyDelta.auditConfigDeltas:*
```
Klicken Sie auf Messwert erstellen. Sie sehen eine Bestätigung.

Benachrichtigungsrichtlinie erstellen

Wählen Sie im Navigationsbereich der Google Cloud Console Logging und dann Logbasierte Messwerte aus:
Zu Logbasierte Messwerte
Wählen Sie im Bereich Benutzerdefinierte Messwerte den Messwert aus, den Sie im vorherigen Abschnitt erstellt haben.
Klicken Sie auf Mehr und dann auf Benachrichtigung mit dem Messwert erstellen.

Das Dialogfeld Neue Bedingung wird geöffnet. Die Optionen zur Messwert- und Datentransformation sind bereits ausgefüllt.
Klicken Sie auf Next (Weiter).
1. Prüfen Sie die vorkonfigurierten Einstellungen. Sie können den Schwellenwert ändern.
2. Klicken Sie auf Bedingungsname und geben Sie einen Namen für die Bedingung ein.
Klicken Sie auf Next (Weiter).
Klicken Sie auf Benachrichtigungskanäle, um der Benachrichtigungsrichtlinie Benachrichtigungen hinzuzufügen. Wählen Sie im Dialogfeld einen oder mehrere Benachrichtigungskanäle aus dem Menü aus und klicken Sie dann auf OK.

Wenn Sie benachrichtigt werden möchten, wenn Vorfälle geöffnet und geschlossen werden, klicken Sie Beim Schließen von Vorfällen benachrichtigen an. Standardmäßig werden Benachrichtigungen nur gesendet, wenn Vorfälle geöffnet werden.
Optional: Aktualisieren Sie die Dauer bis zur automatischen Schließung von Vorfällen. Dieses Feld bestimmt, wann Monitoring Vorfälle ohne Messwertdaten schließt.
Optional: Klicken Sie auf Dokumentation und geben Sie alle Informationen ein, die in einer Benachrichtigung angezeigt werden sollen.
Klicken Sie auf Name der Benachrichtigung und geben Sie einen Namen für die Benachrichtigungsrichtlinie ein.
Klicken Sie auf Richtlinie erstellen.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Audit logging disabled`

Kategoriename in der API: AUDIT_LOGGING_DISABLED

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.

Audit-Logging ist für einen oder mehrere Google Cloud-Dienste deaktiviert oder ein oder mehrere Hauptkonten sind vom Audit-Logging für den Datenzugriff ausgenommen.

Aktivieren Sie Cloud Logging für alle Dienste, um alle Administratoraktivitäten, Lesezugriff und Schreibzugriff auf Nutzerdaten zu verfolgen. Je nach Menge der Informationen können die Cloud Logging-Kosten erheblich sein. Weitere Informationen zur Nutzung des Dienstes und zu seinen Kosten finden Sie unter Kostenoptimierung für die Beobachtbarkeit von Google Cloud.

Wenn Hauptkonten vom Audit-Logging für den Datenzugriff ausgenommen sind, entfernen Sie die Ausnahme.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Standardkonfiguration für Audit-Logs zum Datenzugriff auf.

Zur Standardkonfiguration
Aktivieren Sie auf dem Tab Logtypen das Audit-Logging für den Datenzugriff in der Standardkonfiguration:
1. Wählen Sie Lesen durch Administrator, Daten lesen und Daten schreiben aus.
2. Klicken Sie auf Speichern.
Entfernen Sie auf dem Tab Ausgenommene Hauptkonten alle ausgenommenen Nutzer aus der Standardkonfiguration:
1. Entfernen Sie alle aufgeführten Hauptkonten. Klicken Sie dazu neben dem jeweiligen Namen auf Löschen .
2. Klicken Sie auf Speichern.
Rufen Sie die Seite Audit-Logs auf.

Zu den Audit-Logs
Entfernen Sie alle ausgenommenen Hauptkonten aus den Audit-Log-Konfigurationen für den Datenzugriff einzelner Dienste.
1. Klicken Sie unter Konfiguration von Audit-Logs zum Datenzugriff für jeden Dienst, der ein ausgenommenes Hauptkonto anzeigt, auf den Dienst. Für den Dienst wird ein Konfigurationsbereich für das Audit-Log geöffnet.
2. Entfernen Sie auf dem Tab Ausgenommene Hauptkonten alle ausgenommenen Hauptkonten. Klicken Sie dazu neben dem jeweiligen Namen auf Löschen .
3. Klicken Sie auf Speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Auto backup disabled`

Kategoriename in der API: AUTO_BACKUP_DISABLED

In einer Cloud SQL-Datenbank sind keine automatischen Sicherungen aktiviert.

Aktivieren Sie automatische Sicherungen Ihrer SQL-Instanzen, um Datenverlust zu vermeiden. Weitere Informationen finden Sie unter On-Demand- und automatische Sicherungen erstellen und verwalten.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite SQL-Instanzsicherungen auf.

Zu SQL-Instanzsicherungen
Klicken Sie neben Einstellungen auf Bearbeiten.
Klicken Sie das Kästchen Automatische Sicherungen an.
Wählen Sie im Drop-down-Menü ein Zeitfenster für die automatische Sicherung Ihrer Daten aus.
Klicken Sie auf Speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Auto repair disabled`

Kategoriename in der API: AUTO_REPAIR_DISABLED

Die Funktion zur automatischen Reparatur eines Google Kubernetes Engine-Clusters (GKE), die Knoten in einem fehlerfreien, laufenden Zustand beibehält, ist deaktiviert.

Wenn die Funktion aktiviert ist, prüft GKE regelmäßig den Zustand jedes Knotens im Cluster. Wenn ein Knoten über einen längeren Zeitraum mehrere Systemdiagnosen hintereinander nicht besteht, initiiert GKE für diesen Knoten einen Reparaturprozess. Weitere Informationen finden Sie unter Knoten automatisch reparieren.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die GKE-Seite Kubernetes Cluster auf.

Zur Seite "Kubernetes-Cluster"
Klicken Sie auf den Tab Knoten.
Führen Sie für jeden Knotenpool die folgenden Schritte aus:
1. Klicken Sie auf den Namen des Knotenpools, um zur Detailseite zu wechseln.
2. Klicken Sie auf Bearbeiten .
3. Wählen Sie unter Verwaltung die Option Automatische Reparatur aktivieren aus.
4. Klicken Sie auf Speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Auto upgrade disabled`

Kategoriename in der API: AUTO_UPGRADE_DISABLED

Das Feature für automatische Upgrades eines GKE-Clusters, das dafür sorgt, dass Cluster und Knotenpools auf der neuesten stabilen Version von Kubernetes bleiben, ist deaktiviert.

Weitere Informationen finden Sie unter Knoten automatisch aktualisieren.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die GKE-Seite Kubernetes Cluster auf.

Zur Seite "Kubernetes-Cluster"
Klicken Sie in der Liste der Cluster auf den Namen des Clusters.
Klicken Sie auf den Tab Knoten.
Führen Sie für jeden Knotenpool die folgenden Schritte aus:
1. Klicken Sie auf den Namen des Knotenpools, um zur Detailseite zu wechseln.
2. Klicken Sie auf Bearbeiten .
3. Wählen Sie unter Verwaltung die Option Automatisches Upgrade aktivieren aus.
4. Klicken Sie auf Speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`BigQuery table CMEK disabled`

Kategoriename in der API: BIGQUERY_TABLE_CMEK_DISABLED

Eine BigQuery-Tabelle ist nicht für die Verwendung eines vom Kunden verwalteten Verschlüsselungsschlüssels (Customer-Managed Encryption Key) konfiguriert.

Mit CMEK werden die von Ihnen in Cloud KMS erstellten und verwalteten Schlüssel mit den Schlüsseln umschlossen, die Google Cloud zum Verschlüsseln Ihrer Daten verwendet. Dadurch haben Sie mehr Kontrolle über den Zugriff auf Ihre Daten. Weitere Informationen finden Sie unter Daten mit Cloud KMS-Schlüsseln schützen.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Informationen zum Festlegen eines Standard-CMEK, der alle neuen Tabellen in einem Dataset verschlüsselt, finden Sie unter Dataset-Standardschlüssel festlegen.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Binary authorization disabled`

Kategoriename in der API: BINARY_AUTHORIZATION_DISABLED

Die Binärautorisierung ist in einem GKE-Cluster deaktiviert.

Die Binärautorisierung enthält ein optionales Feature zum Schutz der Sicherheit der Lieferkette, das nur die Bereitstellung von Container-Images im Cluster zulässt, die während des Entwicklungsprozesses von vertrauenswürdigen Stellen signiert wurden. Durch die Erzwingung einer signaturbasierten Bereitstellung erhalten Sie eine bessere Kontrolle über Ihre Container-Umgebung und können sicherstellen, dass nur verifizierte Images bereitgestellt werden dürfen.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die GKE-Seite Kubernetes Cluster auf.

Zur Seite "Kubernetes-Cluster"
Klicken Sie im Bereich Sicherheit in der Zeile Binärautorisierung auf das Symbol „Bearbeiten“ ().

Wenn die Clusterkonfiguration kürzlich geändert wurde, ist die Schaltfläche "Bearbeiten" möglicherweise deaktiviert. Wenn Sie die Clustereinstellungen nicht bearbeiten können, warten Sie ein paar Minuten und versuchen Sie es dann noch einmal.
Wählen Sie im Dialogfeld die Option Binärautorisierung aktivieren aus.
Klicken Sie auf Änderungen speichern.
Rufen Sie die Seite "Binärautorisierung" einrichten auf.

Zur Binärautorisierung
Achten Sie darauf, dass eine Richtlinie, die Attestierer erfordert, konfiguriert ist und die Standardregel des Projekts nicht so konfiguriert ist, dass Alle Images zulassen angezeigt wird. Weitere Informationen finden Sie unter Für GKE einrichten.

Damit Images, die gegen die Richtlinie verstoßen, bereitgestellt werden dürfen und Verstöße in Cloud Audit Logs protokolliert werden, können Sie den Probelaufmodus aktivieren.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Bucket CMEK disabled`

Kategoriename in der API: BUCKET_CMEK_DISABLED

Ein Bucket ist nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt.

Wenn Sie einen Standard-CMEK für einen Bucket festlegen, können Sie den Zugriff auf Ihre Daten besser steuern. Weitere Informationen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel.

Um dieses Ergebnis zu beheben, verwenden Sie CMEK mit einem Bucket, indem Sie vom Kunden verwaltete Verschlüsselungsschlüssel verwenden folgen. CMEK verursacht zusätzliche Kosten im Zusammenhang mit Cloud KMS.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Bucket IAM not monitored`

Kategoriename in der API: BUCKET_IAM_NOT_MONITORED

Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an Cloud Storage-IAM-Berechtigungen konfiguriert.

Durch das Monitoring von Änderungen an den Cloud Storage-Bucket-Berechtigungen können Sie privilegierte Nutzer oder verdächtige Aktivitäten identifizieren. Weitere Informationen finden Sie in der Übersicht zu logbasierten Messwerten.

Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Messwert erstellen

Rufen Sie in der Google Cloud Console die Seite Logbasierte Messwerte auf.

Weiter zu logbasierten Messwerten
Klicken Sie auf Messwert erstellen.
Wählen Sie unter Messwerttyp die Option Zähler aus.
Unter Details:
1. Legen Sie unter Name des Logmesswerts einen Namen fest.
2. Fügen Sie eine Beschreibung hinzu.
3. Legen Sie Einheiten auf 1 fest.
Kopieren Sie unter Filterauswahl den folgenden Text und fügen Sie ihn in das Feld Filter erstellen ein. Ersetzen Sie bei Bedarf den vorhandenen Text:
```
  resource.type=gcs_bucket
  AND protoPayload.methodName="storage.setIamPermissions"
```
Klicken Sie auf Messwert erstellen. Sie sehen eine Bestätigung.

Benachrichtigungsrichtlinie erstellen

Wählen Sie im Navigationsbereich der Google Cloud Console Logging und dann Logbasierte Messwerte aus:
Zu Logbasierte Messwerte
Wählen Sie im Bereich Benutzerdefinierte Messwerte den Messwert aus, den Sie im vorherigen Abschnitt erstellt haben.
Klicken Sie auf Mehr und dann auf Benachrichtigung mit dem Messwert erstellen.

Das Dialogfeld Neue Bedingung wird geöffnet. Die Optionen zur Messwert- und Datentransformation sind bereits ausgefüllt.
Klicken Sie auf Next (Weiter).
1. Prüfen Sie die vorkonfigurierten Einstellungen. Sie können den Schwellenwert ändern.
2. Klicken Sie auf Bedingungsname und geben Sie einen Namen für die Bedingung ein.
Klicken Sie auf Next (Weiter).
Klicken Sie auf Benachrichtigungskanäle, um der Benachrichtigungsrichtlinie Benachrichtigungen hinzuzufügen. Wählen Sie im Dialogfeld einen oder mehrere Benachrichtigungskanäle aus dem Menü aus und klicken Sie dann auf OK.

Wenn Sie benachrichtigt werden möchten, wenn Vorfälle geöffnet und geschlossen werden, klicken Sie Beim Schließen von Vorfällen benachrichtigen an. Standardmäßig werden Benachrichtigungen nur gesendet, wenn Vorfälle geöffnet werden.
Optional: Aktualisieren Sie die Dauer bis zur automatischen Schließung von Vorfällen. Dieses Feld bestimmt, wann Monitoring Vorfälle ohne Messwertdaten schließt.
Optional: Klicken Sie auf Dokumentation und geben Sie alle Informationen ein, die in einer Benachrichtigung angezeigt werden sollen.
Klicken Sie auf Name der Benachrichtigung und geben Sie einen Namen für die Benachrichtigungsrichtlinie ein.
Klicken Sie auf Richtlinie erstellen.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Bucket logging disabled`

Kategoriename in der API: BUCKET_LOGGING_DISABLED

Es ist ein Storage-Bucket vorhanden, für den kein Logging aktiviert ist.

Damit Sicherheitsprobleme besser untersucht und der Speicherverbrauch besser überwacht werden können, sollten Sie Zugriffslogs und Speicherinformationen für Ihre Cloud Storage-Buckets aktivieren. Zugriffslogs liefern Informationen über alle Anfragen an einen bestimmten Bucket und die Speicherlogs liefern Informationen über den Speicherverbrauch dieses Buckets.

Richten Sie zur Behebung dieses Ergebnisses das Logging für den Bucket ein, der im Security Health Analytics-Ergebnis angegeben ist, indem Sie den Leitfaden Verbraucher- und Speicherlogs befolgen.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Bucket policy only disabled`

Kategoriename in der API: BUCKET_POLICY_ONLY_DISABLED

Der einheitliche Zugriff auf Bucket-Ebene – bisher als "Nur Bucket-Richtlinie" bezeichnet – ist nicht konfiguriert.

Der einheitliche Zugriff auf Bucket-Ebene vereinfacht die Zugriffssteuerung für Buckets, indem Berechtigungen (ACLs) auf Objektebene deaktiviert werden. Wenn dieser aktiviert ist, gewähren nur Bucket-IAM-Berechtigungen auf Bucket-Ebene Zugriff auf den Bucket und die enthaltenen Objekte. Weitere Informationen finden Sie unter Einheitlicher Zugriff auf Bucket-Ebene.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite des Cloud Storage-Browsers auf.

Zum Cloud Storage-Browser
Klicken Sie in der Bucket-Liste auf den Namen des gewünschten Buckets.
Klicken Sie auf den Tab Configuration (Konfiguration).
Klicken Sie unter Berechtigungen in der Zeile für Zugriffssteuerung auf das Symbol Bearbeiten ().
Wählen Sie im Dialogfeld die Option Einheitlich aus.
Klicken Sie auf Speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Cloud Asset API disabled`

Kategoriename in der API: CLOUD_ASSET_API_DISABLED

Der Cloud Asset Inventory-Dienst ist für das Projekt nicht aktiviert.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite API-Bibliothek auf.

Zur API-Bibliothek
Suchen Sie nach Cloud Asset Inventory.
Wählen Sie das Ergebnis für den Dienst Cloud Asset API aus.
Achten Sie darauf, dass API aktiviert angezeigt wird.

`Cluster logging disabled`

Kategoriename in der API: CLUSTER_LOGGING_DISABLED

Logging ist für einen GKE-Cluster nicht aktiviert.

Aktivieren Sie Cloud Logging in Ihren Clustern, um Sicherheitsprobleme zu untersuchen und die Nutzung zu überwachen.

Je nach Menge der Informationen können die Cloud Logging-Kosten erheblich sein. Weitere Informationen zur Nutzung des Dienstes und zu seinen Kosten finden Sie unter Kostenoptimierung für die Beobachtbarkeit von Google Cloud.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die GKE-Seite Kubernetes Cluster auf.

Zur Seite "Kubernetes-Cluster"
Wählen Sie den Cluster aus, der im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf Bearbeiten.

Wenn die Clusterkonfiguration kürzlich geändert wurde, ist die Schaltfläche "Bearbeiten" möglicherweise deaktiviert. Wenn Sie die Clustereinstellungen nicht bearbeiten können, warten Sie einige Minuten und versuchen Sie es dann noch einmal.
Wählen Sie in der Drop-down-Liste Legacy-Stackdriver Logging oder Stackdriver Kubernetes Engine Monitoring die Option Aktiviert aus.

Diese Optionen sind nicht miteinander kompatibel. Achten Sie darauf, dass Sie entweder Stackdriver Kubernetes Engine Monitoring allein oder Legacy-Stackdriver Logging mit Legacy-Stackdriver Monitoring verwenden.
Klicken Sie auf Speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Cluster monitoring disabled`

Kategoriename in der API: CLUSTER_MONITORING_DISABLED

Monitoring ist auf GKE-Clustern deaktiviert.

Aktivieren Sie Cloud Monitoring in Ihren Clustern, um Sicherheitsprobleme zu untersuchen und die Nutzung zu überwachen.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die GKE-Seite Kubernetes Cluster auf.

Zur Seite "Kubernetes-Cluster"
Wählen Sie den Cluster aus, der im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf Bearbeiten.

Wenn die Clusterkonfiguration kürzlich geändert wurde, ist die Schaltfläche "Bearbeiten" möglicherweise deaktiviert. Wenn Sie die Clustereinstellungen nicht bearbeiten können, warten Sie einige Minuten und versuchen Sie es dann noch einmal.
Wählen Sie in der Drop-down-Liste Legacy-Stackdriver Monitoring oder Stackdriver Kubernetes Engine Monitoring die Option Aktiviert aus.

Diese Optionen sind nicht miteinander kompatibel. Achten Sie darauf, dass Sie entweder Stackdriver Kubernetes Engine Monitoring allein oder Legacy-Stackdriver Monitoring mit Legacy-Stackdriver Logging verwenden.
Klicken Sie auf Speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Cluster private Google access disabled`

Kategoriename in der API: CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED

Clusterhosts sind nicht so konfiguriert, dass sie nur private, interne IP-Adressen für den Zugriff auf Google APIs verwenden.

Mit dem privaten Google-Zugriff können VM-Instanzen, die nur private, interne IP-Adressen haben, die öffentlichen IP-Adressen von Google APIs und Diensten erreichen. Weitere Informationen finden Sie unter Privaten Google-Zugriff konfigurieren.

Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Virtual Private Cloud-Netzwerke auf.

Zur Seite VPC-Netzwerke
Klicken Sie in der Liste der Netzwerke auf den Namen des Netzwerks.
Klicken Sie auf der Seite VPC-Netzwerkdetails auf den Tab Subnetze.
Klicken Sie in der Liste der Subnetze auf den Namen des Subnetzes, das dem Kubernetes-Cluster im Ergebnis zugeordnet ist.
Klicken Sie auf der Seite mit den Subnetz-Details auf Bearbeiten .
Wählen Sie für Privater Google-Zugriff die Option Ein aus.
Klicken Sie auf Speichern.
Informationen zum Entfernen öffentlicher (externer) IP-Adressen aus VM-Instanzen, deren nur externer Traffic zu Google APIs gehört, finden Sie unter Zuweisung einer statischen externen IP-Adresse aufheben.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Cluster secrets encryption disabled`

Kategoriename in der API: CLUSTER_SECRETS_ENCRYPTION_DISABLED

Die Verschlüsselung von Secrets auf Anwendungsebene ist in einem GKE-Cluster deaktiviert.

Die Verschlüsselung von Secrets auf Anwendungsebene sorgt dafür, dass GKE-Secrets mit Cloud KMS-Schlüsseln verschlüsselt werden. Das Feature bietet eine zusätzliche Sicherheitsebene für vertrauliche Daten wie benutzerdefinierte Secrets und Secrets, die für den Betrieb des Clusters erforderlich sind (z. B. Dienstkontoschlüssel). Diese werden alle in etcd gespeichert.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Cloud KMS-Schlüssel auf.

Zu Cloud KMS-Schlüsseln
Überprüfen Sie Ihre Anwendungsschlüssel oder erstellen Sie einen Datenbankverschlüsselungsschlüssel (Database Encryption Key, DEK). Weitere Informationen finden Sie unter Cloud KMS-Schlüssel erstellen.
Rufen Sie die Seite Kubernetes-Cluster auf.

Zur Seite "Kubernetes-Cluster"
Wählen Sie den Cluster im Ergebnis aus.
Klicken Sie unter Sicherheit im Feld Verschlüsselung von Secrets auf Anwendungsebene auf Verschlüsselung von Secrets auf Anwendungsebene bearbeiten.
Klicken Sie auf das Kästchen Verschlüsselung von Secrets auf Anwendungsebene aktivieren und wählen Sie dann den erstellten DEK aus.
Klicken Sie auf Änderungen speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Cluster shielded nodes disabled`

Kategoriename in der API: CLUSTER_SHIELDED_NODES_DISABLED

Shielded GKE-Knoten sind für einen Cluster nicht aktiviert.

Ohne Shielded GKE-Knoten können Angreifer eine Sicherheitslücke in einem Pod ausnutzen, um Bootstrap-Anmeldedaten zu stehlen und die Identität von Knoten im Cluster anzunehmen. Durch die Sicherheitslücke erhalten die Angreifer Zugriff auf Cluster-Secrets.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die GKE-Seite Kubernetes Cluster auf.

Zur Seite "Kubernetes-Cluster"
Wählen Sie den Cluster im Ergebnis aus.
Klicken Sie unter Sicherheit im Feld Shielded GKE-Knoten auf Shielded GKE-Knoten bearbeiten.
Klicken Sie auf das Kästchen Shielded GKE-Knoten aktivieren.
Klicken Sie auf Änderungen speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Compute project wide SSH keys allowed`

Kategoriename in der API: COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

Es werden projektweite SSH-Schlüssel verwendet, sodass eine Anmeldung bei allen Instanzen im Projekt möglich ist.

Die Verwendung von projektweiten SSH-Schlüsseln vereinfacht die Verwaltung von SSH-Schlüsseln. Wenn sie jedoch manipuliert wurde, stellt dies ein Sicherheitsrisiko dar, das alle Instanzen innerhalb eines Projekts beeinträchtigen kann. Sie sollten instanzspezifische SSH-Schlüssel verwenden, die die Angriffsfläche begrenzen, wenn SSH-Schlüssel manipuliert wurden. Weitere Informationen finden Sie unter SSH-Schlüssel in Metadaten verwalten.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.

Zur Seite „VM-Instanzen“
Klicken Sie in der Liste der Instanzen auf den Namen der Instanz im Ergebnis.
Klicken Sie auf der Seite VM-Instanzdetails auf Bearbeiten.
Hinweis: Mit Instanzvorlagen erstellte Instanzen können nicht bearbeitet werden. Informationen zum Ändern der Konfiguration einer Instanzvorlage finden Sie unter Instanzvorlagen aktualisieren.
Wählen Sie unter SSH-Schlüssel die Option Projektweite SSH-Schlüssel blockieren aus.
Klicken Sie auf Speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Compute Secure Boot disabled`

Kategoriename in der API: COMPUTE_SECURE_BOOT_DISABLED

Für diese Shielded VM ist Secure Boot nicht aktiviert.

Das Verwenden von Secure Boot hilft, Ihre virtuellen Maschinen gegen Rootkit- und Bootkit-Angriffe zu schützen. Compute Engine aktiviert Secure Boot nicht standardmäßig, da einige nicht signierte Treiber und andere auf tieferer Ebene arbeitende Software nicht kompatibel sind. Wenn Ihre VM keine inkompatible Software verwendet und der Bootvorgang mit aktiviertem Secure Boot startet, empfiehlt Google, Secure Boot auch zu verwenden. Wenn Sie Module von Drittanbietern mit Nvidia-Treibern verwenden, achten Sie darauf, dass diese mit Secure Boot kompatibel sind, bevor Sie es aktivieren.

Weitere Informationen finden Sie unter Secure Boot.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.

Zur Seite „VM-Instanzen“
Klicken Sie in der Liste der Instanzen auf den Namen der Instanz im Ergebnis.
Klicken Sie auf der Seite VM-Instanzdetails auf Stoppen.
Wenn die Instanz nicht mehr ausgeführt wird, klicken Sie auf Bearbeiten.
Wählen Sie unter Shielded VM die Option Secure Boot aktivieren aus.
Klicken Sie auf Speichern.
Klicken Sie nun auf Starten, um die Instanz zu starten.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Compute serial ports enabled`

Kategoriename in der API: COMPUTE_SERIAL_PORTS_ENABLED

Serielle Ports sind für eine Instanz aktiviert, sodass Verbindungen zur seriellen Konsole der Instanz möglich sind.

Wenn Sie die interaktive serielle Konsole auf einer Instanz aktivieren, können Clients von jeder IP-Adresse aus versuchen, eine Verbindung zu dieser Instanz herzustellen. Daher sollte die Unterstützung der interaktiven seriellen Konsole deaktiviert sein. Weitere Informationen finden Sie unter Zugriff für ein Projekt aktivieren.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.

Zur Seite „VM-Instanzen“
Klicken Sie in der Liste der Instanzen auf den Namen der Instanz im Ergebnis.
Klicken Sie auf der Seite VM-Instanzdetails auf Bearbeiten.
Löschen Sie unter Remotezugriff die Option Verbindung mit seriellen Ports aktivieren.
Klicken Sie auf Speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Confidential Computing disabled`

Kategoriename in der API: CONFIDENTIAL_COMPUTING_DISABLED

Auf einer Compute Engine-Instanz ist Confidential Computing nicht aktiviert.

Confidential Computing fügt der Ende-zu-Ende-Verschlüsselung eine dritte Säule hinzu, da Daten während der Verwendung verschlüsselt werden. Mit den vertraulichen Ausführungsumgebungen, die von Confidential Computing und AMD Secure Encrypted Virtualization (SEV) bereitgestellt werden, hält Google Cloud den vertraulichen Code und andere Daten während der Verarbeitung verschlüsselt.

Confidential Computing kann nur aktiviert werden, wenn eine Instanz erstellt wird. Daher müssen Sie die aktuelle Instanz löschen und eine neue erstellen.

Weitere Informationen finden Sie unter Confidential VM und Compute Engine.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.

Zur Seite „VM-Instanzen“
Klicken Sie in der Liste der Instanzen auf den Namen der Instanz im Ergebnis.
Klicken Sie auf der Seite VM-Instanzdetails auf Löschen.
Erstellen Sie mit der Google Cloud Console eine Confidential VM.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`COS not used`

Kategoriename in der API: COS_NOT_USED

Compute Engine-VMs nutzen nicht das Container-Optimized OS, das für die sichere Ausführung von Docker-Containern in Google Cloud entwickelt wurde.

Container-Optimized OS ist das von Google empfohlene Betriebssystem für das Hosting und Ausführen von Containern auf Google Cloud. Es bietet eine minimale Angriffsfläche und automatische Aktualisierungen sorgen dafür, dass Sicherheitslücken rechtzeitig geschlossen werden. Weitere Informationen finden Sie unter Übersicht über Container-Optimized OS.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die GKE-Seite Kubernetes Cluster auf.

Zur Seite "Kubernetes-Cluster"
Klicken Sie in der Liste der Cluster auf den Namen des Clusters in dem Ergebnis.
Klicken Sie auf den Tab Knoten.
Führen Sie für jeden Knotenpool die folgenden Schritte aus:
1. Klicken Sie auf den Namen des Knotenpools, um zur Detailseite zu wechseln.
2. Klicken Sie auf Bearbeiten .
3. Klicken Sie unter Knoten -> Image-Typ auf Ändern.
4. Wählen Sie Container-Optimized OS aus und klicken Sie dann auf Ändern.
5. Klicken Sie auf Speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Custom role not monitored`

Kategoriename in der API: CUSTOM_ROLE_NOT_MONITORED

Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an benutzerdefinierten Rollen konfiguriert.

IAM bietet vordefinierte und benutzerdefinierte Rollen, die Zugriff auf bestimmte Google Cloud-Ressourcen gewähren. Durch das Monitoring der Aktivitäten zum Erstellen, Löschen und Aktualisieren von Rollen können Sie frühzeitig überprivilegierte Rollen identifizieren. Weitere Informationen finden Sie in der Übersicht zu logbasierten Messwerten.

Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Messwert erstellen

Rufen Sie in der Google Cloud Console die Seite Logbasierte Messwerte auf.

Weiter zu logbasierten Messwerten
Klicken Sie auf Messwert erstellen.
Wählen Sie unter Messwerttyp die Option Zähler aus.
Unter Details:
1. Legen Sie unter Name des Logmesswerts einen Namen fest.
2. Fügen Sie eine Beschreibung hinzu.
3. Legen Sie Einheiten auf 1 fest.

Kopieren Sie unter Filterauswahl den folgenden Text und fügen Sie ihn in das Feld Filter erstellen ein. Ersetzen Sie bei Bedarf den vorhandenen Text:

  resource.type="iam_role"
  AND (protoPayload.methodName="google.iam.admin.v1.CreateRole"
  OR protoPayload.methodName="google.iam.admin.v1.DeleteRole"
  OR protoPayload.methodName="google.iam.admin.v1.UpdateRole")

Klicken Sie auf Messwert erstellen. Sie sehen eine Bestätigung.

Benachrichtigungsrichtlinie erstellen

Wählen Sie im Navigationsbereich der Google Cloud Console Logging und dann Logbasierte Messwerte aus:
Zu Logbasierte Messwerte
Wählen Sie im Bereich Benutzerdefinierte Messwerte den Messwert aus, den Sie im vorherigen Abschnitt erstellt haben.
Klicken Sie auf Mehr und dann auf Benachrichtigung mit dem Messwert erstellen.

Das Dialogfeld Neue Bedingung wird geöffnet. Die Optionen zur Messwert- und Datentransformation sind bereits ausgefüllt.
Klicken Sie auf Next (Weiter).
1. Prüfen Sie die vorkonfigurierten Einstellungen. Sie können den Schwellenwert ändern.
2. Klicken Sie auf Bedingungsname und geben Sie einen Namen für die Bedingung ein.
Klicken Sie auf Next (Weiter).
Klicken Sie auf Benachrichtigungskanäle, um der Benachrichtigungsrichtlinie Benachrichtigungen hinzuzufügen. Wählen Sie im Dialogfeld einen oder mehrere Benachrichtigungskanäle aus dem Menü aus und klicken Sie dann auf OK.

Wenn Sie benachrichtigt werden möchten, wenn Vorfälle geöffnet und geschlossen werden, klicken Sie Beim Schließen von Vorfällen benachrichtigen an. Standardmäßig werden Benachrichtigungen nur gesendet, wenn Vorfälle geöffnet werden.
Optional: Aktualisieren Sie die Dauer bis zur automatischen Schließung von Vorfällen. Dieses Feld bestimmt, wann Monitoring Vorfälle ohne Messwertdaten schließt.
Optional: Klicken Sie auf Dokumentation und geben Sie alle Informationen ein, die in einer Benachrichtigung angezeigt werden sollen.
Klicken Sie auf Name der Benachrichtigung und geben Sie einen Namen für die Benachrichtigungsrichtlinie ein.
Klicken Sie auf Richtlinie erstellen.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Dataproc CMEK disabled`

Kategoriename in der API: DATAPROC_CMEK_DISABLED

Ein Dataproc-Cluster wurde ohne einen CMEK für die Verschlüsselungskonfiguration erstellt. Mit CMEK verpacken Schlüssel, die Sie in Cloud Key Management Service erstellen und verwalten, die Schlüssel, die Google Cloud zum Verschlüsseln Ihrer Daten verwendet. So haben Sie mehr Kontrolle über den Zugriff auf Ihre Daten.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Dataproc-Cluster auf.

Zu Dataproc-Clustern
Wählen Sie Ihr Projekt aus und klicken Sie auf Cluster erstellen.
Klicken Sie im Bereich Sicherheit verwalten auf Verschlüsselung und wählen Sie Vom Kunden verwalteter Schlüssel aus.
Wählen Sie einen vom Kunden verwalteten Schlüssel aus der Liste aus.

Wenn Sie keinen vom Kunden verwalteten Schlüssel haben, müssen Sie einen erstellen. Weitere Informationen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel.
Sorgen Sie dafür, dass dem Dienstkonto des Dataproc-Clusters („serviceAccount:service-project_number@compute-system.iam.gserviceaccount.com“) dem ausgewählten KMS-Schlüssel die Cloud KMS CryptoKey-Verschlüsseler-/Entschlüsseler-Rolle zugewiesen ist.
Nachdem der Cluster erstellt wurde, migrieren Sie alle Arbeitslasten vom älteren Cluster zum neuen Cluster.
Rufen Sie die Dataproc-Cluster auf und wählen Sie Ihr Projekt aus.
Wählen Sie den alten Cluster aus und klicken Sie auf Cluster löschen.
Wiederholen Sie alle Schritte oben für andere Dataproc-Cluster, die im ausgewählten Projekt verfügbar sind.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Dataproc image outdated`

Kategoriename in der API: DATAPROC_IMAGE_OUTDATED

Ein Dataproc-Cluster wurde mit einer Dataproc-Image-Version erstellt, die von Sicherheitslücken im Apache Log4j 2-Dienstprogramm betroffen ist (CVE-2021-44228 und CVE-2021-45046).

Dieser Detektor findet Sicherheitslücken, indem er prüft, ob das Feld softwareConfig.imageVersion im Attribut config eines Cluster eine der folgenden betroffenen Versionen hat:

Image-Versionen vor 1.3.95.
Sub-Minor-Image-Versionen vor 1.4.77, 1.5.53 und 2.0.27.

Die Versionsnummer eines benutzerdefinierten Dataproc-Image kann manuell überschrieben werden. Sehen Sie sich die folgenden Szenarien an:

Sie können die Version eines betroffenen benutzerdefinierten Images ändern, damit es nicht betroffen erscheint. In diesem Fall gibt dieser Detektor kein Ergebnis aus.
Es ist möglich, die Version eines nicht betroffenen benutzerdefinierten Images mit einem Image zu überschreiben, das bekanntermaßen die Sicherheitslücke aufweist. In diesem Fall gibt dieser Detektor ein falsch-positives Ergebnis aus. Um diese falsch-positiven Ergebnisse zu unterdrücken, können Sie sie stummschalten.

Erstellen Sie den betroffenen Cluster neu und aktualisieren Sie ihn, um dieses Ergebnis zu korrigieren.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Dataset CMEK disabled`

Kategoriename in der API: DATASET_CMEK_DISABLED

Ein BigQuery-Dataset ist nicht für die Verwendung eines vom Kunden verwalteten Standardverschlüsselungsschlüssels (Customer-Managed Encryption Key, CMEK) konfiguriert.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Sie können eine Tabelle nicht zwischen der Standardverschlüsselung und der CMEK-Verschlüsselung wechseln. Folgen Sie der Anleitung unter Dataset-Standardschlüssel festlegen, um einen Standard-CMEK-Schlüssel für die Verschlüsselung aller neuen Tabellen im Dataset festzulegen.

Durch das Festlegen eines Standardschlüssels werden Tabellen, die sich derzeit im Dataset befinden, nicht rückwirkend mit einem neuen Schlüssel neu verschlüsselt. So verwenden Sie CMEK für vorhandene Daten:

Erstellen Sie ein neues Dataset.
Legen Sie einen Standard-CMEK-Schlüssel für das von Ihnen erstellte Dataset fest.
Wie Sie Tabellen in Ihr CMEK-fähiges Dataset kopieren, erfahren Sie in der Anleitung unter Tabelle kopieren.
Löschen Sie die ursprünglichen Datasets nach dem erfolgreichen Kopieren der Daten.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Default network`

Kategoriename in der API: DEFAULT_NETWORK

Das Standardnetzwerk ist in einem Projekt vorhanden.

Standardnetzwerke haben automatisch erstellte Firewallregeln und Netzwerkkonfigurationen, die eventuell nicht sicher sind. Weitere Informationen finden Sie unter Standardnetzwerk.

Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

Zur Seite VPC-Netzwerke
Klicken Sie in der Liste der Netzwerke auf den Namen des Netzwerks.
Klicken Sie auf der Seite VPC-Netzwerkdetails auf VPC-Netzwerk löschen.
Informationen zum Erstellen eines neuen Netzwerks mit benutzerdefinierten Firewallregeln finden Sie unter Netzwerke erstellen.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Default service account used`

Kategoriename in der API: DEFAULT_SERVICE_ACCOUNT_USED

Eine Compute Engine-Instanz ist für die Verwendung des Standarddienstkontos konfiguriert.

Das Compute Engine-Standarddienstkonto hat die Bearbeiterrolle für das Projekt, die Lese- und Schreibzugriff auf die meisten Google Cloud-Dienste gewährt. Verwenden Sie zum Schutz vor Rechteausweitungen und unbefugten Zugriffen nicht das Compute Engine-Standarddienstkonto. Erstellen Sie stattdessen ein neues Dienstkonto und weisen Sie nur die Berechtigungen zu, die von Ihrer Instanz benötigt werden. Weitere Informationen zu IAM-Rollen und -Berechtigungen finden Sie unter Zugriffssteuerung.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.

Zur Seite „VM-Instanzen“
Wählen Sie die Instanz aus, die sich auf das Ergebnis von Security Health Analytics bezieht.
Klicken Sie auf der Seite Instanzdetails, die geladen wird, auf Beenden.
Wenn die Instanz nicht mehr ausgeführt wird, klicken Sie auf Bearbeiten.
Wählen Sie im Abschnitt Dienstkonto ein anderes Dienstkonto als das Compute Engine-Standarddienstkonto aus. Möglicherweise müssen Sie zuerst ein neues Dienstkonto erstellen. Weitere Informationen zu IAM-Rollen und -Berechtigungen finden Sie unter Zugriffssteuerung.
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzdetails angezeigt.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Disk CMEK disabled`

Kategoriename in der API: DISK_CMEK_DISABLED

Laufwerke auf dieser VM werden nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Compute Engine-Laufwerke auf.

Zu "Compute Engine-Laufwerke"
Klicken Sie in der Liste der Laufwerke auf den Namen des Laufwerks, das im Ergebnis angegeben ist.
Klicken Sie auf der Seite Laufwerk verwalten auf Löschen.
Informationen zum Erstellen eines neuen Laufwerks mit aktiviertem CMEK finden Sie unter Neuen nichtflüchtigen Speicher mit eigenen Schlüsseln verschlüsseln. CMEK verursacht zusätzliche Kosten im Zusammenhang mit Cloud KMS.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Disk CSEK disabled`

Kategoriename in der API: DISK_CSEK_DISABLED

Laufwerke auf dieser VM werden nicht mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln (Customer-Supplied Encryption Keys, CSEK) verschlüsselt. Laufwerke für kritische VMs sollten mit CSEK verschlüsselt werden.

Wenn Sie Ihre eigenen Verschlüsselungsschlüssel bereitstellen, sichert Compute Engine die von Google generierten Schlüssel, die für die Ver- und Entschlüsselung Ihrer Daten verwendet werden, mithilfe Ihres Schlüssels. Weitere Informationen finden Sie unter Vom Kunden bereitgestellte Verschlüsselungsschlüssel. Für CSEK fallen zusätzliche Kosten für Cloud KMS an.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Laufwerk löschen und erstellen

Sie können nur neue nichtflüchtige Speicher mit einem eigenen Schlüssel verschlüsseln. Vorhandene nichtflüchtige Speicher können nicht mit einem eigenen Schlüssel verschlüsselt werden.

Rufen Sie in der Google Cloud Console die Seite Compute Engine-Laufwerke auf.

Zu "Compute Engine-Laufwerke"
Klicken Sie in der Liste der Laufwerke auf den Namen des Laufwerks, das im Ergebnis angegeben ist.
Klicken Sie auf der Seite Laufwerk verwalten auf Löschen.
Informationen zum Erstellen eines neuen Laufwerks mit aktiviertem CSEK finden Sie unter Laufwerke mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln verschlüsseln.
Führen Sie die verbleibenden Schritte aus, um den Detektor zu aktivieren.

Detektor aktivieren

Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf.

Zu Assets
Wählen Sie im Bereich Ressourcentyp des Bereichs Schnellfilter die Option compute.Disk aus.

Wenn compute.Disk nicht angezeigt wird, klicken Sie auf Mehr anzeigen, geben Sie Disk in das Suchfeld ein und klicken Sie dann auf Übernehmen.

Der Bereich Ergebnisse wird aktualisiert und zeigt nur Instanzen des Ressourcentyps compute.Disk an.
Wählen Sie in der Spalte Anzeigename das Kästchen neben dem Namen des Laufwerks aus, das Sie mit CSEK verwenden möchten, und klicken Sie dann auf Sicherheitsmarkierungen festlegen.
Klicken Sie im Dialogfeld auf Add Mark (Markierung hinzufügen).
Geben Sie im Feld Schlüssel den Wert enforce_customer_supplied_disk_encryption_keys und im Feld Wert true ein.
Klicken Sie auf Speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen dieses Ergebnistyps.

`DNS logging disabled`

Kategoriename in der API: DNS_LOGGING_DISABLED

Mit dem Monitoring von Cloud DNS-Logs erhalten Sie Einblick in die DNS-Namen, die von den Clients im VPC-Netzwerk angefordert werden. Diese Logs können auf ungewöhnliche Domainnamen überwacht und anhand von Bedrohungsinformationen analysiert werden. Wir empfehlen, DNS-Logging für VPC-Netzwerke zu aktivieren.

Je nach Menge der Informationen können die Cloud DNS-Logging-Kosten erheblich sein. Informationen zur Nutzung des Dienstes und zu seinen Kosten finden Sie unter Preise für Google Cloud-Beobachtbarkeit: Cloud Logging.

Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

Zur Seite VPC-Netzwerke
Klicken Sie in der Liste der Netzwerke auf den Namen des VPC-Netzwerks.
Erstellen Sie eine neue Serverrichtlinie (falls noch nicht vorhanden) oder bearbeiten Sie eine vorhandene Richtlinie:
- Wenn das Netzwerk keine DNS-Serverrichtlinie hat, führen Sie die folgenden Schritte aus:
  1. Klicken Sie auf Bearbeiten.
  2. Klicken Sie im Feld DNS-Serverrichtlinie auf Neue Serverrichtlinie erstellen.
  3. Geben Sie einen Namen für die neue Serverrichtlinie ein.
  4. Setzen Sie Logs auf Ein.
  5. Klicken Sie auf Speichern.
- Wenn das Netzwerk eine DNS-Serverrichtlinie hat, führen Sie die folgenden Schritte aus:
  1. Klicken Sie im Feld DNS-Serverrichtlinie auf den Namen der DNS-Richtlinie.
  2. Klicken Sie auf Richtlinie bearbeiten.
  3. Setzen Sie Logs auf Ein.
  4. Klicken Sie auf Speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`DNSSEC disabled`

Kategoriename in der API: DNSSEC_DISABLED

Domain Name System Security Extensions (DNSSEC) ist für Cloud DNS-Zonen deaktiviert.

DNSSEC validiert DNS-Antworten und mindert Risiken wie DNS-Hacker- und Personal-in-the-Middle-Angriffe, indem DNS-Einträge kryptografisch signiert werden. Aktivieren Sie DNSSEC. Weitere Informationen finden Sie unter Übersicht über DNS-Sicherheitserweiterungen (DNSSEC).

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Cloud DNS auf.

Zu Cloud DNS-Netzwerken
Suchen Sie die Zeile mit der DNS-Zone, die im Ergebnis angegeben ist.
Klicken Sie in der Zeile auf die DNSSEC-Einstellung und wählen Sie dann unter DNSSEC die Option Ein aus.
Lesen Sie die Informationen im angezeigten Dialogfeld. Wenn Sie zufrieden sind, klicken Sie auf Aktivieren.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Egress deny rule not set`

Kategoriename in der API: EGRESS_DENY_RULE_NOT_SET

In einer Firewall ist keine Regel zum Ablehnen von ausgehendem Traffic festgelegt.

Eine Firewall, die den gesamten ausgehenden Netzwerk-Traffic ablehnt, verhindert alle unerwünschten ausgehenden Netzwerkverbindungen mit Ausnahme dieser Verbindungen, die von anderen Firewalls explizit autorisiert werden. Weitere Informationen finden Sie unter Ausgehende Fälle.

Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Firewall auf.

Zur Firewall
Klicken Sie auf Firewallregel erstellen.
Geben Sie der Firewall einen Namen und optional eine Beschreibung.
Wählen Sie unter Traffic-Richtung die Option Ausgehend aus.
Wählen Sie unter Aktion bei Übereinstimmung die Option Ablehnen aus.
Wählen Sie im Drop-down-Menü Ziele die Option Alle Instanzen im Netzwerk aus.
Wählen Sie im Drop-down-Menü Zielfilter die Option IP-Bereiche aus und geben Sie 0.0.0.0/0 in das Feld Ziel-IP-Bereiche ein.
Wählen Sie unter Protokolle und Ports die Option Alle ablehnen aus.
Klicken Sie auf Regel deaktivieren und wählen Sie unter Erzwingung die Option Aktiviert aus.
Klicken Sie auf Erstellen.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Essential contacts not configured`

Kategoriename in der API: ESSENTIAL_CONTACTS_NOT_CONFIGURED

Ihre Organisation hat keine Person oder Gruppe festgelegt, die Benachrichtigungen von Google Cloud über wichtige Ereignisse wie Angriffe, Sicherheitslücken und Datenvorfälle in Ihrer Google Cloud-Organisation erhalten soll. Wir empfehlen, eine oder mehrere Personen oder Gruppen in Ihrer Unternehmensorganisation als wichtigen Kontakt anzugeben.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Wichtige Kontakte auf.

Zu „Wichtige Kontakte“
Prüfen Sie, ob die Organisation in der Ressourcenauswahl oben auf der Seite angezeigt wird. In der Ressourcenauswahl sehen Sie, für welches Projekt, welchen Ordner oder welche Organisation Sie derzeit Kontakte verwalten.
Klicken Sie auf + Kontakt hinzufügen. Der Bereich Kontakt hinzufügen wird geöffnet.
Geben Sie in die Felder E-Mail und E-Mail-Adresse bestätigen die E-Mail-Adresse des Kontakts ein.
Wählen Sie im Abschnitt Benachrichtigungskategorien die Benachrichtigungskategorien aus, für die der Kontakt Benachrichtigungen erhalten soll. Konfigurieren Sie für jede der folgenden Benachrichtigungskategorien entsprechende E-Mail-Adressen:
1. Recht
2. Sicherheit
3. Sperrung
4. Technologie
Klicken Sie auf Speichern. Weitere Informationen zu den unterstützten Assets und Scaneinstellungen dieses Ergebnistyps.

`Firewall not monitored`

Kategoriename in der API: FIREWALL_NOT_MONITORED

Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an den VPC-Netzwerk-Firewallregeln konfiguriert.

Durch das Erstellen und Aktualisieren von Firewallregeln können Sie sich einen Überblick über Änderungen am Netzwerkzugriff verschaffen und verdächtige Aktivitäten schnell erkennen. Weitere Informationen finden Sie in der Übersicht zu Log-basierten Messwerten.

Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Messwert erstellen

Rufen Sie in der Google Cloud Console die Seite Logbasierte Messwerte auf.

Weiter zu logbasierten Messwerten
Klicken Sie auf Messwert erstellen.
Wählen Sie unter Messwerttyp die Option Zähler aus.
Unter Details:
1. Legen Sie unter Name des Logmesswerts einen Namen fest.
2. Fügen Sie eine Beschreibung hinzu.
3. Legen Sie Einheiten auf 1 fest.

Kopieren Sie unter Filterauswahl den folgenden Text und fügen Sie ihn in das Feld Filter erstellen ein. Ersetzen Sie bei Bedarf den vorhandenen Text:

  resource.type="gce_firewall_rule"
  AND (protoPayload.methodName:"compute.firewalls.insert"
  OR protoPayload.methodName:"compute.firewalls.patch"
  OR protoPayload.methodName:"compute.firewalls.delete")

Klicken Sie auf Messwert erstellen. Sie sehen eine Bestätigung.

Benachrichtigungsrichtlinie erstellen

Wählen Sie im Navigationsbereich der Google Cloud Console Logging und dann Logbasierte Messwerte aus:
Zu Logbasierte Messwerte
Wählen Sie im Bereich Benutzerdefinierte Messwerte den Messwert aus, den Sie im vorherigen Abschnitt erstellt haben.
Klicken Sie auf Mehr und dann auf Benachrichtigung mit dem Messwert erstellen.

Das Dialogfeld Neue Bedingung wird geöffnet. Die Optionen zur Messwert- und Datentransformation sind bereits ausgefüllt.
Klicken Sie auf Next (Weiter).
1. Prüfen Sie die vorkonfigurierten Einstellungen. Sie können den Schwellenwert ändern.
2. Klicken Sie auf Bedingungsname und geben Sie einen Namen für die Bedingung ein.
Klicken Sie auf Next (Weiter).
Klicken Sie auf Benachrichtigungskanäle, um der Benachrichtigungsrichtlinie Benachrichtigungen hinzuzufügen. Wählen Sie im Dialogfeld einen oder mehrere Benachrichtigungskanäle aus dem Menü aus und klicken Sie dann auf OK.

Wenn Sie benachrichtigt werden möchten, wenn Vorfälle geöffnet und geschlossen werden, klicken Sie Beim Schließen von Vorfällen benachrichtigen an. Standardmäßig werden Benachrichtigungen nur gesendet, wenn Vorfälle geöffnet werden.
Optional: Aktualisieren Sie die Dauer bis zur automatischen Schließung von Vorfällen. Dieses Feld bestimmt, wann Monitoring Vorfälle ohne Messwertdaten schließt.
Optional: Klicken Sie auf Dokumentation und geben Sie alle Informationen ein, die in einer Benachrichtigung angezeigt werden sollen.
Klicken Sie auf Name der Benachrichtigung und geben Sie einen Namen für die Benachrichtigungsrichtlinie ein.
Klicken Sie auf Richtlinie erstellen.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Firewall rule logging disabled`

Kategoriename in der API: FIREWALL_RULE_LOGGING_DISABLED

Firewallregel-Logging ist deaktiviert.

Durch das Logging der Firewallregeln können Sie die Auswirkungen Ihrer Firewallregeln im Blick behalten, prüfen und analysieren. Diese Informationen sind mitunter nützlich, um den Netzwerkzugriff zu prüfen oder frühzeitig auf eine unzulässige Netzwerknutzung hinzuweisen. Die Kosten für Logs können beträchtlich sein. Weitere Informationen zum Logging von Firewallregeln und den damit verbundenen Kosten finden Sie unter Logging von Firewallregeln verwenden.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Firewall auf.

Zur Firewall
Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel in dem Ergebnis.
Klicken Sie auf Bearbeiten.
Wählen Sie unter Logs die Option Ein aus.
Klicken Sie auf Speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Flow logs disabled`

Kategoriename in der API: FLOW_LOGS_DISABLED

Es gibt ein VPC-Subnetzwerk, in dem Flusslogs deaktiviert sind.

VPC-Flusslogs erfassen eine Stichprobe von Netzwerkflüssen, die von VM-Instanzen gesendet und empfangen werden. Diese Flussprotokolle können für Netzwerküberwachung, Forensik, Echtzeit-Sicherheitsanalysen und Kostenoptimierung verwendet werden. Weitere Informationen zu Flusslogs und ihren Kosten finden Sie unter VPC-Flusslogs verwenden.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

Zur Seite VPC-Netzwerke
Klicken Sie in der Liste der Netzwerke auf den Namen des Netzwerks.
Klicken Sie auf der Seite VPC-Netzwerkdetails auf den Tab Subnetze.
Klicken Sie in der Liste der Subnetze auf den Namen des Subnetzes, das in den Ergebnissen angegeben ist.
Klicken Sie auf der Seite Subnetzdetails auf Bearbeiten.
Wählen Sie unter Fluss-Logs die Option Ein.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Flow logs settings not recommended`

Kategoriename in der API: VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

In der Konfiguration eines Subnetzes in einem VPC-Netzwerk ist der Dienst für VPC-Flusslogs entweder deaktiviert oder nicht gemäß den Empfehlungen von CIS Benchmark 1.3 konfiguriert. VPC-Flusslogs erfassen eine Stichprobe von Netzwerkflüssen, die von VM-Instanzen gesendet und empfangen werden und mit denen sich Bedrohungen erkennen lassen.

Weitere Informationen zu VPC-Flusslogs und ihren Kosten finden Sie unter VPC-Flusslogs verwenden.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

Zur Seite VPC-Netzwerke
Klicken Sie in der Liste der Netzwerke auf den Namen des Netzwerks.
Klicken Sie auf der Seite VPC-Netzwerkdetails auf den Tab Subnetze.
Klicken Sie in der Liste der Subnetze auf den Namen des Subnetzes, das in den Ergebnissen angegeben ist.
Klicken Sie auf der Seite Subnetzdetails auf Bearbeiten.
Wählen Sie unter Fluss-Logs die Option Ein.
1. Ändern Sie optional die Konfiguration der Logs. Klicken Sie dazu auf die Schaltfläche Logs konfigurieren, um den Tab zu maximieren. In den CIS-Benchmarks werden die folgenden Einstellungen empfohlen:
  1. Legen Sie das Aggregationsintervall auf 5 SEK. fest.
  2. Wählen Sie unter dem Kästchen Zusatzfelder die Option Metadaten einschließen aus.
  3. Legen Sie die Abtastrate auf 100% fest.
  4. Klicken Sie auf SAVE (Speichern).

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Full API access`

Kategoriename in der API: FULL_API_ACCESS

Eine Compute Engine-Instanz ist so konfiguriert, dass sie das Standarddienstkonto mit uneingeschränktem Zugriff auf alle Google Cloud APIs verwendet.

Wenn eine Instanz mit dem standardmäßigen Dienstkontobereich Uneingeschränkten Zugriff auf alle Cloud APIs zulassen konfiguriert ist, können Nutzer möglicherweise Vorgänge oder API-Aufrufe ausführen, für die sie keine IAM-Berechtigungen haben. Weitere Informationen finden Sie unter Standardmäßiges Compute Engine-Dienstkonto.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.

Zur Seite „VM-Instanzen“
Klicken Sie in der Liste der Instanzen auf den Namen der Instanz im Ergebnis.
Klicken Sie auf Beenden, wenn die Instanz derzeit gestartet wird.
Wenn die Instanz nicht mehr ausgeführt wird, klicken Sie auf Bearbeiten.
Wählen Sie im Drop-down-Menü unter Dienstkonto die Option Compute Engine-Standarddienstkonto aus.
Achten Sie darauf, dass im Abschnitt Zugriffsbereiche nicht die Option Uneingeschränkten Zugriff auf alle Cloud APIs zulassen ausgewählt ist.
Klicken Sie auf Speichern.
Klicken Sie nun auf Starten, um die Instanz zu starten.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`HTTP load balancer`

Kategoriename in der API: HTTP_LOAD_BALANCER

Eine Compute Engine-Instanz verwendet einen Load-Balancer, der so konfiguriert ist, dass er statt eines HTTPS-Zielproxys einen Ziel-HTTP-Proxy verwendet.

Um die Integrität Ihrer Daten zu schützen und zu verhindern, dass Eindringlinge Ihre Kommunikation manipulieren, konfigurieren Sie Ihre HTTP(S)-Load-Balancer so, dass nur HTTPS-Traffic zulässig ist. Weitere Informationen finden Sie unter Übersicht über externes HTTP(S)-Load-Balancing.

Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Zielproxys auf.

Zu Ziel-Proxys
Klicken Sie in der Liste der Zielproxys auf den Namen des Zielproxys im Ergebnis.
Klicken Sie auf den Link im Abschnitt URL-Zuordnung.
Klicken Sie auf Bearbeiten.
Klicken Sie auf Front-End-Konfiguration.
Löschen Sie alle Frontend-IP- und Portkonfigurationen, die HTTP-Traffic zulassen, und erstellen Sie neue Konfigurationen, die HTTPS-Traffic zulassen.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Instance OS login disabled`

Kategoriename in der API: INSTANCE_OS_LOGIN_DISABLED

OS Login ist für diese Compute Engine-Instanz deaktiviert.

OS Login aktiviert die zentralisierte Verwaltung von SSH-Schlüsseln mit IAM und deaktiviert die metadatenbasierte SSH-Schlüsselkonfiguration aller Instanzen eines Projekts. Lesen Sie die Informationen zum Einrichten und Konfigurieren von OS Login.

Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.

Zur Seite „VM-Instanzen“
Klicken Sie in der Liste der Instanzen auf den Namen der Instanz im Ergebnis.
Klicken Sie auf der Seite Instanzdetails, die geladen wird, auf Beenden.
Nachdem die Instanz beendet wurde, klicken Sie auf Bearbeiten.
Achten Sie im Bereich Benutzerdefinierte Metadaten darauf, dass das Element mit dem Schlüssel enable-oslogin den Wert TRUE hat.
Klicken Sie auf Speichern.
Klicken Sie nun auf Starten, um die Instanz zu starten.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Integrity monitoring disabled`

Kategoriename in der API: INTEGRITY_MONITORING_DISABLED

Das Integritätsmonitoring ist in einem GKE-Cluster deaktiviert.

Mit dem Integritätsmonitoring können Sie die Laufzeit-Bootintegrität Ihrer Shielded-Knoten mithilfe von Monitoring überwachen und überprüfen. So können Sie auf Integritätsfehler reagieren und verhindern, dass manipulierte Knoten im Cluster bereitgestellt werden.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Nachdem ein Knoten bereitgestellt wurde, kann er nicht mehr aktualisiert werden, um das Integritätsmonitoring zu aktivieren. Sie müssen einen neuen Knotenpool mit aktiviertem Integritätsmonitoring erstellen.

Rufen Sie in der Google Cloud Console die GKE-Seite Kubernetes Cluster auf.

Zur Seite "Kubernetes-Cluster"
Klicken Sie auf den Namen des Clusters im Ergebnis.
Klicken Sie auf Knotenpool hinzufügen.
Prüfen Sie auf dem Tab Sicherheit, ob die Option Integritätsmonitoring aktivieren aktiviert ist.
Klicken Sie auf Erstellen.
Informationen zum Migrieren Ihrer Arbeitslasten von den vorhandenen nicht konformen Knotenpools zu den neuen Knotenpools finden Sie unter Arbeitslasten zu anderen Maschinentypen migrieren.
Löschen Sie den ursprünglichen nicht konformen Knotenpool, nachdem die Arbeitslasten verschoben wurden.
1. Klicken Sie auf der Seite Kubernetes-Cluster im Menü Knotenpools auf den Namen des Knotenpools, den Sie löschen möchten.
2. Klicken Sie auf Knotenpool entfernen.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Intranode visibility disabled`

Kategoriename in der API: INTRANODE_VISIBILITY_DISABLED

Knoteninterne Sichtbarkeit ist für einen GKE-Cluster deaktiviert.

Durch das Aktivieren der knoteninternen Sichtbarkeit wird Ihr knoteninterner Pod-zu-Pod-Traffic für das Netzwerk-Fabric sichtbar. Mit diesem Feature können Sie den knoteninternen Traffic mithilfe von VPC-Fluss-Logging und anderen VPC-Features überwachen oder steuern. Für den Abruf von Logs müssen Sie VPC-Flusslogs im ausgewählten Subnetzwerk aktivieren. Weitere Informationen finden Sie unter VPC-Flusslogs verwenden.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die GKE-Seite Kubernetes Cluster auf.

Zur Seite "Kubernetes-Cluster"
Klicken Sie im Bereich Netzwerk in der Zeile Knoteninterne Sichtbarkeit auf das Symbol „Bearbeiten“ ().

Wenn die Clusterkonfiguration kürzlich geändert wurde, ist die Schaltfläche "Bearbeiten" möglicherweise deaktiviert. Wenn Sie die Clustereinstellungen nicht bearbeiten können, warten Sie ein paar Minuten und versuchen Sie es dann noch einmal.
Wählen Sie im Dialogfeld die Option Knoteninterne Sichtbarkeit aktivieren aus.
Klicken Sie auf Änderungen speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`IP alias disabled`

Kategoriename in der API: IP_ALIAS_DISABLED

Ein GKE-Cluster wurde mit deaktivierten Alias-IP-Bereichen erstellt.

Wenn Sie Alias-IP-Bereiche aktivieren, weisen GKE-Cluster IP-Adressen aus einem bekannten CIDR-Block zu. Der Cluster kann so skaliert werden und besser mit Google Cloud-Produkten und -Entitäten interagieren. Weitere Informationen finden Sie unter Alias-IP-Bereiche – Übersicht.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Sie können einen vorhandenen Cluster nicht migrieren, um Alias-IP-Adressen zu verwenden. So erstellen Sie einen neuen Cluster mit aktivierten Alias-IP-Adressen:

Rufen Sie in der Google Cloud Console die GKE-Seite Kubernetes Cluster auf.

Zur Seite "Kubernetes-Cluster"
Klicken Sie auf Erstellen.
Klicken Sie im Navigationsbereich unter Cluster auf Netzwerk.
Wählen Sie unter Erweiterte Netzwerkoptionen die Option VPC-natives Traffic-Routing aktivieren (verwendet Alias-IP-Adresse) aus.
Klicken Sie auf Erstellen.

Hinweis: Ein Cluster kann nicht geändert werden, während er sich selbst neu konfiguriert.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`IP forwarding enabled`

Kategoriename in der API: IP_FORWARDING_ENABLED

Die IP-Weiterleitung ist für Compute Engine-Instanzen aktiviert.

Verhindern Sie Datenverlust oder die Offenlegung von Informationen, indem Sie die IP-Weiterleitung von Datenpaketen für Ihre VMs deaktivieren.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.

Zur Seite „VM-Instanzen“
Klicken Sie in der Liste der Instanzen auf das Kästchen neben dem Namen der Instanz für das Ergebnis.
Klicken Sie auf Löschen.
Wählen Sie Instanz erstellen aus, um eine neue Instanz zu erstellen, die die gelöschte Instanz ersetzt.
Wenn Sie die IP-Weiterleitung deaktivieren möchten, klicken Sie auf Verwaltung, Laufwerke, Netzwerke, SSH-Schlüssel und dann auf Netzwerke.
Klicken Sie unter Netzwerkschnittstellen auf Bearbeiten.
Achten Sie darauf, dass im Drop-down-Menü unter IP-Weiterleitung die Option Aus ausgewählt ist.
Geben Sie alle anderen Instanzparameter an und klicken Sie dann auf Erstellen. Weitere Informationen finden Sie unter VM-Instanz erstellen und starten.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`KMS key not rotated`

Kategoriename in der API: KMS_KEY_NOT_ROTATED

Für einen Cloud KMS-Verschlüsselungsschlüssel ist keine Rotation konfiguriert.

Das Rotieren Ihrer Verschlüsselungsschlüssel bietet regelmäßig Schutz, wenn ein Schlüssel manipuliert wurde, und begrenzt die Anzahl verschlüsselter Nachrichten, die der Kryptoanalyse für eine bestimmte Schlüsselversion zur Verfügung stehen. Weitere Informationen finden Sie unter Schlüsselrotation.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Cloud KMS-Schlüssel auf.

Zu Cloud KMS-Schlüsseln
Klicken Sie auf den Namen des Schlüsselbunds, der in dem Ergebnis angegeben ist.
Klicken Sie auf den Namen des im Ergebnis angegebenen Schlüssels.
Klicken Sie auf Rotationszeitraum bearbeiten.
Legen Sie den Rotationszeitraum auf maximal 90 Tage fest.
Klicken Sie auf Speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`KMS project has owner`

Kategoriename in der API: KMS_PROJECT_HAS_OWNER

Ein Nutzer hat roles/Owner-Berechtigungen für ein Projekt mit kryptografischen Schlüsseln. Weitere Informationen finden Sie unter Berechtigungen und Rollen.

Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die IAM-Seite auf.

Zur IAM-Seite
Wählen Sie ggf. das Projekt im Ergebnis aus.
Führen Sie für jedes Mitglied mit der Rolle Inhaber die folgenden Schritte aus:
1. Klicken Sie auf Bearbeiten.
2. Klicken Sie im Bereich Bearbeitungsberechtigung neben der Rolle Inhaber auf Löschen.
3. Klicken Sie auf Speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`KMS public key`

Kategoriename in der API: KMS_PUBLIC_KEY

Ein Cloud KMS Cryptokey oder Cloud KMS-Schlüsselbund ist öffentlich und für jeden im Internet zugänglich. Weitere Informationen finden Sie unter IAM mit Cloud KMS verwenden.

So beheben Sie dieses Ergebnis, wenn es mit einem kryptografischen Schlüssel zusammenhängt:

Rufen Sie in der Google Cloud Console die Seite Kryptografische Schlüssel auf.

Kryptografische Schlüssel
Wählen Sie unter Name den Schlüsselbund aus, der den kryptografischen Schlüssel mit dem Security Health Analytics-Ergebnis enthält.
Klicken Sie auf der Seite Schlüsselbunddetails, die geladen wird, das Kästchen neben dem kryptografischen Schlüssel an.
Wenn das Infofeld nicht angezeigt wird, klicken Sie auf Infofeld ansehen.
Verwenden Sie das Filterfeld vor Rolle/Hauptkonto, um Hauptkonten nach allUsers und allAuthenticatedUsers zu suchen, und klicken Sie auf Löschen. , um den Zugriff für diese Hauptkonten zu entfernen.

So beheben Sie dieses Ergebnis, wenn es mit einem Schlüsselbund zusammenhängt:

Rufen Sie in der Google Cloud Console die Seite Kryptografische Schlüssel auf.

Kryptografische Schlüssel
Suchen Sie die Zeile mit dem Schlüsselbund in dem Ergebnis und klicken Sie das Kästchen an.
Wenn das Infofeld nicht angezeigt wird, klicken Sie auf Infofeld ansehen.
Verwenden Sie das Filterfeld vor Rolle/Hauptkonto, um Hauptkonten nach allUsers und allAuthenticatedUsers zu suchen, und klicken Sie auf Löschen. , um den Zugriff für diese Hauptkonten zu entfernen.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`KMS role separation`

Kategoriename in der API: KMS_ROLE_SEPARATION

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.

Mindestens einem Hauptkonto sind mehrere Cloud KMS-Berechtigungen zugewiesen. Wir empfehlen, keinem Konto gleichzeitig Cloud KMS-Administratorberechtigungen und andere Cloud KMS-Berechtigungen zuzuweisen. Weitere Informationen finden Sie unter Berechtigungen und Rollen.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die IAM-Seite auf.

IAM aufrufen
Gehen Sie für jedes Hauptkonto, das in dem Ergebnis aufgeführt ist, so vor:
1. Prüfen Sie in der Spalte Übernahme, ob die Rolle von einem Ordner oder einer Organisationsressource übernommen wurde. Wenn die Spalte einen Link zu einer übergeordneten Ressource enthält, klicken Sie darauf, um zur IAM-Seite der übergeordneten Ressource zu gelangen.
2. Klicken Sie neben einem Hauptkonto auf Bearbeiten .
3. Klicken Sie zum Entfernen von Berechtigungen neben Cloud KMS-Administrator auf Löschen . Wenn Sie alle Berechtigungen für das Hauptkonto entfernen möchten, klicken Sie neben allen anderen Berechtigungen auf Löschen.
Klicken Sie auf Speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Legacy authorization enabled`

Kategoriename in der API: LEGACY_AUTHORIZATION_ENABLED

Die Legacy-Autorisierung ist für GKE-Cluster aktiviert.

In Kubernetes können Sie über eine rollenbasierte Zugriffssteuerung (RBAC) Rollen mit Regeln definieren, die aus einem Set von Berechtigungen bestehen, und Berechtigungen auf Cluster- und Namespace-Ebene erteilen. Durch diese Funktion wird die Sicherheit verbessert, da Nutzer nur Zugriff auf bestimmte Ressourcen haben. Erwägen Sie, die attributbasierte Zugriffssteuerung (ABAC) zu deaktivieren.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die GKE-Seite Kubernetes Cluster auf.

Zur Seite "Kubernetes-Cluster"
Wählen Sie den Cluster aus, der im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf Bearbeiten.

Wenn die Clusterkonfiguration kürzlich geändert wurde, ist die Schaltfläche "Bearbeiten" möglicherweise deaktiviert. Wenn Sie die Clustereinstellungen nicht bearbeiten können, warten Sie einige Minuten und versuchen Sie es dann noch einmal.
Wählen Sie in der Drop-down-Liste Alte Autorisierung die Option Deaktiviert aus.
Klicken Sie auf Speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Legacy metadata enabled`

Kategoriename in der API: LEGACY_METADATA_ENABLED

Legacy-Metadaten sind für GKE-Cluster aktiviert.

Der Instanzmetadatenserver von Compute Engine macht die Legacy-Endpunkte /0.1/ und /v1beta1/ verfügbar, die keine Metadatenabfrage-Header erzwingen. Dieses Feature in der /v1/ API erschwert potenziellen Angreifern das Abrufen von Instanzmetadaten. Sofern nicht erforderlich, empfehlen wir, diese Legacy-APIs /0.1/ und /v1beta1/ zu deaktivieren.

Weitere Informationen finden Sie unter Legacy-Metadaten-APIs deaktivieren und von dort wechseln.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Sie können Legacy-Metadaten-APIs nur deaktivieren, wenn Sie einen neuen Cluster erstellen oder einem vorhandenen Cluster einen neuen Knotenpool hinzufügen. Informationen zum Aktualisieren eines vorhandenen Clusters und zum Deaktivieren von Legacy-Metadaten-APIs finden Sie unter Arbeitslasten zu anderen Maschinentypen migrieren.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Legacy network`

Kategoriename in der API: LEGACY_NETWORK

Ein Legacy-Netzwerk ist in einem Projekt vorhanden.

Legacy-Netzwerke werden nicht empfohlen, da viele neue Google Cloud-Sicherheitsfeatures in Legacy-Netzwerken nicht unterstützt werden. Verwenden Sie stattdessen VPC-Netzwerke. Weitere Informationen finden Sie unter Legacy-Netzwerke.

Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

Zur Seite VPC-Netzwerke
Klicken Sie auf Netzwerk erstellen, um ein neues Nicht-Legacy-Netzwerk zu erstellen.
Kehren Sie zur Seite VPC-Netzwerke zurück.
Klicken Sie in der Liste der Netzwerke auf legacy_network.
Klicken Sie auf der Seite VPC-Netzwerkdetails auf VPC-Netzwerk löschen.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Load balancer logging disabled`

Kategoriename in der API: LOAD_BALANCER_LOGGING_DISABLED

Logging ist für den Back-End-Dienst in einem Load-Balancer deaktiviert.

Wenn Sie das Logging für einen Load-Balancer aktivieren, können Sie den HTTP(S)-Netzwerktraffic für Ihre Webanwendungen ansehen. Weitere Informationen finden Sie unter Load-Balancer.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Cloud Load Balancing auf.

Zu Cloud Load Balancing
Klicken Sie auf den Namen des Load-Balancers.
Klicken Sie auf Bearbeiten .
Klicken Sie auf Backend-Konfiguration.
Klicken Sie auf der Seite Back-End-Konfiguration auf .
Wählen Sie im Bereich Logging die Option Logging aktivieren und anschließend die beste Abtastrate für Ihr Projekt aus.
Klicken Sie auf Aktualisieren, um die Bearbeitung des Backend-Dienstes abzuschließen.
Klicken Sie auf Aktualisieren, um das Bearbeiten des Load-Balancers abzuschließen.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Locked retention policy not set`

Kategoriename in der API: LOCKED_RETENTION_POLICY_NOT_SET

Für ein Log ist keine gesperrte Aufbewahrungsrichtlinie festgelegt.

Eine gesperrte Aufbewahrungsrichtlinie verhindert, dass Logs überschrieben werden und dass der Log-Bucket gelöscht wird. Weitere Informationen finden Sie unter Bucket-Sperre.

Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Storage-Browser auf.

Zum Storage-Browser
Wählen Sie den Bucket aus, der in den Ergebnissen von Security Health Analytics aufgeführt ist.
Klicken Sie auf der Seite Bucket-Details auf den Tab Aufbewahrung.
Wenn keine Aufbewahrungsrichtlinie festgelegt ist, klicken Sie auf Aufbewahrungsrichtlinie festlegen.
Geben Sie eine Aufbewahrungsdauer ein.
Klicken Sie auf Speichern. Die Aufbewahrungsrichtlinie wird auf dem Tab Aufbewahrung angezeigt.
Klicken Sie auf Sperren, um sicherzustellen, dass die Aufbewahrungsdauer nicht verkürzt oder entfernt wird.

Achtung:Das Sperren einer Aufbewahrungsrichtlinie kann nicht rückgängig gemacht werden und kann nur durch Löschen des gesamten Buckets rückgängig gemacht werden. Weitere Informationen finden Sie unter Bucket-Sperre.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Log not exported`

Kategoriename in der API: LOG_NOT_EXPORTED

Für eine Ressource ist keine entsprechende Logsenke konfiguriert.

Mit Cloud Logging können Sie die Ursache von Problemen in Ihren Systemen und Anwendungen schneller finden. Allerdings werden die meisten Logs nur 30 Tage lang aufbewahrt. Exportieren Sie Kopien aller Logeinträge, um die Speicherdauer zu verlängern. Weitere Informationen finden Sie unter Logexporte.

Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Log-Router auf.

Zum "Log Router"
Klicken Sie auf Senke erstellen.
Lassen Sie die „Einschließen“- und „Ausschließen“-Filter leer, damit alle Logs exportiert werden.
Klicken Sie auf Senke erstellen.

Hinweis: In dieser Anleitung wird eine Senke auf Projektebene erstellt. Senken können auch auf Ordner- oder Organisationsebene erstellt werden. Weitere Informationen finden Sie unter Logs mit der Google Cloud Console exportieren.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Master authorized networks disabled`

Kategoriename in der API: MASTER_AUTHORIZED_NETWORKS_DISABLED

Autorisierte Netzwerke auf Steuerungsebene sind in GKE-Clustern nicht aktiviert.

Autorisierte Netzwerke der Steuerungsebene verbessern die Sicherheit des Containerclusters, indem sie bestimmten IP-Adressen den Zugriff auf die Steuerungsebene des Clusters verwehren. Weitere Informationen finden Sie unter Autorisierte Netzwerke für den Zugriff auf Steuerungsebene hinzufügen.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die GKE-Seite Kubernetes Cluster auf.

Zur Seite "Kubernetes-Cluster"
Wählen Sie den Cluster aus, der im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf Bearbeiten.

Wenn die Clusterkonfiguration kürzlich geändert wurde, ist die Schaltfläche "Bearbeiten" möglicherweise deaktiviert. Wenn Sie die Clustereinstellungen nicht bearbeiten können, warten Sie einige Minuten und versuchen Sie es dann noch einmal.
Wählen Sie in der Drop-down-Liste Autorisierte Netzwerke der Steuerungsebene die Option Aktiviert aus.
Klicken Sie auf Autorisiertes Netzwerk hinzufügen.
Geben Sie die gewünschten autorisierten Netzwerke an.
Klicken Sie auf Speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`MFA not enforced`

Kategoriename in der API: MFA_NOT_ENFORCED

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.

Die Multi-Faktor-Authentifizierung, genauer die Bestätigung in zwei Schritten (2FA), ist für einige Nutzer in Ihrer Organisation deaktiviert.

Die Multi-Faktor-Authentifizierung kann verwendet werden, um Konten vor einem nicht autorisierten Zugriff zu schützen. Sie stellt das wichtigste Tool für den Schutz der Organisation vor manipulierten Anmeldedaten dar. Weitere Informationen finden Sie unter Ihr Unternehmen mit der Bestätigung in zwei Schritten schützen.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Wechseln Sie in der Google Cloud Console zur Seite Admin-Konsole.

Zur Admin-Konsole
Erzwingen Sie die 2-Faktor-Authentifizierung für alle Organisationseinheiten.

Ergebnisse dieses Typs unterdrücken

Um Ergebnisse dieses Typs zu unterdrücken, definieren Sie eine Ausblendungsregel, die zukünftige Ergebnisse dieses Typs automatisch ausblendet. Weitere Informationen finden Sie unter Ergebnisse in Security Command Center ausblenden.

Obwohl dies keine empfohlene Methode zum Unterdrücken von Ergebnissen ist, können Sie Assets auch spezielle Sicherheitsmarkierungen hinzufügen, damit die Detektoren von Security Health Analytics keine Sicherheitsergebnisse für diese Assets erstellen.

Damit dieses Ergebnis nicht wieder aktiviert wird, fügen Sie das Sicherheitszeichen allow_mfa_not_enforced mit dem Wert true hinzu.
Um potenzielle Verstöße für bestimmte Organisationseinheiten zu ignorieren, fügen Sie dem Asset das Sicherheitszeichen excluded_orgunits mit einer durch Kommas getrennten Liste mit Pfaden für Organisationseinheiten im Feld Wert hinzu. Beispiel: excluded_orgunits:/people/vendors/vendorA,/people/contractors/contractorA.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Network not monitored`

Kategoriename in der API: NETWORK_NOT_MONITORED

Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen am VPC-Netzwerk konfiguriert.

Überwachen Sie Änderungen des VPC-Netzwerks, um falsche oder nicht autorisierte Änderungen an der Netzwerkeinrichtung zu erkennen. Weitere Informationen finden Sie in der Übersicht zu Logbasierten Messwerten.

Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Messwert erstellen

Rufen Sie in der Google Cloud Console die Seite Logbasierte Messwerte auf.

Weiter zu logbasierten Messwerten
Klicken Sie auf Messwert erstellen.
Wählen Sie unter Messwerttyp die Option Zähler aus.
Unter Details:
1. Legen Sie unter Name des Logmesswerts einen Namen fest.
2. Fügen Sie eine Beschreibung hinzu.
3. Legen Sie Einheiten auf 1 fest.

Kopieren Sie unter Filterauswahl den folgenden Text und fügen Sie ihn in das Feld Filter erstellen ein. Ersetzen Sie bei Bedarf den vorhandenen Text:

  resource.type="gce_network"
  AND (protoPayload.methodName:"compute.networks.insert"
  OR protoPayload.methodName:"compute.networks.patch"
  OR protoPayload.methodName:"compute.networks.delete"
  OR protoPayload.methodName:"compute.networks.removePeering"
  OR protoPayload.methodName:"compute.networks.addPeering")

Klicken Sie auf Messwert erstellen. Sie sehen eine Bestätigung.

Benachrichtigungsrichtlinie erstellen

Wählen Sie im Navigationsbereich der Google Cloud Console Logging und dann Logbasierte Messwerte aus:
Zu Logbasierte Messwerte
Wählen Sie im Bereich Benutzerdefinierte Messwerte den Messwert aus, den Sie im vorherigen Abschnitt erstellt haben.
Klicken Sie auf Mehr und dann auf Benachrichtigung mit dem Messwert erstellen.

Das Dialogfeld Neue Bedingung wird geöffnet. Die Optionen zur Messwert- und Datentransformation sind bereits ausgefüllt.
Klicken Sie auf Next (Weiter).
1. Prüfen Sie die vorkonfigurierten Einstellungen. Sie können den Schwellenwert ändern.
2. Klicken Sie auf Bedingungsname und geben Sie einen Namen für die Bedingung ein.
Klicken Sie auf Next (Weiter).
Klicken Sie auf Benachrichtigungskanäle, um der Benachrichtigungsrichtlinie Benachrichtigungen hinzuzufügen. Wählen Sie im Dialogfeld einen oder mehrere Benachrichtigungskanäle aus dem Menü aus und klicken Sie dann auf OK.

Wenn Sie benachrichtigt werden möchten, wenn Vorfälle geöffnet und geschlossen werden, klicken Sie Beim Schließen von Vorfällen benachrichtigen an. Standardmäßig werden Benachrichtigungen nur gesendet, wenn Vorfälle geöffnet werden.
Optional: Aktualisieren Sie die Dauer bis zur automatischen Schließung von Vorfällen. Dieses Feld bestimmt, wann Monitoring Vorfälle ohne Messwertdaten schließt.
Optional: Klicken Sie auf Dokumentation und geben Sie alle Informationen ein, die in einer Benachrichtigung angezeigt werden sollen.
Klicken Sie auf Name der Benachrichtigung und geben Sie einen Namen für die Benachrichtigungsrichtlinie ein.
Klicken Sie auf Richtlinie erstellen.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Network policy disabled`

Kategoriename in der API: NETWORK_POLICY_DISABLED

Die Netzwerkrichtlinie ist auf GKE-Clustern deaktiviert.

Standardmäßig ist die Pod-zu-Pod-Kommunikation offen. Offene Kommunikation erlaubt Pods, sich direkt über Knoten zu verbinden, mit oder ohne Übersetzung von Netzwerkadressen. Eine NetworkPolicy-Ressource ist wie eine Firewall auf Pod-Ebene, die Verbindungen zwischen Pods einschränkt, es sei denn, die Ressource NetworkPolicy lässt die Verbindung explizit zu. Lesen Sie die Informationen zum Definieren von Netzwerkrichtlinien.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die GKE-Seite Kubernetes Cluster auf.

Zur Seite "Kubernetes-Cluster"
Klicken Sie auf den Namen des Clusters, der im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie unter Netzwerk in der Zeile für Calico-Kubernetes-Netzwerkrichtlinie auf Bearbeiten.

Wenn die Clusterkonfiguration kürzlich geändert wurde, ist die Schaltfläche "Bearbeiten" möglicherweise deaktiviert. Wenn Sie die Clustereinstellungen nicht bearbeiten können, warten Sie einige Minuten und versuchen Sie es dann noch einmal.
Wählen Sie im Dialogfeld Calico-Kubernetes-Netzwerkrichtlinie für Steuerungsebene aktivieren und Calico-Kubernetes-Netzwerkrichtlinie für Knoten aktivieren aus.
Klicken Sie auf Änderungen speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Nodepool boot CMEK disabled`

Kategoriename in der API: NODEPOOL_BOOT_CMEK_DISABLED

Bootlaufwerke in diesem Knotenpool werden nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verschlüsselt. Mit CMEK kann der Nutzer die Standardverschlüsselungsschlüssel für Bootlaufwerke in einem Knotenpool konfigurieren.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die GKE-Seite Kubernetes Cluster auf.

Zur Seite "Kubernetes-Cluster"
Klicken Sie in der Liste der Cluster auf den Namen des Clusters in dem Ergebnis.
Klicken Sie auf den Tab Knoten.
Klicken Sie bei jedem Default-pool-Knotenpool auf Löschen .
Wenn Sie zur Bestätigung aufgefordert werden, klicken Sie auf Löschen.
Informationen zum Erstellen neuer Knotenpools mit CMEK finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden. CMEK verursacht zusätzliche Kosten im Zusammenhang mit Cloud KMS.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Nodepool secure boot disabled`

Kategoriename in der API: NODEPOOL_SECURE_BOOT_DISABLED

Secure Boot ist für einen GKE-Cluster deaktiviert.

Aktivieren Sie Secure Boot für Shielded GKE-Knoten, um die digitalen Signaturen von Knotenkomponenten beim Knoten zu prüfen. Weitere Informationen finden Sie unter Secure Boot.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Nachdem ein Knotenpool bereitgestellt wurde, kann er nicht mehr aktualisiert werden, um Secure Boot zu aktivieren. Sie müssen einen neuen Knotenpool mit aktiviertem Secure Boot erstellen.

Rufen Sie in der Google Cloud Console die GKE-Seite Kubernetes Cluster auf.

Zur Seite "Kubernetes-Cluster"
Klicken Sie auf den Namen des Clusters im Ergebnis.
Klicken Sie auf Knotenpool hinzufügen.
Führen Sie im Menü Knotenpools die folgenden Schritte aus:
1. Klicken Sie auf den Namen des neuen Knotenpools, um den Tab zu maximieren.
2. Wählen Sie Sicherheit und dann unter Shielded-Optionen die Option Secure Boot aktivieren aus.
3. Klicken Sie auf Erstellen.
4. Informationen zum Migrieren Ihrer Arbeitslasten von den vorhandenen nicht konformen Knotenpools zu den neuen Knotenpools finden Sie unter Arbeitslasten zu anderen Maschinentypen migrieren.
5. Löschen Sie den ursprünglichen nicht konformen Knotenpool, nachdem die Arbeitslasten verschoben wurden.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Non org IAM member`

Kategoriename in der API: NON_ORG_IAM_MEMBER

Ein Nutzer außerhalb Ihrer Organisation oder Ihres Projekts hat IAM-Berechtigungen für ein Projekt oder eine Organisation. Übersicht über IAM-Berechtigungen

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die IAM-Seite auf.

IAM aufrufen
Klicken Sie das Kästchen neben Nutzern außerhalb Ihrer Organisation oder Ihres Projekts an.
Klicken Sie auf Entfernen.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Object versioning disabled`

Kategoriename in der API: OBJECT_VERSIONING_DISABLED

Die Objektversionsverwaltung ist für einen Storage-Bucket, in dem Senken konfiguriert sind, nicht aktiviert.

Damit Sie auch bereits gelöschte oder überschriebene Objekte abrufen können, bietet Cloud Storage die Möglichkeit der Objektversionsverwaltung. Aktivieren Sie die Objektversionierung, um Ihre Cloud Storage-Daten vor dem Überschreiben oder versehentlichen Löschen zu schützen. Objektversionierung aktivieren

Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Zur Behebung dieses Problems verwenden Sie den Befehl gsutil versioning set on mit dem entsprechenden Wert:

    gsutil versioning set on gs://finding.assetDisplayName

Ersetzen Sie finding.assetDisplayName durch den Namen des entsprechenden Buckets.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Open Cassandra port`

Kategoriename in der API: OPEN_CASSANDRA_PORT

Firewallregeln, die zulassen, dass beliebige IP-Adressen eine Verbindung zu Cassandra-Ports herstellen, können Ihre Cassandra-Dienste für Angreifer verfügbar machen. Weitere Informationen finden Sie unter VPC-Firewallregeln - Übericht.

Die Cassandra-Dienstports sind

TCP - 7000, 7001, 7199, 8888, 9042, 9160, 61620, 61621

Dieses Ergebnis wird für anfällige Firewallregeln generiert, auch wenn Sie sie absichtlich deaktivieren. Aktive Ergebnisse für deaktivierte Firewallregeln informieren Sie über unsichere Konfigurationen, die unerwünschten Traffic zulassen, sofern diese aktiviert sind.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Firewall auf.

Zur Firewall
Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel in dem Ergebnis.
Klicken Sie auf Bearbeiten.
Löschen Sie unter Quell-IP-Bereiche den Wert 0.0.0.0/0.
Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die sich mit der Instanz verbinden sollen.
Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
Klicken Sie auf Speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Open ciscosecure websm port`

Kategoriename in der API: OPEN_CISCOSECURE_WEBSM_PORT

Firewallregeln, die zulassen, dass beliebige IP-Adressen eine Verbindung zu CiscoSecure/WebSM-Ports herstellen, können Ihre CiscoSecure/WebSM-Dienste für Angreifer verfügbar machen. Weitere Informationen finden Sie unter VPC-Firewallregeln - Übersicht.

Die CiscoSecure/WebSM-Dienstports sind:

TCP - 9090

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Firewall auf.

Zur Firewall
Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel in dem Ergebnis.
Klicken Sie auf Bearbeiten.
Löschen Sie unter Quell-IP-Bereiche den Wert 0.0.0.0/0.
Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die sich mit der Instanz verbinden sollen.
Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
Klicken Sie auf Speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Open directory services port`

Kategoriename in der API: OPEN_DIRECTORY_SERVICES_PORT

Firewallregeln, die zulassen, dass beliebige IP-Adressen eine Verbindung zu Verzeichnisports herstellen, können Ihre Verzeichnisdienste für Angreifer verfügbar machen. Weitere Informationen finden Sie unter VPC-Firewallregeln - Übericht.

Die Verzeichnisdienstports sind:

TCP - 445
UDP - 445

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Firewall auf.

Zur Firewall
Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel in dem Ergebnis.
Klicken Sie auf Bearbeiten.
Löschen Sie unter Quell-IP-Bereiche den Wert 0.0.0.0/0.
Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die sich mit der Instanz verbinden sollen.
Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
Klicken Sie auf Speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Open DNS port`

Kategoriename in der API: OPEN_DNS_PORT

Firewallregeln, die zulassen, dass beliebige IP-Adressen eine Verbindung zu DNS-Ports herstellen, können Ihre DNS-Dienste für Angreifer verfügbar machen. Weitere Informationen finden Sie unter VPC-Firewallregeln - Übersicht.

Die DNS-Dienstports sind:

TCP - 53
UDP - 53

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Firewall auf.

Zur Firewall
Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel in dem Ergebnis.
Klicken Sie auf Bearbeiten.
Löschen Sie unter Quell-IP-Bereiche den Wert 0.0.0.0/0.
Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die sich mit der Instanz verbinden sollen.
Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
Klicken Sie auf Speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Open Elasticsearch port`

Kategoriename in der API: OPEN_ELASTICSEARCH_PORT

Firewallregeln, die zulassen, dass beliebige IP-Adressen eine Verbindung mit Elasticsearch-Ports herstellen, können Ihre Elasticsearch-Dienste für Angreifer verfügbar machen. Weitere Informationen finden Sie unter VPC-Firewallregeln - Übericht.

Die Ports für den Elasticsearch-Dienst sind:

TCP - 9200, 9300

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Firewall auf.

Zur Firewall
Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel in dem Ergebnis.
Klicken Sie auf Bearbeiten.
Löschen Sie unter Quell-IP-Bereiche den Wert 0.0.0.0/0.
Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die sich mit der Instanz verbinden sollen.
Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
Klicken Sie auf Speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Open firewall`

Kategoriename in der API: OPEN_FIREWALL

Firewallregeln, die Verbindungen von allen IP-Adressen, z. B. 0.0.0.0/0, oder von allen Ports zulassen, können Ressourcen unnötigerweise Angriffen aus unbeabsichtigten Quellen aussetzen. Diese Regeln sollten entfernt oder ausdrücklich auf die vorgesehenen Quell-IP-Bereiche oder -Ports beschränkt werden. Beispielsweise könnten Sie bei öffentlichen Anwendungen die zulässigen Ports auf diejenigen beschränken, die für die Anwendung erforderlich sind, z. B. 80 und 443. Wenn Ihre Anwendung Verbindungen von allen IP-Adressen oder Ports zulassen muss, sollten Sie das Asset auf eine Zulassungsliste setzen. Weitere Informationen finden Sie unter Firewallregeln aktualisieren.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Firewallregeln auf.

Zu Firewallregeln
Klicken Sie auf die Firewallregel, die im Security Health Analytics-Ergebnis aufgeführt ist, und klicken Sie dann auf Bearbeiten.
Bearbeiten Sie unter Quell-IP-Bereiche die IP-Werte, um den Bereich der zulässigen IP-Adressen einzuschränken.
Wählen Sie unter Protokolle und Ports die Option Angegebene Protokolle und Ports und dann die zulässigen Protokolle aus.
Klicken Sie auf Speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Open FTP port`

Kategoriename in der API: OPEN_FTP_PORT

Firewallregeln, die zulassen, dass beliebige IP-Adressen eine Verbindung mit FTP-Ports herstellen, können Ihre FTP-Dienste für Angreifer verfügbar machen. Weitere Informationen finden Sie unter VPC-Firewallregeln - Übersicht.

Die FTP-Dienstports sind:

TCP - 21

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Firewall auf.

Zur Firewall
Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel in dem Ergebnis.
Klicken Sie auf Bearbeiten.
Löschen Sie unter Quell-IP-Bereiche den Wert 0.0.0.0/0.
Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die sich mit der Instanz verbinden sollen.
Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
Klicken Sie auf Speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Open group IAM member`

Kategoriename in der API: OPEN_GROUP_IAM_MEMBER

Ein oder mehrere Hauptkonten, die Zugriff auf eine Organisation, ein Projekt oder einen Ordner haben, sind Google Groups-Konten, die ohne Genehmigung verknüpft werden können.

Google Cloud-Kunden können Google Groups verwenden, um Rollen und Berechtigungen für Mitglieder in ihren Organisationen zu verwalten oder Zugriffsrichtlinien auf Sammlungen von Nutzern anzuwenden. Administratoren können Google Groups Rollen und Berechtigungen zuweisen und Mitglieder dann bestimmten Gruppen hinzufügen, statt Rollen direkt an Mitglieder zu erteilen. Gruppenmitglieder übernehmen alle Rollen und Berechtigungen einer Gruppe, wodurch sie auf bestimmte Ressourcen und Dienste zugreifen können.

Wenn ein offenes Google Groups-Konto als Hauptkonto in einer IAM-Bindung verwendet wird, kann jeder die zugehörige Rolle übernehmen, indem er der Gruppe direkt oder indirekt (über eine Untergruppe) beitritt. Wir empfehlen, die Rollen der offenen Gruppen zu widerrufen oder den Zugriff auf diese Gruppen einzuschränken.

Führen Sie eines der folgenden Verfahren aus, um dieses Ergebnis zu korrigieren.

Gruppe aus IAM-Richtlinie entfernen

Rufen Sie in der Google Cloud Console die IAM-Seite auf.

Zu IAM
Wählen Sie bei Bedarf das Projekt, den Ordner oder die Organisation im Ergebnis aus.
Widerrufen Sie die Rolle für jede offene Gruppe, die im Ergebnis angegeben ist.

Zugriff auf offene Gruppen einschränken

Melden Sie sich in Google Groups an.
Aktualisieren Sie die Einstellungen jeder offenen Gruppe und ihrer Untergruppen, um anzugeben, wer der Gruppe beitreten kann und wer sie genehmigen muss.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Open HTTP port`

Kategoriename in der API: OPEN_HTTP_PORT

Firewallregeln, die zulassen, dass beliebige IP-Adressen eine Verbindung mit HTTP-Ports herstellen, können Ihre HTTP-Dienste für Angreifer verfügbar machen. Weitere Informationen finden Sie unter VPC-Firewallregeln - Übersicht.

Die HTTP-Dienstports sind:

TCP - 80

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Firewall auf.

Zur Firewall
Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel in dem Ergebnis.
Klicken Sie auf Bearbeiten.
Löschen Sie unter Quell-IP-Bereiche den Wert 0.0.0.0/0.
Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die sich mit der Instanz verbinden sollen.
Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
Klicken Sie auf Speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Open LDAP port`

Kategoriename in der API: OPEN_LDAP_PORT

Firewallregeln, die zulassen, dass beliebige IP-Adressen eine Verbindung zu LDAP-Ports herstellen, können Ihre LDAP-Dienste für Angreifer verfügbar machen. Weitere Informationen finden Sie unter VPC-Firewallregeln - Übersicht.

Die LDAP-Dienstports sind:

TCP - 389, 636
UDP - 389

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Firewall auf.

Zur Firewall
Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel in dem Ergebnis.
Klicken Sie auf Bearbeiten.
Löschen Sie unter Quell-IP-Bereiche den Wert 0.0.0.0/0.
Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die sich mit der Instanz verbinden sollen.
Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
Klicken Sie auf Speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Open Memcached port`

Kategoriename in der API: OPEN_MEMCACHED_PORT

Firewallregeln, die zulassen, dass beliebige IP-Adressen eine Verbindung mit Memcached-Ports herstellen, können Ihre Memcached-Dienste für Angreifer verfügbar machen. Weitere Informationen finden Sie unter VPC-Firewallregeln - Übericht.

Die Memcached-Dienst-Ports sind:

TCP - 11211, 11214, 11215
UDP - 11211, 11214, 11215

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Firewall auf.

Zur Firewall
Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel in dem Ergebnis.
Klicken Sie auf Bearbeiten.
Löschen Sie unter Quell-IP-Bereiche den Wert 0.0.0.0/0.
Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die sich mit der Instanz verbinden sollen.
Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
Klicken Sie auf Speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Open MongoDB port`

Kategoriename in der API: OPEN_MONGODB_PORT

Firewallregeln, die zulassen, dass beliebige IP-Adressen eine Verbindung mit MongoDB-Ports herstellen, können Ihre MongoDB-Dienste für Angreifer verfügbar machen. Weitere Informationen finden Sie unter VPC-Firewallregeln - Übericht.

Die MongoDB-Dienstports sind:

TCP - 27017, 27018, 27019

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Firewall auf.

Zur Firewall
Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel in dem Ergebnis.
Klicken Sie auf Bearbeiten.
Löschen Sie unter Quell-IP-Bereiche den Wert 0.0.0.0/0.
Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die sich mit der Instanz verbinden sollen.
Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
Klicken Sie auf Speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Open MySQL port`

Kategoriename in der API: OPEN_MYSQL_PORT

Firewallregeln, die zulassen, dass beliebige IP-Adressen eine Verbindung zu MySQL-Ports herstellen, können Ihre MySQL-Dienste für Angreifer verfügbar machen. Weitere Informationen finden Sie unter VPC-Firewallregeln - Übersicht.

Die MySQL-Dienstports sind:

TCP - 3306

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Firewall auf.

Zur Firewall
Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel in dem Ergebnis.
Klicken Sie auf Bearbeiten.
Löschen Sie unter Quell-IP-Bereiche den Wert 0.0.0.0/0.
Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die sich mit der Instanz verbinden sollen.
Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
Klicken Sie auf Speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Open NetBIOS port`

Kategoriename in der API: `OPEN_NETBIOS_PORT

Firewallregeln, die zulassen, dass beliebige IP-Adressen eine Verbindung zu NetBIOS-Ports herstellen, können Ihre NetBIOS-Dienste für Angreifer verfügbar machen. Weitere Informationen finden Sie unter VPC-Firewallregeln - Übericht.

Die NetBIOS-Dienstports sind:

TCP - 137, 138, 139
UDP - 137, 138, 139

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Firewall auf.

Zur Firewall
Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel in dem Ergebnis.
Klicken Sie auf Bearbeiten.
Löschen Sie unter Quell-IP-Bereiche den Wert 0.0.0.0/0.
Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die sich mit der Instanz verbinden sollen.
Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
Klicken Sie auf Speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Open OracleDB port`

Kategoriename in der API: OPEN_ORACLEDB_PORT

Firewallregeln, die zulassen, dass beliebige IP-Adressen eine Verbindung zu OracleDB-Ports herstellen, können Ihre OracleDB-Dienste für Angreifer verfügbar machen. Weitere Informationen finden Sie unter VPC-Firewallregeln - Übericht.

Die OracleDB-Dienstports sind:

TCP - 1521, 2483, 2484
UDP - 2483, 2484

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Firewall auf.

Zur Firewall
Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel in dem Ergebnis.
Klicken Sie auf Bearbeiten.
Löschen Sie unter Quell-IP-Bereiche den Wert 0.0.0.0/0.
Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die sich mit der Instanz verbinden sollen.
Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
Klicken Sie auf Speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Open POP3 port`

Kategoriename in der API: OPEN_POP3_PORT

Firewallregeln, die zulassen, dass beliebige IP-Adressen eine Verbindung zu POP3-Ports herstellen, können Ihre POP3-Dienste für Angreifer verfügbar machen. Weitere Informationen finden Sie unter VPC-Firewallregeln - Übersicht.

Die POP3-Dienstports sind:

TCP - 110

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Firewall auf.

Zur Firewall
Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel in dem Ergebnis.
Klicken Sie auf Bearbeiten.
Löschen Sie unter Quell-IP-Bereiche den Wert 0.0.0.0/0.
Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die sich mit der Instanz verbinden sollen.
Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
Klicken Sie auf Speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Open PostgreSQL port`

Kategoriename in der API: OPEN_POSTGRESQL_PORT

Firewallregeln, die zulassen, dass beliebige IP-Adressen eine Verbindung mit PostgreSQL-Ports herstellen, können Ihre PostgreSQL-Dienste für Angreifer verfügbar machen. Weitere Informationen finden Sie unter VPC-Firewallregeln - Übericht.

Die PostgreSQL-Dienstports sind:

TCP - 5432
UDP - 5432

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Firewall auf.

Zur Firewall
Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel in dem Ergebnis.
Klicken Sie auf Bearbeiten.
Löschen Sie unter Quell-IP-Bereiche den Wert 0.0.0.0/0.
Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die sich mit der Instanz verbinden sollen.
Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
Klicken Sie auf Speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Open RDP port`

Kategoriename in der API: OPEN_RDP_PORT

Firewallregeln, die zulassen, dass beliebige IP-Adressen eine Verbindung mit RDP-Ports herstellen, können Ihre RDP-Dienste für Angreifer verfügbar machen. Weitere Informationen finden Sie unter VPC-Firewallregeln - Übersicht.

Die RDP-Dienstports sind:

TCP - 3389
UDP - 3389

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Firewall auf.

Zur Firewall
Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel in dem Ergebnis.
Klicken Sie auf Bearbeiten.
Löschen Sie unter Quell-IP-Bereiche den Wert 0.0.0.0/0.
Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die sich mit der Instanz verbinden sollen.
Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
Klicken Sie auf Speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Open Redis port`

Kategoriename in der API: OPEN_REDIS_PORT

Firewallregeln, die zulassen, dass beliebige IP-Adressen eine Verbindung zu Redis-Ports herstellen, können Ihre Redis-Dienste für Angreifer verfügbar machen. Weitere Informationen finden Sie unter VPC-Firewallregeln - Übersicht.

Die Redis-Dienstports sind:

TCP - 6379

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Firewall auf.

Zur Firewall
Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel in dem Ergebnis.
Klicken Sie auf Bearbeiten.
Löschen Sie unter Quell-IP-Bereiche den Wert 0.0.0.0/0.
Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die sich mit der Instanz verbinden sollen.
Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
Klicken Sie auf Speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Open SMTP port`

Kategoriename in der API: OPEN_SMTP_PORT

Firewallregeln, die zulassen, dass beliebige IP-Adressen eine Verbindung mit SMTP-Ports herstellen, können Ihre SMTP-Dienste für Angreifer verfügbar machen. Weitere Informationen finden Sie unter VPC-Firewallregeln - Übersicht.

Die SMTP-Dienstports sind:

TCP - 25

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Firewall auf.

Zur Firewall
Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel in dem Ergebnis.
Klicken Sie auf Bearbeiten.
Löschen Sie unter Quell-IP-Bereiche den Wert 0.0.0.0/0.
Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die sich mit der Instanz verbinden sollen.
Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
Klicken Sie auf Speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Open SSH port`

Kategoriename in der API: OPEN_SSH_PORT

Firewallregeln, die zulassen, dass beliebige IP-Adressen eine Verbindung zu SSH-Ports herstellen, können Ihre SSH-Dienste für Angreifer verfügbar machen. Weitere Informationen finden Sie unter VPC-Firewallregeln - Übersicht.

Die SSH-Dienstports sind:

SCTP - 22
TCP - 22

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Firewall auf.

Zur Firewall
Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel in dem Ergebnis.
Klicken Sie auf Bearbeiten.
Löschen Sie unter Quell-IP-Bereiche den Wert 0.0.0.0/0.
Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die sich mit der Instanz verbinden sollen.
Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
Klicken Sie auf Speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Open Telnet port`

Kategoriename in der API: OPEN_TELNET_PORT

Firewallregeln, die zulassen, dass beliebige IP-Adressen eine Verbindung zu Telnet-Ports herstellen, können Ihre Telnet-Dienste für Angreifer verfügbar machen. Weitere Informationen finden Sie unter VPC-Firewallregeln - Übersicht.

Die Ports des Telnet-Dienstes sind:

TCP - 23

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Firewall auf.

Zur Firewall
Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel in dem Ergebnis.
Klicken Sie auf Bearbeiten.
Löschen Sie unter Quell-IP-Bereiche den Wert 0.0.0.0/0.
Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die sich mit der Instanz verbinden sollen.
Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
Klicken Sie auf Speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Org policy Confidential VM policy`

Kategoriename in der API: ORG_POLICY_CONFIDENTIAL_VM_POLICY

Eine Compute Engine-Ressource verstößt gegen die Organisationsrichtlinie constraints/compute.restrictNonConfidentialComputing. Weitere Informationen zu dieser Einschränkung der Organisationsrichtlinie finden Sie unter Einschränkungen für Organisationsrichtlinien erzwingen.

In Ihrer Organisation muss für diese VM der Confidential VM-Dienst aktiviert sein. VMs, für die dieser Dienst nicht aktiviert ist, verwenden keine Laufzeitarbeitsspeicher-Verschlüsselung, wodurch sie Angriffen auf den Laufzeitarbeitsspeicher ausgesetzt sind.

Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.

Zur Seite „VM-Instanzen“
Klicken Sie in der Liste der Instanzen auf den Namen der Instanz im Ergebnis.
Wenn der Confidential VM-Dienst für die VM nicht erforderlich ist, verschieben Sie ihn in einen neuen Ordner oder ein neues Projekt.
Wenn für die VM Confidential VM erforderlich ist, klicken Sie auf Löschen.
Informationen zum Erstellen einer neuen Instanz mit aktivierter Confidential VM finden Sie unter Kurzanleitung: Confidential VM-Instanz erstellen.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Org policy location restriction`

Kategoriename in der API: ORG_POLICY_LOCATION_RESTRICTION

Mit der Einschränkung gcp.resourceLocations der Organisationsrichtlinie können Sie das Erstellen neuer Ressourcen auf von Ihnen ausgewählte Cloud-Regionen einschränken. For more information, see Restricting resource locations.

Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Der ORG_POLICY_LOCATION_RESTRICTION-Detektor deckt viele Ressourcentypen ab und die Vorgehensweise zur Fehlerbehebung unterscheidet sich je nach Ressource. Der allgemeine Ansatz zur Behebung von Standortverstößen umfasst Folgendes:

Kopieren, verschieben oder sichern Sie die Ressource oder die Daten außerhalb der Region in eine Ressource, die sich innerhalb der Region befindet. Eine Anleitung zum Verschieben von Ressourcen finden Sie in der Dokumentation zu den einzelnen Diensten.
Löschen Sie die ursprüngliche Out-of-Region-Ressource oder ihre Daten.

Dieser Ansatz ist nicht für alle Ressourcentypen möglich. Hinweise finden Sie in den angepassten Empfehlungen des Ergebnisses.

Weitere Überlegungen

Beachten Sie Folgendes, wenn Sie dieses Ergebnis beheben.

Verwaltete Ressourcen

Die Lebenszyklen von Ressourcen werden manchmal von anderen Ressourcen verwaltet und gesteuert. Eine verwaltete Compute Engine-Instanzgruppe erstellt und löscht beispielsweise Compute Engine-Instanzen gemäß der Autoscaling-Richtlinie der Instanzgruppe. Wenn verwaltete und verwaltete Ressourcen der Durchsetzung des Standorts unterliegen, werden beide als Verstoß gegen die Organisationsrichtlinie gekennzeichnet. Die Behebung von Ergebnissen für verwaltete Ressourcen sollte in der Verwaltung der Ressource erfolgen, um die Betriebsstabilität zu gewährleisten.

Verwendete Ressourcen

Bestimmte Ressourcen werden von anderen Ressourcen verwendet. Beispielsweise wird ein Compute Engine-Laufwerk, das an eine laufende Compute Engine-Instanz angehängt ist, von der Instanz als genutzt betrachtet. Wenn die verwendete Ressource gegen die Organisationsrichtlinie für Standorte verstößt, müssen Sie dafür sorgen, dass die Ressource nicht verwendet wird, bevor sie den Standortverstoß beheben.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`OS login disabled`

Kategoriename in der API: OS_LOGIN_DISABLED

OS Login ist für diese Compute Engine-Instanz deaktiviert.

Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Metadaten auf.

Zur Seite "Metadaten"
Klicken Sie zuerst auf Bearbeiten und dann auf Element hinzufügen.
Fügen Sie ein Element mit dem Schlüssel enable-oslogin und dem Wert TRUE hinzu.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Over privileged account`

Kategoriename in der API: OVER_PRIVILEGED_ACCOUNT

Ein GKE-Knoten verwendet den Compute Engine-Standarddienstknoten mit standardmäßig weitreichendem Zugriff. Er hat möglicherweise zu umfassende Berechtigungen für das Ausführen Ihres GKE-Clusters.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Folgen Sie der Anleitung im Hilfeartikel Google-Dienstkonten mit Mindestberechtigung verwenden.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Over privileged scopes`

Kategoriename in der API: OVER_PRIVILEGED_SCOPES

Ein Knotendienstkonto hat übermäßige Zugriffsbereiche.

Zugriffsbereiche sind die herkömmliche Methode, Berechtigungen für Ihre Instanz festzulegen. Um die Wahrscheinlichkeit einer Rechteausweitung bei einem Angriff zu reduzieren, sollten Sie für das Ausführen Ihres GKE-Clusters ein Dienstkonto mit minimalen Berechtigungen erstellen und verwenden.

Um dieses Ergebnis zu beheben, folgen Sie der Anleitung unter Google-Dienstkonten mit Mindestberechtigung verwenden.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Over privileged service account user`

Kategoriename in der API: OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Ein Nutzer hat die Rolle iam.serviceAccountUser oder iam.serviceAccountTokenCreator auf Projekt-, Ordner- oder Organisationsebene und nicht für ein bestimmtes Dienstkonto.

Wenn Sie einem Nutzer diese Rollen für ein Projekt, einen Ordner oder eine Organisation zuweisen, erhält er Zugriff auf alle vorhandenen und zukünftigen Dienstkonten mit Zugriff auf diesen Bereich. Dies kann zu einer unbeabsichtigten Rechteausweitung führen. Weitere Informationen erhalten Sie unter Dienstkontoberechtigungen.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die IAM-Seite auf.

Zur IAM-Seite
Wählen Sie bei Bedarf das Projekt, den Ordner oder die Organisation im Ergebnis aus.
Führen Sie für jedes Hauptkonto, das roles/iam.serviceAccountUser oder roles/iam.serviceAccountTokenCreator zugewiesen wird, folgende Schritte aus:
1. Klicken Sie auf Bearbeiten.
2. Klicken Sie im Bereich Berechtigungen bearbeiten neben den Rollen auf Löschen.
3. Klicken Sie auf Speichern.
Folgen Sie dieser Anleitung, um es bestimmten Nutzern zu gestatten, die Identität eines einzelnen Dienstkontos zu übernehmen. Sie müssen die Anleitung für jedes Dienstkonto ausführen, für das Sie ausgewählten Nutzern erlauben möchten, dessen Identität zu übernehmen.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Owner not monitored`

Kategoriename in der API: OWNER_NOT_MONITORED

Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Zuweisungen oder Änderungen an der Projektinhaberschaft konfiguriert.

Die Cloud IAM-Inhaberrolle hat die höchste Berechtigung für ein Projekt. Zum Schutz Ihrer Ressourcen richten Sie ein, dass Sie benachrichtigt werden, wenn neue Inhaber hinzugefügt oder entfernt werden. Weitere Informationen finden Sie in der Übersicht zu Log-basierten Messwerten.

Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Messwert erstellen

Rufen Sie in der Google Cloud Console die Seite Logbasierte Messwerte auf.

Weiter zu logbasierten Messwerten
Klicken Sie auf Messwert erstellen.
Wählen Sie unter Messwerttyp die Option Zähler aus.
Unter Details:
1. Legen Sie unter Name des Logmesswerts einen Namen fest.
2. Fügen Sie eine Beschreibung hinzu.
3. Legen Sie Einheiten auf 1 fest.

Kopieren Sie unter Filterauswahl den folgenden Text und fügen Sie ihn in das Feld Filter erstellen ein. Ersetzen Sie bei Bedarf den vorhandenen Text:

  (protoPayload.serviceName="cloudresourcemanager.googleapis.com")
  AND (ProjectOwnership OR projectOwnerInvitee)
  OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE"
  AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")
  OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD"
  AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")

Klicken Sie auf Messwert erstellen. Sie sehen eine Bestätigung.

Benachrichtigungsrichtlinie erstellen

Wählen Sie im Navigationsbereich der Google Cloud Console Logging und dann Logbasierte Messwerte aus:
Zu Logbasierte Messwerte
Wählen Sie im Bereich Benutzerdefinierte Messwerte den Messwert aus, den Sie im vorherigen Abschnitt erstellt haben.
Klicken Sie auf Mehr und dann auf Benachrichtigung mit dem Messwert erstellen.

Das Dialogfeld Neue Bedingung wird geöffnet. Die Optionen zur Messwert- und Datentransformation sind bereits ausgefüllt.
Klicken Sie auf Next (Weiter).
1. Prüfen Sie die vorkonfigurierten Einstellungen. Sie können den Schwellenwert ändern.
2. Klicken Sie auf Bedingungsname und geben Sie einen Namen für die Bedingung ein.
Klicken Sie auf Next (Weiter).
Klicken Sie auf Benachrichtigungskanäle, um der Benachrichtigungsrichtlinie Benachrichtigungen hinzuzufügen. Wählen Sie im Dialogfeld einen oder mehrere Benachrichtigungskanäle aus dem Menü aus und klicken Sie dann auf OK.

Wenn Sie benachrichtigt werden möchten, wenn Vorfälle geöffnet und geschlossen werden, klicken Sie Beim Schließen von Vorfällen benachrichtigen an. Standardmäßig werden Benachrichtigungen nur gesendet, wenn Vorfälle geöffnet werden.
Optional: Aktualisieren Sie die Dauer bis zur automatischen Schließung von Vorfällen. Dieses Feld bestimmt, wann Monitoring Vorfälle ohne Messwertdaten schließt.
Optional: Klicken Sie auf Dokumentation und geben Sie alle Informationen ein, die in einer Benachrichtigung angezeigt werden sollen.
Klicken Sie auf Name der Benachrichtigung und geben Sie einen Namen für die Benachrichtigungsrichtlinie ein.
Klicken Sie auf Richtlinie erstellen.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Pod security policy disabled`

Kategoriename in der API: POD_SECURITY_POLICY_DISABLED

PodSecurityPolicy ist auf einem GKE-Cluster deaktiviert.

Eine PodSecurityPolicy ist eine Ressource für die Zugangssteuerung, mit der Anforderungen zur Erstellung und Aktualisierung von Pods in einem Cluster validiert werden. Cluster akzeptieren keine Pods, die die in PodSecurityPolicy definierten Bedingungen nicht erfüllen.

Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Definieren und autorisieren Sie PodSecurityPolicies und aktivieren Sie den PodSecurityPolicy-Controller, um dieses Ergebnis zu beheben. Eine Anleitung finden Sie unter PodSecurityPolicies verwenden.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Primitive roles used`

Kategoriename in der API: PRIMITIVE_ROLES_USED

Ein Nutzer hat eine der folgenden einfachen IAM-Rollen: roles/owner, roles/editor oder roles/viewer. Diese Rollen sind zu weit gefasst und sollten nicht verwendet werden. Stattdessen sollten sie nur pro Projekt zugewiesen werden.

Weitere Informationen finden Sie unter Informationen zu Rollen.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite IAM-Richtlinien auf.

Zur IAM-Richtlinie
Verwenden Sie für jeden Nutzer, dem eine einfache Rolle zugewiesen wurde, detaillierte Rollen.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Private cluster disabled`

Kategoriename in der API: PRIVATE_CLUSTER_DISABLED

Auf einem GKE-Cluster ist ein privater Cluster deaktiviert.

Bei privaten Clustern können Knoten nur private IP-Adressen haben. Mit diesem Feature wird der ausgehende Internetzugriff für Knoten eingeschränkt. Ohne öffentliche IP-Adresse sind Clusterknoten nicht auffindbar und für das öffentliche Internet nicht sichtbar. Mit einem internen Load-Balancer können Sie jedoch Traffic zu diesen Knoten weiterleiten. Weitere Informationen finden Sie unter Private Cluster.

Sie können einen vorhandenen Cluster nicht privat machen. Erstellen Sie einen neuen privaten Cluster, um dieses Ergebnis zu beheben:

Rufen Sie in der Google Cloud Console die GKE-Seite Kubernetes Cluster auf.

Zur Seite "Kubernetes-Cluster"
Klicken Sie auf Cluster erstellen.
Wählen Sie im Navigationsmenü unter Cluster die Option Netzwerk aus.
Wählen Sie das Optionsfeld für Privater Cluster aus.
Klicken Sie unter Erweiterte Netzwerkoptionen das Kästchen für VPC-natives Traffic-Routing aktivieren (verwendet Alias-IP-Adresse) an.
Klicken Sie auf Erstellen.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Private Google access disabled`

Kategoriename in der API: PRIVATE_GOOGLE_ACCESS_DISABLED

Es gibt private Subnetze ohne Zugriff auf öffentliche Google APIs.

Mit dem privaten Google-Zugriff können VM-Instanzen mit ausschließlich internen (privaten) IP-Adressen die öffentlichen IP-Adressen von Google APIs und Diensten erreichen.

Weitere Informationen finden Sie unter Privaten Google-Zugriff konfigurieren.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

Zur Seite VPC-Netzwerke
Klicken Sie in der Liste der Netzwerke auf den Namen des Netzwerks.
Klicken Sie auf der Seite VPC-Netzwerkdetails auf den Tab Subnetze.
Klicken Sie in der Liste der Subnetze auf den Namen des Subnetzes, das dem Kubernetes-Cluster im Ergebnis zugeordnet ist.
Klicken Sie auf der Seite mit den Subnetz-Details auf Bearbeiten .
Wählen Sie für Privater Google-Zugriff die Option Ein aus.
Klicken Sie auf Speichern.
Informationen zum Entfernen öffentlicher (externer) IP-Adressen aus VM-Instanzen, deren nur externer Traffic zu Google APIs gehört, finden Sie unter Zuweisung einer statischen externen IP-Adresse aufheben.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Public bucket ACL`

Kategoriename in der API: PUBLIC_BUCKET_ACL

Buckets sind öffentlich und jeder im Internet kann darauf zugreifen.

Weitere Informationen finden Sie unter Zugriffssteuerung.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Storage-Browser auf.

Zum Storage-Browser
Wählen Sie den Bucket aus, der in den Ergebnissen von Security Health Analytics aufgeführt ist.
Klicken Sie auf der Seite Bucket-Details auf den Tab Berechtigungen.
Klicken Sie neben Anzeigen nach auf Rollen.
Suchen Sie im Feld Filter nach allUsers und allAuthenticatedUsers.
Klicken Sie auf Löschen , um alle IAM-Berechtigungen zu entfernen, die allUsers und allAuthenticatedUsers gewährt wurden.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Public Compute image`

Kategoriename in der API: PUBLIC_COMPUTE_IMAGE

Ein Compute Engine-Image ist öffentlich und jeder im Internet kann darauf zugreifen. allUsers steht für alle Nutzer im Internet und allAuthenticatedUsers für alle Nutzer, die sich mit einer Google-Konto; Keiner ist auf Nutzer innerhalb Ihrer Organisation beschränkt.

Compute Engine-Images können vertrauliche Informationen wie Verschlüsselungsschlüssel oder lizenzierte Software enthalten. Solche vertraulichen Informationen sollten nicht öffentlich zugänglich sein. Wenn Sie dieses Compute-Image veröffentlichen möchten, darf es keine vertraulichen Informationen enthalten.

Weitere Informationen finden Sie unter Zugriffssteuerung - Übersicht.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Compute Engine-Images auf.

Zu Compute Engine-Images
Klicken Sie auf das Kästchen neben dem Image public-image und dann auf Infofeld anzeigen.
Suchen Sie im Feld Filter nach Mitgliedern für allUsers und allAuthenticatedUsers.
Erweitern Sie die Rolle, aus der Sie Nutzer entfernen möchten.
Klicken Sie auf Löschen, um einen Nutzer aus dieser Rolle zu entfernen.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Public dataset`

Kategoriename in der API: PUBLIC_DATASET

Ein BigQuery-Dataset ist öffentlich und für jeden im Internet zugänglich. Das IAM-Mitglied allUsers stellt alle Nutzer im Internet dar, allAuthenticatedUsers dagegen alle Nutzer, die bei einem Google-Dienst angemeldet sind. Beide Mitglieder sind nicht auf Nutzer innerhalb der Organisation beschränkt.

Weitere Informationen finden Sie unter Zugriff auf Datasets steuern.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die BigQuery-Seite Explorer auf.

Zu Seite "BigQuery-Dataset"
Klicken Sie in der Liste der Datasets auf den Namen des Datasets, das durch das Ergebnis identifiziert wird. Der Bereich Dataset-Informationen wird geöffnet.
Klicken Sie oben im Bereich Dataset-Informationen auf Freigabe.
Klicken Sie im Drop-down-Menü auf Berechtigungen.
Geben Sie im Bereich Dataset-Berechtigungen allUsers und allAuthenticatedUsers ein und entfernen Sie den Zugriff für diese Hauptkonten.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Public IP address`

Kategoriename in der API: PUBLIC_IP_ADDRESS

Eine Compute Engine-Instanz hat eine öffentliche IP-Adresse.

Vermeiden Sie es, VMs öffentliche IP-Adressen zuzuweisen, um die Angriffsfläche Ihrer Organisationen zu verringern. Beendete Instanzen werden möglicherweise dennoch mit einem öffentlichen IP-Ergebnis gekennzeichnet, z. B. wenn die Netzwerkschnittstellen so konfiguriert sind, dass beim Start eine sitzungsspezifische öffentliche IP-Adresse zugewiesen wird. Achten Sie darauf, dass die Netzwerkkonfigurationen für beendete Instanzen den externen Zugriff ausschließen.

Weitere Informationen finden Sie unter Sichere Verbindung zu VM-Instanzen herstellen.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.

Zu Seite VM-Instanzen
Klicken Sie in der Liste der Instanzen auf das Kästchen neben dem Namen der Instanz für das Ergebnis.
Klicken Sie auf Bearbeiten.
Für jede Schnittstelle unter Netzwerkschnittstellen klicken Sie auf Bearbeiten und legen Sie die externe IP-Adresse auf Keine fest.
Klicken Sie auf Fertig und anschließend auf Speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Public log bucket`

Kategoriename in der API: PUBLIC_LOG_BUCKET

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.

Ein Storage-Bucket ist öffentlich und wird als Logsenke verwendet. Das bedeutet, dass jeder im Internet auf die in diesem Bucket gespeicherten Logs zugreifen kann. allUsers steht für alle Nutzer im Internet und allAuthenticatedUsers für alle Nutzer, die bei einem Google-Dienst angemeldet sind. Keiner ist auf Nutzer innerhalb Ihrer Organisation beschränkt.

Weitere Informationen finden Sie unter Zugriffssteuerung.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite des Cloud Storage-Browsers auf.

Zum Cloud Storage-Browser
Klicken Sie in der Liste der Buckets auf den Namen des Buckets, der im Ergebnis angegeben ist.
Klicken Sie auf den Tab Berechtigungen.
Entfernen Sie allUsers und allAuthenticatedUsers aus der Liste der Hauptkonten.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Public SQL instance`

Kategoriename in der API: PUBLIC_SQL_INSTANCE

0.0.0.0/0 wurde als zulässiges Netzwerk für die SQL-Instanz festgelegt. Das bedeutet, dass jeder IPv4-Client die Netzwerkfirewall passieren und Anmeldeversuche bei Ihrer Instanz vornehmen kann. Dies gilt auch für potenziell unerwünschte Clients. Clients benötigen weiterhin gültige Anmeldedaten, um sich erfolgreich bei Ihrer Instanz anmelden zu können.

Weitere Informationen finden Sie unter Mit autorisierten Netzwerken autorisieren.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.

Cloud SQL-Instanzen aufrufen
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf Bearbeiten.
Klicken Sie im Navigationsbereich auf Verbindungen.
Löschen Sie unter Autorisierte Netzwerke den Eintrag 0.0.0.0/0 und fügen Sie die spezifischen IP-Adressen oder IP-Bereiche hinzu, die sich mit der Instanz verbinden sollen.
Klicken Sie auf Fertig und anschließend auf Speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Pubsub CMEK disabled`

Kategoriename in der API: PUBSUB_CMEK_DISABLED

Ein Pub/Sub-Thema wird nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verschlüsselt.

Um dieses Ergebnis zu beheben, löschen Sie das vorhandene Thema und erstellen Sie ein neues:

Rufen Sie in der Google Cloud Console die Seite "Pub/Sub-Themen" auf.

Themen aufrufen
Wählen Sie gegebenenfalls das Projekt aus, das das Pub/Sub-Thema enthält.
Klicken Sie das Kästchen neben dem aufgeführten Thema an und klicken Sie dann auf Löschen.
Informationen zum Erstellen eines neuen Pub/Sub-Themas mit aktiviertem CMEK finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden. CMEK verursacht zusätzliche Kosten im Zusammenhang mit Cloud KMS.
Veröffentlichen Sie Ergebnisse oder andere Daten im CMEK-fähigen Pub/Sub-Thema.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Route not monitored`

Kategoriename in der API: ROUTE_NOT_MONITORED

Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an der VPC-Netzwerkroute konfiguriert.

Google Cloud-Routen sind Ziele und Hops, die den Pfad definieren, den der Netzwerktraffic von einer VM-Instanz zu einer Ziel-IP-Adresse abruft. Durch das Monitoring von Änderungen an Routentabellen können Sie dafür sorgen, dass der gesamte VPC-Traffic über einen erwarteten Pfad fließt.

Weitere Informationen finden Sie in der Übersicht zu Log-basierten Messwerten.

Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Messwert erstellen

Rufen Sie in der Google Cloud Console die Seite Logbasierte Messwerte auf.

Weiter zu logbasierten Messwerten
Klicken Sie auf Messwert erstellen.
Wählen Sie unter Messwerttyp die Option Zähler aus.
Unter Details:
1. Legen Sie unter Name des Logmesswerts einen Namen fest.
2. Fügen Sie eine Beschreibung hinzu.
3. Legen Sie Einheiten auf 1 fest.
Kopieren Sie unter Filterauswahl den folgenden Text und fügen Sie ihn in das Feld Filter erstellen ein. Ersetzen Sie bei Bedarf den vorhandenen Text:
```
  resource.type="gce_route"
  AND (protoPayload.methodName:"compute.routes.delete"
  OR protoPayload.methodName:"compute.routes.insert")
```
Klicken Sie auf Messwert erstellen. Sie sehen eine Bestätigung.

Benachrichtigungsrichtlinie erstellen

Wählen Sie im Navigationsbereich der Google Cloud Console Logging und dann Logbasierte Messwerte aus:
Zu Logbasierte Messwerte
Wählen Sie im Bereich Benutzerdefinierte Messwerte den Messwert aus, den Sie im vorherigen Abschnitt erstellt haben.
Klicken Sie auf Mehr und dann auf Benachrichtigung mit dem Messwert erstellen.

Das Dialogfeld Neue Bedingung wird geöffnet. Die Optionen zur Messwert- und Datentransformation sind bereits ausgefüllt.
Klicken Sie auf Next (Weiter).
1. Prüfen Sie die vorkonfigurierten Einstellungen. Sie können den Schwellenwert ändern.
2. Klicken Sie auf Bedingungsname und geben Sie einen Namen für die Bedingung ein.
Klicken Sie auf Next (Weiter).
Klicken Sie auf Benachrichtigungskanäle, um der Benachrichtigungsrichtlinie Benachrichtigungen hinzuzufügen. Wählen Sie im Dialogfeld einen oder mehrere Benachrichtigungskanäle aus dem Menü aus und klicken Sie dann auf OK.

Wenn Sie benachrichtigt werden möchten, wenn Vorfälle geöffnet und geschlossen werden, klicken Sie Beim Schließen von Vorfällen benachrichtigen an. Standardmäßig werden Benachrichtigungen nur gesendet, wenn Vorfälle geöffnet werden.
Optional: Aktualisieren Sie die Dauer bis zur automatischen Schließung von Vorfällen. Dieses Feld bestimmt, wann Monitoring Vorfälle ohne Messwertdaten schließt.
Optional: Klicken Sie auf Dokumentation und geben Sie alle Informationen ein, die in einer Benachrichtigung angezeigt werden sollen.
Klicken Sie auf Name der Benachrichtigung und geben Sie einen Namen für die Benachrichtigungsrichtlinie ein.
Klicken Sie auf Richtlinie erstellen.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Redis role used on org`

Kategoriename in der API: REDIS_ROLE_USED_ON_ORG

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.

Eine Redis-IAM-Rolle wird auf der Organisations- oder Ordnerebene zugewiesen.

Die folgenden Redis-IAM-Rollen sollten nur pro Projekt und nicht auf Organisations- oder Ordnerebene zugewiesen werden:

roles/redis.admin
roles/redis.viewer
roles/redis.editor

Weitere Informationen finden Sie unter Zugriffssteuerung und Berechtigungen.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite IAM-Richtlinien auf.

Zur IAM-Richtlinie
Entfernen Sie die im Ergebnis angegebenen Redis-IAM-Rollen und fügen Sie sie stattdessen den einzelnen Projekten hinzu.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Release channel disabled`

Kategoriename in der API: RELEASE_CHANNEL_DISABLED

Ein GKE-Cluster ist nicht auf einer Release-Version abonniert.

Abonnieren Sie eine Release-Version, um Versions-Upgrades für den GKE-Cluster zu automatisieren. Die Features reduzieren auch die Komplexität der Versionsverwaltung, je nachdem, wie viele Features und welche Stabilität erforderlich sind. Weitere Informationen finden Sie unter Release-Versionen.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die GKE-Seite Kubernetes Cluster auf.

Zur Seite "Kubernetes-Cluster"
Klicken Sie im Abschnitt Clustergrundlagen in der Zeile Release-Version auf das Bearbeitungssymbol ().

Wenn die Clusterkonfiguration kürzlich geändert wurde, ist die Schaltfläche "Bearbeiten" möglicherweise deaktiviert. Wenn Sie die Clustereinstellungen nicht bearbeiten können, warten Sie ein paar Minuten und versuchen Sie es dann noch einmal.
Wählen Sie im Dialogfeld Release-Version und dann die Release-Version aus, die Sie abonnieren möchten.

Wenn die Version der Steuerungsebene Ihres Clusters nicht auf eine Release-Version aktualisiert werden kann, wird dieser Kanal möglicherweise als Option deaktiviert.
Klicken Sie auf Änderungen speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`RSASHA1 for signing`

Kategoriename in der API: RSASHA1_FOR_SIGNING

RSASHA1 wird für die Schlüsselsignierung in Cloud DNS-Zonen verwendet. Der zur Schlüsselsignatur verwendete Algorithmus sollte nicht schwach sein.

Um dieses Ergebnis zu beheben, ersetzen Sie den Algorithmus durch einen empfohlenen. Folgen Sie dazu der Anleitung Erweiterte Signaturoptionen verwenden.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Service account key not rotated`

Kategoriename in der API: SERVICE_ACCOUNT_KEY_NOT_ROTATED

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.

Ein vom Nutzer verwalteter Dienstkontoschlüssel wurde seit mehr als 90 Tagen nicht mehr rotiert.

Im Allgemeinen sollten vom Nutzer verwaltete Dienstkontoschlüssel mindestens alle 90 Tage rotiert werden, um zu gewährleisten, dass auf Daten nicht mit einem alten Schlüssel zugegriffen werden kann, der möglicherweise verloren gegangen ist oder manipuliert oder gestohlen wurde. Weitere Informationen finden Sie unter Dienstkontoschlüssel rotieren, um Sicherheitsrisiken durch gehackte Schlüssel zu reduzieren.

Wenn Sie das öffentliche/private Schlüsselpaar selbst generiert, den privaten Schlüssel in einem Hardware-Sicherheitsmodul (HSM) gespeichert und den öffentlichen Schlüssel in Google hochgeladen haben, müssen Sie den Schlüssel möglicherweise nicht alle 90 Tage rotieren. Sie können den Schlüssel jedoch rotieren, wenn Sie der Meinung sind, dass er möglicherweise manipuliert wurde.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Dienstkonten auf.

Zur Seite „Dienstkonten“
Wählen Sie bei Bedarf das im Ergebnis angegebene Projekt aus.
Suchen Sie in der Liste der Dienstkonten nach dem Dienstkonto, das in den Ergebnissen aufgeführt ist, und klicken Sie auf Löschen. Erwägen Sie vor dem Fortfahren, wie sich das Löschen eines Dienstkontos auf Ihre Produktionsressourcen auswirken könnte.
Erstellen Sie einen neuen Dienstkontoschlüssel, um den gelöschten Schlüssel zu ersetzen. Weitere Informationen finden Sie unter Dienstkontoschlüssel erstellen.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Service account role separation`

Kategoriename in der API: SERVICE_ACCOUNT_ROLE_SEPARATION

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.

Mindestens einem Hauptkonto Ihrer Organisation wurden mehrere Dienstkontoberechtigungen zugewiesen. Ein Konto sollte nicht gleichzeitig Dienstkontoadministrator und andere Dienstkontoberechtigungen haben. Weitere Informationen zu Dienstkonten und den dafür verfügbaren Rollen finden Sie unter Dienstkonten.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite IAM auf.

IAM aufrufen
Gehen Sie für jedes Hauptkonto, das in dem Ergebnis aufgeführt ist, so vor:
1. Prüfen Sie in der Spalte Übernahme, ob die Rolle von einem Ordner oder einer Organisationsressource übernommen wurde. Wenn die Spalte einen Link zu einer übergeordneten Ressource enthält, klicken Sie darauf, um zur IAM-Seite der übergeordneten Ressource zu gelangen.
2. Klicken Sie neben einem Hauptkonto auf Bearbeiten .
3. Klicken Sie zum Entfernen von Berechtigungen neben Dienstkontoadministrator auf Löschen . Wenn Sie alle Dienstkontoberechtigungen entfernen möchten, klicken Sie neben allen anderen Berechtigungen auf Löschen.
Klicken Sie auf Speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Shielded VM disabled`

Kategoriename in der API: SHIELDED_VM_DISABLED

Shielded VM ist auf dieser Compute Engine-Instanz deaktiviert.

Shielded VMs sind virtuelle Maschinen (VMs) in Google Cloud, die durch eine Reihe von Sicherheitsfunktionen gegen Rootkits und Bootkits geschützt werden. Shielded VMs sorgen dafür, dass der Bootloader und die Firmware signiert und verifiziert werden. Weitere Informationen zu Shielded VM.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.

Zur Seite „VM-Instanzen“
Wählen Sie die Instanz aus, die sich auf das Ergebnis von Security Health Analytics bezieht.
Klicken Sie auf der Seite Instanzdetails, die geladen wird, auf Beenden.
Wenn die Instanz nicht mehr ausgeführt wird, klicken Sie auf Bearbeiten.
Verwenden Sie im Bereich Shielded VM die Umschalter vTPM aktivieren und Integrity Monitoring aktivieren, um Shielded VM zu aktivieren.
Wenn Sie keine benutzerdefinierten oder nicht signierten Treiber verwenden, können Sie optional auch Secure Boot aktivieren.
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzdetails angezeigt.
Klicken Sie nun auf Starten, um die Instanz zu starten.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`SQL CMEK disabled`

Kategoriename in der API: SQL_CMEK_DISABLED

Eine SQL-Datenbankinstanz verwendet keine vom Kunden verwalteten Verschlüsselungsschlüssel (CMEK).

Mit CMEK werden die Schlüssel, die Sie in Cloud KMS erstellen und verwalten, die Schlüssel umschließen, die Google zum Verschlüsseln Ihrer Daten verwendet. Dadurch haben Sie mehr Kontrolle über den Zugriff auf Ihre Daten. Weitere Informationen finden Sie in der CMEK-Übersicht für Ihr Produkt: Cloud SQL for MySQL, Cloud SQL for PostgreSQL oder Cloud SQL. für SQL Server. CMEK verursacht zusätzliche Kosten im Zusammenhang mit Cloud KMS.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.

Cloud SQL-Instanzen aufrufen
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf Löschen.
Um eine neue Instanz mit aktiviertem CMEK zu erstellen, folgen Sie der Anleitung zum Konfigurieren von CMEK für Ihr Produkt:

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`SQL contained database authentication`

Kategoriename in der API: SQL_CONTAINED_DATABASE_AUTHENTICATION

Bei einer Datenbankinstanz von Cloud SQL for SQL Server ist das Datenbank-Flag enthaltene Datenbankauthentifizierung nicht auf Aus gesetzt.

Das Flag contained database authentication steuert, ob Sie eigenständige Datenbanken im Datenbankmodul erstellen oder an dieses anhängen können. Eine eigenständige Datenbank enthält alle Datenbankeinstellungen und -metadaten, die zum Definieren der Datenbank erforderlich sind. Außerdem hat die Datenbank keine Konfigurationsabhängigkeiten mit der Instanz des Datenbankmoduls, in der sie installiert ist.

Die Aktivierung dieses Flags wird aus folgenden Gründen nicht empfohlen:

Nutzer können ohne Authentifizierung auf Datenbank-Engine-Ebene eine Verbindung zur Datenbank herstellen.
Wenn die Datenbank vom Datenbankmodul isoliert wird, kann sie in eine andere Instanz von SQL Server verschoben werden.

Eigenständige Datenbanken sind konkreten Bedrohungen ausgesetzt, die von Administratoren des SQL Server-Datenbankmoduls erkannt und minimiert werden sollten. Die meisten Bedrohungen sind auf den Authentifizierungsprozess USER WITH PASSWORD zurückzuführen, der die Authentifizierungsgrenze von der Ebene des Datenbankmoduls auf die Ebene der Datenbank verschiebt.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.

Cloud SQL-Instanzen aufrufen
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf Bearbeiten.
Legen Sie im Bereich Datenbank-Flags für das Datenbank-Flag contained database authentication den Wert Aus fest.
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`SQL cross DB ownership chaining`

Kategoriename in der API: SQL_CROSS_DB_OWNERSHIP_CHAINING

Bei einer Cloud SQL for SQL Server-Datenbankinstanz ist das Datenbank-Flag Cross-DB-Inhaberverkettung nicht auf Aus gesetzt.

Mit dem Flag cross db ownership chaining können Sie die datenbankübergreifende Verkettung der Eigentümerschaft auf Datenbankebene steuern oder die datenbankübergreifende Verkettung der Eigentümerschaft für alle Datenbankanweisungen zulassen.

Die Aktivierung dieses Flags wird nicht empfohlen, es sei denn, alle von der SQL Server-Instanz gehosteten Datenbanken nehmen an der datenbankübergreifenden Verkettung der Eigentümerschaft teil und Sie sind sich der Auswirkungen dieser Einstellung auf die Sicherheit bewusst.

Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.

Cloud SQL-Instanzen aufrufen
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf Bearbeiten.
Legen Sie im Bereich Datenbank-Flags für das Datenbank-Flag cross db ownership chaining den Wert Aus fest.
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`SQL external scripts enabled`

Kategoriename in der API: SQL_EXTERNAL_SCRIPTS_ENABLED

Bei einer Datenbankinstanz von Cloud SQL for SQL Server ist das Datenbank-Flag external scripts enabled nicht auf Aus gesetzt.

Wenn diese Einstellung aktiviert ist, wird die Ausführung von Skripts mit bestimmten Remote-Spracherweiterungen aktiviert. Da dieses Feature die Sicherheit des Systems beeinträchtigen kann, empfehlen wir, es zu deaktivieren.

Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.

Cloud SQL-Instanzen aufrufen
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf Bearbeiten.
Legen Sie im Bereich Datenbank-Flags das Datenbank-Flag external scripts enabled auf den Wert Aus fest.
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`SQL instance not monitored`

Kategoriename in der API: SQL_INSTANCE_NOT_MONITORED

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.

Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an der Konfiguration von Cloud SQL-Instanzen konfiguriert.

Eine fehlerhafte Konfiguration der SQL-Instanzoptionen kann zu Sicherheitsrisiken führen. Das Deaktivieren der automatischen Sicherung und der Hochverfügbarkeitsoptionen kann die Geschäftskontinuität beeinträchtigen und das Einschränken autorisierter Netzwerke kann die Präsenz in nicht vertrauenswürdigen Netzwerken erhöhen. Wenn Sie Änderungen an der Konfiguration der SQL-Instanz überwachen, können Sie weniger Zeit für die Erkennung und Korrektur von Fehlkonfigurationen aufwenden.

Weitere Informationen finden Sie in der Übersicht zu Logbasierten Messwerten.

Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Messwert erstellen

Rufen Sie in der Google Cloud Console die Seite Logbasierte Messwerte auf.

Weiter zu logbasierten Messwerten
Klicken Sie auf Messwert erstellen.
Wählen Sie unter Messwerttyp die Option Zähler aus.
Unter Details:
1. Legen Sie unter Name des Logmesswerts einen Namen fest.
2. Fügen Sie eine Beschreibung hinzu.
3. Legen Sie Einheiten auf 1 fest.

Kopieren Sie unter Filterauswahl den folgenden Text und fügen Sie ihn in das Feld Filter erstellen ein. Ersetzen Sie bei Bedarf den vorhandenen Text:

  protoPayload.methodName="cloudsql.instances.update"
  OR protoPayload.methodName="cloudsql.instances.create"
  OR protoPayload.methodName="cloudsql.instances.delete"

Klicken Sie auf Messwert erstellen. Sie sehen eine Bestätigung.

Benachrichtigungsrichtlinie erstellen

Wählen Sie im Navigationsbereich der Google Cloud Console Logging und dann Logbasierte Messwerte aus:
Zu Logbasierte Messwerte
Wählen Sie im Bereich Benutzerdefinierte Messwerte den Messwert aus, den Sie im vorherigen Abschnitt erstellt haben.
Klicken Sie auf Mehr und dann auf Benachrichtigung mit dem Messwert erstellen.

Das Dialogfeld Neue Bedingung wird geöffnet. Die Optionen zur Messwert- und Datentransformation sind bereits ausgefüllt.
Klicken Sie auf Next (Weiter).
1. Prüfen Sie die vorkonfigurierten Einstellungen. Sie können den Schwellenwert ändern.
2. Klicken Sie auf Bedingungsname und geben Sie einen Namen für die Bedingung ein.
Klicken Sie auf Next (Weiter).
Klicken Sie auf Benachrichtigungskanäle, um der Benachrichtigungsrichtlinie Benachrichtigungen hinzuzufügen. Wählen Sie im Dialogfeld einen oder mehrere Benachrichtigungskanäle aus dem Menü aus und klicken Sie dann auf OK.

Wenn Sie benachrichtigt werden möchten, wenn Vorfälle geöffnet und geschlossen werden, klicken Sie Beim Schließen von Vorfällen benachrichtigen an. Standardmäßig werden Benachrichtigungen nur gesendet, wenn Vorfälle geöffnet werden.
Optional: Aktualisieren Sie die Dauer bis zur automatischen Schließung von Vorfällen. Dieses Feld bestimmt, wann Monitoring Vorfälle ohne Messwertdaten schließt.
Optional: Klicken Sie auf Dokumentation und geben Sie alle Informationen ein, die in einer Benachrichtigung angezeigt werden sollen.
Klicken Sie auf Name der Benachrichtigung und geben Sie einen Namen für die Benachrichtigungsrichtlinie ein.
Klicken Sie auf Richtlinie erstellen.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`SQL local infile`

Kategoriename in der API: SQL_LOCAL_INFILE

Bei einer Datenbankinstanz von Cloud SQL for MySQL ist das Datenbank-Flag local_infile nicht auf Aus gesetzt. Aufgrund von Sicherheitsproblemen in Verbindung mit dem Flag local_infile sollte es deaktiviert werden. Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.

Cloud SQL-Instanzen aufrufen
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf Bearbeiten.
Legen Sie im Bereich Datenbank-Flags das Datenbank-Flag local_infile auf den Wert Aus fest.
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`SQL log checkpoints disabled`

Kategoriename in der API: SQL_LOG_CHECKPOINTS_DISABLED

Bei einer Datenbankinstanz von Cloud SQL for PostgreSQL ist das Datenbank-Flag log_checkpoints nicht auf On gesetzt.

Wenn log_checkpoints aktiviert ist, werden Prüfpunkte und Neustartpunkte im Serverlog protokolliert. Einige Statistiken sind in den Logeinträgen enthalten, einschließlich der Anzahl der geschriebenen Zwischenspeicher und der Zeit, die zum Schreiben benötigt wurde.

Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.

Cloud SQL-Instanzen aufrufen
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf Bearbeiten.
Legen Sie im Bereich Datenbank-Flags für das Datenbank-Flag log_checkpoints den Wert Ein fest.
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`SQL log connections disabled`

Kategoriename in der API: SQL_LOG_CONNECTIONS_DISABLED

Bei einer Datenbankinstanz von Cloud SQL for PostgreSQL ist das Datenbank-Flag log_connections nicht auf Ein gesetzt.

Wenn log_connections aktiviert ist, werden Verbindungsversuche zum Server zusammen mit der erfolgreichen Clientauthentifizierung protokolliert. Die Logs können bei der Fehlerbehebung und Bestätigung von ungewöhnlichen Verbindungsversuchen zum Server hilfreich sein.

Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.

Cloud SQL-Instanzen aufrufen
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf Bearbeiten.
Legen Sie im Bereich Datenbank-Flags für das Datenbank-Flag log_connections den Wert Ein fest.
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`SQL log disconnections disabled`

Kategoriename in der API: SQL_LOG_DISCONNECTIONS_DISABLED

Bei einer Datenbankinstanz von Cloud SQL for PostgreSQL ist das Datenbank-Flag log_disconnections nicht auf Ein gesetzt.

Wenn Sie die Einstellung log_disconnections aktivieren, werden Logeinträge am Ende jeder Sitzung erstellt. Die Logs sind bei der Fehlerbehebung und Bestätigung von ungewöhnlichen Aktivitäten in einem bestimmten Zeitraum hilfreich. Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.

Cloud SQL-Instanzen aufrufen
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf Bearbeiten.
Legen Sie im Bereich Datenbank-Flags für das Datenbank-Flag log_disconnections den Wert Ein fest.
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`SQL log duration disabled`

Kategoriename in der API: SQL_LOG_DURATION_DISABLED

Bei einer Datenbankinstanz von Cloud SQL for PostgreSQL ist das Datenbank-Flag log_duration nicht auf Ein gesetzt.

Wenn die Option log_duration aktiviert ist, bewirkt diese Einstellung, dass die Ausführungszeit und die Dauer jeder abgeschlossenen Anweisung geloggt werden. Das Monitoring der Zeit, die für die Ausführung von Abfragen benötigt wird, kann entscheidend sein, um langsame Abfragen zu erkennen und Datenbankprobleme zu beheben.

Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.

Cloud SQL-Instanzen aufrufen
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf Bearbeiten.
Legen Sie im Bereich Datenbank-Flags das Datenbank-Flag log_duration auf Ein fest.
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`SQL log error verbosity`

Kategoriename in der API: SQL_LOG_ERROR_VERBOSITY

Bei einer Cloud SQL for PostgreSQL-Datenbankinstanz ist das Datenbank-Flag log_error_verbosity nicht auf Standard oder Ausführlich festgelegt.

Das Flag log_error_verbosity steuert die Detailgenauigkeit von Meldungen, die in Logs geschrieben werden. Je höher der Ausführlichkeitsgrad, desto mehr Details werden in den Meldungen aufgezeichnet. Wir empfehlen, dieses Flag auf Standard oder Ausführlich festzulegen.

Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.

Cloud SQL-Instanzen aufrufen
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf Bearbeiten.
Legen Sie im Bereich Datenbank-Flags das Datenbank-Flag log_error_verbosity auf Standard oder Ausführlich fest.
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`SQL log lock waits disabled`

Kategoriename in der API: SQL_LOG_LOCK_WAITS_DISABLED

Bei einer Datenbankinstanz von Cloud SQL for PostgreSQL ist das Datenbank-Flag log_lock_waits nicht auf An gesetzt.

Wenn Sie die Einstellung log_lock_waits aktivieren, werden Logeinträge erstellt, wenn Sitzungswartezeiten länger als die deadlock_timeout-Zeit zum Abrufen einer Sperre dauern. Die Logs sind hilfreich, wenn Sie feststellen möchten, ob Wartezeiten auf Sperren zu Leistungseinbußen führen.

Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.

Cloud SQL-Instanzen aufrufen
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf Bearbeiten.
Legen Sie im Bereich Datenbank-Flags für das Datenbank-Flag log_lock_waits den Wert Ein fest.
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`SQL log min duration statement enabled`

Kategoriename in der API: SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

Bei einer Cloud SQL for PostgreSQL-Datenbankinstanz ist das Datenbank-Flag log_min_duration_statement nicht auf log_min_duration_statement festgelegt.

Das Flag log_min_duration_statement bewirkt, dass SQL-Anweisungen, die länger als eine angegebene Zeit ausgeführt werden, in Logs aufgezeichnet werden. Sie sollten diese Einstellung deaktivieren, da SQL-Anweisungen sensible Informationen enthalten, die nicht protokolliert werden sollen. Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.

Cloud SQL-Instanzen aufrufen
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf Bearbeiten.
Legen Sie im Bereich Datenbank-Flags für das Datenbank-Flag log_min_duration_statement den Wert -1 fest.
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`SQL log min error statement`

Kategoriename in der API: SQL_LOG_MIN_ERROR_STATEMENT

Bei einer Datenbankinstanz von Cloud SQL for PostgreSQL ist das Datenbank-Flag log_min_error_statement nicht entsprechend festgelegt.

Das Flag log_min_error_statement steuert, ob SQL-Anweisungen, die Fehlerbedingungen verursachen, in Serverlogs aufgezeichnet werden. SQL-Anweisungen mit dem angegebenen Schweregrad oder höher werden mit Meldungen für die fehlerhaften Anweisungen in Logs geschrieben. Je höher der Schweregrad, desto weniger Meldungen werden aufgezeichnet.

Wenn log_min_error_statement nicht auf den gewünschten Wert festgelegt ist, werden Meldungen möglicherweise nicht als Fehlermeldungen klassifiziert. Ein zu niedrig eingestellter Schweregrad würde die Anzahl der Meldungen erhöhen und das Auffinden tatsächlicher Fehler erschweren. Ein zu hoch eingestellter Schweregrad kann dazu führen, dass Fehlermeldungen für tatsächliche Fehler nicht in Logs geschrieben werden.

Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.

Cloud SQL-Instanzen aufrufen
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf Bearbeiten.
Legen Sie im Bereich Datenbank-Flags für das Datenbank-Flag log_min_error_statement einen der folgenden empfohlenen Werte fest, entsprechend der Logging-Richtlinie Ihrer Organisation.
- debug5
- debug4
- debug3
- debug2
- debug1
- info
- notice
- warning
- error
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`SQL log min error statement severity`

Kategoriename in der API: SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

Bei einer Datenbankinstanz von Cloud SQL for PostgreSQL ist das Datenbank-Flag log_min_error_statement nicht entsprechend festgelegt.

Das Flag log_min_error_statement steuert, ob SQL-Anweisungen, die Fehlerbedingungen verursachen, in Serverlogs aufgezeichnet werden. SQL-Anweisungen mit dem angegebenen oder einem strikteren Schweregrad werden mit Meldungen für die fehlerhaften Anweisungen in Logs geschrieben. Je strikter der Schweregrad, desto weniger Meldungen werden aufgezeichnet.

Wenn log_min_error_statement nicht auf den gewünschten Wert festgelegt ist, werden Meldungen möglicherweise nicht als Fehlermeldungen klassifiziert. Ein zu niedrig eingestellter Schweregrad würde die Anzahl der Meldungen erhöhen und das Auffinden tatsächlicher Fehler erschweren. Ein zu hoher bzw. strikter Schweregrad kann dazu führen, dass Fehlermeldungen für tatsächliche Fehler nicht geloggt werden.

Wir empfehlen, dieses Flag auf Fehler oder strikter zu setzen.

Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.

Cloud SQL-Instanzen aufrufen
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf Bearbeiten.
Legen Sie im Bereich Datenbank-Flags für das Datenbank-Flag log_min_error_statement einen der folgenden empfohlenen Werte fest, entsprechend der Logging-Richtlinie Ihrer Organisation.
- error
- log
- fatal
- panic
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`SQL log min messages`

Kategoriename in der API: SQL_LOG_MIN_MESSAGES

Bei einer Cloud SQL for PostgreSQL-Datenbankinstanz ist für das Datenbank-Flag log_min_messages nicht mindestens warning festgelegt.

Das Flag log_min_messages steuert, welche Nachrichtenebenen in Serverlogs aufgezeichnet werden. Je höher der Schweregrad, desto weniger Meldungen werden aufgezeichnet. Wenn Sie den Schwellenwert zu niedrig ansetzen, können Größe und Länge des Logspeichers erhöht werden, wodurch das Auffinden tatsächlicher Fehler erschwert wird.

Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.

Cloud SQL-Instanzen aufrufen
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf Bearbeiten.
Legen Sie im Bereich Datenbank-Flags für log_min_messages gemäß der Logging-Richtlinie Ihrer Organisation einen der folgenden empfohlenen Werte fest.
- debug5
- debug4
- debug3
- debug2
- debug1
- info
- notice
- warning
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`SQL log executor stats enabled`

Kategoriename in der API: SQL_LOG_EXECUTOR_STATS_ENABLED

Bei einer Cloud SQL for PostgreSQL-Datenbankinstanz ist das Datenbank-Flag log_executor_stats nicht auf Aus festgelegt.

Wenn das Flag log_executor_stats aktiviert ist, werden für jede Abfrage Executor-Leistungsstatistiken in die PostgreSQL-Logs aufgenommen. Diese Einstellung kann bei der Fehlerbehebung hilfreich sein, gleichzeitig aber die Anzahl der Logs und den Leistungsaufwand erheblich erhöhen.

Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.

Cloud SQL-Instanzen aufrufen
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf Bearbeiten.
Legen Sie im Bereich Datenbank-Flags das Datenbank-Flag log_executor_stats auf Aus fest.
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`SQL log hostname enabled`

Kategoriename in der API: `SQL_LOG_HOSTNAME_ENABLED

Bei einer Datenbankinstanz von Cloud SQL for PostgreSQL ist das Datenbank-Flag log_hostname nicht auf Aus gesetzt.

Wenn das Flag log_hostname aktiviert ist, wird der Hostname des verbindenden Hosts geloggt. Standardmäßig wird in Verbindungslogeinträgen nur die IP-Adresse angezeigt. Diese Einstellung kann bei der Fehlerbehebung hilfreich sein. Allerdings kann sie die Serverleistung beeinträchtigen, da der DNS-Auflösungsprozess für jede geloggte Anweisung eine IP-Adresse in einen Hostnamen umwandeln muss.

Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.

Cloud SQL-Instanzen aufrufen
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf Bearbeiten.
Legen Sie im Bereich Datenbank-Flags das Datenbank-Flag log_hostname auf Aus fest.
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`SQL log parser stats enabled`

Kategoriename in der API: SQL_LOG_PARSER_STATS_ENABLED

Bei einer Datenbankinstanz von Cloud SQL for PostgreSQL ist das Datenbank-Flag log_parser_stats nicht auf Aus gesetzt.

Wenn das Flag log_parser_stats aktiviert ist, werden die Parser-Leistungsstatistiken für jede Abfrage in die PostgreSQL-Logs eingefügt. Diese Einstellung kann bei der Fehlerbehebung hilfreich sein, gleichzeitig aber die Anzahl der Logs und den Leistungsaufwand erheblich erhöhen.

Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.

Cloud SQL-Instanzen aufrufen
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf Bearbeiten.
Legen Sie im Bereich Datenbank-Flags das Datenbank-Flag log_parser_stats auf Aus fest.
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`SQL log planner stats enabled`

Kategoriename in der API: SQL_LOG_PLANNER_STATS_ENABLED

Bei einer Datenbankinstanz von Cloud SQL for PostgreSQL ist das Datenbank-Flag log_planner_stats nicht auf Aus gesetzt.

Wenn das Flag log_planner_stats aktiviert ist, wird eine grobe Profilerstellungsmethode zum Logging der Leistungsstatistiken des PostgreSQL-Planers verwendet. Diese Einstellung kann bei der Fehlerbehebung hilfreich sein, gleichzeitig aber die Anzahl der Logs und den Leistungsaufwand erheblich erhöhen.

Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.

Cloud SQL-Instanzen aufrufen
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf Bearbeiten.
Legen Sie im Bereich Datenbank-Flags das Datenbank-Flag log_planner_stats auf Aus fest.
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`SQL log statement`

Kategoriename in der API: SQL_LOG_STATEMENT

Bei einer Cloud SQL for PostgreSQL-Datenbankinstanz ist das Datenbank-Flag log_statement nicht auf ddl festgelegt.

Der Wert dieses Flags bestimmt, welche SQL-Anweisungen in Logs geschrieben werden. Logging hilft beim Beheben von operativen Problemen und ermöglicht forensische Analysen. Wenn dieses Flag nicht auf den richtigen Wert festgelegt ist, können relevante Informationen übersprungen werden oder in zu vielen Meldungen versteckt sein. Der Wert ddl (alle Datendefinitionsanweisungen) wird empfohlen, sofern in der Logging-Richtlinie Ihrer Organisation nicht anders vorgegeben.

Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.

Cloud SQL-Instanzen aufrufen
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf Bearbeiten.
Legen Sie im Bereich Datenbank-Flags das Datenbank-Flag log_statement auf ddl fest.
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`SQL log statement stats enabled`

Kategoriename in der API: SQL_LOG_STATEMENT_STATS_ENABLED

Bei einer Datenbankinstanz von Cloud SQL for PostgreSQL ist das Datenbank-Flag log_statement_stats nicht auf Aus gesetzt.

Wenn das Flag log_statement_stats aktiviert ist, werden für jede Abfrage End-to-End-Leistungsstatistiken in die PostgreSQL-Logs eingefügt. Diese Einstellung kann bei der Fehlerbehebung hilfreich sein, gleichzeitig aber die Anzahl der Logs und den Leistungsaufwand erheblich erhöhen.

Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.

Cloud SQL-Instanzen aufrufen
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf Bearbeiten.
Legen Sie im Bereich Datenbank-Flags das Datenbank-Flag log_statement_stats auf Aus fest.
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`SQL log temp files`

Kategoriename in der API: SQL_LOG_TEMP_FILES

Bei einer Cloud SQL for PostgreSQL-Datenbankinstanz ist das Datenbank-Flag log_temp_files nicht auf 0 gesetzt.

Temporäre Dateien können für Sortiervorgänge, Hashes und temporäre Abfrageergebnisse erstellt werden. Wenn Sie das Flag log_temp_files auf 0 setzen, werden alle temporären Dateidaten protokolliert. Das Logging aller temporären Dateien ist hilfreich, um potenzielle Leistungsprobleme zu erkennen. Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.

Cloud SQL-Instanzen aufrufen
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf Bearbeiten.
Legen Sie im Abschnitt Datenbank-Flags für das Datenbank-Flag log_temp_files den Wert 0 fest.
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`SQL no root password`

Kategoriename in der API: SQL_NO_ROOT_PASSWORD

Eine MySQL-Datenbankinstanz hat kein Passwort für das Root-Konto. Fügen Sie der MySQL-Datenbankinstanz ein Passwort hinzu. Weitere Informationen finden Sie unter MySQL-Nutzer.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.

Cloud SQL-Instanzen aufrufen
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Wählen Sie auf der Seite Instanzdetails den Tab Nutzer aus.
Klicken Sie neben dem root-Nutzer auf Mehr und wählen Sie Passwort ändern aus.
Geben Sie ein neues, starkes Passwort ein und klicken Sie auf OK.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`SQL public IP`

Kategoriename in der API: SQL_PUBLIC_IP

Eine Cloud SQL-Datenbank hat eine öffentliche IP-Adresse.

Um die Angriffsfläche Ihres Unternehmens zu reduzieren, sollten Cloud SQL-Datenbanken keine öffentlichen IP-Adressen haben. Private IP-Adressen bieten eine höhere Netzwerksicherheit und eine geringere Latenz für Ihre Anwendung.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.

Cloud SQL-Instanzen aufrufen
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie im Menü links auf Verbindungen.
Klicken Sie auf den Tab Netzwerk und entfernen Sie das Häkchen aus dem Kästchen Öffentliche IP-Adresse.
Wenn die Instanz nicht bereits für die Verwendung einer privaten IP-Adresse konfiguriert ist, finden Sie weitere Informationen unter Private IP-Adresse für eine vorhandene Instanz konfigurieren.
Klicken Sie auf Speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`SQL remote access enabled`

Kategoriename in der API: SQL_REMOTE_ACCESS_ENABLED

Bei einer Cloud SQL for SQL Server-Datenbankinstanz ist das Datenbank-Flag Remotezugriff nicht auf Aus gesetzt.

Wenn diese Einstellung aktiviert ist, gewährt sie die Berechtigung, lokal gespeicherte Prozeduren von Remoteservern oder remote gespeicherte Prozeduren vom lokalen Server auszuführen. Diese Funktion kann missbraucht werden, um einen DoS-Angriff (Denial of Service) auf Remote-Servern zu starten, indem die Abfrageverarbeitung auf ein Ziel verlagert wird. Wir empfehlen, diese Einstellung zu deaktivieren, um Missbrauch zu verhindern.

Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.

Cloud SQL-Instanzen aufrufen
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf Bearbeiten.
Setzen Sie im Bereich Flags die Option Remotezugriff auf Aus.
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`SQL skip show database disabled`

Kategoriename in der API: SQL_SKIP_SHOW_DATABASE_DISABLED

Bei einer Cloud SQL for MySQL-Datenbankinstanz ist das Datenbank-Flag skip_show_database nicht auf Ein gesetzt.

Durch Aktivieren dieses Flags wird verhindert, dass Nutzer die Anweisung SHOW DATABASES verwenden, wenn sie nicht die Berechtigung SHOW DATABASES haben. Mit dieser Einstellung können sich Nutzer ohne ausdrückliche Berechtigung keine Datenbanken ansehen, die anderen Nutzern gehören. Wir empfehlen, dieses Flag zu aktivieren.

Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.

Cloud SQL-Instanzen aufrufen
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf Bearbeiten.
Setzen Sie im Bereich Flags die Option skip_show_database auf Ein.
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`SQL trace flag 3625`

Kategoriename in der API: SQL_TRACE_FLAG_3625

Bei einer Cloud SQL for SQL Server-Datenbankinstanz ist das Datenbank-Flag 3625 (Trace-Flag) nicht auf Ein gesetzt.

Mit diesem Flag wird die Menge der Informationen begrenzt, die an Nutzer zurückgegeben werden, die keine Mitglieder der festen Serverrolle "sysadmin" sind. Dazu werden die Parameter einiger Fehlermeldungen mithilfe von Sternchen (******) maskiert. Um die Offenlegung vertraulicher Informationen zu verhindern, empfehlen wir die Aktivierung dieses Flags.

Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.

Cloud SQL-Instanzen aufrufen
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf Bearbeiten.
Legen Sie im Bereich Datenbank-Flags die Option 3625 auf Ein fest.
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`SQL user connections configured`

Kategoriename in der API: SQL_USER_CONNECTIONS_CONFIGURED

Bei einer Datenbankinstanz von Cloud SQL for SQL Server ist das Datenbank-Flag Nutzerverbindungen konfiguriert.

Die Option Nutzerverbindungen gibt die maximale Anzahl gleichzeitiger Nutzerverbindungen an, die auf einer SQL Server-Instanz zulässig sind. Da es sich um eine dynamische (selbst konfigurierende) Option handelt, passt SQL Server die maximale Anzahl an Nutzerverbindungen nach Bedarf automatisch bis zum maximal zulässigen Wert an. Der Standardwert ist 0, d. h., bis zu 32.767 Nutzerverbindungen sind zulässig. Daher sollte das Datenbank-Flag Nutzeroptionen nicht konfiguriert werden.

Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.

Cloud SQL-Instanzen aufrufen
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf Bearbeiten.
Klicken Sie im Bereich Datenbank-Flags neben Nutzerverbindungen auf Löschen.
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`SQL user options configured`

Kategoriename in der API: SQL_USER_OPTIONS_CONFIGURED

Bei einer Cloud SQL for SQL Server-Datenbankinstanz ist das Datenbank-Flag Nutzeroptionen konfiguriert.

Diese Einstellung überschreibt globale Standardwerte der SET-Optionen für alle Nutzer. Da Nutzer und Anwendungen möglicherweise davon ausgehen, dass die SET-Standardoptionen der Datenbank verwendet werden, kann das Festlegen der Nutzeroptionen zu unerwarteten Ergebnissen führen. Daher sollte das Datenbank-Flag Nutzeroptionen nicht konfiguriert werden.

Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.

Cloud SQL-Instanzen aufrufen
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf Bearbeiten.
Klicken Sie im Bereich Datenbank-Flags neben Nutzeroptionen auf Löschen.
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`SQL weak root password`

Kategoriename in der API: SQL_WEAK_ROOT_PASSWORD

Eine MySQL-Datenbankinstanz hat ein schwaches Passwort für das Root-Konto festgelegt. Sie sollten ein starkes Passwort für die Instanz festlegen. Weitere Informationen finden Sie unter MySQL-Nutzer.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.

Cloud SQL-Instanzen aufrufen
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Wählen Sie auf der Seite Instanzdetails den Tab Nutzer aus.
Klicken Sie neben dem root-Nutzer auf Mehr und wählen Sie Passwort ändern aus.
Geben Sie ein neues, starkes Passwort ein und klicken Sie auf OK.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`SSL not enforced`

Kategoriename in der API: SSL_NOT_ENFORCED

Eine Cloud SQL-Datenbankinstanz benötigt nicht alle eingehenden Verbindungen zur Verwendung von SSL.

Damit bei sensiblen Daten bei der Übertragung durch unverschlüsselte Kommunikation keine Datenlecks entstehen, sollten alle bei Ihrer SQL-Datenbank eingehenden Verbindungen SSL verwenden. SSL/TLS konfigurieren.

Sie können dieses Ergebnis beheben, indem Sie für Ihre SQL-Instanzen nur SSL-Verbindungen zulassen:

Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.

Cloud SQL-Instanzen aufrufen
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf dem Tab Verbindungen entweder auf Nur SSL-Verbindungen zulassen oder Vertrauenswürdige Clientzertifikate erforderlich. Weitere Informationen finden Sie unter SSL/TLS-Verschlüsselung erzwingen.
Wenn Sie Vertrauenswürdige Clientzertifikate erforderlich ausgewählt haben, erstellen Sie ein neues Clientzertifikat. Weitere Informationen finden Sie unter Neues Clientzertifikat erstellen.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Too many KMS users`

Kategoriename in der API: TOO_MANY_KMS_USERS

Beschränken Sie die Anzahl der Hauptnutzer, die kryptografische Schlüssel verwenden können, auf drei. Die im Folgenden aufgeführten vordefinierten Rollen gewähren Berechtigungen zum Verschlüsseln, Entschlüsseln oder Signieren von Daten mit kryptografischen Schlüsseln:

roles/owner
roles/cloudkms.cryptoKeyEncrypterDecrypter
roles/cloudkms.cryptoKeyEncrypter
roles/cloudkms.cryptoKeyDecrypter
roles/cloudkms.signer
roles/cloudkms.signerVerifier

Weitere Informationen finden Sie unter Berechtigungen und Rollen.

Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Cloud KMS-Schlüssel auf.

Zu Cloud KMS-Schlüsseln
Klicken Sie auf den Namen des Schlüsselbunds, der in dem Ergebnis angegeben ist.
Klicken Sie auf den Namen des im Ergebnis angegebenen Schlüssels.
Klicken Sie auf das Kästchen neben der primären Version und dann auf Show Info Panel (Infofeld ansehen).
Reduzieren Sie die Anzahl der Hauptkonten mit Berechtigungen zum Verschlüsseln, Entschlüsseln oder Signieren von Daten auf maximal 3. Wenn Sie Berechtigungen widerrufen möchten, klicken Sie neben jedem Hauptkonto auf Löschen .

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`User managed service account key`

Kategoriename in der API: USER_MANAGED_SERVICE_ACCOUNT_KEY

Ein Nutzer verwaltet einen Dienstkontoschlüssel. Dienstkontoschlüssel stellen ein Sicherheitsrisiko dar, wenn sie nicht ordnungsgemäß verwaltet werden. Sie sollten nach Möglichkeit eine sicherere Alternative zu Dienstkontoschlüsseln auswählen. Wenn du dich mit einem Dienstkontoschlüssel authentifizieren musst, bist du für die Sicherheit des privaten Schlüssels und für andere Vorgänge verantwortlich, die in Best Practices zum Verwalten von Dienstkontoschlüsseln beschrieben werden. Wenn Sie keinen Dienstkontoschlüssel erstellen können, wird das Erstellen von Dienstkontoschlüsseln für Ihre Organisation möglicherweise deaktiviert. Weitere Informationen finden Sie unter Standardmäßig sichere Organisationsressourcen verwalten.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Rufen Sie in der Google Cloud Console die Seite Dienstkonten auf.

Zur Seite „Dienstkonten“
Wählen Sie bei Bedarf das im Ergebnis angegebene Projekt aus.
Löschen Sie vom Nutzer verwaltete Dienstkontoschlüssel, die im Ergebnis angegeben sind, wenn sie von keiner Anwendung verwendet werden.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Weak SSL policy`

Kategoriename in der API: WEAK_SSL_POLICY

Eine Compute Engine-Instanz hat eine schwache SSL-Richtlinie oder verwendet die Google Cloud-Standard-SSL-Richtlinie mit einer TLS-Version unter 1.2.

HTTPS- und SSL-Proxy-Load-Balancer verwenden SSL-Richtlinien, um die Protokoll- und Chiffresammlungen für die TLS-Verbindungen zwischen Nutzern und dem Internet festzulegen. Durch diese Verbindungen werden sensible Daten verschlüsselt, damit Unbefugte keinen Zugriff auf diese Daten erhalten. Eine schwache SSL-Richtlinie ermöglicht es Clients, die veraltete TLS-Versionen verwenden, eine Verbindung mit einer weniger sicheren Chiffrensammlung oder einem weniger sicheren Protokoll herzustellen. Eine Liste der empfohlenen und veralteten Cipher Suites finden Sie auf der iana.org-Seite zu TLS-Parametern.

Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Die Abhilfemaßnahmen für dieses Ergebnis unterscheiden sich je nachdem, ob das Ergebnis durch die Verwendung einer standardmäßigen SSL-Richtlinie von Google Cloud oder einer SSL-Richtlinie ausgelöst wurde, die eine schwache Chiffrensammlung oder eine TLS-Mindestversion unter 1.2 zulässt. Folgen Sie dem Verfahren unten, das dem Trigger des Ergebnisses entspricht.

Standardabhilfe für Google Cloud-SSL-Richtlinien

Rufen Sie in der Google Cloud Console die Seite Zielproxys auf.

Zu Ziel-Proxys
Suchen Sie den Zielproxy, der in den Ergebnissen und den Weiterleitungsregeln in der Spalte Verwendet von angegeben ist.
Informationen zum Erstellen einer neuen SSL-Richtlinie finden Sie unter SSL-Richtlinien verwenden. Die Richtlinie sollte eine Mindest-TLS-Version von 1.2 und ein modernes oder eingeschränktes Profil haben.
Wenn Sie ein benutzerdefiniertes Profil verwenden möchten , müssen die folgenden Chiffresammlungen deaktiviert sein:
- TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_3DES_EDE_CBC_SHA
Wenden Sie die SSL-Richtlinie auf alle zuvor angegebenen Weiterleitungsregeln an.

Abhilfemaßnahmen für eine schwache Cipher Suite oder eine niedrigere TLS-Version möglich

Rufen Sie in der Google Cloud Console die Seite SSL-Richtlinien auf .

SSL-Richtlinien aufrufen
Suchen Sie den Load-Balancer, der in der Spalte Verwendet von angegeben ist.
Klicken Sie auf den Namen der Richtlinie.
Klicken Sie auf Bearbeiten.
Ändern Sie die Mindestversion für TLS in TLS 1.2 und Profil in „Modern“ oder „Eingeschränkt“.
Wenn Sie ein benutzerdefiniertes Profil verwenden möchten, müssen die folgenden Cipher Suites deaktiviert sein:
- TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_3DES_EDE_CBC_SHA
Klicken Sie auf Speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Web UI enabled`

Kategoriename in der API: WEB_UI_ENABLED

Die GKE-Web-UI (Dashboard) ist aktiviert.

Ein Kubernetes-Dienstkonto mit privilegierten Back-Ends ermöglicht die Kubernetes-Weboberfläche. Wenn er manipuliert wurde, kann das Dienstkonto missbraucht werden. Wenn Sie die Google Cloud Console bereits verwenden, erweitert die Kubernetes-Weboberfläche die Angriffsfläche unnötig. Kubernetes-Weboberfläche deaktivieren

Deaktivieren Sie die Kubernetes-Weboberfläche, um dieses Ergebnis zu beheben:

Rufen Sie in der Google Cloud Console die GKE-Seite Kubernetes Cluster auf.

Zur Seite "Kubernetes-Cluster"
Klicken Sie auf den Namen des Clusters, der im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf Bearbeiten.

Wenn die Clusterkonfiguration kürzlich geändert wurde, ist die Schaltfläche "Bearbeiten" möglicherweise deaktiviert. Wenn Sie die Clustereinstellungen nicht bearbeiten können, warten Sie einige Minuten und versuchen Sie es dann noch einmal.
Klicken Sie auf Add-ons. Der Abschnitt wird erweitert, damit Sie alle verfügbaren Add-ons sehen.
Wählen Sie in der Drop-down-Liste Kubernetes-Dashboard die Option Deaktiviert aus.
Klicken Sie auf Speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Workload Identity disabled`

Kategoriename in der API: WORKLOAD_IDENTITY_DISABLED

Workload Identity ist auf einem GKE-Cluster deaktiviert.

Für das Aufrufen von Google Cloud-Diensten aus GKE wird Workload Identity empfohlen, weil es bessere Sicherheitsmerkmale bietet und leichter zu verwalten ist. Wenn diese Funktion aktiviert wird, schützt sie einige potenziell vertrauliche Systemmetadaten vor Nutzerarbeitslasten, die in Ihrem Cluster ausgeführt werden. Lesen Sie die Informationen zur Metadatenverbergung.

Um dieses Ergebnis zu beheben, folgen Sie der Anleitung unter Workload Identity in einem Cluster aktivieren.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

AWS-Fehlkonfigurationen beheben

`AWS Cloud Shell Full Access Restricted`

Kategoriename in der API: ACCESS_AWSCLOUDSHELLFULLACCESS_RESTRICTED

AWS CloudShell ist eine bequeme Möglichkeit, Befehlszeilenbefehle für AWS-Dienste auszuführen. Eine verwaltete IAM-Richtlinie („AWSCloudShellFullAccess“) bietet vollen Zugriff auf CloudShell und ermöglicht das Hochladen und Herunterladen von Dateien zwischen dem lokalen System eines Nutzers und der CloudShell-Umgebung. Innerhalb der Cloud Shell-Umgebung hat ein Nutzer Sudo-Berechtigungen und kann auf das Internet zugreifen. Es ist also möglich, Dateiübertragungssoftware (z. B.) zu installieren und Daten von CloudShell auf externe Internetserver zu übertragen.

Empfehlung: Achten Sie darauf, dass der Zugriff auf AWSCloudShellFullAccess eingeschränkt ist

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Access Keys Rotated Every 90 Days or Less`

Kategoriename in der API: ACCESS_KEYS_ROTATED_90_DAYS_LESS

Zugriffsschlüssel bestehen aus einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel, mit denen programmatische Anfragen an AWS signiert werden. AWS-Nutzer benötigen eigene Zugriffsschlüssel, um programmatische Aufrufe an AWS über die AWS Command Line Interface (AWS-Befehlszeile), Tools for Windows PowerShell, die AWS SDKs oder direkte HTTP-Aufrufe mit den APIs für einzelne AWS-Dienste zu senden. Es wird empfohlen, alle Zugriffsschlüssel regelmäßig zu rotieren.

Empfehlung: Achten Sie darauf, dass die Zugriffsschlüssel alle 90 Tage oder weniger rotiert werden.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

AWS-Konsole

Rufen Sie die Verwaltungskonsole auf (https://console.aws.amazon.com/iam).
Klicken Sie auf Users.
Klicken Sie auf Security Credentials.
Als Administrator
- Bei Schlüsseln, die seit 90 Tagen nicht rotiert wurden, klicken Sie auf Make Inactive.
Als IAM-Nutzer
- Klicken Sie bei Schlüsseln, die in 90 Tagen nicht rotiert oder verwendet wurden, auf Make Inactive oder Delete.
Klicken Sie auf Create Access Key.
Programmatischen Aufruf mit neuen Anmeldedaten für den Zugriffsschlüssel aktualisieren

AWS-CLI

Erstellen Sie, während der erste Zugriffsschlüssel noch aktiv ist, einen zweiten, der standardmäßig aktiv ist. Führen Sie dazu diesen Befehl aus:

aws iam create-access-key

An dieser Stelle hat der Nutzer zwei aktive Zugriffsschlüssel.

Aktualisieren Sie alle Anwendungen und Tools so, dass sie den neuen Zugriffsschlüssel verwenden.
Mit dem folgenden Befehl können Sie feststellen, ob der erste Zugriffsschlüssel noch verwendet wird:

aws iam get-access-key-last-used

Eine Möglichkeit besteht darin, mehrere Tage zu warten und dann den alten Zugriffsschlüssel auf mögliche Verwendungen zu prüfen, bevor Sie fortfahren.

Auch wenn in Schritt 3 angezeigt wird, dass der alte Schlüssel nicht verwendet wurde, sollten Sie den ersten Zugriffsschlüssel nicht sofort löschen. Ändern Sie stattdessen den Status des ersten Zugriffsschlüssels mit dem folgenden Befehl in „Inaktiv“:

aws iam update-access-key

Verwenden Sie nur den neuen Zugriffsschlüssel, um zu überprüfen, ob Ihre Anwendungen funktionieren. Alle Anwendungen und Tools, die noch den ursprünglichen Zugriffsschlüssel verwenden, funktionieren ab diesem Zeitpunkt nicht mehr, da sie keinen Zugriff mehr auf AWS-Ressourcen haben. Wenn Sie eine solche Anwendung oder ein solches Tool finden, können Sie den Status wieder in „Aktiv“ ändern, um den ersten Zugriffsschlüssel wieder zu aktivieren. Kehren Sie dann zu Schritt 2 zurück und aktualisieren Sie diese Anwendung, damit der neue Schlüssel verwendet wird.
Nachdem Sie einige Zeit gewartet haben, um sicherzustellen, dass alle Anwendungen und Tools aktualisiert wurden, können Sie den ersten Zugriffsschlüssel mit diesem Befehl löschen:

aws iam delete-access-key

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`All Expired Ssl Tls Certificates Stored Aws Iam Removed`

Kategoriename in der API: ALL_EXPIRED_SSL_TLS_CERTIFICATES_STORED_AWS_IAM_REMOVED

Zum Aktivieren von HTTPS-Verbindungen zu Ihrer Website oder Anwendung in AWS benötigen Sie ein SSL/TLS-Serverzertifikat. Sie können ACM oder IAM verwenden, um Serverzertifikate zu speichern und bereitzustellen. Verwenden Sie IAM nur dann als Zertifikatsmanager, wenn HTTPS-Verbindungen in einer Region unterstützt werden müssen, die nicht von ACM unterstützt wird. IAM verschlüsselt Ihre privaten Schlüssel sicher und speichert die verschlüsselte Version im IAM-SSL-Zertifikatspeicher. IAM unterstützt die Bereitstellung von Serverzertifikaten in allen Regionen. Zur Verwendung mit AWS müssen Sie das Zertifikat jedoch von einem externen Anbieter beziehen. Sie können kein ACM-Zertifikat in IAM hochladen. Außerdem können Sie Ihre Zertifikate nicht über die IAM-Konsole verwalten.

Empfehlung: Achten Sie darauf, dass alle abgelaufenen SSL/TLS-Zertifikate entfernt werden, die in AWS IAM gespeichert sind.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

AWS-Konsole

Das Entfernen abgelaufener Zertifikate über die AWS-Verwaltungskonsole wird derzeit nicht unterstützt. Verwenden Sie die Befehlszeile, um SSL/TLS-Zertifikate, die in IAM über die AWS API gespeichert sind, zu löschen.

AWS-CLI

Führen Sie den folgenden Befehl aus, um das abgelaufene Zertifikat zu löschen. Ersetzen Sie dabei CERTIFICATE_NAME durch den Namen des zu löschenden Zertifikats:

aws iam delete-server-certificate --server-certificate-name <CERTIFICATE_NAME>

Wenn der vorherige Befehl erfolgreich ausgeführt wurde, wird keine Ausgabe zurückgegeben.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Autoscaling Group Elb Healthcheck Required`

Kategoriename in der API: AUTOSCALING_GROUP_ELB_HEALTHCHECK_REQUIRED

Dadurch wird geprüft, ob Ihre Autoscaling-Gruppen, die mit einem Load-Balancer verknüpft sind, Elastic Load Balancing-Systemdiagnosen verwenden.

Dadurch wird sichergestellt, dass die Gruppe den Zustand einer Instanz anhand zusätzlicher Tests bestimmen kann, die vom Load-Balancer bereitgestellt werden. Systemdiagnosen für Elastic Load Balancing können die Verfügbarkeit von Anwendungen unterstützen, die EC2-Autoscaling-Gruppen verwenden.

Empfehlung: Prüft, ob alle Autoscaling-Gruppen mit einem Load-Balancer Systemdiagnosen verwenden

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

AWS Console

So aktivieren Sie Systemdiagnosen für Elastic Load Balancing:

Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.
Wählen Sie im Navigationsbereich unter „Automatische Skalierung“ die Option „Autoscaling-Gruppen“ aus.
Aktivieren Sie das Kontrollkästchen für Ihre Gruppe.
Wählen Sie „Bearbeiten“ aus.
Wählen Sie unter „Systemdiagnosen“ für den Systemdiagnosetyp ELB aus.
Geben Sie als Kulanzzeitraum für die Systemdiagnose 300 ein.
Wähle unten auf der Seite „Aktualisieren“ aus.

Weitere Informationen zur Verwendung eines Load-Balancers mit einer Autoscaling-Gruppe finden Sie im Nutzerhandbuch für die automatische Skalierung von AWS.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Auto Minor Version Upgrade Feature Enabled Rds Instances`

Kategoriename in der API: AUTO_MINOR_VERSION_UPGRADE_FEATURE_ENABLED_RDS_INSTANCES

Achten Sie darauf, dass bei RDS-Datenbankinstanzen das Flag „Automatisches Upgrade von Nebenversionen“ aktiviert ist, um während des angegebenen Wartungsfensters automatisch Nebenversionsupgrades zu erhalten. So können RDS-Instanzen die neuen Funktionen, Fehlerkorrekturen und Sicherheitspatches für ihre Datenbankmodule erhalten.

Empfehlung: Achten Sie darauf, dass das Feature zum automatischen Upgrade von Nebenversionen für RDS-Instanzen aktiviert ist

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

AWS-Konsole

Melden Sie sich bei der AWS-Verwaltungskonsole an und navigieren Sie zum RDS-Dashboard unter https://console.aws.amazon.com/rds/.
Klicken Sie im linken Navigationsbereich auf Databases.
Wählen Sie die RDS-Instanz aus, die aktualisiert werden soll.
Klicken Sie oben rechts auf die Schaltfläche Modify.
Wählen Sie auf der Seite Modify DB Instance: <instance identifier> im Abschnitt Maintenance die Option Auto minor version upgrade aus und klicken Sie auf das Optionsfeld Yes.
Klicken Sie unten auf der Seite auf Continue und aktivieren Sie die Option „Sofort anwenden“, um die Änderungen sofort anzuwenden, oder auf Apply during the next scheduled maintenance window, um Ausfallzeiten zu vermeiden.
Überprüfen Sie die Änderungen und klicken Sie auf Modify DB Instance. Der Instanzstatus sollte sich von „Verfügbar“ zu „Ändern“ und wieder zu „Verfügbar“ ändern. Sobald die Funktion aktiviert wurde, sollte sich der Status von Auto Minor Version Upgrade in Yes ändern.

AWS-CLI

Führen Sie den Befehl describe-db-instances aus, um alle Namen von RDS-Datenbankinstanzen aufzulisten, die in der ausgewählten AWS-Region verfügbar sind:

aws rds describe-db-instances --region <regionName> --query 'DBInstances[*].DBInstanceIdentifier'

In der Befehlsausgabe sollte jede Datenbankinstanz-ID zurückgegeben werden.
Führen Sie den Befehl modify-db-instance aus, um die ausgewählte RDS-Instanzkonfiguration zu ändern. Mit diesem Befehl werden die Änderungen sofort angewendet. Entfernen Sie --apply-immediately, um Änderungen im nächsten geplanten Wartungsfenster zu übernehmen und Ausfallzeiten zu vermeiden:

aws rds modify-db-instance --region <regionName> --db-instance-identifier <dbInstanceIdentifier> --auto-minor-version-upgrade --apply-immediately

Die Befehlsausgabe sollte die neuen Konfigurationsmetadaten für die RDS-Instanz enthalten und den Parameterwert AutoMinorVersionUpgrade prüfen.
Führen Sie den Befehl describe-db-instances aus, um zu prüfen, ob die Funktion zum automatischen Upgrade von Nebenversionen erfolgreich aktiviert wurde:

aws rds describe-db-instances --region <regionName> --db-instance-identifier <dbInstanceIdentifier> --query 'DBInstances[*].AutoMinorVersionUpgrade'

In der Befehlsausgabe sollte der aktuelle Status des Features auf true gesetzt sein. Das Feature ist enabled und die Upgrades der Neben-Engine werden auf die ausgewählte RDS-Instanz angewendet.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Aws Config Enabled All Regions`

Kategoriename in der API: AWS_CONFIG_ENABLED_ALL_REGIONS

AWS Config ist ein Webdienst, der die Konfigurationsverwaltung unterstützter AWS-Ressourcen in Ihrem Konto ausführt und Ihnen Logdateien bereitstellt. Zu den aufgezeichneten Informationen gehören das Konfigurationselement (AWS-Ressource), Beziehungen zwischen Konfigurationselementen (AWS-Ressourcen) sowie Konfigurationsänderungen zwischen Ressourcen. Es wird empfohlen, AWS Config in allen Regionen zu aktivieren.

Empfehlung: Achten Sie darauf, dass AWS Config in allen Regionen aktiviert ist

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

AWS-Konsole

Wählen Sie oben rechts in der Konsole die Region aus, auf die Sie den Fokus legen möchten.
Klickdienste
Klickkonfiguration
Wenn in dieser Region ein Config Recorder aktiviert ist, rufen Sie im Navigationsmenü auf der linken Seite die Seite „Settings“ (Einstellungen) auf. Wenn in dieser Region noch kein Config Recorder aktiviert ist, sollten Sie „Jetzt starten“ auswählen.
Wählen Sie „Alle in dieser Region unterstützten Ressourcen aufzeichnen“ aus.
Globale Ressourcen (IAM-Ressourcen) einschließen
S3-Bucket im selben Konto oder in einem anderen verwalteten AWS-Konto angeben
Erstellen Sie ein SNS-Thema aus demselben AWS-Konto oder einem anderen verwalteten AWS-Konto

AWS-CLI

Prüfen Sie, ob ein geeigneter S3-Bucket, ein SNS-Thema und eine geeignete IAM-Rolle gemäß den Voraussetzungen für AWS Config Service vorhanden sind.
Führen Sie den folgenden Befehl aus, um einen neuen Konfigurationsrekorder zu erstellen:

aws configservice put-configuration-recorder --configuration-recorder name=default,roleARN=arn:aws:iam::012345678912:role/myConfigRole --recording-group allSupported=true,includeGlobalResourceTypes=true

Erstellen Sie lokal eine Konfigurationsdatei für den Lieferkanal, in der die Kanalattribute angegeben sind und mit den zuvor eingerichteten Voraussetzungen befüllt werden:

{
 "name": "default",
 "s3BucketName": "my-config-bucket",
 "snsTopicARN": "arn:aws:sns:us-east-1:012345678912:my-config-notice",
 "configSnapshotDeliveryProperties": {
 "deliveryFrequency": "Twelve_Hours"
 }
}

Führen Sie diesen Befehl aus, um einen neuen Bereitstellungskanal zu erstellen und auf die JSON-Konfigurationsdatei im vorherigen Schritt zu verweisen:

aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json

Starten Sie den Konfigurationsrekorder mit dem folgenden Befehl:

aws configservice start-configuration-recorder --configuration-recorder-name default

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Aws Security Hub Enabled`

Kategoriename in der API: AWS_SECURITY_HUB_ENABLED

Der Sicherheits-Hub erfasst Sicherheitsdaten aus AWS-Konten, -Diensten und unterstützten Drittanbieterprodukten und hilft Ihnen dabei, Sicherheitstrends zu analysieren und die wichtigsten Sicherheitsprobleme zu identifizieren. Wenn Sie Security Hub aktivieren, beginnt er damit, Ergebnisse von AWS-Diensten, die Sie aktiviert haben, wie Amazon GuardDuty, Amazon Inspector und Amazon Macie, zu verarbeiten, zu aggregieren, zu organisieren und zu priorisieren. Sie können auch Integrationen mit Sicherheitsprodukten von AWS-Partnern aktivieren.

Empfehlung: Achten Sie darauf, dass AWS Security Hub aktiviert ist

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

AWS-Konsole

Melden Sie sich mit den Anmeldedaten der IAM-Identität in der Sicherheits-Hub-Konsole an.
Wenn Sie die Konsole des Sicherheits-Hubs zum ersten Mal öffnen, wählen Sie „AWS-Sicherheits-Hub aktivieren“ aus.
Auf der Begrüßungsseite sind die Sicherheitsstandards aufgeführt, die der Sicherheits-Hub unterstützt.
Wählen Sie „Sicherheits-Hub aktivieren“ aus.

AWS-CLI

Führen Sie den Befehl „enable-security-hub“ aus. Fügen Sie --enable-default-standards hinzu, um die Standardstandards zu aktivieren. aws securityhub enable-security-hub --enable-default-standards
Fügen Sie --no-enable-default-standards hinzu, um den Sicherheits-Hub ohne die Standardstandards zu aktivieren. aws securityhub enable-security-hub --no-enable-default-standards

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Cloudtrail Logs Encrypted Rest Using Kms Cmks`

Kategoriename in der API: CLOUDTRAIL_LOGS_ENCRYPTED_REST_USING_KMS_CMKS

AWS CloudTrail ist ein Webdienst, der AWS API-Aufrufe für ein Konto aufzeichnet und diese Protokolle für Nutzer und Ressourcen gemäß den IAM-Richtlinien zur Verfügung stellt. Der AWS Key Management Service (KMS) ist ein verwalteter Dienst, mit dem Sie Verschlüsselungsschlüssel erstellen und steuern können, die zum Verschlüsseln von Kontodaten verwendet werden. Außerdem werden Hardwaresicherheitsmodule (HSMs) eingesetzt, um die Sicherheit der Verschlüsselungsschlüssel zu schützen. CloudTrail-Logs können so konfiguriert werden, dass sie die serverseitige Verschlüsselung (SSE) und vom Kunden erstellte KMS-Masterschlüssel (Customer-Created Master Key, CMK) nutzen, um CloudTrail-Logs besser zu schützen. Es wird empfohlen, CloudTrail für die Verwendung von SSE-KMS zu konfigurieren.

Empfehlung: Achten Sie darauf, dass CloudTrail-Logs im Ruhezustand mit KMS-CMKs verschlüsselt werden

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

AWS-Konsole

Melden Sie sich in der AWS-Verwaltungskonsole an und öffnen Sie die CloudTrail-Konsole unter https://console.aws.amazon.com/cloudtrail.
Wählen Sie im linken Navigationsbereich Trails aus .
Klick auf einen Weg
Klicke im Abschnitt S3 auf die Schaltfläche „Bearbeiten“ (Stiftsymbol).
Klicken Sie auf Advanced.
Wählen Sie im Drop-down-Menü KMS key Id einen vorhandenen CMK aus.
- Hinweis: Der CMK muss sich in derselben Region wie der S3-Bucket befinden
- Hinweis: Sie müssen eine KMS-Schlüsselrichtlinie auf den ausgewählten CMK anwenden, damit CloudTrail als Dienst Protokolldateien mit dem bereitgestellten CMK verschlüsseln und entschlüsseln kann. Hier finden Sie eine Anleitung zum Bearbeiten der ausgewählten CMK-Schlüsselrichtlinie
Klicken Sie auf Save.
Sie sehen eine Benachrichtigung mit dem Hinweis, dass Sie zum Entschlüsseln von Protokolldateien für den angegebenen KMS-Schlüssel Berechtigungen zum Entschlüsseln benötigen.
Klicken Sie auf Yes.

AWS-CLI

aws cloudtrail update-trail --name <trail_name> --kms-id <cloudtrail_kms_key>
aws kms put-key-policy --key-id <cloudtrail_kms_key> --policy <cloudtrail_kms_key_policy>

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Cloudtrail Log File Validation Enabled`

Kategoriename in der API: CLOUDTRAIL_LOG_FILE_VALIDATION_ENABLED

Bei der Validierung der CloudTrail-Logdatei wird eine digital signierte Digestdatei erstellt, die einen Hash jedes Logs enthält, den CloudTrail in S3 schreibt. Anhand dieser Digestdateien kann ermittelt werden, ob eine Logdatei nach der Bereitstellung des Logs durch CloudTrail geändert, gelöscht oder unverändert wurde. Es wird empfohlen, die Dateivalidierung auf allen CloudTrails zu aktivieren.

Empfehlung: Achten Sie darauf, dass die Validierung der CloudTrail-Logdatei aktiviert ist

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

AWS-Konsole

Melden Sie sich in der AWS-Verwaltungskonsole an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/cloudtrail.
Klicken Sie im linken Navigationsbereich auf Trails.
Klick auf Zielspur
Klicke im Abschnitt General details auf edit
Im Abschnitt Advanced settings
Klicken Sie das Kästchen unter Log file validation an.
Klicken Sie auf Save changes.

AWS-CLI

aws cloudtrail update-trail --name <trail_name> --enable-log-file-validation

Beachten Sie, dass mit dem folgenden Befehl eine regelmäßige Validierung von Logs mit diesen Digests durchgeführt werden kann:

aws cloudtrail validate-logs --trail-arn <trail_arn> --start-time <start_time> --end-time <end_time>

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Cloudtrail Trails Integrated Cloudwatch Logs`

Kategoriename in der API: CLOUDTRAIL_TRAILS_INTEGRATED_CLOUDWATCH_LOGS

AWS CloudTrail ist ein Webdienst, der AWS API-Aufrufe in einem bestimmten AWS-Konto aufzeichnet. Zu den aufgezeichneten Informationen gehören die Identität des API-Aufrufers, der Zeitpunkt des API-Aufrufs, die Quell-IP-Adresse des API-Aufrufers, die Anfrageparameter und die vom AWS-Dienst zurückgegebenen Antwortelemente. CloudTrail verwendet Amazon S3 zum Speichern und Bereitstellen von Protokolldateien, sodass Protokolldateien dauerhaft gespeichert werden. Zusätzlich zum Erfassen von CloudTrail-Logs in einem bestimmten S3-Bucket zur langfristigen Analyse kann eine Echtzeitanalyse durchgeführt werden, indem CloudTrail so konfiguriert wird, dass Logs an CloudWatch-Logs gesendet werden. Bei einem Pfad, der in allen Regionen eines Kontos aktiviert ist, sendet CloudTrail Logdateien aus allen diesen Regionen an eine CloudWatch Logs-Loggruppe. Es wird empfohlen, CloudTrail-Logs an CloudWatch-Logs zu senden.

Empfehlung: Achten Sie darauf, dass CloudTrail-Pfade in CloudWatch-Logs eingebunden sind

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

AWS-Konsole

Melden Sie sich unter https://console.aws.amazon.com/cloudtrail/ in der CloudTrail-Konsole an
Wählen Sie die Trail aus, die aktualisiert werden soll.
Scrollen Sie nach unten zu „CloudWatch Logs“.
Klicken Sie auf Edit.
Klicken Sie unter CloudWatch Logs auf das Feld Enabled.
Wählen Sie unter Log Group eine neue Loggruppe oder eine vorhandene aus
Bearbeiten Sie die Log group name entsprechend dem CloudTrail oder wählen Sie die vorhandene CloudWatch-Gruppe aus.
Wählen Sie unter IAM Role eine neue oder eine vorhandene aus.
Bearbeiten Sie die Role name entsprechend dem CloudTrail oder wählen Sie die vorhandene IAM-Rolle aus.
Klicken Sie auf „Änderungen speichern.

AWS-CLI

aws cloudtrail update-trail --name <trail_name> --cloudwatch-logs-log-group-arn <cloudtrail_log_group_arn> --cloudwatch-logs-role-arn <cloudtrail_cloudwatchLogs_role_arn>

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Cloudwatch Alarm Action Check`

Kategoriename in der API: CLOUDWATCH_ALARM_ACTION_CHECK

Hiermit wird geprüft, ob in Amazon Cloudwatch Aktionen definiert sind, wenn ein Alarm zwischen den Status „OK“, „ALARM“ und „INSUFFICIENT_DATA“ wechselt.

Das Konfigurieren von Aktionen für den ALARM-Status in Amazon CloudWatch-Alarmen ist sehr wichtig, um bei überwachten Schwellenwerten für Verstöße bei überwachten Messwerten eine sofortige Reaktion auszulösen. Er sorgt für eine schnelle Problemlösung, reduziert Ausfallzeiten und ermöglicht die automatische Problembehebung, sodass der Systemzustand aufrechterhalten und Ausfälle verhindert werden können.

Für Wecker gibt es mindestens eine Aktion. Alarme haben mindestens eine Aktion, wenn der Alarm von einem anderen Status in den Status „INSUFFICIENT_DATA“ übergeht. (Optional) Alarme haben mindestens eine Aktion, wenn der Alarm von einem anderen Status in den Status "OK" übergeht.

Empfehlung: Prüft, ob für CloudWatch-Alarme mindestens eine Alarmaktion, eine Aktion INSUFFICIENT_DATA oder eine Aktion „OK“ aktiviert ist.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

AWS Console

So konfigurieren Sie ALARM-Aktionen für Amazon CloudWatch-Alarme:

Öffnen Sie die Amazon CloudWatch-Konsole unter https://console.aws.amazon.com/cloudwatch/.
Wähle im Navigationsbereich unter „Wecker“ die Option „Alle Wecker“ aus.
Wähle den Amazon CloudWatch-Alarm aus, den du ändern möchtest, wähle „Aktionen“ und dann „Bearbeiten“ aus.
Wählen Sie links die Option "Schritt 2 – optionale Aktionen konfigurieren" aus.
Wählen Sie für „Auslöser für Alarm“ die Option „Im Alarm“ aus, um eine ALARM-basierte Aktion einzurichten.
Wählen Sie „Neues Thema erstellen“ aus, um eine Benachrichtigung an ein neu erstelltes SNS-Thema zu senden.
Geben Sie im Feld "Neues Thema erstellen" einen eindeutigen Namen für das SNS-Thema ein.
Geben Sie im Feld „E-Mail-Endpunkte, an die die Benachrichtigung gesendet wird...“ mindestens eine E-Mail-Adresse ein.
Wählen Sie dann "Create Topic" (Thema erstellen) aus, um das erforderliche Amazon SNS-Thema zu erstellen.
Wähle unten rechts „Weiter“, „Weiter“ und dann „Wecker aktualisieren“ aus, um die Änderungen zu übernehmen.
Öffnen Sie Ihren E-Mail-Client und klicken Sie in der E-Mail von AWS Notifications auf den Link, um Ihr Abonnement des betreffenden SNS-Themas zu bestätigen.
Wiederholen Sie die Schritte 4 bis 11 und in Schritt 5 und wählen Sie unter "Alarmstatus-Auslöser" die Optionen "OK" und "Nicht genügend Daten", um Aktionen für diese beiden Zustände einzurichten.
Wiederholen Sie den Vorgang für alle anderen CloudWatch-Alarme innerhalb derselben AWS-Region.
Wiederholen Sie den Vorgang für alle anderen CloudWatch-Alarme in allen anderen AWS-Regionen.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Cloudwatch Log Group Encrypted`

Kategoriename in der API: CLOUDWATCH_LOG_GROUP_ENCRYPTED

Durch diese Prüfung wird sichergestellt, dass CloudWatch-Logs mit KMS konfiguriert sind.

Loggruppendaten werden in CloudWatch Logs immer verschlüsselt. Standardmäßig verwendet CloudWatch Logs die serverseitige Verschlüsselung für die inaktiven Logdaten. Alternativ können Sie für diese Verschlüsselung den AWS Key Management Service verwenden. In diesem Fall erfolgt die Verschlüsselung mit einem AWS KMS-Schlüssel. Die Verschlüsselung mit AWS KMS wird auf Loggruppenebene aktiviert. Dazu wird entweder beim Erstellen der Loggruppe oder danach ein KMS-Schlüssel mit einer Loggruppe verknüpft.

Empfehlung: Prüft, ob alle Loggruppen in Amazon CloudWatch Logs mit KMS verschlüsselt sind.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`CloudTrail CloudWatch Logs Enabled`

Kategoriename in der API: CLOUD_TRAIL_CLOUD_WATCH_LOGS_ENABLED

Dieses Steuerelement prüft, ob CloudTrail-Pfade zum Senden von Logs an CloudWatch-Logs konfiguriert sind. Das Steuerelement schlägt fehl, wenn das Attribut „CloudWatchLogsLogGroupArn“ des Pfads leer ist.

CloudTrail zeichnet AWS API-Aufrufe auf, die in einem bestimmten Konto ausgeführt werden. Folgende Daten werden aufgezeichnet:

Die Identität des API-Aufrufers
Die Zeit des API-Aufrufs
Die Quell-IP-Adresse des API-Aufrufers
Die Anfrageparameter
Die vom AWS-Dienst zurückgegebenen Antwortelemente

CloudTrail verwendet Amazon S3 zum Speichern und Bereitstellen von Logdateien. Sie können CloudTrail-Logs zur Langzeitanalyse in einem bestimmten S3-Bucket erfassen. Für eine Echtzeitanalyse können Sie CloudTrail so konfigurieren, dass Logs an CloudWatch Logs gesendet werden.

Bei einem Pfad, der in allen Regionen eines Kontos aktiviert ist, sendet CloudTrail Logdateien aus allen diesen Regionen an eine CloudWatch-Log-Loggruppe.

Der Sicherheits-Hub empfiehlt, CloudTrail-Logs an CloudWatch-Logs zu senden. Mit dieser Empfehlung soll sichergestellt werden, dass Kontoaktivitäten erfasst, überwacht und entsprechend gemeldet werden. Sie können CloudWatch Logs verwenden, um dies mit Ihren AWS-Diensten einzurichten. Diese Empfehlung schließt die Verwendung einer anderen Lösung nicht aus.

Das Senden von CloudTrail-Logs an CloudWatch Logs erleichtert das Logging von Aktivitäten in Echtzeit und den Verlauf basierend auf Nutzer, API, Ressource und IP-Adresse. So lassen sich Alarme und Benachrichtigungen bei ungewöhnlichen oder sensiblen Kontoaktivitäten einrichten.

Empfehlung: Prüft, ob alle CloudTrail-Pfade so konfiguriert sind, dass Logs an AWS CloudWatch gesendet werden.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`No AWS Credentials in CodeBuild Project Environment Variables`

Kategoriename in der API: CODEBUILD_PROJECT_ENVVAR_AWSCRED_CHECK

Dadurch wird geprüft, ob das Projekt die Umgebungsvariablen AWS_ACCESS_KEY_ID und AWS_SECRET_ACCESS_KEY enthält.

Die Authentifizierungsdaten AWS_ACCESS_KEY_ID und AWS_SECRET_ACCESS_KEY sollten niemals in Klartext gespeichert werden, da dies zu einer unbeabsichtigten Offenlegung von Daten und unberechtigtem Zugriff führen könnte.

Empfehlung: Prüft, ob alle Projekte mit den Umgebungsvariablen AWS_ACCESS_KEY_ID und AWS_SECRET_ACCESS_KEY nicht im Klartext sind.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Codebuild Project Source Repo Url Check`

Kategoriename in der API: CODEBUILD_PROJECT_SOURCE_REPO_URL_CHECK

Hiermit wird geprüft, ob die Bitbucket-Quell-Repository-URL eines AWS CodeBuild-Projekts persönliche Zugriffstokens oder einen Nutzernamen und ein Passwort enthält. Die Steuerung schlägt fehl, wenn die URL des Bitbucket-Quell-Repositorys persönliche Zugriffstokens oder einen Nutzernamen und ein Passwort enthält.

Anmeldedaten sollten nicht im Klartext gespeichert oder übertragen und nicht in der URL des Quell-Repositorys auftauchen. Anstelle von persönlichen Zugriffstokens oder Anmeldedaten sollten Sie in CodeBuild auf Ihren Quellanbieter zugreifen und die Quell-Repository-URL so ändern, dass sie nur den Pfad zum Speicherort des Bitbucket-Repositorys enthält. Die Verwendung persönlicher Zugriffstokens oder Anmeldedaten kann zu unbeabsichtigten Datenlecks oder zu unbefugtem Zugriff führen.

Empfehlung: Prüft, ob alle Projekte, die GitHub oder Bitbucket als Quelle verwenden, OAuth verwenden.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Credentials Unused 45 Days Greater Disabled`

Kategoriename in der API: CREDENTIALS_UNUSED_45_DAYS_GREATER_DISABLED

AWS IAM-Nutzer können mit verschiedenen Arten von Anmeldedaten auf AWS-Ressourcen zugreifen, z. B. mit Passwörtern oder Zugriffsschlüsseln. Es wird empfohlen, alle Anmeldedaten zu deaktivieren oder zu entfernen, die in mindestens 45 Tagen nicht verwendet wurden.

Empfehlung: Achten Sie darauf, dass Anmeldedaten, die seit mindestens 45 Tagen nicht verwendet wurden, deaktiviert sind.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

AWS-Konsole

So verwalten Sie nicht verwendetes Passwort (IAM-Zugriff auf die Nutzerkonsole)

Melden Sie sich in der AWS-Verwaltungskonsole an:
Klicken Sie auf Services.
Klicken Sie auf IAM.
Klicken Sie auf Users.
Klicken Sie auf Security Credentials.
Nutzer auswählen, dessen Console last sign-in länger als 45 Tage ist
Klicken Sie auf Security credentials.
Klicken Sie in Abschnitt Sign-in credentials, Console password, auf Manage.
Wählen Sie unter „Console Access“ (Konsolenzugriff) Disable aus. 10. Klicken Sie auf Apply.

So deaktivieren Sie Zugriffsschlüssel:

Melden Sie sich in der AWS-Verwaltungskonsole an:
Klicken Sie auf Services.
Klicken Sie auf IAM.
Klicken Sie auf Users.
Klicken Sie auf Security Credentials.
Wählen Sie alle Zugriffsschlüssel aus, die älter als 45 Tage sind und verwendet wurden.
- Klicken Sie auf Make Inactive.
Wählen Sie alle Zugriffsschlüssel aus, die älter als 45 Tage sind und nicht verwendet wurden.
- Auf „X“ klicken, um Delete

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Default Security Group Vpc Restricts All Traffic`

Kategoriename in der API: DEFAULT_SECURITY_GROUP_VPC_RESTRICTS_ALL_TRAFFIC

Eine VPC ist mit einer Standardsicherheitsgruppe versehen, deren Anfangseinstellungen den gesamten eingehenden Traffic ablehnen, den gesamten ausgehenden Traffic zulassen und den gesamten Traffic zwischen Instanzen zulassen, die der Sicherheitsgruppe zugewiesen sind. Wenn Sie beim Starten einer Instanz keine Sicherheitsgruppe angeben, wird die Instanz automatisch dieser Standardsicherheitsgruppe zugewiesen. Sicherheitsgruppen bieten zustandsorientierte Filterung des ein- und ausgehenden Netzwerktraffics zu AWS-Ressourcen. Es wird empfohlen, den gesamten Traffic durch die Standardsicherheitsgruppe einzuschränken.

Die Standard-Sicherheitsgruppe der Standard-VPC in jeder Region sollte entsprechend aktualisiert werden. Alle neu erstellten VPCs enthalten automatisch eine Standardsicherheitsgruppe, die korrigiert werden muss, um dieser Empfehlung nachzukommen.

HINWEIS:Bei der Implementierung dieser Empfehlung ist VPC-Fluss-Logging von unschätzbarem Wert, um den Portzugriff mit den geringsten Berechtigungen zu bestimmen, der von Systemen ordnungsgemäß funktioniert, da damit alle Paketannahmen und -ablehnungen unter den aktuellen Sicherheitsgruppen protokolliert werden können. Dies reduziert die primäre Hürde für das Engineering mit den geringsten Berechtigungen erheblich: Es werden nur die Ports ermittelt, die für Systeme in der Umgebung mindestens erforderlich sind. Auch wenn die Empfehlung für das VPC-Fluss-Logging in dieser Benchmark nicht als dauerhafte Sicherheitsmaßnahme übernommen wird, sollte sie in jedem Erkennungs- und Entwicklungszeitraum für Sicherheitsgruppen mit den geringsten Privilegien verwendet werden.

Empfehlung: Achten Sie darauf, dass die Standardsicherheitsgruppe jeder VPC den gesamten Traffic einschränkt

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Dms Replication Not Public`

Kategoriename in der API: DMS_REPLICATION_NOT_PUBLIC

Prüft, ob AWS DMS-Replikationsinstanzen öffentlich sind. Dazu prüft sie den Wert des Feldes PubliclyAccessible.

Eine private Replikationsinstanz hat eine private IP-Adresse, auf die Sie außerhalb des Replikationsnetzwerks nicht zugreifen können. Eine Replikationsinstanz sollte eine private IP-Adresse haben, wenn sich die Quell- und die Zieldatenbank im selben Netzwerk befinden. Das Netzwerk muss außerdem über ein VPN, AWS Direct Connect oder VPC-Peering mit der VPC der Replikationsinstanz verbunden sein. Weitere Informationen zu öffentlichen und privaten Replikationsinstanzen finden Sie unter Öffentliche und private Replikationsinstanzen im AWS Database Migration Service-Nutzerhandbuch.

Sie sollten außerdem darauf achten, dass der Zugriff auf die Konfiguration Ihrer AWS DMS-Instanz auf autorisierte Nutzer beschränkt ist. Schränken Sie dazu die IAM-Berechtigungen der Nutzer ein, um AWS DMS-Einstellungen und -Ressourcen zu ändern.

Empfehlung: Prüft, ob Replikationsinstanzen von AWS Database Migration Service öffentlich sind.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Do Setup Access Keys During Initial User Setup All Iam Users Console`

Kategoriename in der API: DO_SETUP_ACCESS_KEYS_DURING_INITIAL_USER_SETUP_ALL_IAM_USERS_CONSOLE

Bei der AWS-Konsole sind beim Erstellen eines neuen IAM-Nutzers standardmäßig keine Kästchen ausgewählt. Beim Erstellen der IAM-Nutzeranmeldedaten müssen Sie festlegen, welche Art von Zugriff die Nutzer benötigen.

Programmatischer Zugriff: Der IAM-Nutzer muss möglicherweise API-Aufrufe ausführen, die AWS-Befehlszeile oder die Tools for Windows PowerShell verwenden. Erstellen Sie in diesem Fall einen Zugriffsschlüssel (Zugriffsschlüssel-ID und geheimer Zugriffsschlüssel) für diesen Nutzer.

Zugriff auf die AWS-Verwaltungskonsole: Wenn der Nutzer auf die AWS-Verwaltungskonsole zugreifen muss, erstellen Sie ein Passwort für den Nutzer.

Empfehlung: Richten Sie während der Ersteinrichtung keine Zugriffsschlüssel für alle IAM-Nutzer ein, die ein Konsolenpasswort haben

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

AWS-Konsole

Melden Sie sich in der AWS-Verwaltungskonsole an:
Klicken Sie auf Services.
Klicken Sie auf IAM.
Klicken Sie auf Users.
Klicken Sie auf Security Credentials.
Als Administrator
- Bei Schlüsseln, die gleichzeitig mit dem Nutzerprofil erstellt, aber nicht verwendet wurden, klicken Sie auf „X“ (Delete).
Als IAM-Nutzer
- Bei Schlüsseln, die gleichzeitig mit dem Nutzerprofil erstellt, aber nicht verwendet wurden, klicken Sie auf „X“ (Delete).

AWS-CLI

aws iam delete-access-key --access-key-id <access-key-id-listed> --user-name <users-name>

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Dynamodb Autoscaling Enabled`

Kategoriename in der API: DYNAMODB_AUTOSCALING_ENABLED

Damit wird geprüft, ob eine Amazon DynamoDB-Tabelle ihre Lese- und Schreibkapazität nach Bedarf skalieren kann. Diese Steuerung gilt als bestanden, wenn die Tabelle entweder den On-Demand-Kapazitätsmodus oder den bereitgestellten Modus mit konfiguriertem Autoscaling verwendet. Durch die bedarfsgerechte Skalierung der Kapazität werden Drosselungsausnahmen vermieden, wodurch die Verfügbarkeit Ihrer Anwendungen aufrechterhalten bleibt.

DynamoDB-Tabellen im On-Demand-Kapazitätsmodus sind nur durch die Standardtabellenkontingente für den DynamoDB-Durchsatz begrenzt. Wenn Sie diese Kontingente erhöhen möchten, können Sie über den AWS-Support ein Support-Ticket einreichen.

Bei DynamoDB-Tabellen im bereitgestellten Modus mit Autoscaling wird die bereitgestellte Durchsatzkapazität dynamisch an Traffic-Muster angepasst. Weitere Informationen zur DynamoDB-Anfragedrosselung finden Sie unter „Anfragedrosselung und Burst-Kapazität“ im Amazon DynamoDB-Entwicklerleitfaden.

Empfehlung: DynamoDB-Tabellen sollten die Kapazität automatisch nach Bedarf skalieren.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Dynamodb In Backup Plan`

Kategoriename in der API: DYNAMODB_IN_BACKUP_PLAN

Dieses Steuerelement bewertet, ob eine DynamoDB-Tabelle durch einen Sicherungsplan abgedeckt ist. Die Steuerung schlägt fehl, wenn eine DynamoDB-Tabelle nicht durch einen Sicherungsplan abgedeckt ist. Dieses Steuerelement wertet nur DynamoDB-Tabellen aus, die den Status AKTIV haben.

Sicherungen ermöglichen eine schnellere Wiederherstellung nach einem Sicherheitsvorfall. Sie stärken auch die Widerstandsfähigkeit Ihrer Systeme. Wenn Sie DynamoDB-Tabellen in einen Sicherungsplan aufnehmen, können Sie Ihre Daten vor unbeabsichtigtem Verlust oder Löschen schützen.

Empfehlung: DynamoDB-Tabellen sollten durch einen Sicherungsplan abgedeckt sein.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Dynamodb Pitr Enabled`

Kategoriename in der API: DYNAMODB_PITR_ENABLED

Die Wiederherstellung zu einem bestimmten Zeitpunkt (Point-In Time Recovery, PITR) ist einer der Mechanismen, die zum Sichern von DynamoDB-Tabellen zur Verfügung stehen.

Die Sicherung zu einem bestimmten Zeitpunkt wird 35 Tage lang aufbewahrt. Wenn eine längere Aufbewahrung erforderlich ist, lesen Sie Geplante Sicherungen für Amazon DynamoDB mit AWS Backup einrichten in der AWS-Dokumentation.

Empfehlung: Prüft, ob die Wiederherstellung zu einem bestimmten Zeitpunkt für alle AWS DynamoDB-Tabellen aktiviert ist

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Terraform

Um die PITR für DynamoDB-Tabellen festzulegen, legen Sie den point_in_time_recovery-Block fest:

resource "aws_dynamodb_table" "example" {
  # ... other configuration ...
  point_in_time_recovery {
    enabled = true
  }
}

AWS Console

So aktivieren Sie die DynamoDB-Wiederherstellung zu einem bestimmten Zeitpunkt für eine vorhandene Tabelle:

Öffnen Sie die DynamoDB-Konsole unter https://console.aws.amazon.com/dynamodb/.
Wählen Sie die Tabelle aus, mit der Sie arbeiten möchten, und dann „Sicherungen“.
Wählen Sie im Abschnitt „Wiederherstellung zu einem bestimmten Zeitpunkt“ unter „Status“ die Option „Aktivieren“ aus.
Klicken Sie noch einmal auf „Aktivieren“, um die Änderung zu bestätigen.

AWS-CLI

aws dynamodb update-continuous-backups \
  --table-name "GameScoresOnDemand" \
  --point-in-time-recovery-specification "PointInTimeRecoveryEnabled=true"

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Dynamodb Table Encrypted Kms`

Kategoriename in der API: DYNAMODB_TABLE_ENCRYPTED_KMS

Prüft, ob alle DynamoDB-Tabellen mit einem vom Kunden verwalteten KMS-Schlüssel (nicht standardmäßig) verschlüsselt sind.

Empfehlung: Prüft, ob alle DynamoDB-Tabellen mit AWS Key Management Service (KMS) verschlüsselt sind.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Terraform

Um diese Einstellung zu beheben, erstellen Sie einen AWS KMS-Schlüssel und verwenden ihn zum Verschlüsseln der gegen die Richtlinie verstoßenden DynamoDB-Ressource.

resource "aws_kms_key" "dynamodb_encryption" {
  description         = "Used for DynamoDB encryption configuration"
  enable_key_rotation = true
}

resource "aws_dynamodb_table" "example" {
  # ... other configuration ...
  server_side_encryption {
    enabled     = true
    kms_key_arn = aws_kms_key.dynamodb_encryption.arn
  }
}

AWS Console

Unter der Annahme, dass ein vorhandener AWS KMS-Schlüssel zum Verschlüsseln von DynamoDB verfügbar ist.

So ändern Sie eine DynamoDB-Tabellenverschlüsselung in einen vom Kunden verwalteten KMS-Schlüssel mit eigenem KMS-Schlüssel.

Öffnen Sie die DynamoDB-Konsole unter https://console.aws.amazon.com/dynamodb/.
Wählen Sie die gewünschte Tabelle aus und klicken Sie dann auf „Weitere Einstellungen“.
Wählen Sie unter „Verschlüsselung“ die Option „Verschlüsselung verwalten“ aus.
Wählen Sie unter „Verschlüsselung ruhender Daten“ die Option „In deinem Konto gespeichert und von dir gehören und von dir verwaltet“ aus.
Wählen Sie den zu verwendenden AWS-Schlüssel aus. Speichern Sie die Änderungen.

AWS-CLI

aws dynamodb update-table \
  --table-name <value> \
  --sse-specification "Enabled=true,SSEType=KMS,KMSMasterKeyId=<kms_key_arn>"

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Ebs Optimized Instance`

Kategoriename in der API: EBS_OPTIMIZED_INSTANCE

Überprüft, ob die EBS-Optimierung für Ihre EC2-Instanzen, die EBS-optimiert werden können, aktiviert ist.

Empfehlung: Prüft, ob die EBS-Optimierung für alle Instanzen aktiviert ist, die die EBS-Optimierung unterstützen

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Ebs Snapshot Public Restorable Check`

Kategoriename in der API: EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK

Prüft, ob Amazon Elastic Block Store-Snapshots nicht öffentlich sind. Die Steuerung schlägt fehl, wenn Amazon EBS-Snapshots von jedem wiederhergestellt werden können.

EBS-Snapshots werden verwendet, um die Daten auf Ihren EBS-Volumes zu einem bestimmten Zeitpunkt in Amazon S3 zu sichern. Sie können die Snapshots verwenden, um vorherige Status von EBS-Volumes wiederherzustellen. Es ist selten akzeptabel, eine Momentaufnahme mit der Öffentlichkeit zu teilen. In der Regel wurde die Entscheidung, einen Snapshot öffentlich freizugeben, aufgrund eines Fehlers oder ohne ein vollständiges Verständnis der Auswirkungen getroffen. So kann sichergestellt werden, dass das Teilen vollständig geplant und beabsichtigt war.

Empfehlung: Amazon EBS-Snapshots sollten nicht öffentlich wiederhergestellt werden können

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

AWS Console

Um dieses Problem zu beheben, aktualisieren Sie Ihren EBS-Snapshot, um ihn privat statt öffentlich zu machen.

So machen Sie einen öffentlichen EBS-Snapshot privat:

Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.
Wählen Sie im Navigationsbereich unter Elastic Block Store das Menü „Snapshots“ und dann Ihren öffentlichen Snapshot aus.
Wähle unter Aktionen die Option Berechtigungen ändern aus.
Wähle „Privat“ aus.
Optional: Fügen Sie die AWS-Kontonummern der autorisierten Konten hinzu, für die Sie den Snapshot freigeben möchten, und wählen Sie „Berechtigung hinzufügen“ aus.
Klicken Sie auf „Speichern“.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Ebs Volume Encryption Enabled All Regions`

Kategoriename in der API: EBS_VOLUME_ENCRYPTION_ENABLED_ALL_REGIONS

Elastic Compute Cloud (EC2) unterstützt die Verschlüsselung inaktiver Daten bei Verwendung des Elastic Block Store-Diensts (EBS). Wenn diese Option standardmäßig deaktiviert ist, wird das Erzwingen der Verschlüsselung beim Erstellen des EBS-Volumes unterstützt.

Empfehlung: Sicherstellen, dass die EBS-Volume-Verschlüsselung in allen Regionen aktiviert ist

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

AWS-Konsole

Melden Sie sich in der AWS-Verwaltungskonsole an und öffnen Sie die Amazon EC2-Konsole mit https://console.aws.amazon.com/ec2/.
Klicken Sie unter Account attributes auf EBS encryption.
Klicken Sie auf Manage.
Klicken Sie das Kästchen Enable an.
Klicken Sie auf Update EBS encryption.
Wiederholen Sie diesen Vorgang für jede Region, in der die Änderung vorgenommen werden soll.

Hinweis: Die EBS-Volume-Verschlüsselung wird pro Region konfiguriert.

AWS-CLI

Führen Sie aws --region <region> ec2 enable-ebs-encryption-by-default aus.
Prüfen Sie, ob "EbsEncryptionByDefault": true angezeigt wird.
Wiederholen Sie alle Regionen, in denen die Änderung vorgenommen werden soll.

Hinweis: Die EBS-Volume-Verschlüsselung wird pro Region konfiguriert.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Ec2 Instances In Vpc`

Kategoriename in der API: EC2_INSTANCES_IN_VPC

Amazon VPC bietet mehr Sicherheitsfunktionen als EC2 Classic. Es wird empfohlen, dass alle Knoten zu einer Amazon VPC gehören.

Empfehlung: Sorgt dafür, dass alle Instanzen zu einer VPC gehören

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Terraform

Wenn Sie in Terraform klassische EC2-Instanzen definiert haben, können Sie Ihre Ressourcen so ändern, dass sie Teil einer VPC sind. Diese Migration hängt von einer Architektur ab, die Ihren Anforderungen am besten entspricht. Im Folgenden finden Sie ein einfaches Terraform-Beispiel, das eine öffentlich freigegebene EC2 in einer VPC veranschaulicht.

  resource "aws_vpc" "example_vpc" {
    cidr_block = "10.0.0.0/16"
  }

  resource "aws_subnet" "example_public_subnet" {
    vpc_id            = aws_vpc.example_vpc.id
    cidr_block        = "10.0.1.0/24"
    availability_zone = "1a"
  }

  resource "aws_internet_gateway" "example_igw" {
    vpc_id = aws_vpc.example_vpc.id
  }

  resource "aws_key_pair" "example_key" {
    key_name   = "web-instance-key"
    public_key = "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQD3F6tyPEFEzV0LX3X8BsXdMsQz1x2cEikKDEY0aIj41qgxMCP/iteneqXSIFZBp5vizPvaoIR3Um9xK7PGoW8giupGn+EPuxIA4cDM4vzOqOkiMPhz5XK0whEjkVzTo4+S0puvDZuwIsdiW9mxhJc7tgBNL0cYlWSYVkz4G/fslNfRPW5mYAM49f4fhtxPb5ok4Q2Lg9dPKVHO/Bgeu5woMc7RY0p1ej6D4CKFE6lymSDJpW0YHX/wqE9+cfEauh7xZcG0q9t2ta6F6fmX0agvpFyZo8aFbXeUBr7osSCJNgvavWbM/06niWrOvYX2xwWdhXmXSrbX8ZbabVohBK41 email@example.com"
  }

  resource "aws_security_group" "web_sg" {
    name   = "http and ssh"
    vpc_id = aws_vpc.some_custom_vpc.id

    ingress {
      from_port   = 80
      to_port     = 80
      protocol    = "tcp"
      cidr_blocks = ["0.0.0.0/0"]
    }

    ingress {
      from_port   = 22
      to_port     = 22
      protocol    = "tcp"
      cidr_blocks = ["0.0.0.0/0"]
    }

    egress {
      from_port   = 0
      to_port     = 0
      protocol    = -1
      cidr_blocks = ["0.0.0.0/0"]
    }
  }

  resource "aws_instance" "web" {
    ami                    = <ami_id>
    instance_type          = <instance_flavor>
    key_name               = aws_key_pair.example_key.name
    monitoring             = true
    subnet_id              = aws_subnet.example_public_subnet.id
    vpc_security_group_ids = [aws_security_group.web_sg.id]
    metadata_options {
      http_tokens = "required"
    }
  }

AWS Console

Informationen zum Migrieren von EC2 Classic zu VPC finden Sie unter Von EC2-Classic zu einer VPC migrieren.

AWS-CLI

Dieses Beispiel für die AWS-Befehlszeile veranschaulicht die gleiche Infrastruktur, die mit Terraform definiert wurde. Ein einfaches Beispiel für eine öffentlich zugängliche EC2-Instanz in einer VPC

VPC erstellen

  aws ec2 create-vpc \
  --cidr-block 10.0.0.0/16

Öffentliches Subnetz erstellen

  aws ec2 create-subnet \
  --availability-zone 1a \
  --cidr-block 10.0.1.0/24 \
  --vpc-id <id_from_create-vpc_command>

Internet-Gateway erstellen

  aws ec2 create-internet-gateway

Internetgateway an VPC anhängen

  aws ec2 attach-internet-gateway \
  --internet-gateway-id <id_from_create-internet-gateway_command> \
  --vpc-id <id_from_create-vpc_command>

Schlüsselpaar erstellen: Ihr privater Schlüssel wird in /.ssh/web-instance-key.pem gespeichert.

  aws ec2 create-key-pair \
  --key-name web-instance-key \
  --query "KeyMaterial" \
  --output text > ~/.ssh/web-instance-key.pem && \
  chmod 400 ~/.ssh/web-instance-key.pem

Sicherheitsgruppe erstellen

  aws ec2 create-security-group \
  --group-name "http and ssh" \
  --vpc-id <id_from_create-vpc_command>

Sicherheitsgruppenregeln erstellen: Definieren Sie für SSH an Port 22 ein eingeschränkteres CIDR für SSH-Verbindungen, um den Zugriff stärker einzuschränken

  aws ec2 authorize-security-group-ingress \
  --group-id <id_from_create-security-group_command>
  --protocol tcp \
  --port 80 \
  --cidr 0.0.0.0/0

  aws ec2 authorize-security-group-ingress \
  --group-id <id_from_create-security-group_command>
  --protocol tcp \
  --port 22 \
  --cidr 0.0.0.0/0

  aws ec2 authorize-security-group-egress \
  --group-id <id_from_create-security-group_command>
  --protocol -1 \
  --port 0 \
  --cidr 0.0.0.0/0

EC2-Instanz erstellen

  aws ec2 run-instances \
  --image-id <ami_id> \
  --instance-type <instance_flavor> \
  --metadata-options "HttpEndpoint=enabled,HttpTokens=required" \
  --monitoring true \
  --key-name web-instance-key \
  --subnet-id <id_from_create-subnet_command> \
  --security-group-ids <id_from_create-security-group_command>

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Ec2 Instance No Public Ip`

Kategoriename in der API: EC2_INSTANCE_NO_PUBLIC_IP

Bei EC2-Instanzen mit einer öffentlichen IP-Adresse besteht ein erhöhtes Risiko einer Manipulation. Es wird empfohlen, EC2-Instanzen nicht mit einer öffentlichen IP-Adresse zu konfigurieren.

Empfehlung: Sorgt dafür, dass keine Instanzen eine öffentliche IP-Adresse haben

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Terraform

Verwenden Sie das Argument associate_public_ip_address = false mit der Ressource aws_instance, damit EC2-Instanzen ohne öffentliche IP-Adresse bereitgestellt werden


resource "aws_instance" "no_public_ip" {
  ...
  associate_public_ip_address = false
}

AWS Console

Bei nicht standardmäßigen Subnetzen ist das öffentliche IPv4-Adressierungsattribut standardmäßig auf „false“ gesetzt und bei Standardsubnetzen auf „true“. Eine Ausnahme ist ein nicht standardmäßiges Subnetz, das vom Amazon EC2-Startinstanz-Assistenten erstellt wurde. Der Assistent setzt das Attribut auf "true". Sie können dieses Attribut über die Amazon VPC-Konsole ändern.

So ändern Sie das Verhalten der öffentlichen IPv4-Adressierung Ihres Subnetzes:

Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.
Wählen Sie im Navigationsbereich Subnetze aus.
Wählen Sie Ihr Subnetz und dann Aktionen, Subnetzeinstellungen bearbeiten aus.
Wenn das Kästchen Automatische Zuweisung öffentlicher IPv4-Adresse aktivieren aktiviert ist, wird eine öffentliche IPv4-Adresse für alle Instanzen angefordert, die im ausgewählten Subnetz gestartet wurden. Klicken Sie das Kästchen an oder entfernen Sie das Häkchen und wählen Sie dann Speichern aus.

AWS-CLI

Mit dem folgenden Befehl wird eine EC2-Instanz in einem Standardsubnetz ausgeführt, ohne ihr eine öffentliche IP-Adresse zuzuweisen.

aws ec2 run-instances \
--image-id <ami_id> \
--instance-type <instance_flavor> \
--no-associate-public-ip-address \
--key-name MyKeyPair

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Ec2 Managedinstance Association Compliance Status Check`

Kategoriename in der API: EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK

Eine State Manager-Verknüpfung ist eine Konfiguration, die Ihren verwalteten Instanzen zugewiesen wird. Die Konfiguration definiert den Status, den Sie auf Ihren Instanzen beibehalten möchten. Beispielsweise kann eine Verknüpfung angeben, dass auf Ihren Instanzen Antivirensoftware installiert und ausgeführt werden muss oder dass bestimmte Ports geschlossen sein müssen. EC2-Instanzen, die mit AWS Systems Manager verknüpft sind, werden von Systems Manager verwaltet. Dies vereinfacht das Anwenden von Patches, das Beheben von Fehlkonfigurationen und das Reagieren auf Sicherheitsereignisse.

Empfehlung: Prüft den Compliancestatus der Verknüpfung mit dem AWS-Systemmanager

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Terraform

Das folgende Beispiel zeigt, wie Sie eine einfache EC2-Instanz, ein AWS Systems Manager-Dokument (SSM) und eine Verknüpfung zwischen SSM und der EC2-Instanz erstellen. Unterstützte Dokumente sind Command und Policy.

resource "aws_instance" "web" {
  ami           = "<iam_id>"
  instance_type = "<instance_flavor>"
}

resource "aws_ssm_document" "check_ip" {
  name          = "check-ip-config"
  document_type = "Command"

  content = <<DOC
  {
    "schemaVersion": "1.2",
    "description": "Check ip configuration of a Linux instance.",
    "parameters": {

    },
    "runtimeConfig": {
      "aws:runShellScript": {
        "properties": [
          {
            "id": "0.aws:runShellScript",
            "runCommand": ["ifconfig"]
          }
        ]
      }
    }
  }
DOC
}

resource "aws_ssm_association" "check_ip_association" {
  name = aws_ssm_document.check_ip.name

  targets {
    key    = "InstanceIds"
    values = [aws_instance.web.id]
  }
}

AWS Console

Informationen zum Konfigurieren von Verknüpfungen mit AWS Systems Manager über die Console finden Sie unter Erstellen von Verknüpfungen in der Dokumentation zum AWS Systems Manager.

AWS-CLI

SSM-Dokument erstellen

aws ssm create-document \
--name <document_name> \
--content  file://path/to-file/document.json \
--document-type "Command"

SSM-Verknüpfung erstellen

aws ssm create-association \
--name <association_name> \
--targets "Key=InstanceIds,Values=<instance-id-1>,<instance-id-2>"

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Ec2 Managedinstance Patch Compliance Status Check`

Kategoriename in der API: EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK

Mit diesem Steuerelement wird geprüft, ob der Status der AWS Systems Manager-Verknüpfungscompliance COMPLIANT oder NON_COMPLIANT lautet, nachdem die Verknüpfung auf einer Instanz ausgeführt wurde. Die Steuerung schlägt fehl, wenn der Compliancestatus der Verknüpfung NON_COMPLIANT lautet.

Nachdem Sie eine oder mehrere State Manager-Verknüpfungen erstellt haben, stehen Ihnen sofort Informationen zum Compliancestatus zur Verfügung. Sie können den Compliancestatus in der Console oder als Antwort auf AWS CLI-Befehle oder entsprechende Systems Manager API-Aktionen aufrufen. Für Verknüpfungen wird in der Konfigurationscompliance der Compliancestatus angezeigt („Konform“ oder „Nicht konform“). Außerdem wird der der Verknüpfung zugewiesene Schweregrad angezeigt, z. B. „Kritisch“ oder „Mittel“.

Weitere Informationen zur Compliance von State Manager-Verknüpfungen finden Sie im AWS Systems Manager-Nutzerhandbuch unter Compliance mit State Manager-Verknüpfungen.

Empfehlung: Prüft den Status der Patchcompliance von AWS Systems Manager.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Ec2 Metadata Service Allows Imdsv2`

Kategoriename in der API: EC2_METADATA_SERVICE_ALLOWS_IMDSV2

Beim Aktivieren des Metadatendienstes auf AWS EC2-Instanzen können Nutzer entweder den Instanzmetadatendienst Version 1 (IMDSv1; eine Anfrage/Antwort-Methode) oder eine sitzungsorientierte Methode (IMDSv2) oder den Instanzmetadatendienst der Version 2 verwenden.

Empfehlung: Achten Sie darauf, dass der EC2-Metadatendienst nur IMDSv2 zulässt.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Ec2 Volume Inuse Check`

Kategoriename in der API: EC2_VOLUME_INUSE_CHECK

Identifizieren und Entfernen nicht angehängter (nicht verwendeter) Elastic Block Store-Volumes (EBS-Volumes) in Ihrem AWS-Konto, um die Kosten Ihrer monatlichen AWS-Rechnung zu senken. Durch das Löschen nicht verwendeter EBS-Volumes verringert sich auch das Risiko, dass vertrauliche/sensible Daten Ihre Räumlichkeiten verlassen. Außerdem wird mit diesem Steuerelement geprüft, ob archivierte EC2-Instanzen zum Löschen von Volumes nach Beendigung archiviert wurden.

Standardmäßig sind EC2-Instanzen so konfiguriert, dass die Daten auf allen mit der Instanz verknüpften EBS-Volumes sowie das EBS-Stamm-Volume der Instanz gelöscht werden. Alle Nicht-Root-EBS-Volumes, die beim Start oder während der Ausführung an die Instanz angehängt werden, werden nach der Beendigung standardmäßig beibehalten.

Empfehlung: Prüft, ob EBS-Volumes an EC2-Instanzen angehängt und zum Löschen beim Beenden der Instanz konfiguriert sind.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Terraform

Um dieses Szenario mit Terraform zu verhindern, erstellen Sie EC2-Instanzen mit eingebetteten EBS-Blöcken. Dadurch wird sichergestellt, dass alle mit der Instanz (nicht nur der Root) verknüpften EBS-Blöcke beim Beenden der Instanz gelöscht werden, indem das Attribut ebs_block_device.delete_on_termination standardmäßig auf true gesetzt wird.

resource "aws_instance" "web" {
    ami                    = <ami_id>
    instance_type          = <instance_flavor>
    ebs_block_device {
      delete_on_termination = true # Default
      device_name           = "/dev/sdh"
    }

AWS Console

So löschen Sie ein EBS-Volume mithilfe der Konsole:

Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.
Wählen Sie im Navigationsbereich Volumes aus.
Wählen Sie das Volume aus, das Sie löschen möchten, und wählen Sie Aktionen, Volume löschen aus.
Hinweis: Wenn „Volume löschen“ ausgegraut ist, ist das Volume mit einer Instanz verknüpft. Sie müssen das Volume von der Instanz trennen, bevor es gelöscht werden kann.
Wählen Sie im Dialogfeld zur Bestätigung Löschen aus.

AWS-CLI

Mit diesem Beispielbefehl wird ein verfügbares Volume mit der Volume-ID vol-049df61146c4d7901 gelöscht. Wenn der Befehl erfolgreich ist, wird keine Ausgabe zurückgegeben.

aws ec2 delete-volume --volume-id vol-049df61146c4d7901

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Efs Encrypted Check`

Kategoriename in der API: EFS_ENCRYPTED_CHECK

Amazon EFS unterstützt zwei Arten der Verschlüsselung für Dateisysteme: die Verschlüsselung von Daten bei der Übertragung und die Verschlüsselung ruhender Daten. Dadurch wird geprüft, ob alle EFS-Dateisysteme mit der Verschlüsselung ruhender Daten in allen aktivierten Regionen im Konto konfiguriert sind.

Empfehlung: Prüft, ob EFS für die Verschlüsselung von Dateidaten mit KMS konfiguriert ist

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Terraform

Das folgende Code-Snippet kann zum Erstellen einer KMS-verschlüsselten EFS verwendet werden. (Hinweis: Das Attribut kms_key_id ist optional. Wenn keine kms-Schlüssel-ID übergeben wird, wird ein Schlüssel erstellt.)

resource "aws_efs_file_system" "encrypted-efs" {
  creation_token = "my-kms-encrypted-efs"
  encrypted      = true
  kms_key_id     = "arn:aws:kms:us-west-2:12344375555:key/16393ebd-3348-483f-b162-99b6648azz23"

  tags = {
    Name = "MyProduct"
  }
}

AWS Console

Informationen zum Konfigurieren von EFS mit Verschlüsselung über die AWS-Konsole finden Sie unter Inaktive Dateisysteme mit der Konsole verschlüsseln.

AWS-CLI

Während beim Erstellen von EFS über die Console standardmäßig die Verschlüsselung inaktiver Daten aktiviert wird, gilt dies nicht für EFS, die über die Befehlszeile, die API oder das SDK erstellt wurden. Im folgenden Beispiel können Sie ein verschlüsseltes Dateisystem in Ihrer Infrastruktur erstellen.

aws efs create-file-system \
--backup \
--encrypted \
--region us-east-1 \

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Efs In Backup Plan`

Kategoriename in der API: EFS_IN_BACKUP_PLAN

Best Practices von Amazon empfehlen, Sicherungen für Ihre Elastic File Systems (EFS) zu konfigurieren. Dadurch werden alle EFS in jeder aktivierten Region in Ihrem AWS-Konto auf aktivierte Sicherungen geprüft.

Empfehlung: Prüft, ob EFS-Dateisysteme in AWS-Sicherungsplänen enthalten sind.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Terraform

Mit der Ressource aws_efs_backup_policy können Sie eine Sicherungsrichtlinie für EFS-Dateisysteme konfigurieren.

resource "aws_efs_file_system" "encrypted-efs" {
  creation_token = "my-encrypted-efs"
  encrypted      = true

  tags = merge({
    Name = "${local.resource_prefix.value}-efs"
    }, {
    git_file             = "terraform/aws/efs.tf"
    git_org              = "your_git_org"
    git_repo             = "your_git_repo"
  })
}

resource "aws_efs_backup_policy" "policy" {
  file_system_id = aws_efs_file_system.encrypted-efs.id

  backup_policy {
    status = "ENABLED"
  }
}

AWS Console

Es gibt zwei Optionen zum Sichern von EFS: den AWS-Sicherungsdienst und die EFS-zu-EFS-Sicherungslösung. Informationen zum Beheben nicht gesicherter EFS mithilfe der Konsole finden Sie unter:

AWS-CLI

Es gibt verschiedene Möglichkeiten, konforme EFS-Dateisysteme mit der Befehlszeile zu erstellen:

Erstellen Sie eine EFS mit aktivierter automatischer Sicherung (Standardeinstellung für Speicherung in einer Zone und bedingt für die Verfügbarkeit von Sicherungen in der AWS-Region)
EFS erstellen und Sicherungsrichtlinie festlegen

Wenn jedoch die Abhilfe in der vorhandenen EFS erfolgen muss, ist es am besten, eine Sicherungsrichtlinie zu erstellen und mit der nicht konformen EFS zu verknüpfen. Sie benötigen einen Befehl für jede EFS in Ihrer Infrastruktur.

arr=( $(aws efs describe-file-systems | jq -r '.FileSystems[].FileSystemId') )
for efs in "${arr[@]}"
do
  aws efs put-backup-policy \
  --file-system-id "${efs}" \
  --backup-policy "Status=ENABLED"
done

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Elb Acm Certificate Required`

Kategoriename in der API: ELB_ACM_CERTIFICATE_REQUIRED

Überprüft, ob der klassische Load Balancer HTTPS/SSL-Zertifikate verwendet, die vom AWS Certificate Manager (ACM) bereitgestellt werden. Die Steuerung schlägt fehl, wenn der mit dem HTTPS/SSL-Listener konfigurierte klassische Load-Balancer kein von ACM bereitgestelltes Zertifikat verwendet.

Zum Erstellen eines Zertifikats können Sie entweder ACM oder ein Tool verwenden, das die SSL- und TLS-Protokolle unterstützt, z. B. OpenSSL. Der Sicherheits-Hub empfiehlt, Zertifikate für Ihren Load-Balancer mit ACM zu erstellen oder zu importieren.

ACM lässt sich in klassische Load-Balancer einbinden, sodass Sie das Zertifikat auf Ihrem Load-Balancer bereitstellen können. Außerdem sollten Sie diese Zertifikate automatisch verlängern.

Empfehlung: Prüft, ob alle klassischen Load Balancer SSL-Zertifikate verwenden, die vom AWS Certificate Manager bereitgestellt werden

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Elb Deletion Protection Enabled`

Kategoriename in der API: ELB_DELETION_PROTECTION_ENABLED

Überprüft, ob der Löschschutz für einen Application Load Balancer aktiviert ist. Das Steuerelement schlägt fehl, wenn kein Löschschutz konfiguriert ist.

Aktivieren Sie den Löschschutz, um den Application Load Balancer vor dem Löschen zu schützen.

Empfehlung: Der Löschschutz für den Application Load Balancer sollte aktiviert sein

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

AWS Console

Um zu verhindern, dass Ihr Load-Balancer versehentlich gelöscht wird, können Sie den Löschschutz aktivieren. Standardmäßig ist der Löschschutz für Ihren Load-Balancer deaktiviert.

Wenn Sie den Löschschutz für Ihren Load-Balancer aktivieren, müssen Sie den Löschschutz deaktivieren, bevor Sie den Load-Balancer löschen können.

So aktivieren Sie den Löschschutz über die Console.

Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.
Wählen Sie im Navigationsbereich unter LOAD-BALANCING die Option Load Balancer aus.
Wählen Sie den Load-Balancer aus.
Wählen Sie auf dem Tab Beschreibung die Option Attribute bearbeiten aus.
Wählen Sie auf der Seite Load-Balancer-Attribute bearbeiten die Option Für Löschschutz aktivieren und dann Speichern aus.
Klicken Sie auf Speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Elb Logging Enabled`

Kategoriename in der API: ELB_LOGGING_ENABLED

Dadurch wird geprüft, ob Logging für den Application Load Balancer und den klassischen Load Balancer aktiviert ist. Das Steuerelement schlägt fehl, wenn access_logs.s3.enabled auf „false“ gesetzt ist.

Elastic Load Balancing bietet Zugriffslogs, die detaillierte Informationen zu Anfragen erfassen, die an Ihren Load-Balancer gesendet werden. Jedes Protokoll enthält Informationen wie die Uhrzeit, zu der die Anfrage empfangen wurde, die IP-Adresse des Clients, Latenzen, Anfragepfade und Serverantworten. Sie können diese Zugriffsprotokolle verwenden, um Traffic-Muster zu analysieren und Probleme zu beheben.

Weitere Informationen finden Sie unter Zugriffslogs für klassische Load Balancer im Nutzerhandbuch für klassische Load Balancer.

Empfehlung: Prüft, ob das Logging für klassische und Anwendungs-Load-Balancer aktiviert ist.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

AWS Console

Aktualisieren Sie Ihre Load-Balancer, um das Logging zu aktivieren, um dieses Problem zu beheben.

Zugriffslogs aktivieren

Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.
Wählen Sie im Navigationsbereich Load Balancer aus.
Wählen Sie einen Application Load Balancer oder einen klassischen Load Balancer aus.
Wählen Sie unter Aktionen die Option Attribute bearbeiten aus.
Wählen Sie unter Zugriffslogs die Option Aktivieren aus.
Geben Sie Ihren S3-Standort ein. Dieser Speicherort kann vorhanden sein oder für Sie erstellt werden. Wenn Sie kein Präfix angeben, werden die Zugriffslogs im Stammverzeichnis des S3-Buckets gespeichert.
Klicken Sie auf Speichern.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Elb Tls Https Listeners Only`

Kategoriename in der API: ELB_TLS_HTTPS_LISTENERS_ONLY

Diese Prüfung stellt sicher, dass alle klassischen Load-Balancer für die Verwendung einer sicheren Kommunikation konfiguriert sind.

Ein Listener ist ein Prozess, der auf Verbindungsanfragen prüft. Er ist mit einem Protokoll und einem Port für Front-End-Verbindungen (Client zum Load-Balancer) sowie einem Protokoll und einem Port für Back-End-Verbindungen (Load-Balancer zur Instanz) konfiguriert. Informationen zu den von Elastic Load Balancing unterstützten Ports, Protokollen und Listener-Konfigurationen finden Sie unter Listener für Ihren klassischen Load Balancer.

Empfehlung: Prüft, ob alle klassischen Load Balancer mit SSL- oder HTTPS-Listenern konfiguriert sind.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Encrypted Volumes`

Kategoriename in der API: ENCRYPTED_VOLUMES

Prüft, ob die EBS-Volumes im angehängten Zustand verschlüsselt sind. Damit diese Prüfung bestanden wird, müssen EBS-Volumes verwendet und verschlüsselt sein. Wenn das EBS-Volume nicht angehängt ist, unterliegt es dieser Prüfung nicht.

Für eine zusätzliche Sicherheitsebene Ihrer sensiblen Daten auf EBS-Volumes sollten Sie die EBS-Verschlüsselung inaktiver Daten aktivieren. Die Amazon EBS-Verschlüsselung bietet eine einfache Verschlüsselungslösung für Ihre EBS-Ressourcen, bei der Sie keine eigene Schlüsselverwaltungsinfrastruktur aufbauen, warten und schützen müssen. Es werden KMS-Schlüssel verwendet, wenn verschlüsselte Volumes und Snapshots erstellt werden.

Weitere Informationen zur Amazon EBS-Verschlüsselung finden Sie unter Amazon EBS-Verschlüsselung im Amazon EC2-Benutzerhandbuch für Linux-Instanzen.

Empfehlung: Angehängte Amazon EBS-Volumes sollten im Ruhezustand verschlüsselt werden

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

AWS Console

Es gibt keine direkte Möglichkeit, vorhandene unverschlüsselte Volumes oder Snapshots zu verschlüsseln. Sie können ein neues Volume oder einen neuen Snapshot erst verschlüsseln, wenn Sie ihn erstellen.

Wenn Sie die Verschlüsselung standardmäßig aktiviert haben, verschlüsselt Amazon EBS das resultierende neue Volume oder den daraus resultierenden Snapshot mit Ihrem Standardschlüssel für die Amazon EBS-Verschlüsselung. Sie können die Verschlüsselung auch dann aktivieren, wenn Sie ein einzelnes Volume oder einen Snapshot erstellen. In beiden Fällen können Sie den Standardschlüssel für die Amazon EBS-Verschlüsselung überschreiben und einen symmetrischen, vom Kunden verwalteten Schlüssel auswählen.

Weitere Informationen finden Sie im Amazon EC2-Nutzerhandbuch für Linux-Instanzen unter Amazon EBS-Volume erstellen und Amazon EBS-Snapshot kopieren.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Encryption At Rest Enabled Rds Instances`

Kategoriename in der API: ENCRYPTION_AT_REST_ENABLED_RDS_INSTANCES

Amazon RDS-verschlüsselte DB-Instanzen verwenden den branchenüblichen AES-256-Verschlüsselungsalgorithmus, um Ihre Daten auf dem Server zu verschlüsseln, auf dem Ihre Amazon RDS DB-Instanzen gehostet werden. Nachdem Ihre Daten verschlüsselt wurden, sorgt Amazon RDS für eine transparente Authentifizierung des Zugriffs und die Entschlüsselung der Daten mit minimalen Auswirkungen auf die Leistung.

Empfehlung: Achten Sie darauf, dass die Verschlüsselung ruhender Daten für RDS-Instanzen aktiviert ist.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

AWS-Konsole

Melden Sie sich in der AWS-Verwaltungskonsole an und öffnen Sie das RDS-Dashboard unter https://console.aws.amazon.com/rds/.
Klicken Sie im linken Navigationsbereich auf Databases.
Wählen Sie die Datenbankinstanz aus, die verschlüsselt werden soll.
Klicken Sie oben rechts auf die Schaltfläche Actions und wählen Sie Take Snapshot aus.
Geben Sie auf der Seite „Snapshot erstellen“ in das Feld Snapshot Name den Namen der Datenbank ein, von der Sie einen Snapshot erstellen möchten, und klicken Sie auf Take Snapshot.
Wählen Sie den neu erstellten Snapshot aus und klicken Sie oben rechts auf die Schaltfläche Action. Wählen Sie dann im Aktionsmenü die Option Copy snapshot aus.
Führen Sie auf der Seite "Kopie von Datenbank-Snapshot erstellen" die folgenden Schritte aus:

Geben Sie im Feld „Neue DB-Snapshot-ID“ einen Namen für die new snapshot ein.
Prüfen Sie Copy Tags. Der neue Snapshot muss dieselben Tags wie der Quell-Snapshot haben.
Wählen Sie Yes aus der Drop-down-Liste Enable Encryption aus, um die Verschlüsselung zu aktivieren. Sie können den AWS-Standardverschlüsselungsschlüssel oder den benutzerdefinierten Schlüssel aus der Drop-down-Liste „Master Key“ (Masterschlüssel) verwenden.

Klicken Sie auf Copy Snapshot, um eine verschlüsselte Kopie des ausgewählten Instanz-Snapshots zu erstellen.
Wählen Sie die neue verschlüsselte Snapshot-Kopie aus und klicken Sie oben rechts auf die Schaltfläche Action und dann im Menü „Aktion“ auf die Schaltfläche Restore Snapshot. Dadurch wird der verschlüsselte Snapshot in einer neuen Datenbankinstanz wiederhergestellt.
Geben Sie auf der Seite „DB-Instanz wiederherstellen“ im Feld „DB-Instanz-ID“ einen eindeutigen Namen für die neue Datenbankinstanz ein.
Prüfen Sie die Instanzkonfigurationsdetails und klicken Sie auf Restore DB Instance.
Wenn der neue Instanzbereitstellungsprozess abgeschlossen ist, kann die Anwendungskonfiguration so aktualisiert werden, dass sie auf den Endpunkt der neuen verschlüsselten Datenbankinstanz verweist. Sobald der Datenbankendpunkt auf Anwendungsebene geändert wird, kann die unverschlüsselte Instanz entfernt werden.

AWS-CLI

Führen Sie den Befehl describe-db-instances aus, um alle in der ausgewählten AWS-Region verfügbaren RDS-Datenbanknamen aufzulisten. In der Befehlsausgabe sollte die ID der Datenbankinstanz zurückgegeben werden. aws rds describe-db-instances --region <region-name> --query 'DBInstances[*].DBInstanceIdentifier'
Führen Sie den Befehl create-db-snapshot aus, um einen Snapshot für die ausgewählte Datenbankinstanz zu erstellen. Die Befehlsausgabe gibt das new snapshot mit dem Namen „DB Snapshot Name“ zurück. aws rds create-db-snapshot --region <region-name> --db-snapshot-identifier <DB-Snapshot-Name> --db-instance-identifier <DB-Name>
Führen Sie nun den Befehl list-aliases aus, um die Aliasse für KMS-Schlüssel abzurufen, die in einer bestimmten Region verfügbar sind. In der Befehlsausgabe sollte jedes key alias currently available zurückgegeben werden. Suchen Sie zur Aktivierung der RDS-Verschlüsselung nach der ID des AWS-Standard-KMS-Schlüssels. aws kms list-aliases --region <region-name>
Führen Sie den Befehl copy-db-snapshot mit der Standard-KMS-Schlüssel-ID für RDS-Instanzen aus, die zuvor zurückgegeben wurden, um eine verschlüsselte Kopie des Snapshots der Datenbankinstanz zu erstellen. In der Befehlsausgabe wird encrypted instance snapshot configuration zurückgegeben. aws rds copy-db-snapshot --region <region-name> --source-db-snapshot-identifier <DB-Snapshot-Name> --target-db-snapshot-identifier <DB-Snapshot-Name-Encrypted> --copy-tags --kms-key-id <KMS-ID-For-RDS>
Führen Sie den Befehl restore-db-instance-from-db-snapshot aus, um den im vorherigen Schritt erstellten verschlüsselten Snapshot in einer neuen Datenbankinstanz wiederherzustellen. Wenn der Vorgang erfolgreich war, sollte die Befehlsausgabe die neue verschlüsselte Datenbankinstanzkonfiguration zurückgeben. aws rds restore-db-instance-from-db-snapshot --region <region-name> --db-instance-identifier <DB-Name-Encrypted> --db-snapshot-identifier <DB-Snapshot-Name-Encrypted>
Führen Sie den Befehl describe-db-instances aus, um alle in der ausgewählten AWS-Region verfügbaren RDS-Datenbanknamen aufzulisten. Die Ausgabe gibt den Namen der Datenbankinstanz-ID zurück. Wählen Sie den verschlüsselten Namen der Datenbank aus, den wir gerade erstellt haben (DB-Name-Encrypted). aws rds describe-db-instances --region <region-name> --query 'DBInstances[*].DBInstanceIdentifier'
Führen Sie den Befehl describe-db-instances noch einmal mit der zuvor zurückgegebenen RDS-Instanzkennung aus, um festzustellen, ob die ausgewählte Datenbankinstanz verschlüsselt ist. In der Befehlsausgabe sollte der Verschlüsselungsstatus True zurückgegeben werden. aws rds describe-db-instances --region <region-name> --db-instance-identifier <DB-Name-Encrypted> --query 'DBInstances[*].StorageEncrypted'

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Encryption Enabled Efs File Systems`

Kategoriename in der API: ENCRYPTION_ENABLED_EFS_FILE_SYSTEMS

EFS-Daten sollten im Ruhezustand mit AWS KMS (Key Management Service) verschlüsselt werden.

Empfehlung: Achten Sie darauf, dass die Verschlüsselung für EFS-Dateisysteme aktiviert ist

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

AWS-Konsole

Melden Sie sich in der AWS-Verwaltungskonsole an und rufen Sie das Elastic File System (EFS)-Dashboard auf.
Wählen Sie im linken Navigationsbereich File Systems aus.
Klicken Sie im oberen Menü des Dashboards auf die Schaltfläche Create File System, um die Einrichtung des Dateisystems zu starten.
Führen Sie auf der Konfigurationsseite Configure file system access die folgenden Aktionen aus.
Wählen Sie die richtige VPC aus der VPC-Dropdown-Liste aus.
Klicken Sie im Bereich „Bereitstellungsziele erstellen“ die Kästchen für alle Verfügbarkeitszonen (Verfügbarkeitszonen) in der ausgewählten VPC an. Dies sind Ihre Bereitstellungsziele.
Klicken Sie auf Next step, um fortzufahren.
Führen Sie auf der Seite Configure optional settings folgende Schritte aus:
Erstellen Sie tags, um das neue Dateisystem zu beschreiben.
Wählen Sie performance mode nach Ihren Anforderungen aus.
Klicken Sie das Kästchen Enable encryption an und wählen Sie aus der Drop-down-Liste „KMS-Masterschlüssel auswählen“ aws/elasticfilesystem aus, um die Verschlüsselung für das neue Dateisystem mithilfe des von AWS KMS bereitgestellten und verwalteten Standard-Masterschlüssels zu aktivieren.
Klicken Sie auf Next step, um fortzufahren.
Prüfen Sie die Konfigurationsdetails des Dateisystems auf der Seite review and create und klicken Sie dann auf Create File System, um Ihr neues AWS EFS-Dateisystem zu erstellen.
Kopieren Sie die Daten aus dem alten unverschlüsselten EFS-Dateisystem in das neu erstellte verschlüsselte Dateisystem.
Entfernen Sie das unverschlüsselte Dateisystem, sobald die Datenmigration zum neu erstellten verschlüsselten Dateisystem abgeschlossen ist.
Ändern Sie die AWS-Region über die Navigationsleiste und wiederholen Sie den gesamten Vorgang für andere AWS-Regionen.

Über die Befehlszeile: 1. Führen Sie den Befehl „describe-file-systems“ aus, um die Konfigurationsinformationen zu beschreiben, die für das ausgewählte (unverschlüsselte) Dateisystem verfügbar sind. Informationen zur Ermittlung der richtigen Ressource finden Sie im Abschnitt „Audit“:

aws efs describe-file-systems --region <region> --file-system-id <file-system-id from audit section step 2 output>

Die Befehlsausgabe sollte die angeforderten Konfigurationsinformationen zurückgeben.
Zum Bereitstellen eines neuen AWS EFS-Dateisystems müssen Sie eine UUID (Universally Unique Identifier) generieren, um das Token zu erstellen, das für den Befehl „create-file-system“ erforderlich ist. Um das erforderliche Token zu erstellen, können Sie eine zufällig generierte UUID aus „https://www.uuidgenerator.net“ verwenden.
Führen Sie den Befehl „create-file-system“ mit dem eindeutigen Token aus, das im vorherigen Schritt erstellt wurde. aws efs create-file-system --region <region> --creation-token <Token (randomly generated UUID from step 3)> --performance-mode generalPurpose --encrypted
Die Befehlsausgabe sollte die neuen Metadaten der Dateisystemkonfiguration zurückgeben.
Führen Sie den Befehl „create-mount-target“ mit der neu erstellten EFS-Dateisystem-ID, die im vorherigen Schritt als Kennung zurückgegeben wurde, und der ID der Verfügbarkeitszone (AZ) aus, die das Bereitstellungsziel darstellt:

aws efs create-mount-target --region <region> --file-system-id <file-system-id> --subnet-id <subnet-id>

Die Befehlsausgabe sollte die neuen Metadaten des Bereitstellungsziels zurückgeben.
Jetzt können Sie das Dateisystem über eine EC2-Instanz bereitstellen.
Kopieren Sie die Daten aus dem alten unverschlüsselten EFS-Dateisystem in das neu erstellte verschlüsselte Dateisystem.
Entfernen Sie das unverschlüsselte Dateisystem, sobald die Datenmigration zum neu erstellten verschlüsselten Dateisystem abgeschlossen ist. aws efs delete-file-system --region <region> --file-system-id <unencrypted-file-system-id>
Ändern Sie die AWS-Region, indem Sie die --region aktualisieren und den gesamten Vorgang für andere AWS-Regionen wiederholen.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Iam Password Policy`

Kategoriename in der API: IAM_PASSWORD_POLICY

AWS ermöglicht benutzerdefinierte Passwortrichtlinien für Ihr AWS-Konto, um Komplexitätsanforderungen und obligatorische Rotationszeiträume für die Passwörter Ihrer IAM-Nutzer festzulegen. Wenn Sie keine benutzerdefinierte Passwortrichtlinie festlegen, müssen IAM-Nutzerpasswörter der AWS-Standardpasswortrichtlinie entsprechen. Best Practices für die Sicherheit von AWS empfehlen die folgenden Anforderungen an die Passwortkomplexität:

Das Passwort muss mindestens einen Großbuchstaben enthalten.
Passwörter müssen mindestens einen Kleinbuchstaben enthalten.
Passwörter müssen mindestens ein Symbol enthalten.
Legen Sie mindestens eine Zahl als Passwort fest.
Eine Mindestlänge von 14 Zeichen ist erforderlich.
Legen Sie mindestens 24 Passwörter fest, bevor Sie eine Wiederverwendung zulassen.
Vor Ablauf des Passworts mindestens 90 Nutzer verlangen

Hiermit werden alle angegebenen Anforderungen der Passwortrichtlinie geprüft.

Empfehlung: Prüft, ob die Kontopasswortrichtlinie für IAM-Nutzer die angegebenen Anforderungen erfüllt.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Terraform

resource "aws_iam_account_password_policy" "strict" {
  allow_users_to_change_password = true
  require_uppercase_characters   = true
  require_lowercase_characters   = true
  require_symbols                = true
  require_numbers                = true
  minimum_password_length        = 14
  password_reuse_prevention      = 24
  max_password_age               = 90
}

AWS Console

Benutzerdefinierte Passwortrichtlinie erstellen

Melden Sie sich in der AWS-Verwaltungskonsole an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.
Wählen Sie im Navigationsbereich „Kontoeinstellungen“ aus.
Wählen Sie im Bereich „Passwortrichtlinie“ die Option „Passwortrichtlinie ändern“ aus.
Wählen Sie die Optionen aus, die Sie auf Ihre Passwortrichtlinie anwenden möchten, und klicken Sie auf „Änderungen speichern“.

Benutzerdefinierte Passwortrichtlinie ändern

Melden Sie sich in der AWS-Verwaltungskonsole an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.
Wählen Sie im Navigationsbereich „Kontoeinstellungen“ aus.
Wählen Sie im Bereich „Passwortrichtlinie“ die Option „Ändern“ aus.
Wählen Sie die Optionen aus, die Sie auf Ihre Passwortrichtlinie anwenden möchten, und klicken Sie auf „Änderungen speichern“.

AWS-CLI

aws iam update-account-password-policy \
--allow-users-to-change-password \
--require-uppercase-characters \
--require-lowercase-characters \
--require-symbols \
--require-numbers \
--minimum-password-length 14 \
--password-reuse-prevention 24 \
--max-password-age 90

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Iam Password Policy Prevents Password Reuse`

Kategoriename in der API: IAM_PASSWORD_POLICY_PREVENTS_PASSWORD_REUSE

IAM-Passwortrichtlinien können die Wiederverwendung eines Passworts durch denselben Nutzer verhindern. Es wird empfohlen, die Wiederverwendung von Passwörtern durch die Passwortrichtlinie zu verhindern.

Empfehlung: Achten Sie darauf, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

AWS-Konsole

In der AWS-Konsole anmelden (mit den entsprechenden Berechtigungen zum Ansehen der Identity Access Management-Kontoeinstellungen)
Zum IAM-Dienst in der AWS-Konsole
Klicken Sie im linken Bereich auf „Kontoeinstellungen“.
Klicken Sie das Kästchen „Wiederverwendung von Passwörtern verhindern“ an.
Für „Anzahl der zu merkenden Passwörter“ ist 24 festgelegt

AWS-CLI

 aws iam update-account-password-policy --password-reuse-prevention 24

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Iam Password Policy Requires Minimum Length 14 Greater`

Kategoriename in der API: IAM_PASSWORD_POLICY_REQUIRES_MINIMUM_LENGTH_14_GREATER

Passwortrichtlinien werden zum Teil verwendet, um die Anforderungen an die Komplexität von Passwörtern zu erzwingen. Mit IAM-Passwortrichtlinien kann sichergestellt werden, dass das Passwort eine bestimmte Länge hat. Es wird empfohlen, dass die Passwortrichtlinie eine Mindestpasswortlänge von 14 Zeichen vorschreibt.

Empfehlung: Achten Sie darauf, dass die IAM-Passwortrichtlinie eine Mindestlänge von 14 Zeichen erfordert

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

AWS-Konsole

In der AWS-Konsole anmelden (mit den entsprechenden Berechtigungen zum Ansehen der Identity Access Management-Kontoeinstellungen)
Zum IAM-Dienst in der AWS-Konsole
Klicken Sie im linken Bereich auf „Kontoeinstellungen“.
Legen Sie für „Mindestpasswortlänge“ mindestens 14 fest.
Klicken Sie auf „Passwortrichtlinie anwenden“.

AWS-CLI

 aws iam update-account-password-policy --minimum-password-length 14

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Iam Policies Allow Full Administrative Privileges Attached`

Kategoriename in der API: IAM_POLICIES_ALLOW_FULL_ADMINISTRATIVE_PRIVILEGES_ATTACHED

Mit IAM-Richtlinien werden Nutzern, Gruppen oder Rollen Berechtigungen gewährt. Es wird empfohlen und gilt als Standardsicherheit, die geringste Berechtigung zu gewähren, d. h. nur die Berechtigungen zu gewähren, die zum Ausführen einer Aufgabe erforderlich sind. Bestimmen Sie, was Nutzer tun müssen, und erstellen Sie dann Richtlinien, damit die Nutzer nur diese Aufgaben ausführen können, anstatt volle Administratorberechtigungen zu gewähren.

Empfehlung: Achten Sie darauf, dass keine IAM-Richtlinien angehängt sind, die vollständige :-Administratorberechtigungen zulassen

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

AWS-Konsole

Führen Sie die folgenden Schritte aus, um die Richtlinie zu trennen, die über vollständige Administratorberechtigungen verfügt:

Melden Sie sich in der AWS-Verwaltungskonsole an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.
Klicken Sie im Navigationsbereich auf „Richtlinien“ und suchen Sie dann nach dem Richtliniennamen aus dem Schritt „Audit“.
Wählen Sie die Richtlinie aus, die gelöscht werden soll.
Wählen Sie im Aktionsmenü für Richtlinien die erste Detach aus.
Wählen Sie alle Nutzer, Gruppen und Rollen aus, denen diese Richtlinie zugeordnet ist
Klicken Sie auf Detach Policy.
Wählen Sie im Aktionsmenü für Richtlinien die Option Detach aus.

AWS-CLI

Führen Sie die folgenden Schritte aus, um die Richtlinie zu trennen, die über alle Administratorberechtigungen im Schritt „Audit“ verfügt:

Listet alle IAM-Nutzer, -Gruppen und -Rollen auf, mit denen die angegebene verwaltete Richtlinie verknüpft ist.

 aws iam list-entities-for-policy --policy-arn <policy_arn>

Trennen Sie die Richtlinie von allen IAM-Nutzern:

 aws iam detach-user-policy --user-name <iam_user> --policy-arn <policy_arn>

Trennen Sie die Richtlinie von allen IAM-Gruppen:

 aws iam detach-group-policy --group-name <iam_group> --policy-arn <policy_arn>

Trennen Sie die Richtlinie von allen IAM-Rollen:

 aws iam detach-role-policy --role-name <iam_role> --policy-arn <policy_arn>

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Iam Users Receive Permissions Groups`

Kategoriename in der API: IAM_USERS_RECEIVE_PERMISSIONS_GROUPS

IAM-Nutzern wird über IAM-Richtlinien Zugriff auf Dienste, Funktionen und Daten gewährt. Es gibt vier Möglichkeiten, Richtlinien für einen Nutzer zu definieren: 1) Bearbeiten Sie die Nutzerrichtlinie direkt, also eine Inline- oder Nutzerrichtlinie. 2) Fügen Sie eine Richtlinie direkt einem Nutzer hinzu. 3) Fügen Sie den Nutzer einer IAM-Gruppe hinzu, der eine Richtlinie zugeordnet ist. 4) Fügen Sie den Nutzer einer IAM-Gruppe mit einer Inline-Richtlinie hinzu.

Es wird nur die dritte Implementierung empfohlen.

Empfehlung: Achten Sie darauf, dass IAM-Nutzer Berechtigungen nur über Gruppen erhalten

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Iam User Group Membership Check`

Kategoriename in der API: IAM_USER_GROUP_MEMBERSHIP_CHECK

IAM-Nutzer sollten immer Teil einer IAM-Gruppe sein, um die Best Practices für die IAM-Sicherheit einzuhalten.

Wenn Sie Nutzer zu einer Gruppe hinzufügen, können Sie Richtlinien für mehrere Nutzertypen freigeben.

Empfehlung: Prüft, ob IAM-Nutzer Mitglieder von mindestens einer IAM-Gruppe sind

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Terraform

resource "aws_iam_user" "example" {
  name = "test-iam-user"
  path = "/users/dev/"
}

resource "aws_iam_group" "example" {
  name = "Developers"
  path = "/users/dev/"
}

resource "aws_iam_user_group_membership" "example" {
  user   = aws_iam_user.example.name
  groups = [aws_iam_group.example.name]
}

AWS Console

Wenn Sie einen IAM-Nutzer über die AWS-Verwaltungskonsole löschen, werden die folgenden Informationen automatisch von IAM gelöscht:

Der Nutzer
Alle Mitgliedschaften in Nutzergruppen, das heißt, der Nutzer wird aus allen IAM-Nutzergruppen entfernt, in denen er Mitglied war
Alle Passwörter, die mit dem Nutzer verknüpft sind
Alle Zugriffsschlüssel des Nutzers
Alle Inline-Richtlinien, die in den Nutzer eingebettet sind (Richtlinien, die über Berechtigungen für Nutzergruppen auf einen Nutzer angewendet werden, sind nicht betroffen)

So löschen Sie einen IAM-Nutzer:

Melden Sie sich in der AWS-Verwaltungskonsole an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.
Wählen Sie im Navigationsbereich „Nutzer“ aus und aktivieren Sie dann das Kontrollkästchen neben dem Nutzernamen, den Sie löschen möchten.
Wählen Sie oben auf der Seite „Löschen“ aus.
Geben Sie im Bestätigungsdialogfeld den Nutzernamen in das Texteingabefeld ein, um das Löschen des Nutzers zu bestätigen.
Wählen Sie Löschen aus.

So fügen Sie einer IAM-Nutzergruppe einen Nutzer hinzu:

Melden Sie sich in der AWS-Verwaltungskonsole an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.
Wählen Sie im Navigationsbereich „Nutzergruppen“ und dann den Namen der Gruppe aus.
Klicken Sie auf den Tab „Nutzer“ und wählen Sie „Nutzer hinzufügen“ aus. Klicken Sie die Kästchen neben den Nutzern an, die Sie hinzufügen möchten.
Wählen Sie „Nutzer hinzufügen“ aus.

AWS-CLI

Im Gegensatz zur Verwaltungskonsole von Amazon Web Services müssen Sie die mit dem Nutzer verknüpften Elemente manuell löschen, wenn Sie einen Nutzer programmatisch löschen. Andernfalls schlägt der Löschvorgang fehl.

Bevor Sie einen Nutzer löschen, entfernen Sie die folgenden Elemente:

Passwort ( DeleteLoginProfile )
Zugriffsschlüssel ( DeleteAccessKey )
Signaturzertifikat ( DeleteSigningCertificate )
Öffentlicher SSH-Schlüssel ( DeleteSSHPublicKey )
Git-Anmeldedaten ( DeleteServiceSpecificCredential )
Gerät für die Multi-Faktor-Authentifizierung (DisableMFADevice , DeleteVirtualMFADevice)
Inline-Richtlinien ( DeleteUserPolicy )
Angehängte verwaltete Richtlinien ( DetachUserPolicy )
Gruppenmitgliedschaften ( RemoveUserFromGroup)

So löschen Sie einen Nutzer, nachdem Sie alle ihm angehängten Elemente gelöscht haben:

aws iam delete-user \
  --user-name "test-user"

So fügen Sie einer IAM-Gruppe einen IAM-Nutzer hinzu:

aws iam add-user-to-group \
  --group-name "test-group"
  --user-name "test-user"

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Iam User Mfa Enabled`

Kategoriename in der API: IAM_USER_MFA_ENABLED

Die Multi-Faktor-Authentifizierung (MFA) ist eine bewährte Methode, um Nutzernamen und Passwörter zusätzlich zu schützen. Wenn sich ein Nutzer bei der MFA in der AWS-Verwaltungskonsole anmeldet, muss er einen zeitkritischen Authentifizierungscode angeben, der von einem registrierten virtuellen oder physischen Gerät bereitgestellt wird.

Empfehlung: Prüft, ob für die AWS IAM-Nutzer die Multi-Faktor-Authentifizierung (MFA) aktiviert ist.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Terraform

Für Terraform gibt es einige Optionen, um das Fehlen von MFA-Geräten zu beheben. Sie haben wahrscheinlich bereits eine sinnvolle Struktur für die Organisation Ihrer Nutzer in Gruppen und restriktive Richtlinien.

Das folgende Beispiel zeigt, wie Sie:

Nutzer erstellen
Erstellen Sie Anmeldeprofile von Nutzern mit einem öffentlichen PGP-Schlüssel.
Gruppen- und Gruppenrichtlinie erstellen, die die Selbstverwaltung des IAM-Profils ermöglicht
Nutzer an Gruppe anhängen.
Virtuelle MFA-Geräte für Nutzer erstellen
Teilen Sie jedem Nutzer den ausgegebenen QR-Code und das Passwort mit.

variable "users" {
  type = set(string)
  default = [
    "test@example.com",
    "test2@example.com"
  ]
}

resource "aws_iam_user" "test_users" {
  for_each = toset(var.users)
  name     = each.key
}

resource "aws_iam_user_login_profile" "test_users_profile" {
  for_each                = var.users
  user                    = each.key
  # Key pair created using GnuPG, this is the public key
  pgp_key = file("path/to/gpg_pub_key_base64.pem")
  password_reset_required = true
  lifecycle {
    ignore_changes = [
      password_length,
      password_reset_required,
      pgp_key,
    ]
  }
}

resource "aws_iam_virtual_mfa_device" "test_mfa" {
  for_each                = toset(var.users)
  virtual_mfa_device_name = each.key
}

resource "aws_iam_group" "enforce_mfa_group" {
  name = "EnforceMFAGroup"
}

resource "aws_iam_group_membership" "enforce_mfa_group_membership" {
  name  = "EnforceMFAGroupMembership"
  group = aws_iam_group.enforce_mfa_group.name
  users = [for k in aws_iam_user.test_users : k.name]
}

resource "aws_iam_group_policy" "enforce_mfa_policy" {
  name   = "EnforceMFAGroupPolicy"
  group  = aws_iam_group.enforce_mfa_group.id
  policy = <<POLICY
{
  "Version": "2012-10-17",
  "Statement": [
    {
        "Sid": "AllowViewAccountInfo",
        "Effect": "Allow",
        "Action": [
            "iam:GetAccountPasswordPolicy",
            "iam:ListVirtualMFADevices"
        ],
        "Resource": "*"
    },
    {
        "Sid": "AllowManageOwnPasswords",
        "Effect": "Allow",
        "Action": [
            "iam:ChangePassword",
            "iam:GetUser"
        ],
        "Resource": "arn:aws:iam::*:user/$${aws:username}"
    },
    {
        "Sid": "AllowManageOwnAccessKeys",
        "Effect": "Allow",
        "Action": [
            "iam:CreateAccessKey",
            "iam:DeleteAccessKey",
            "iam:ListAccessKeys",
            "iam:UpdateAccessKey"
        ],
        "Resource": "arn:aws:iam::*:user/$${aws:username}"
    },
    {
        "Sid": "AllowManageOwnSigningCertificates",
        "Effect": "Allow",
        "Action": [
            "iam:DeleteSigningCertificate",
            "iam:ListSigningCertificates",
            "iam:UpdateSigningCertificate",
            "iam:UploadSigningCertificate"
        ],
        "Resource": "arn:aws:iam::*:user/$${aws:username}"
    },
    {
        "Sid": "AllowManageOwnSSHPublicKeys",
        "Effect": "Allow",
        "Action": [
            "iam:DeleteSSHPublicKey",
            "iam:GetSSHPublicKey",
            "iam:ListSSHPublicKeys",
            "iam:UpdateSSHPublicKey",
            "iam:UploadSSHPublicKey"
        ],
        "Resource": "arn:aws:iam::*:user/$${aws:username}"
    },
    {
        "Sid": "AllowManageOwnGitCredentials",
        "Effect": "Allow",
        "Action": [
            "iam:CreateServiceSpecificCredential",
            "iam:DeleteServiceSpecificCredential",
            "iam:ListServiceSpecificCredentials",
            "iam:ResetServiceSpecificCredential",
            "iam:UpdateServiceSpecificCredential"
        ],
        "Resource": "arn:aws:iam::*:user/$${aws:username}"
    },
    {
        "Sid": "AllowManageOwnVirtualMFADevice",
        "Effect": "Allow",
        "Action": [
            "iam:CreateVirtualMFADevice",
            "iam:DeleteVirtualMFADevice"
        ],
        "Resource": "arn:aws:iam::*:mfa/$${aws:username}"
    },
    {
        "Sid": "AllowManageOwnUserMFA",
        "Effect": "Allow",
        "Action": [
            "iam:DeactivateMFADevice",
            "iam:EnableMFADevice",
            "iam:ListMFADevices",
            "iam:ResyncMFADevice"
        ],
        "Resource": "arn:aws:iam::*:user/$${aws:username}"
    },
    {
        "Sid": "DenyAllExceptListedIfNoMFA",
        "Effect": "Deny",
        "NotAction": [
            "iam:CreateVirtualMFADevice",
            "iam:EnableMFADevice",
            "iam:GetUser",
            "iam:ListMFADevices",
            "iam:ListVirtualMFADevices",
            "iam:ResyncMFADevice",
            "sts:GetSessionToken"
        ],
        "Resource": "*",
        "Condition": {
            "BoolIfExists": {
                "aws:MultiFactorAuthPresent": "false"
            }
        }
    }
  ]
}
POLICY
}

output "user_password_map" {
  # Outputs a map in the format {"test@example.com": <PGPEncryptedPassword>, "test2@example.com": <PGPEncryptedPassword>}
  value = { for k, v in aws_iam_user_login_profile.test_users_profile : k => v.password }
}

output "user_qr_map" {
  # Outputs a map in the format {"test@example.com": <QRCode>, "test2@example.com": <QRCode>}
  value = { for k, v in aws_iam_virtual_mfa_device.test_mfa : k => v.qr_code_png }
}

AWS Console

Informationen zum Aktivieren von MFA für Nutzerkonten mit AWS-Konsolenzugriff finden Sie unter Virtuelle Multi-Faktor-Authentifizierung (MFA)-Gerät (Konsole) aktivieren in der AWS-Dokumentation.

AWS-CLI

MFA-Gerät erstellen

aws iam create-virtual-mfa-device \
  --virtual-mfa-device-name "test@example.com" \
  --outfile ./QRCode.png \
  --bootstrap-method QRCodePNG

MFA-Gerät für vorhandenen Nutzer aktivieren

aws iam enable-mfa-device \
  --user-name "test@example.com" \
  --serial-number "arn:aws:iam::123456976749:mfa/test@example.com" \
  --authentication-code1 123456 \
  --authentication-code2 654321

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Iam User Unused Credentials Check`

Kategoriename in der API: IAM_USER_UNUSED_CREDENTIALS_CHECK

Es wird nach IAM-Passwörtern oder aktiven Zugriffsschlüsseln gesucht, die in den letzten 90 Tagen nicht verwendet wurden.

Als Best Practices wird empfohlen, alle Anmeldedaten zu entfernen, zu deaktivieren oder zu rotieren, die 90 Tage oder länger nicht verwendet wurden. Dadurch verringert sich die Wahrscheinlichkeit, dass Anmeldedaten, die mit einem manipulierten oder verlassenen Konto verknüpft sind, verwendet werden.

Empfehlung: Prüft, ob alle AWS IAM-Nutzer Passwörter oder aktive Zugriffsschlüssel haben, die in maxCredentialUsageAge-Tagen nicht verwendet wurden (Standardeinstellung 90)

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Terraform

Wenn Sie abgelaufene Zugriffsschlüssel entfernen möchten, die über Terraform erstellt wurden, entfernen Sie die Ressource aws_iam_access_key aus dem Modul und wenden Sie die Änderung an.

Verwenden Sie -replace, wenn Sie terraform apply ausführen, um ein IAM-Passwort für die Nutzeranmeldung zurückzusetzen.

Folgendes Profil für die Nutzeranmeldung wird vorausgesetzt

resource "aws_iam_user" "example" {
  name          = "test@example.com"
  path          = "/users/"
  force_destroy = true
}

resource "aws_iam_user_login_profile" "example" {
  user    = aws_iam_user.example.name
  pgp_key = "keybase:some_person_that_exists"
}

Führen Sie den folgenden Befehl aus, um das Passwort für das Anmeldeprofil des Nutzers zurückzusetzen:

terraform apply -replace="aws_iam_user_login_profile.example"

AWS Console

So deaktivieren Sie Anmeldedaten für inaktive Konten:

Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.
Wählen Sie „Nutzer“ aus.
Wählen Sie den Namen des Nutzers aus, dessen Anmeldedaten älter als 90 Tage bzw. zuletzt verwendet wurden.
Wählen Sie „Sicherheitsanmeldedaten“ aus.
Wählen Sie für alle Anmeldedaten und Zugriffsschlüssel, die seit mindestens 90 Tagen nicht verwendet wurden, „Deaktivieren“ aus.

So fordern Sie von Konsolennutzern bei der nächsten Anmeldung ein neues Passwort an:

Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.
Wählen Sie „Nutzer“ aus.
Wählen Sie den Namen des Nutzers aus, dessen Anmeldedaten älter als 90 Tage bzw. zuletzt verwendet wurden.
Wählen Sie „Sicherheitsanmeldedaten“ aus.
Wählen Sie unter „Anmeldedaten und Konsolenpasswort“ die Option „Verwalten“ aus.
Legen Sie ein neues Passwort fest (automatisch generiert oder benutzerdefiniert).
Klicken Sie auf das Kästchen neben „Zurücksetzen des Passworts erforderlich“.
Wählen Sie „Übernehmen“ aus.

AWS-CLI

Zugriffsschlüssel deaktivieren

aws iam update-access-key \
  --access-key-id <value> \
  --status "Inactive"

Zugriffsschlüssel löschen

aws iam delete-access-key \
  --access-key-id <value>

Passwort für ein Nutzerprofil zurücksetzen

aws iam update-login-profile \
  --user-name "test@example.com" \
  --password <temporary_password> \
  --password-reset-required

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Kms Cmk Not Scheduled For Deletion`

Kategoriename in der API: KMS_CMK_NOT_SCHEDULED_FOR_DELETION

Mit diesem Steuerelement wird geprüft, ob das Löschen von KMS-Schlüsseln geplant ist. Die Steuerung schlägt fehl, wenn ein KMS-Schlüssel zum Löschen vorgemerkt ist.

KMS-Schlüssel können nach dem Löschen nicht wiederhergestellt werden. Daten, die mit einem KMS-Schlüssel verschlüsselt wurden, können auch dann dauerhaft nicht wiederhergestellt werden, wenn der KMS-Schlüssel gelöscht wird. Wenn wichtige Daten unter einem zum Löschen vorgemerkten KMS-Schlüssel verschlüsselt wurden, sollten Sie sie möglicherweise entschlüsseln oder mit einem neuen KMS-Schlüssel neu verschlüsseln, sofern Sie nicht absichtlich einen kryptografischen Löschvorgang durchführen.

Wenn ein KMS-Schlüssel zum Löschen vorgemerkt ist, wird eine obligatorische Wartezeit erzwungen, damit der Löschvorgang rückgängig gemacht werden kann, falls er versehentlich geplant wurde. Die standardmäßige Wartezeit beträgt 30 Tage. Sie kann aber auch auf 7 Tage reduziert werden, wenn der KMS-Schlüssel zum Löschen vorgemerkt ist. Während der Wartezeit kann der geplante Löschvorgang abgebrochen werden und der KMS-Schlüssel wird nicht gelöscht.

Weitere Informationen zum Löschen von KMS-Schlüsseln finden Sie unter KMS-Schlüssel löschen im AWS Key Management Service-Entwicklerleitfaden.

Empfehlung: Prüft, ob keine CMKs zum Löschen geplant sind

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Lambda Concurrency Check`

Kategoriename in der API: LAMBDA_CONCURRENCY_CHECK

Prüft, ob die Lambda-Funktion mit einem Limit für die gleichzeitige Ausführung auf Funktionsebene konfiguriert ist. Die Regel lautet NON_COMPLIANT, wenn die Lambda-Funktion nicht mit einem Limit für die gleichzeitige Ausführung auf Funktionsebene konfiguriert ist.

Empfehlung: Prüft, ob Lambda-Funktionen mit einem Limit für die gleichzeitige Ausführung auf Funktionsebene konfiguriert sind.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Lambda Dlq Check`

Kategoriename in der API: LAMBDA_DLQ_CHECK

Prüft, ob eine Lambda-Funktion mit einer Warteschlange für unzustellbare Nachrichten konfiguriert ist. Die Regel lautet NON_COMPLIANT, wenn die Lambda-Funktion nicht mit einer Warteschlange für unzustellbare Nachrichten konfiguriert ist.

Empfehlung: Prüft, ob Lambda-Funktionen mit einer Dead-Letter-Warteschlange konfiguriert sind.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Lambda Function Public Access Prohibited`

Kategoriename in der API: LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED

In den Best Practices von AWS wird empfohlen, die Lambda-Funktion nicht öffentlich zugänglich zu machen. Diese Richtlinie prüft alle Lambda-Funktionen, die in allen aktivierten Regionen Ihres Kontos bereitgestellt werden. Sie schlägt fehl, wenn sie so konfiguriert sind, dass der öffentliche Zugriff nicht zulässig ist.

Empfehlung: Prüft, ob die mit der Lambda-Funktion verknüpfte Richtlinie den öffentlichen Zugriff verhindert.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Terraform

Im folgenden Beispiel wird Terraform verwendet, um eine IAM-Rolle bereitzustellen, die den Zugriff auf eine Lambda-Funktion einschränkt und diese Rolle mit der Lambda-Funktion verknüpft.

resource "aws_iam_role" "iam_for_lambda" {
  name = "iam_for_lambda"

  assume_role_policy = <<EOF
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Principal": {
        "Service": "lambda.amazonaws.com"
      },
      "Effect": "Allow",
      "Sid": ""
    }
  ]
}
EOF
}

resource "aws_lambda_function" "test_lambda" {
  filename      = "lambda_function_payload.zip"
  function_name = "lambda_function_name"
  role          = aws_iam_role.iam_for_lambda.arn
  handler       = "index.test"

  source_code_hash = filebase64sha256("lambda_function_payload.zip")

  runtime = "nodejs12.x"

}

AWS Console

Wenn eine Lambda-Funktion dieses Steuerelement nicht aufweist, bedeutet dies, dass die ressourcenbasierte Richtlinienanweisung für die Lambda-Funktion den öffentlichen Zugriff zulässt.

Um das Problem zu beheben, müssen Sie die Richtlinie aktualisieren, um die Berechtigungen zu entfernen oder die Bedingung AWS:SourceAccount hinzuzufügen. Sie können die ressourcenbasierte Richtlinie nur über die Lambda API aktualisieren.

In der folgenden Anleitung wird die Console verwendet, um die Richtlinie zu überprüfen, und die AWS-Befehlszeilenschnittstelle, um die Berechtigungen zu entfernen.

So rufen Sie die ressourcenbasierte Richtlinie für eine Lambda-Funktion auf:

Öffnen Sie die AWS Lambda-Konsole unter https://console.aws.amazon.com/lambda/.
Wählen Sie im Navigationsbereich „Funktionen“ aus.
Wählen Sie die Funktion aus.
Wähle „Berechtigungen“ aus. Die ressourcenbasierte Richtlinie zeigt die Berechtigungen, die angewendet werden, wenn ein anderes Konto oder ein anderer AWS-Dienst versucht, auf die Funktion zuzugreifen.
Sehen Sie sich die ressourcenbasierte Richtlinie an.
Ermitteln Sie die Richtlinienanweisung mit den Hauptfeldwerten, die die Richtlinie öffentlich machen. z. B. "*" oder { "AWS": "*" }.

Sie können die Richtlinie nicht über die Console bearbeiten. Zum Entfernen von Berechtigungen aus der Funktion verwenden Sie den Befehl remove-permission aus der AWS-Befehlszeile.

Notieren Sie sich den Wert der Anweisungs-ID (Sid) der Anweisung, die Sie entfernen möchten.

AWS-CLI

Wenn Sie die Befehlszeile verwenden möchten, um Berechtigungen aus einer Lambda-Funktion zu entfernen, führen Sie den Befehl remove-permission so aus.

aws lambda remove-permission \
--function-name <value> \
--statement-id <value>

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Lambda Inside Vpc`

Kategoriename in der API: LAMBDA_INSIDE_VPC

Überprüft, ob sich eine Lambda-Funktion in einer VPC befindet. Möglicherweise werden fehlgeschlagene Ergebnisse für Lambda@Edge-Ressourcen angezeigt.

Die Konfiguration des VPC-Subnetz-Routings wird nicht zur Bestimmung der öffentlichen Erreichbarkeit ausgewertet.

Empfehlung: Prüft, ob die Lambda-Funktionen in einer VPC vorhanden sind.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

AWS Console

So konfigurieren Sie eine Funktion zum Herstellen einer Verbindung zu privaten Subnetzen in einer Virtual Private Cloud (VPC) in Ihrem Konto:

Öffnen Sie die AWS Lambda-Konsole unter https://console.aws.amazon.com/lambda/.
Gehen Sie zu „Funktionen“ und wählen Sie dann Ihre Lambda-Funktion aus.
Scrollen Sie zu „Netzwerk“ und wählen Sie eine VPC mit den Verbindungsanforderungen der Funktion aus.
Wenn Sie Funktionen im Hochverfügbarkeitsmodus ausführen möchten, empfiehlt der Sicherheits-Hub, mindestens zwei Subnetze auszuwählen.
Wählen Sie mindestens eine Sicherheitsgruppe aus, die die Verbindungsanforderungen der Funktion hat.
Klicken Sie auf „Speichern“.

Weitere Informationen finden Sie im Abschnitt zum Konfigurieren einer Lambda-Funktion für den Zugriff auf Ressourcen in einer VPC im AWS Lambda-Entwicklerhandbuch.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Mfa Delete Enabled S3 Buckets`

Kategoriename in der API: MFA_DELETE_ENABLED_S3_BUCKETS

Sobald die MFA-Löschung für Ihren vertraulichen und klassifizierten S3-Bucket aktiviert ist, muss der Nutzer über zwei Formen der Authentifizierung verfügen.

Empfehlung: Achten Sie darauf, dass MFA-Löschungen für S3-Buckets aktiviert sind

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Mfa Enabled Root User Account`

Kategoriename in der API: MFA_ENABLED_ROOT_USER_ACCOUNT

Das Root-Nutzerkonto ist der Nutzer mit den meisten Berechtigungen in einem AWS-Konto. Die Multi-Faktor-Authentifizierung (MFA) bietet neben dem Nutzernamen und dem Passwort eine zusätzliche Sicherheitsebene. Wenn die MFA aktiviert ist, wird ein Nutzer bei der Anmeldung auf einer AWS-Website aufgefordert, seinen Nutzernamen und sein Passwort sowie einen Authentifizierungscode von seinem AWS MFA-Gerät einzugeben.

Hinweis: Bei der Verwendung einer virtuellen MFA für „Root“-Konten wird empfohlen, dass das verwendete Gerät KEIN privates Gerät ist, sondern ein dediziertes Mobilgerät (Tablet oder Smartphone), das unabhängig von einzelnen persönlichen Geräten aufgeladen und gesichert wird. („nicht persönliche virtuelle MFA“). Dadurch wird das Risiko verringert, dass der Zugriff auf die MFA aufgrund von Geräteverlust, Geräteeintausch oder wenn die Person, die das Gerät besitzt, nicht mehr im Unternehmen beschäftigt wird.

Empfehlung: Sicherstellen, dass MFA für das Root-Nutzerkonto aktiviert ist

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Multi Factor Authentication Mfa Enabled All Iam Users Console`

Kategoriename in der API: MULTI_FACTOR_AUTHENTICATION_MFA_ENABLED_ALL_IAM_USERS_CONSOLE

Die Multi-Faktor-Authentifizierung (MFA) bietet neben herkömmlichen Anmeldedaten eine weitere Sicherheitsebene. Wenn die MFA aktiviert ist, wird ein Nutzer bei der Anmeldung in der AWS-Konsole aufgefordert, seinen Nutzernamen und sein Passwort sowie einen Authentifizierungscode aus seinem physischen oder virtuellen MFA-Token einzugeben. Es wird empfohlen, MFA für alle Konten zu aktivieren, die ein Konsolenpasswort haben.

Empfehlung: Achten Sie darauf, dass die Multi-Faktor-Authentifizierung (MFA) für alle IAM-Nutzer mit einem Konsolenpasswort aktiviert ist

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

AWS-Konsole

Melden Sie sich in der AWS-Verwaltungskonsole an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.
Wählen Sie im linken Bereich Users aus.
Wählen Sie in der Liste User Name den Namen des gewünschten MFA-Nutzers aus.
Wählen Sie den Tab Security Credentials und dann Manage MFA Device aus.
Wählen Sie unter Manage MFA Device wizard das Gerät Virtual MFA und dann Continue aus.

IAM generiert und zeigt Konfigurationsinformationen für das virtuelle MFA-Gerät an, einschließlich einer QR-Code-Grafik. Die Grafik zeigt den „geheimen Konfigurationsschlüssel“, der auf Geräten, die keine QR-Codes unterstützen, manuell eingegeben werden kann.
Öffnen Sie Ihre virtuelle MFA-Anwendung. Eine Liste der Apps, die Sie zum Hosten virtueller MFA-Geräte verwenden können, finden Sie unter „Virtual MFA Applications“ unter https://aws.amazon.com/iam/details/mfa/#Virtual_MFA_Applications. Wenn die virtuelle MFA-Anwendung mehrere Konten (mehrere virtuelle MFA-Geräte) unterstützt, wählen Sie die Option zum Erstellen eines neuen Kontos (ein neues virtuelles MFA-Gerät) aus.
Prüfen Sie, ob die MFA-App QR-Codes unterstützt, und führen Sie dann einen der folgenden Schritte aus:
- Scannen Sie den QR-Code mit der App. Sie können beispielsweise das Kamerasymbol oder eine Option wie „Code scannen“ auswählen und dann den Code mit der Kamera des Geräts scannen.
- Wählen Sie im Assistenten zum Verwalten des MFA-Geräts die Option Geheimen Schlüssel für manuelle Konfiguration anzeigen aus und geben Sie den geheimen Konfigurationsschlüssel in Ihre MFA-Anwendung ein.
Wenn Sie fertig sind, generiert das virtuelle MFA-Gerät Einmalpasswörter.
Geben Sie in der Manage MFA Device wizard in der MFA Code 1 box den one-time password ein, der derzeit auf dem virtuellen MFA-Gerät angezeigt wird. Warten Sie bis zu 30 Sekunden, bis das Gerät ein neues Einmalpasswort erstellt hat. Geben Sie dann das zweite one-time password in MFA Code 2 box ein.
Klicken Sie auf Assign MFA.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`No Network Acls Allow Ingress 0 0 0 0 Remote Server Administration`

Kategoriename in der API: NO_NETWORK_ACLS_ALLOW_INGRESS_0_0_0_0_REMOTE_SERVER_ADMINISTRATION

Die NACL-Funktion (Network Access Control List) ermöglicht das zustandslose Filtern des ein- und ausgehenden Netzwerktraffics zu AWS-Ressourcen. Es wird empfohlen, dass keine NACL uneingeschränkten eingehenden Zugriff auf Remote-Serververwaltungsports zulässt, z. B. SSH zu Port 22 und RDP zu Port 3389 mit den Protokollen TDP (6), UDP (17) oder ALL (-1)

Empfehlung: Achten Sie darauf, dass keine Netzwerk-ACLs eingehenden Traffic von 0.0.0.0/0 an Remote-Serververwaltungsports zulassen

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

AWS-Konsole

Gehen Sie so vor:

Melden Sie sich unter https://console.aws.amazon.com/vpc/home in der AWS-Verwaltungskonsole an.
Klicken Sie im linken Bereich auf Network ACLs.
Führen Sie für jede Netzwerk-ACL, die korrigiert werden soll, die folgenden Schritte aus:
- Netzwerk-ACL auswählen
- Klicken Sie auf den Tab Inbound Rules.
- Klicken Sie auf Edit inbound rules.
- A) Sie aktualisieren das Feld „Quelle“ auf einen anderen Bereich als 0.0.0.0/0 oder B) Klicken Sie auf Delete, um die unzulässige Eingangsregel zu entfernen.
- Klicken Sie auf Save.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`No Root User Account Access Key Exists`

Kategoriename in der API: NO_ROOT_USER_ACCOUNT_ACCESS_KEY_EXISTS

Das Root-Nutzerkonto ist der Nutzer mit den meisten Berechtigungen in einem AWS-Konto. AWS-Zugriffsschlüssel ermöglichen programmatischen Zugriff auf ein bestimmtes AWS-Konto. Es wird empfohlen, alle Zugriffsschlüssel zu löschen, die mit dem Root-Nutzerkonto verknüpft sind.

Empfehlung: Achten Sie darauf, dass kein Zugriffsschlüssel für das Root-Nutzerkonto vorhanden ist

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

AWS-Konsole

Melden Sie sich als Root in der AWS-Verwaltungskonsole an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.
Klicken Sie oben rechts auf <root_account> und wählen Sie My Security Credentials aus der Drop-down-Liste aus.
Klicken Sie im Pop-up-Fenster auf Continue to Security Credentials.
Klicken Sie auf Access Keys (Zugriffsschlüssel-ID und geheimer Zugriffsschlüssel).
In der Spalte Status (falls Schlüssel aktiv sind).
Klicken Sie auf Delete. Hinweis: Gelöschte Schlüssel können nicht wiederhergestellt werden.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`No Security Groups Allow Ingress 0 0 0 0 Remote Server Administration`

Kategoriename in der API: NO_SECURITY_GROUPS_ALLOW_INGRESS_0_0_0_0_REMOTE_SERVER_ADMINISTRATION

Sicherheitsgruppen bieten eine zustandsorientierte Filterung des ein- und ausgehenden Netzwerktraffics zu AWS-Ressourcen. Es wird empfohlen, dass keine Sicherheitsgruppe uneingeschränkten eingehenden Zugriff auf Remote-Serververwaltungsports zulässt, z. B. SSH zu Port 22 und RDP zu Port 3389 mit den Protokollen TDP (6), UDP (17) oder ALL (-1)

Empfehlung: Achten Sie darauf, dass keine Sicherheitsgruppen eingehenden Traffic von 0.0.0.0/0 an Remote-Server-Verwaltungsports zulassen

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`No Security Groups Allow Ingress 0 Remote Server Administration`

Kategoriename in der API: NO_SECURITY_GROUPS_ALLOW_INGRESS_0_REMOTE_SERVER_ADMINISTRATION

Empfehlung: Achten Sie darauf, dass keine Sicherheitsgruppen eingehenden Traffic von ::/0 an Remote-Serververwaltungsports zulassen

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`One Active Access Key Available Any Single Iam User`

Kategoriename in der API: ONE_ACTIVE_ACCESS_KEY_AVAILABLE_ANY_SINGLE_IAM_USER

Zugriffsschlüssel sind langfristige Anmeldedaten für einen IAM-Nutzer oder den Root-Nutzer des AWS-Kontos. Sie können Zugriffsschlüssel verwenden, um programmatische Anfragen an die AWS-Befehlszeile oder die AWS API zu signieren (direkt oder mit dem AWS SDK).

Empfehlung: Achten Sie darauf, dass für jeden einzelnen IAM-Nutzer nur ein aktiver Zugriffsschlüssel verfügbar ist.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

AWS-Konsole

Melden Sie sich in der AWS-Verwaltungskonsole an und rufen Sie das IAM-Dashboard unter https://console.aws.amazon.com/iam/ auf.
Wählen Sie im linken Navigationsbereich Users aus.
Klicken Sie auf den IAM-Nutzernamen, den Sie sich ansehen möchten.
Wählen Sie auf der IAM-Nutzerkonfigurationsseite den Tab Security Credentials aus.
Wählen Sie im Abschnitt Access Keys einen Zugriffsschlüssel aus, der weniger als 90 Tage alt ist. Dies sollte der einzige aktive Schlüssel sein, den dieser IAM-Nutzer für den programmatischen Zugriff auf AWS-Ressourcen verwendet. Testen Sie Ihre Anwendung(en), um sicherzustellen, dass der ausgewählte Zugriffsschlüssel funktioniert.
Identifizieren Sie im selben Abschnitt „Access Keys“ die nicht operativen Zugriffsschlüssel (nicht den ausgewählten) und deaktivieren Sie sie, indem Sie auf den Link Make Inactive klicken.
Wenn das Bestätigungsfeld Change Key Status angezeigt wird, klicken Sie auf Deactivate, um den ausgewählten Schlüssel zu deaktivieren.
Wiederholen Sie die Schritte 3 bis 7 für jeden IAM-Nutzer in Ihrem AWS-Konto.

AWS-CLI

Wählen Sie anhand der IAM-Nutzer- und Zugriffsschlüsselinformationen aus der Audit CLI einen Zugriffsschlüssel aus, der weniger als 90 Tage alt ist. Dies sollte der einzige aktive Schlüssel sein, den dieser IAM-Nutzer für den programmatischen Zugriff auf AWS-Ressourcen verwendet. Testen Sie Ihre Anwendung(en), um sicherzustellen, dass der ausgewählte Zugriffsschlüssel funktioniert.
Führen Sie den Befehl update-access-key unten mit dem IAM-Nutzernamen und den IDs der nicht operativen Zugriffsschlüssel aus, um die unnötigen Schlüssel zu deaktivieren. Sehen Sie sich den Bereich „Audit“ an, um die unnötige Zugriffsschlüssel-ID für den ausgewählten IAM-Nutzer zu ermitteln.

Hinweis: Der Befehl gibt keine Ausgabe zurück:

aws iam update-access-key --access-key-id <access-key-id> --status Inactive --user-name <user-name>

Wenn Sie prüfen möchten, ob das ausgewählte Zugriffsschlüsselpaar erfolgreich war, führen Sie den deactivated-Audit-Befehl list-access-keys für diesen IAM-Nutzer noch einmal aus:

aws iam list-access-keys --user-name <user-name>

Die Befehlsausgabe sollte die Metadaten für jeden Zugriffsschlüssel enthalten, der dem IAM-Nutzer zugeordnet ist. Wenn die nicht funktionsfähigen Schlüsselpaare Status auf Inactive gesetzt sind, wurde der Schlüssel erfolgreich deaktiviert und die IAM-Konfiguration für den Nutzerzugriff entspricht jetzt dieser Empfehlung.

Wiederholen Sie die Schritte 1 bis 3 für jeden IAM-Nutzer in Ihrem AWS-Konto.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Public Access Given Rds Instance`

Kategoriename in der API: PUBLIC_ACCESS_GIVEN_RDS_INSTANCE

Stellen Sie sicher, dass die in Ihrem AWS-Konto bereitgestellten RDS-Datenbankinstanzen den unbefugten Zugriff einschränken, um Sicherheitsrisiken zu minimieren. Wenn Sie den Zugriff auf eine öffentlich zugängliche RDS-Datenbankinstanz einschränken möchten, müssen Sie das Datenbank-Flag „Öffentlich zugänglich“ deaktivieren und die mit der Instanz verknüpfte VPC-Sicherheitsgruppe aktualisieren.

Empfehlung: Achten Sie darauf, dass der RDS-Instanz kein öffentlicher Zugriff gewährt wird

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

AWS-Konsole

Melden Sie sich bei der AWS-Verwaltungskonsole an und navigieren Sie zum RDS-Dashboard unter https://console.aws.amazon.com/rds/.
Klicken Sie im RDS-Dashboard unter dem Navigationsbereich auf Databases.
Wählen Sie die RDS-Instanz aus, die Sie aktualisieren möchten.
Klicken Sie im oberen Menü des Dashboards auf Modify.
Klicken Sie im Bereich „Datenbankinstanz ändern“ im Abschnitt Connectivity auf Additional connectivity configuration und ändern Sie den Wert für Publicly Accessible in „Nicht öffentlich zugänglich“, um den öffentlichen Zugriff einzuschränken. Führen Sie die folgenden Schritte aus, um Subnetzkonfigurationen zu aktualisieren:
Wählen Sie den Tab Connectivity and security aus und klicken Sie im Abschnitt Networking auf den VPC-Attributwert.
Wählen Sie im unteren Bereich des VPC-Dashboards den Tab Details aus und klicken Sie auf den Attributwert für die Routentabelle.
Wählen Sie auf der Detailseite der Routentabelle im unteren Bereich des Dashboards den Tab „Routen“ aus und klicken Sie auf Edit routes.
Aktualisieren Sie auf der Seite „Routen bearbeiten“ das auf igw-xxxxx festgelegte Ziel und klicken Sie auf Save Routen.
Klicken Sie im Feld „Datenbankinstanz ändern“ auf Continue und führen Sie im Abschnitt „Planung von Änderungen“ je nach Ihren Anforderungen eine der folgenden Aktionen aus:
Wählen Sie „Während des nächsten geplanten Wartungsfensters anwenden“ aus, um die Änderungen im nächsten geplanten Wartungsfenster automatisch anzuwenden.
Wählen Sie „Sofort übernehmen“ aus, um die Änderungen sofort zu übernehmen. Mit dieser Option werden alle ausstehenden Änderungen so schnell wie möglich asynchron angewendet, unabhängig von der Einstellung für das Wartungsfenster für diese RDS-Datenbankinstanz. Alle Änderungen, die in der Warteschlange für ausstehende Änderungen verfügbar sind, werden ebenfalls angewendet. Wenn für eine der ausstehenden Änderungen eine Ausfallzeit erforderlich ist, kann die Auswahl dieser Option zu unerwarteten Ausfallzeiten der Anwendung führen.
Wiederholen Sie die Schritte 3 bis 6 für jede RDS-Instanz, die in der aktuellen Region verfügbar ist.
Ändern Sie die AWS-Region in der Navigationsleiste, um den Vorgang für andere Regionen zu wiederholen.

AWS-CLI

Führen Sie den Befehl describe-db-instances aus, um alle IDs von RDS-Datenbanknamen aufzulisten, die in der ausgewählten AWS-Region verfügbar sind:

aws rds describe-db-instances --region <region-name> --query 'DBInstances[*].DBInstanceIdentifier'

In der Befehlsausgabe sollte jede Datenbankinstanz-ID zurückgegeben werden.
Führen Sie den Befehl modify-db-instance aus, um die ausgewählte RDS-Instanzkonfiguration zu ändern. Verwenden Sie dann den folgenden Befehl, um das Flag Publicly Accessible für die ausgewählten RDS-Instanzen zu deaktivieren. Für diesen Befehl wird das Flag „apply-immediately“ verwendet. Wenn Sie to avoid any downtime --no-apply-immediately flag can be used verwenden möchten:

aws rds modify-db-instance --region <region-name> --db-instance-identifier <db-name> --no-publicly-accessible --apply-immediately

Die Befehlsausgabe sollte die PubliclyAccessible-Konfiguration unter den ausstehenden Werten anzeigen und sollte zur angegebenen Zeit angewendet werden.
Das Aktualisieren des Internetgateway-Ziels über die AWS-Befehlszeile wird derzeit nicht unterstützt. Verwenden Sie zum Aktualisieren von Informationen zum Internet Gateway das Verfahren der AWS-Konsole.
Wiederholen Sie die Schritte 1 bis 5 für jede RDS-Instanz, die in der aktuellen Region bereitgestellt wird.
Ändern Sie die AWS-Region mithilfe des Filters „--region“, um den Vorgang für andere Regionen zu wiederholen.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Rds Enhanced Monitoring Enabled`

Kategoriename in der API: RDS_ENHANCED_MONITORING_ENABLED

Das erweiterte Monitoring bietet Echtzeitmesswerte für das Betriebssystem, auf dem die RDS-Instanz ausgeführt wird, und zwar über einen auf der Instanz installierten Agenten.

Weitere Informationen finden Sie unter Betriebssystemmesswerte mit erweitertem Monitoring überwachen.

Empfehlung: Prüft, ob das erweiterte Monitoring für alle RDS-DB-Instanzen aktiviert ist.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Terraform

Um dieses Steuerelement zu beheben, aktivieren Sie das erweiterte Monitoring auf Ihren RDS-Instanzen so:

Erstellen Sie eine IAM-Rolle für RDS:

resource "aws_iam_role" "rds_logging" {
  name = "CustomRoleForRDSMonitoring"
  assume_role_policy = jsonencode({
    Version = "2012-10-17"
    Statement = [
      {
        Action = "sts:AssumeRole"
        Effect = "Allow"
        Sid    = "CustomRoleForRDSLogging"
        Principal = {
          Service = "monitoring.rds.amazonaws.com"
        }
      },
    ]
  })
}

Rufen Sie die AWS Managed-Richtlinie für das erweiterte RDS-Monitoring ab:

data "aws_iam_policy" "rds_logging" {
  name = "AmazonRDSEnhancedMonitoringRole"
}

Hängen Sie die Richtlinie an die Rolle an:

resource "aws_iam_policy_attachment" "rds_logging" {
  name       = "AttachRdsLogging"
  roles      = [aws_iam_role.rds_logging.name]
  policy_arn = data.aws_iam_policy.rds_logging.arn
}

Definieren Sie ein Monitoringintervall und eine Monitoringrolle für die richtlinienverletzende RDS-Instanz, um das erweiterte Monitoring zu aktivieren:

resource "aws_db_instance" "default" {
  identifier           = "test-rds"
  allocated_storage    = 10
  engine               = "mysql"
  engine_version       = "5.7"
  instance_class       = "db.t3.micro"
  db_name              = "mydb"
  username             = "foo"
  password             = "foobarbaz"
  parameter_group_name = "default.mysql5.7"
  skip_final_snapshot  = true
  monitoring_interval  = 60
  monitoring_role_arn  = aws_iam_role.rds_logging.arn
}

AWS Console

Sie können das erweiterte Monitoring aktivieren, wenn Sie eine Datenbankinstanz, einen Multi-AZ-DB-Cluster oder ein Lesereplikat erstellen oder eine Datenbankinstanz bzw. einen Multi-AZ-DB-Cluster ändern. Wenn Sie eine DB-Instanz ändern, um erweitertes Monitoring zu aktivieren, müssen Sie die DB-Instanz nicht neu starten, damit die Änderung wirksam wird.

Sie können erweitertes Monitoring in der RDS-Konsole aktivieren, indem Sie auf der Seite „Datenbanken“ eine der folgenden Aktionen ausführen:

DB-Instanz oder Multi-AZ-DB-Cluster erstellen: Wählen Sie „Datenbank erstellen“ aus.
Lesereplikat erstellen: Wählen Sie „Aktionen“ und dann „Lesereplikat erstellen“ aus.
DB-Instanz oder Multi-AZ-DB-Cluster ändern: Wählen Sie „Ändern“ aus.

So aktivieren oder deaktivieren Sie das erweiterte Monitoring in der RDS-Konsole:

Scrollen Sie zu „Zusätzliche Konfiguration“.
Wählen Sie unter „Monitoring“ die Option „Erweitertes Monitoring aktivieren“ für die Datenbankinstanz oder das Lesereplikat aus. Wählen Sie „Erweitertes Monitoring deaktivieren“ aus, um erweitertes Monitoring zu deaktivieren.
Legen Sie die Eigenschaft der Monitoring-Rolle auf die von Ihnen erstellte IAM-Rolle fest, damit Amazon RDS mit Amazon CloudWatch Logs kommunizieren kann, oder wählen Sie „Standard“ aus, damit RDS eine Rolle mit dem Namen „rds-monitoring-role“ für Sie erstellt.
Legen Sie die Eigenschaft „Granularity“ (Detaillierungsgrad) auf das Intervall in Sekunden zwischen den Punkten fest, an denen Messwerte für die DB-Instanz oder das Lesereplikat erfasst werden. Die Eigenschaft „Detaillierungsgrad“ kann auf einen der folgenden Werte festgelegt werden: 1, 5, 10, 15, 30 oder 60. Die RDS-Konsole aktualisiert sich am schnellsten alle fünf Sekunden. Wenn Sie den Detaillierungsgrad in der RDS-Konsole auf eine Sekunde festlegen, werden weiterhin nur alle fünf Sekunden aktualisierte Messwerte angezeigt. Mit CloudWatch-Logs können Sie 1-sekündige Messwertaktualisierungen abrufen.

AWS-CLI

Erstellen Sie die RDS-IAM-Rolle:

aws iam create-role \
  --role-name "CustomRoleForRDSMonitoring" \
  --assume-role-policy-document file://rds-assume-role.json

Hängen Sie die Richtlinie AmazonRDSEnhancedMonitoringRole an die Rolle an:

aws iam attach-role-policy \
  --role-name "CustomRoleForRDSMonitoring"\
  --policy-arn "arn:aws:iam::aws:policy/service-role/AmazonRDSEnhancedMonitoringRole"

Ändern Sie die RDS-Instanz, um erweitertes Monitoring zu aktivieren. Legen Sie dazu --monitoring-interval und --monitoring-role-arn fest:

aws rds modify-db-instance \
  --db-instance-identifier "test-rds" \
  --monitoring-interval 30 \
  --monitoring-role-arn "arn:aws:iam::<account_id>:role/CustomRoleForRDSMonitoring"

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Rds Instance Deletion Protection Enabled`

Kategoriename in der API: RDS_INSTANCE_DELETION_PROTECTION_ENABLED

Das Aktivieren des Löschschutzes für Instanzen ist eine zusätzliche Schutzschicht vor dem versehentlichen Löschen der Datenbank oder dem Löschen durch eine nicht autorisierte Entität.

Solange der Löschschutz aktiviert ist, kann eine RDS-Datenbankinstanz nicht gelöscht werden. Damit eine Löschanfrage erfolgreich ist, muss der Löschschutz deaktiviert werden.

Empfehlung: Prüft, ob für alle RDS-Instanzen der Löschschutz aktiviert ist

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Terraform

Um dieses Steuerelement zu beheben, setzen Sie deletion_protection in der Ressource aws_db_instance auf true.

resource "aws_db_instance" "example" {
  # ... other configuration ...
  deletion_protection = true
}

AWS Console

So aktivieren Sie den Löschschutz für eine RDS-Datenbankinstanz:

Öffnen Sie die Amazon RDS-Konsole unter https://console.aws.amazon.com/rds/.
Wählen Sie im Navigationsbereich „Datenbanken“ und dann die DB-Instanz aus, die Sie ändern möchten.
Wählen Sie „Ändern“ aus.
Wählen Sie unter „Löschschutz“ die Option „Löschschutz aktivieren“ aus.
Wählen Sie „Weiter“ aus.
Wählen Sie unter Planung von Änderungen aus, wann Änderungen angewendet werden sollen. Die Optionen sind „Während des nächsten geplanten Wartungsfensters anwenden“ oder „Sofort anwenden“.
Wählen Sie Modify DB Instance (Datenbankinstanz ändern) aus.

AWS-CLI

Dasselbe gilt für die AWS-Befehlszeile. Legen Sie --deletion-protection wie unten fest.

aws rds modify-db-instance \
  --db-instance-identifier = "test-rds" \
  --deletion-protection

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Rds In Backup Plan`

Kategoriename in der API: RDS_IN_BACKUP_PLAN

Diese Prüfung prüft, ob Amazon RDS-DB-Instanzen durch einen Sicherungsplan abgedeckt sind. Diese Steuerung schlägt fehl, wenn eine RDS-DB-Instanz nicht durch einen Sicherungsplan abgedeckt ist.

AWS Backup ist ein vollständig verwalteter Sicherungsdienst, der die Sicherung von Daten über AWS-Dienste hinweg zentralisiert und automatisiert. Mit AWS Backup können Sie Sicherungsrichtlinien erstellen, sogenannte Sicherungspläne. Mit diesen Plänen können Sie Ihre Sicherungsanforderungen definieren, z. B. wie oft und wie lange Ihre Daten gesichert werden sollen. Wenn Sie RDS-DB-Instanzen in einen Sicherungsplan aufnehmen, können Sie Ihre Daten vor unbeabsichtigtem Verlust oder Löschen schützen.

Empfehlung: RDS-DB-Instanzen sollten durch einen Sicherungsplan abgedeckt sein.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Terraform

Um dieses Steuerelement zu beheben, setzen Sie backup_retention_period in der Ressource aws_db_instance auf einen Wert, der größer als 7 ist.

resource "aws_db_instance" "example" {
  # ... other Configuration ...
  backup_retention_period = 7
}

AWS Console

Automatische Sicherungen sofort aktivieren

Öffnen Sie die Amazon RDS-Konsole unter https://console.aws.amazon.com/rds/.
Wählen Sie im Navigationsbereich „Datenbanken“ und dann die Datenbankinstanz aus, die Sie ändern möchten.
Wählen Sie Modifizieren aus, um die Seite zum Ändern der Datenbankinstanz zu öffnen.
Wählen Sie unter „Aufbewahrungsdauer für Sicherungen“ einen positiven Wert ungleich null aus, z. B. 30 Tage, und wählen Sie dann „Weiter“ aus.
Wählen Sie den Bereich „Planung von Änderungen“ aus und legen Sie fest, wann Änderungen angewendet werden sollen: Sie können „Im nächsten geplanten Wartungsfenster anwenden“ oder „Sofort übernehmen“ auswählen.
Wählen Sie dann auf der Bestätigungsseite Modify DB Instance (Datenbankinstanz ändern) aus, um Ihre Änderungen zu speichern und automatische Sicherungen zu aktivieren.

AWS-CLI

Dasselbe gilt für die AWS-Befehlszeile. Ändern Sie backup-retention-period in einen Wert, der größer als 0 (Standardwert) ist, um automatische Sicherungen zu aktivieren.

aws rds modify-db-instance --db-instance-identifier "test-rds" --backup-retention-period 7

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Rds Logging Enabled`

Kategoriename in der API: RDS_LOGGING_ENABLED

Dadurch wird geprüft, ob die folgenden Logs von Amazon RDS aktiviert und an CloudWatch gesendet werden.

Für RDS-Datenbanken sollten relevante Protokolle aktiviert sein. Das Datenbank-Logging bietet detaillierte Aufzeichnungen der Anfragen an RDS. Datenbanklogs können bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen helfen.

Empfehlung: Prüft, ob exportierte Logs für alle RDS-DB-Instanzen aktiviert sind.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Terraform

resource "aws_db_instance" "example" {
  # ... other configuration for MySQL ...
  enabled_cloudwatch_logs_exports = ["audit", "error", "general", "slowquery"]
  parameter_group_name            = aws_db_parameter_group.example.name
}

resource "aws_db_parameter_group" "example" {
  name   = "${aws_db_instance.example.dbInstanceIdentifier}-parameter-group"
  family = "mysql5.7"

  parameter {
    name  = "general_log"
    value = 1
  }

  parameter {
    name  = "slow_query_log"
    value = 1
  }

  parameter {
    name  = "log_output"
    value = "FILE"
  }
}

Erstellen Sie für MariaDB zusätzlich eine benutzerdefinierte Optionsgruppe und legen Sie option_group_name in der Ressource aws_db_instance fest.

resource "aws_db_instance" "example" {
  # ... other configuration for MariaDB ...
  enabled_cloudwatch_logs_exports = ["audit", "error", "general", "slowquery"]
  parameter_group_name            = aws_db_parameter_group.example.name
  option_group_name               = aws_db_option_group.example.name
}

resource "aws_db_option_group" "example" {
  name                     = "mariadb-option-group-for-logs"
  option_group_description = "MariaDB Option Group for Logs"
  engine_name              = "mariadb"
  option {
    option_name = "MARIADB_AUDIT_PLUGIN"
    option_settings {
      name  = "SERVER_AUDIT_EVENTS"
      value = "CONNECT,QUERY,TABLE,QUERY_DDL,QUERY_DML,QUERY_DCL"
    }
  }
}

AWS Console

Benutzerdefinierte Datenbankparametergruppe erstellen

Öffnen Sie die Amazon RDS-Konsole unter https://console.aws.amazon.com/rds/.
Wählen Sie im Navigationsbereich „Parametergruppen“ aus.
Wählen Sie „Parametergruppe erstellen“ aus.
Wählen Sie in der Liste der Parametergruppen-Familien eine Datenbank-Parametergruppen-Familie aus.
Wählen Sie in der Liste „Typ“ die Option „DB-Parametergruppe“ aus.
Geben Sie unter „Gruppenname“ den Namen der neuen Datenbankparametergruppe ein.
Geben Sie unter „Beschreibung“ eine Beschreibung für die neue Datenbankparametergruppe ein.
Wählen Sie „Erstellen“ aus.

So erstellen Sie eine neue Optionsgruppe für das MariaDB-Logging über die Console

Öffnen Sie die Amazon RDS-Konsole unter https://console.aws.amazon.com/rds/.
Wählen Sie im Navigationsbereich „Optionsgruppen“ aus.
Wählen Sie „Gruppe erstellen“ aus.
Geben Sie im Fenster „Optiongruppe erstellen“ Folgendes an:
Name: darf in Ihrem AWS-Konto nur einmal vorkommen. Nur Buchstaben, Ziffern und Bindestriche.
Beschreibung: Wird nur zu Anzeigezwecken verwendet.
- Modul: Wählen Sie Ihr Datenbankmodul aus.
- Hauptversion der Engine: Wählen Sie die Hauptversion Ihres Datenbankmoduls aus.
Wählen Sie „Erstellen“ aus.
Wählen Sie den Namen der gerade erstellten Optionsgruppe aus.
Wählen Sie Option hinzufügen aus.
Wählen Sie MARIADB_AUDIT_PLUGIN aus der Liste der Optionsnamen aus.
Setzen Sie SERVER_AUDIT_EVENTS auf CONNECT, QUERY, TABLE, QUERY_DDL, QUERY_DML, QUERY_DCL.
Wählen Sie Option hinzufügen aus.

SQL Server DB-, Oracle DB- oder PostgreSQL-Logs über die AWS-Verwaltungskonsole in CloudWatch-Logs veröffentlichen

Öffnen Sie die Amazon RDS-Konsole unter https://console.aws.amazon.com/rds/.
Wählen Sie im Navigationsbereich „Datenbanken“ aus.
Wählen Sie die Datenbankinstanz aus, die Sie ändern möchten.
Wählen Sie „Ändern“ aus.
Wählen Sie unter „Logexporte“ alle Logdateien aus, die in CloudWatch Logs veröffentlicht werden sollen.
Logexporte sind nur für Datenbankmodulversionen verfügbar, die die Veröffentlichung in CloudWatch-Logs unterstützen.
Wählen Sie „Weiter“ aus. Wählen Sie dann auf der Zusammenfassungsseite die Option Modify DB Instance (Datenbankinstanz ändern) aus.

So wenden Sie eine neue Datenbankparametergruppe oder Datenbankoptionsgruppe auf eine RDS-DB-Instanz an:

Öffnen Sie die Amazon RDS-Konsole unter https://console.aws.amazon.com/rds/.
Wählen Sie im Navigationsbereich „Datenbanken“ aus.
Wählen Sie die Datenbankinstanz aus, die Sie ändern möchten.
Wählen Sie „Ändern“ aus.
Ändern Sie unter „Datenbankoptionen“ die DB-Parametergruppe und die DB-Optionsgruppe nach Bedarf.
Wenn Sie die Änderungen vorgenommen haben, wählen Sie „Weiter“ aus. Prüfen Sie die Zusammenfassung der Änderungen.
Wählen Sie Modify DB Instance (Datenbankinstanz ändern) aus, um die Änderungen zu speichern.

AWS-CLI

Rufen Sie die Engine-Familien ab und wählen Sie diejenige aus, die der Datenbankinstanz-Engine und -Version entspricht.

aws rds describe-db-engine-versions \
  --query "DBEngineVersions[].DBParameterGroupFamily" \
  --engine "mysql"

Erstellen Sie eine Parametergruppe entsprechend der Engine und Version.

aws rds create-db-parameter-group \
  --db-parameter-group-name "rds-mysql-parameter-group" \
  --db-parameter-group-family "mysql5.7" \
  --description "Example parameter group for logs"

Erstellen Sie eine rds-parameters.json-Datei, die die erforderlichen Parameter gemäß der DB-Engine enthält. In diesem Beispiel wird MySQL 5.7 verwendet.

[
  {
    "ParameterName": "general_log",
    "ParameterValue": "1",
    "ApplyMethod": "immediate"
  },
  {
    "ParameterName": "slow_query_log",
    "ParameterValue": "1",
    "ApplyMethod": "immediate"
  },
  {
    "ParameterName": "log_output",
    "ParameterValue": "FILE",
    "ApplyMethod": "immediate"
  }
]

Ändern Sie die Parametergruppe so, dass die Parameter dem Datenbankmodul entsprechend hinzugefügt werden. In diesem Beispiel wird MySQL 5.7 verwendet.

aws rds modify-db-parameter-group \
  --db-parameter-group-name "rds-mysql-parameter-group" \
  --parameters file://rds-parameters.json

Ändern Sie die Datenbankinstanz, um die Parametergruppe zu verknüpfen.

aws rds modify-db-instance \
  --db-instance-identifier "test-rds" \
  --db-parameter-group-name "rds-mysql-parameter-group"

Erstellen Sie zusätzlich für MariaDB eine Optionsgruppe wie unten beschrieben.

aws rds create-option-group \
  --option-group-name "rds-mariadb-option-group" \
  --engine-name "mariadb" \
  --major-engine-version "10.6" \
  --option-group-description "Option group for MariaDB logs"

So erstellen Sie eine rds-mariadb-options.json-Datei:

{
  "OptionName": "MARIADB_AUDIT_PLUGIN",
  "OptionSettings": [
    {
      "Name": "SERVER_AUDIT_EVENTS",
      "Value": "CONNECT,QUERY,TABLE,QUERY_DDL,QUERY_DML,QUERY_DCL"
    }
  ]
}

Fügen Sie die Option zur Optionsgruppe hinzu.

aws rds add-option-to-option-group \
  --option-group-name "rds-mariadb-option-group" \
  --options file://rds-mariadb-options.json

Verknüpfen Sie die Optionsgruppe mit der DB-Instanz, indem Sie die MariaDB-Instanz ändern.

aws rds modify-db-instance \
  --db-instance-identifier "rds-test-mariadb" \
  --option-group-name "rds-mariadb-option-group"

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Rds Multi Az Support`

Kategoriename in der API: RDS_MULTI_AZ_SUPPORT

RDS-DB-Instanzen sollten für mehrere Verfügbarkeitszonen konfiguriert werden. Dadurch wird die Verfügbarkeit der gespeicherten Daten sichergestellt. Multi-AZ-Bereitstellungen ermöglichen automatisches Failover bei Problemen mit der Verfügbarkeit der Verfügbarkeitszone und während der regulären RDS-Wartung.

Empfehlung: Prüft, ob Hochverfügbarkeit für alle RDS-DB-Instanzen aktiviert ist.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Terraform

Um dieses Steuerelement zu beheben, setzen Sie multi_az in der Ressource aws_db_instance auf „true“.

resource "aws_db_instance" "example" {
  # ... other configuration ...
  multi_az                = true
}

AWS Console

So aktivieren Sie mehrere Verfügbarkeitszonen für eine DB-Instanz:

Öffnen Sie die Amazon RDS-Konsole unter https://console.aws.amazon.com/rds/.
Wählen Sie im Navigationsbereich „Datenbanken“ und dann die Datenbankinstanz aus, die Sie ändern möchten.
Wählen Sie „Ändern“ aus. Die Seite zum Ändern der Datenbankinstanz wird angezeigt.
Setzen Sie unter „Instanzspezifikationen“ die Option „Multi-AZ-Bereitstellung“ auf „Ja“.
Wählen Sie „Weiter“ aus und prüfen Sie dann die Zusammenfassung der Änderungen.
Optional: Wählen Sie „Sofort anwenden“ aus, um die Änderungen sofort anzuwenden. Die Auswahl dieser Option kann in einigen Fällen zu einem Ausfall führen. Weitere Informationen finden Sie unter Verwenden der Einstellung „Sofort anwenden“ im Amazon RDS-Benutzerhandbuch.
Überprüfen Sie die Änderungen auf der Bestätigungsseite. Wenn sie korrekt sind, wählen Sie Modify DB Instance (Datenbankinstanz ändern) aus, um Ihre Änderungen zu speichern.

AWS-CLI

Dasselbe gilt für die AWS-Befehlszeile. Geben Sie die Option --multi-az an, um die Multi-Az-Unterstützung zu aktivieren.

modify-db-instance
  --db-instance-identifier "test-rds" \
  --multi-az

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Redshift Cluster Configuration Check`

Kategoriename in der API: REDSHIFT_CLUSTER_CONFIGURATION_CHECK

Dadurch wird nach wesentlichen Elementen eines Redshift-Clusters gesucht: Verschlüsselung inaktiver Daten, Logging und Knotentyp.

Diese Konfigurationselemente sind wichtig für die Wartung eines sicheren und beobachtbaren Redshift-Clusters.

Empfehlung: Prüft, ob alle Redshift-Cluster über eine Verschlüsselung für inaktive Daten, Logging und Knotentyp verfügen.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Terraform

resource "aws_kms_key" "redshift_encryption" {
  description         = "Used for Redshift encryption configuration"
  enable_key_rotation = true
}

resource "aws_redshift_cluster" "example" {
  # ... other configuration ...
  encrypted                           = true
  kms_key_id                          = aws_kms_key.redshift_encryption.id
  logging {
    enable               = true
    log_destination_type = "cloudwatch"
    log_exports          = ["connectionlog", "userlog", "useractivitylog"]
  }
}

AWS Console

Cluster-Audit-Logging aktivieren

Öffnen Sie die Amazon Redshift-Konsole unter https://console.aws.amazon.com/redshift/.
Wählen Sie im Navigationsmenü „Cluster“ und dann den Namen des zu ändernden Clusters aus.
Wählen Sie „Eigenschaften“ aus.
Wählen Sie „Audit-Logging bearbeiten“ und „Audit-Logging bearbeiten“ aus.
Setzen Sie „Audit-Logging konfigurieren“ auf „Aktivieren“, setzen Sie den Logexporttyp auf CloudWatch (empfohlen) und wählen Sie die zu exportierenden Logs aus.

Informationen zur Verwendung von AWS S3 zum Verwalten von Redshift-Audit-Logs finden Sie in der AWS-Dokumentation unter Redshift – Datenbank-Audit-Logging.

Klicken Sie auf „Änderungen speichern“.

So ändern Sie die Datenbankverschlüsselung in einem Cluster:

Melden Sie sich in der AWS-Verwaltungskonsole an und öffnen Sie die Amazon Redshift-Konsole unter https://console.aws.amazon.com/redshift/.
Wählen Sie im Navigationsmenü „Cluster“ und dann den Cluster aus, für den Sie die Verschlüsselung ändern möchten.
Wählen Sie „Eigenschaften“ aus.
Wählen Sie Verschlüsselung bearbeiten und bearbeiten aus.
Wählen Sie die zu verwendende Verschlüsselung (KMS oder HSM) aus und geben Sie Folgendes an:
- Für KMS: zu verwendender Schlüssel
- Für HSM: Verbindung und Clientzertifikat

AWS-CLI

KMS-Schlüssel erstellen und Schlüssel-ID abrufen

aws kms create-key \
  --description "Key to encrypt Redshift Clusters"

Cluster ändern

aws redshift modify-cluster \
  --cluster-identifiers "test-redshift-cluster" \
  --encrypted \
  --kms-key-id <value>

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Redshift Cluster Maintenancesettings Check`

Kategoriename in der API: REDSHIFT_CLUSTER_MAINTENANCESETTINGS_CHECK

Automatische Upgrades von Hauptversionen erfolgen je nach Wartungsfenster

Empfehlung: Prüft, ob für alle Redshift-Cluster die Option „allowVersionUpgrade“ aktiviert und „preferredRetentionWindow“ und „automaticSnapshotRetentionPeriod“ festgelegt sind

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Terraform

Diese Prüfung ist mit allen von Terraform bereitgestellten Standardwerten kompatibel. Prüfen Sie bei einem fehlerhaften Redshift-Cluster die Anforderungen und entfernen Sie die Standardüberschreibungen für die folgenden Attribute der aws_redshift_cluster-Ressource.

resource "aws_redshift_cluster" "example" {

  # ...other configuration ...

  # The following values are compliant and set by default if omitted.
  allow_version_upgrade               = true
  preferred_maintenance_window        = "sat:10:00-sat:10:30"
  automated_snapshot_retention_period = 1
}

AWS Console

Beim Erstellen eines Redshift-Clusters über die AWS-Konsole sind die Standardwerte bereits mit diesem Steuerelement konform.

Weitere Informationen finden Sie unter Cluster mit der Console verwalten.

AWS-CLI

So beheben Sie dieses Steuerelement über die AWS-Befehlszeile:

aws redshift modify-cluster \
  --cluster-identifier "test-redshift-cluster" \
  --allow-version-upgrade

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Redshift Cluster Public Access Check`

Kategoriename in der API: REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK

Das Attribut „PubliclyAccessible“ der Amazon Redshift-Clusterkonfiguration gibt an, ob der Cluster öffentlich zugänglich ist. Wenn der Cluster mit der Einstellung „PubliclyAccessible“ auf „true“ konfiguriert ist, handelt es sich um eine Instanz mit Internetzugriff, die einen öffentlich auflösbaren DNS-Namen hat, der in eine öffentliche IP-Adresse aufgelöst wird.

Wenn der Cluster nicht öffentlich zugänglich ist, handelt es sich um eine interne Instanz mit einem DNS-Namen, der in eine private IP-Adresse aufgelöst wird. Sofern Ihr Cluster nicht öffentlich zugänglich sein soll, sollte für die Konfiguration „PubliclyAccessible“ nicht auf „true“ festgelegt sein.

Empfehlung: Prüft, ob Redshift-Cluster öffentlich zugänglich sind.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Terraform

Um dieses Steuerelement zu beheben, müssen Sie die Redshift-Clusterressource ändern und publicly_accessible auf false setzen. Der Standardwert ist true.

resource "aws_redshift_cluster" "example" {
  # ... other configuration ...
  publicly_accessible = false
}

AWS Console

So deaktivieren Sie den öffentlichen Zugriff auf einen Amazon Redshift-Cluster

Öffnen Sie die Amazon Redshift-Konsole unter https://console.aws.amazon.com/redshift/.
Wählen Sie im Navigationsmenü „Cluster“ und dann den Namen des Clusters mit der zu ändernden Sicherheitsgruppe aus.
Wähle „Aktionen“ und dann „Öffentlich zugängliche Einstellung ändern“ aus.
Wählen Sie unter „Instanzen und Geräte außerhalb der VPC erlauben, über den Clusterendpunkt eine Verbindung zu Ihrer Datenbank herzustellen“ die Option „Nein“ aus.
Wählen Sie „Bestätigen“ aus.

AWS-CLI

Verwenden Sie den Befehl modify-cluster, um --no-publicly-accessible festzulegen.

aws redshift modify-cluster \
  --cluster-identifier "test-redshift-cluster" \
  --no-publicly-accessible

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Restricted Common Ports`

Kategoriename in der API: RESTRICTED_COMMON_PORTS

Damit wird geprüft, ob uneingeschränkter eingehender Traffic für die Sicherheitsgruppen für die angegebenen Ports mit dem höchsten Risiko zugänglich ist. Diese Steuerung schlägt fehl, wenn eine der Regeln in einer Sicherheitsgruppe eingehenden Traffic von „0.0.0.0/0“ oder „::/0“ für diese Ports zulässt.

Der uneingeschränkte Zugriff (0.0.0.0/0) erhöht die Möglichkeiten für schädliche Aktivitäten wie Hacking, Denial-of-Service-Angriffe und Datenverluste.

Sicherheitsgruppen bieten eine zustandsorientierte Filterung des ein- und ausgehenden Netzwerktraffics zu AWS-Ressourcen. Keine Sicherheitsgruppe sollte uneingeschränkten eingehenden Zugriff auf die folgenden Ports zulassen:

20, 21 (FTP)
22 (SSH)
23 (Telnet)
25 (SMTP)
110 (POP3)
135 (RPC)
143 (IMAP)
445 (CIFS)
1433, 1434 (MSSQL)
3000 (Go-, Node.js- und Ruby-Webentwicklungs-Frameworks)
3306 (MySQL)
3389 (RDP)
4333 (AHS)
5000 (Python-Frameworks für die Webentwicklung)
5432 (postgresql)
5500 (fcp-addr-srvr1)
5601 (OpenSearch-Dashboards)
8080 (Proxy)
8088 (Legacy-HTTP-Port)
8888 (alternativer HTTP-Port)
9200 oder 9300 (OpenSearch)

Empfehlung: Sicherheitsgruppen sollten keinen uneingeschränkten Zugriff auf Ports mit hohem Risiko zulassen

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

AWS Console

So löschen Sie eine Sicherheitsgruppenregel:

Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.
Wählen Sie im Navigationsbereich „Sicherheitsgruppen“ aus.
Wählen Sie die Sicherheitsgruppe aus, die Sie aktualisieren möchten, klicken Sie auf „Aktionen“ und dann auf „Regeln für eingehenden Traffic bearbeiten“, um eine Regel für eingehenden Traffic zu entfernen, oder „Ausgehende Regeln bearbeiten“, um eine solche Regel zu entfernen.
Klicken Sie rechts neben der zu löschenden Regel auf die Schaltfläche Löschen.
Klicken Sie auf „Vorschau der Änderungen“ und dann auf „Bestätigen“.

Informationen zum Löschen von Regeln aus einer Sicherheitsgruppe finden Sie im Amazon EC2-Nutzerhandbuch für Linux-Instanzen unter Regeln aus einer Sicherheitsgruppe löschen.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Restricted Ssh`

Kategoriename in der API: RESTRICTED_SSH

Sicherheitsgruppen bieten eine zustandsorientierte Filterung des ein- und ausgehenden Netzwerktraffics zu AWS-Ressourcen.

CIS empfiehlt, dass keine Sicherheitsgruppe uneingeschränkten Zugriff auf eingehenden Traffic auf Port 22 zulässt. Durch das Entfernen uneingeschränkter Verbindungen zu Remote-Konsolendiensten wie SSH wird das Risiko eines Servers verringert.

Empfehlung: Sicherheitsgruppen sollten eingehenden Traffic von 0.0.0.0/0 zu Port 22 nicht zulassen

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

AWS Console

Führen Sie die folgenden Schritte für jede Sicherheitsgruppe aus, die mit einer VPC verknüpft ist.

Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

Wählen Sie im linken Bereich Sicherheitsgruppen aus.
Wählen Sie eine Sicherheitsgruppe aus.
Wählen Sie unten auf der Seite den Tab Eingehende Regeln aus.
Wählen Sie Regeln bearbeiten aus.
Ermitteln Sie die Regel, die den Zugriff über Port 22 zulässt, und wählen Sie dann das X aus, um die Regel zu entfernen.
Wählen Sie Regeln speichern aus.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Rotation Customer Created Cmks Enabled`

Kategoriename in der API: ROTATION_CUSTOMER_CREATED_CMKS_ENABLED

Prüft, ob die automatische Schlüsselrotation für jeden Schlüssel aktiviert ist, und stimmt mit der Schlüssel-ID des vom Kunden erstellten AWS KMS-Schlüssels überein. Die Regel lautet NON_COMPLIANT, wenn die AWS Config Recorder-Rolle für eine Ressource nicht die Berechtigung kms:describeKey hat.

Empfehlung: Achten Sie darauf, dass die Rotation für vom Kunden erstellte CMKs aktiviert ist

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Rotation Customer Created Symmetric Cmks Enabled`

Kategoriename in der API: ROTATION_CUSTOMER_CREATED_SYMMETRIC_CMKS_ENABLED

Mit dem AWS Key Management Service (KMS) können Kunden den Sicherungsschlüssel rotieren, bei dem es sich um im KMS gespeichertes Schlüsselmaterial handelt, das mit der Schlüssel-ID des vom Kunden erstellten Masterschlüssels (Customer Created Customer Master Key, CMK) verknüpft ist. Er ist der Sicherungsschlüssel, der für kryptografische Vorgänge wie Verschlüsselung und Entschlüsselung verwendet wird. Bei der automatischen Schlüsselrotation werden derzeit alle vorherigen Sicherungsschlüssel beibehalten, sodass die Entschlüsselung verschlüsselter Daten transparent erfolgen kann. Es wird empfohlen, die CMK-Schlüsselrotation für symmetrische Schlüssel zu aktivieren. Die Schlüsselrotation kann für keinen asymmetrischen CMK aktiviert werden.

Empfehlung: Achten Sie darauf, dass die Rotation für vom Kunden erstellte symmetrische CMKs aktiviert ist

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

AWS-Konsole

Melden Sie sich in der AWS-Verwaltungskonsole an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam.
Wählen Sie im linken Navigationsbereich Customer managed keys aus .
Wählen Sie einen vom Kunden verwalteten CMK aus, bei dem Key spec = SYMMETRIC_DEFAULT
Öffnen Sie unter dem Bereich „Allgemeine Konfiguration“ den Tab „Schlüsselrotation“.
Klicken Sie das Kästchen „Diesen KMS-Schlüssel automatisch jährlich rotieren“ an.

AWS-CLI

Führen Sie den folgenden Befehl aus, um die Schlüsselrotation zu aktivieren:

 aws kms enable-key-rotation --key-id <kms_key_id>

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Routing Tables Vpc Peering Are Least Access`

Kategoriename in der API: ROUTING_TABLES_VPC_PEERING_ARE_LEAST_ACCESS

Prüft, ob Routentabellen für VPC-Peering mit dem Hauptkonto der geringsten Berechtigung konfiguriert sind.

Empfehlung: Achten Sie darauf, dass Routingtabellen für VPC-Peering „am wenigsten Zugriff“ haben.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`S3 Account Level Public Access Blocks`

Kategoriename in der API: S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS

Amazon S3 Block Public Access bietet Einstellungen für Zugangspunkte, Buckets und Konten, mit denen Sie den öffentlichen Zugriff auf Amazon S3-Ressourcen verwalten können. Standardmäßig ist der öffentliche Zugriff auf neue Buckets, Zugangspunkte und Objekte nicht möglich.

Empfehlung: Prüft, ob die erforderlichen Einstellungen für die Blockierung des öffentlichen S3-Zugriffs auf Kontoebene konfiguriert sind.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Terraform

Mit der folgenden Terraform-Ressource wird der Zugriff auf S3 auf Kontoebene konfiguriert.

resource "aws_s3_account_public_access_block" "s3_control" {
  block_public_acls       = true
  block_public_policy     = true
  ignore_public_acls      = true
  restrict_public_buckets = true
}

AWS Console

So bearbeiten Sie die Einstellungen zum Blockieren des öffentlichen Zugriffs für alle S3-Buckets in einem AWS-Konto.

Melden Sie sich in der AWS-Verwaltungskonsole an und öffnen Sie die Amazon S3-Konsole unter https://console.aws.amazon.com/s3/.
Wähle „Öffentlichen Zugriff blockieren“ für dieses Konto aus.
Wählen Sie „Bearbeiten“ aus, um die Einstellungen zum Blockieren des öffentlichen Zugriffs für alle Buckets in Ihrem AWS-Konto zu ändern.
Wählen Sie die Einstellungen aus, die Sie ändern möchten, und klicken Sie dann auf „Änderungen speichern“.
Wenn Sie zur Bestätigung aufgefordert werden, geben Sie „Bestätigen“ ein. Wählen Sie dann Bestätigen aus, um Ihre Änderungen zu speichern.

AWS-CLI

aws s3control put-public-access-block \
--account-id <value> \
--public-access-block-configuration '{"BlockPublicAcls": true, "BlockPublicPolicy": true, "IgnorePublicAcls": true, "RestrictPublicBuckets": true}'

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`S3 Bucket Logging Enabled`

Kategoriename in der API: S3_BUCKET_LOGGING_ENABLED

Die AWS S3 Server Access Logging-Funktion zeichnet Zugriffsanfragen auf Storage-Buckets auf, was für Sicherheitsprüfungen hilfreich ist. Standardmäßig ist das Logging des Serverzugriffs für S3-Buckets nicht aktiviert.

Empfehlung: Prüft, ob Logging für alle S3-Buckets aktiviert ist

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Terraform

Das folgende Beispiel zeigt, wie zwei Buckets erstellt werden:

Ein Logging-Bucket
Einen konformen Bucket

variable "bucket_acl_map" {
  type = map(any)
  default = {
    "logging-bucket"   = "log-delivery-write"
    "compliant-bucket" = "private"
  }
}

resource "aws_s3_bucket" "all" {
  for_each            = var.bucket_acl_map
  bucket              = each.key
  object_lock_enabled = true
  tags = {
    "Pwd"    = "s3"
  }
}

resource "aws_s3_bucket_acl" "private" {
  for_each = var.bucket_acl_map
  bucket   = each.key
  acl      = each.value
}

resource "aws_s3_bucket_versioning" "enabled" {
  for_each = var.bucket_acl_map
  bucket   = each.key
  versioning_configuration {
    status = "Enabled"
  }
}

resource "aws_s3_bucket_logging" "enabled" {
  for_each      = var.bucket_acl_map
  bucket        = each.key
  target_bucket = aws_s3_bucket.all["logging-bucket"].id
  target_prefix = "log/"
}

resource "aws_s3_bucket_server_side_encryption_configuration" "example" {
  for_each = var.bucket_acl_map
  bucket   = each.key

  rule {
    apply_server_side_encryption_by_default {
      sse_algorithm     = "aws:kms"
    }
  }
}

AWS Console

Informationen zum Aktivieren des Zugriffs-Loggings von S3 über die AWS-Konsole finden Sie unter Zugriffs-Logging von Amazon S3 aktivieren in der AWS-Dokumentation.

AWS-CLI

Das folgende Beispiel zeigt, wie Sie:

Erstellen Sie eine Bucket-Richtlinie, um dem Logging-Dienstprinzipal die Berechtigung für PutObject in Ihrem Logging-Bucket zu gewähren.

policy.json javascript { "Version": "2012-10-17", "Statement": [ { "Sid": "S3ServerAccessLogsPolicy", "Effect": "Allow", "Principal": {"Service": "logging.s3.amazonaws.com"}, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::MyBucket/Logs/*", "Condition": { "ArnLike": {"aws:SourceARN": "arn:aws:s3:::SOURCE-BUCKET-NAME"}, "StringEquals": {"aws:SourceAccount": "SOURCE-AWS-ACCOUNT-ID"} } } ] }

aws s3api put-bucket-policy \
  --bucket my-bucket
  --policy file://policy.json

Richtlinie auf den Logging-Bucket anwenden

logging.json javascript { "LoggingEnabled": { "TargetBucket": "MyBucket", "TargetPrefix": "Logs/" } }

aws s3api put-bucket-logging \
  --bucket MyBucket \
  --bucket-logging-status file://logging.json

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`S3 Bucket Policy Set Deny Http Requests`

Kategoriename in der API: S3_BUCKET_POLICY_SET_DENY_HTTP_REQUESTS

Auf Bucket-Ebene in Amazon S3 können Sie Berechtigungen über eine Bucket-Richtlinie konfigurieren, sodass die Objekte nur über HTTPS zugänglich sind.

Empfehlung: Achten Sie darauf, dass die S3-Bucket-Richtlinie so festgelegt ist, dass HTTP-Anfragen abgelehnt werden

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

AWS-Konsole

Melden Sie sich in der AWS-Verwaltungskonsole an und öffnen Sie die Amazon S3-Konsole über https://console.aws.amazon.com/s3/.
Klicken Sie das Kästchen neben dem Bucket an.
Klicke auf „Berechtigungen“.
Klicken Sie auf „Bucket-Richtlinie“.
Fügen Sie dies der vorhandenen Richtlinie hinzu und geben Sie die erforderlichen Informationen ein. { "Sid": <optional>", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": "arn:aws:s3:::<bucket_name>/*", "Condition": { "Bool": { "aws:SecureTransport": "false" } } }
Speichern
Wiederholen Sie diesen Vorgang für alle Buckets in Ihrem AWS-Konto, die sensible Daten enthalten.

Über die Console

mit AWS Policy Generator:

Wiederholen Sie die oben genannten Schritte 1 bis 4.
Klicken Sie unten im Editor für Bucket-Richtlinien auf Policy Generator.
Richtlinientyp auswählen S3 Bucket Policy
Anweisungen hinzufügen
Effect = Ablehnen
Principal = *
AWS Service = Amazon S3
Actions = *
Amazon Resource Name =
Richtlinie erstellen
Kopieren Sie den Text und fügen Sie ihn der Bucket-Richtlinie hinzu.

AWS-CLI

Exportieren Sie die Bucket-Richtlinie in eine JSON-Datei. aws s3api get-bucket-policy --bucket <bucket_name> --query Policy --output text > policy.json
Ändern Sie die Datei „policy.json“, indem Sie folgende Anweisung hinzufügen:

{
 "Sid": <optional>",
 "Effect": "Deny",
 "Principal": "*",
 "Action": "s3:*",
 "Resource": "arn:aws:s3:::<bucket_name>/*",
 "Condition": {
 "Bool": {
 "aws:SecureTransport": "false"
 }
 }
 }

Wenden Sie diese geänderte Richtlinie wieder auf den S3-Bucket an:

aws s3api put-bucket-policy --bucket <bucket_name> --policy file://policy.json

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`S3 Bucket Replication Enabled`

Kategoriename in der API: S3_BUCKET_REPLICATION_ENABLED

Dieses Steuerelement prüft, ob für einen Amazon S3-Bucket die regionsübergreifende Replikation aktiviert ist. Die Steuerung schlägt fehl, wenn für den Bucket die regionsübergreifende Replikation nicht aktiviert ist oder wenn auch die Replikation in derselben Region aktiviert ist.

Replikation ist das automatische, asynchrone Kopieren von Objekten über Buckets in derselben oder verschiedenen AWS-Regionen. Bei der Replikation werden neu erstellte Objekte und Objektaktualisierungen aus einem Quell-Bucket in einen oder mehrere Ziel-Buckets kopiert. Best Practices von AWS empfehlen die Replikation für Quell- und Ziel-Buckets, die zum selben AWS-Konto gehören. Neben der Verfügbarkeit sollten Sie andere Einstellungen zur Härtung von Systemen in Betracht ziehen.

Empfehlung: Prüft, ob für S3-Buckets die regionsübergreifende Replikation aktiviert ist

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`S3 Bucket Server Side Encryption Enabled`

Kategoriename in der API: S3_BUCKET_SERVER_SIDE_ENCRYPTION_ENABLED

Dadurch wird geprüft, ob für Ihren S3-Bucket entweder die Amazon S3-Standardverschlüsselung aktiviert ist oder die S3-Bucket-Richtlinie Put-Objekt-Anfragen ohne serverseitige Verschlüsselung explizit ablehnt.

Empfehlung: Achten Sie darauf, dass alle S3-Buckets die Verschlüsselung ruhender Daten verwenden

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Terraform

resource "aws_s3_bucket_server_side_encryption_configuration" "enable" {
  bucket = "my-bucket"

  rule {
    apply_server_side_encryption_by_default {
      sse_algorithm = "AES256"
    }
  }
}

AWS Console

Standardverschlüsselung für einen S3-Bucket aktivieren

Öffnen Sie die Amazon S3-Konsole unter https://console.aws.amazon.com/s3/.
Wählen Sie im linken Navigationsbereich „Buckets“ aus.
Wählen Sie den S3-Bucket aus der Liste aus.
Wählen Sie „Eigenschaften“ aus.
Wählen Sie Standardverschlüsselung aus.
Wählen Sie für die Verschlüsselung entweder AES-256 oder AWS-KMS aus.
Wählen Sie AES-256 aus, um von Amazon S3 verwaltete Schlüssel für die Standardverschlüsselung zu verwenden. Weitere Informationen zur Verwendung der serverseitigen Verschlüsselung von Amazon S3 zum Verschlüsseln Ihrer Daten finden Sie im Nutzerhandbuch für Amazon Simple Storage Service.
Wählen Sie AWS-KMS aus, um von AWS KMS verwaltete Schlüssel für die Standardverschlüsselung zu verwenden. Wählen Sie dann einen Masterschlüssel aus der Liste der von Ihnen erstellten AWS KMS-Masterschlüssel aus.
Geben Sie den Amazon Resource Name (ARN) des zu verwendenden AWS KMS-Schlüssels ein. Den ARN für Ihren AWS KMS-Schlüssel finden Sie in der IAM-Konsole unter „Verschlüsselungsschlüssel“. Sie können auch einen Schlüsselnamen aus der Drop-down-Liste auswählen.
Wichtig: Wenn Sie für Ihre Standardverschlüsselungskonfiguration die Option AWS KMS verwenden, gelten die RPS-Kontingente (Anfragen pro Sekunde) von AWS KMS. Weitere Informationen zu AWS KMS-Kontingenten und zum Anfordern einer Kontingenterhöhung finden Sie im Entwicklerleitfaden für AWS Key Management Service.
Klicken Sie auf „Speichern“.

Weitere Informationen zum Erstellen eines AWS KMS-Schlüssels finden Sie im AWS Key Management Service-Entwicklerhandbuch.

Weitere Informationen zur Verwendung von AWS KMS mit Amazon S3 finden Sie im Amazon Simple Storage Service User Guide.

Wenn Sie die Standardverschlüsselung aktivieren, müssen Sie möglicherweise Ihre Bucket-Richtlinie aktualisieren. Weitere Informationen zum Wechsel von Bucket-Richtlinien zur Standardverschlüsselung finden Sie im Nutzerhandbuch für Amazon Simple Storage.

AWS-CLI

aws s3api put-bucket-encryption \
  --bucket my-bucket \
  --server-side-encryption-configuration '{"Rules": [{"ApplyServerSideEncryptionByDefault": {"SSEAlgorithm": "AES256"}}]}'

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`S3 Bucket Versioning Enabled`

Kategoriename in der API: S3_BUCKET_VERSIONING_ENABLED

Amazon S3 ist eine Möglichkeit, mehrere Varianten eines Objekts im selben Bucket zu speichern, und kann Ihnen dabei helfen, eine Wiederherstellung nach unbeabsichtigten Nutzeraktionen und Anwendungsfehlern zu vereinfachen.

Empfehlung: Prüft, ob die Versionsverwaltung für alle S3-Buckets aktiviert ist.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Terraform

resource "aws_s3_bucket" "my_bucket" {
  bucket = "my-bucket"

  versioning {
    enabled = true
  }
}

AWS Console

Versionsverwaltung für einen S3-Bucket aktivieren oder deaktivieren

Melden Sie sich in der AWS-Verwaltungskonsole an und öffnen Sie die Amazon S3-Konsole unter https://console.aws.amazon.com/s3/.
Wählen Sie in der Liste der Buckets den Namen des Buckets aus, für den Sie die Versionsverwaltung aktivieren möchten.
Wählen Sie „Eigenschaften“ aus.
Wählen Sie unter „Bucket-Versionsverwaltung“ die Option „Bearbeiten“ aus.
Wählen Sie „Sperren“ oder „Aktivieren“ und anschließend „Änderungen speichern“.

AWS-CLI

aws s3control put-bucket-versioning \
--bucket <bucket_name> \
--versioning-configuration Status=Enabled

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`S3 Default Encryption Kms`

Kategoriename in der API: S3_DEFAULT_ENCRYPTION_KMS

Prüft, ob die Amazon S3-Buckets mit AWS Key Management Service (AWS KMS) verschlüsselt sind

Empfehlung: Prüft, ob alle Buckets mit KMS verschlüsselt sind

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

Terraform

resource "aws_kms_key" "s3_encryption" {
  description         = "Used for S3 Bucket encryption configuration"
  enable_key_rotation = true
}

resource "aws_s3_bucket_server_side_encryption_configuration" "enable" {
  bucket   = "my-bucket"

  rule {
    apply_server_side_encryption_by_default {
      kms_master_key_id = aws_kms_key.s3_encryption.arn
      sse_algorithm     = "aws:kms"
    }
  }
}

AWS Console

Standardverschlüsselung für einen S3-Bucket aktivieren

Öffnen Sie die Amazon S3-Konsole unter https://console.aws.amazon.com/s3/.
Wählen Sie im linken Navigationsbereich „Buckets“ aus.
Wählen Sie den S3-Bucket aus der Liste aus.
Wählen Sie „Eigenschaften“ aus.
Wählen Sie Standardverschlüsselung aus.
Wählen Sie für die Verschlüsselung AWS-KMS aus.
Wählen Sie AWS-KMS aus, um von AWS KMS verwaltete Schlüssel für die Standardverschlüsselung zu verwenden. Wählen Sie dann einen Masterschlüssel aus der Liste der von Ihnen erstellten AWS KMS-Masterschlüssel aus. Weitere Informationen zum Erstellen von KMS-Schlüsseln finden Sie in der AWS-Dokumentation – Schlüssel erstellen.
Geben Sie den Amazon Resource Name (ARN) des zu verwendenden AWS KMS-Schlüssels ein. Den ARN für Ihren AWS KMS-Schlüssel finden Sie in der IAM-Konsole unter „Verschlüsselungsschlüssel“. Sie können auch einen Schlüsselnamen aus der Drop-down-Liste auswählen.
Wichtig: Diese Lösung unterliegt den RPS-Kontingenten (Anfragen pro Sekunde) von AWS KMS. Weitere Informationen zu AWS KMS-Kontingenten und zum Anfordern einer Kontingenterhöhung finden Sie im Entwicklerleitfaden für AWS Key Management Service.
Klicken Sie auf „Speichern“.

Weitere Informationen zur Verwendung von AWS KMS mit Amazon S3 finden Sie im Amazon Simple Storage Service User Guide.

AWS-CLI

KMS-Schlüssel erstellen

aws kms create-key \
  --description "Key to encrypt S3 buckets"

Schlüsselrotation aktivieren

aws kms enable-key-rotation \
  --key-id <key_id_from_previous_command>

Bucket aktualisieren

aws s3api put-bucket-encryption \
  --bucket my-bucket \
  --server-side-encryption-configuration '{"Rules": [{"ApplyServerSideEncryptionByDefault": {"KMSMasterKeyID": "<id_from_key>", "SSEAlgorithm": "AES256"}}]}'

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Sagemaker Notebook Instance Kms Key Configured`

Kategoriename in der API: SAGEMAKER_NOTEBOOK_INSTANCE_KMS_KEY_CONFIGURED

Prüft, ob ein AWS Key Management Service-Schlüssel (AWS KMS) für eine Amazon SageMaker-Notebookinstanz konfiguriert ist. Die Regel ist NON_COMPLIANT, wenn für die SageMaker-Notebook-Instanz „KmsKeyId“ nicht angegeben ist.

Empfehlung: Prüft, ob alle SageMaker-Notebook-Instanzen für die Verwendung von KMS konfiguriert sind.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Sagemaker Notebook No Direct Internet Access`

Kategoriename in der API: SAGEMAKER_NOTEBOOK_NO_DIRECT_INTERNET_ACCESS

Überprüft, ob der direkte Internetzugriff für eine SageMaker-Notebookinstanz deaktiviert ist. Dazu wird geprüft, ob das Feld „DirectInternetAccess“ für die Notebookinstanz deaktiviert ist.

Wenn Sie Ihre SageMaker-Instanz ohne VPC konfigurieren, ist der direkte Internetzugriff auf Ihrer Instanz standardmäßig aktiviert. Sie sollten die Instanz mit einer VPC konfigurieren und die Standardeinstellung in „Deaktivieren – Internetzugriff über eine VPC“ ändern.

Zum Trainieren oder Hosten von Modellen aus einem Notebook benötigen Sie Internetzugriff. Achten Sie beim Aktivieren des Internetzugriffs darauf, dass Ihre VPC ein NAT-Gateway hat und Ihre Sicherheitsgruppe ausgehende Verbindungen zulässt. Weitere Informationen zum Verbinden einer Notebook-Instanz mit Ressourcen in einer VPC finden Sie im Amazon SageMaker-Entwicklerleitfaden unter „Notebook-Instanz mit Ressourcen in einer VPC verbinden“.

Sie sollten außerdem darauf achten, dass nur autorisierte Nutzer Zugriff auf Ihre SageMaker-Konfiguration haben. IAM-Berechtigungen von Nutzern zum Ändern von SageMaker-Einstellungen und -Ressourcen einschränken.

Empfehlung: Prüft, ob der direkte Internetzugriff für alle Amazon SageMaker-Notebook-Instanzen deaktiviert ist.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

AWS Console

Beachten Sie, dass Sie die Einstellung für den Internetzugriff nicht mehr ändern können, nachdem eine Notebook-Instanz erstellt wurde. Er muss angehalten, gelöscht und neu erstellt werden.

So konfigurieren Sie eine SageMaker-Notebookinstanz, um direkten Internetzugriff zu verhindern:

Öffnen Sie die SageMaker-Konsole unter https://console.aws.amazon.com/sagemaker/.
Rufen Sie Notebook-Instanzen auf.
Löschen Sie die Instanz, für die der direkte Internetzugriff aktiviert ist. Wählen Sie die Instanz aus, klicken Sie auf „Actions“ (Aktionen) und dann auf „Stop“ (Beenden).
Wählen Sie nach dem Beenden der Instanz „Aktionen“ und dann „Löschen“ aus.
Wählen Sie „Notebook-Instanz erstellen“ aus. Geben Sie die Konfigurationsdetails an.
Maximieren Sie den Bereich „Netzwerk“ und wählen Sie eine VPC, ein Subnetz und eine Sicherheitsgruppe aus. Wählen Sie unter „Direkter Internetzugriff“ die Option „Deaktivieren“ – „Internetzugriff über eine VPC“ aus.
Wählen Sie „Notebook-Instanz erstellen“ aus.

Weitere Informationen finden Sie im Amazon SageMaker-Entwicklerleitfaden unter „Notebook-Instanz mit Ressourcen in einer VPC verbinden“.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Secretsmanager Rotation Enabled Check`

Kategoriename in der API: SECRETSMANAGER_ROTATION_ENABLED_CHECK

Prüft, ob ein in AWS Secrets Manager gespeichertes Secret mit automatischer Rotation konfiguriert ist. Das Steuerelement schlägt fehl, wenn das Secret nicht mit automatischer Rotation konfiguriert ist. Wenn Sie einen benutzerdefinierten Wert für den Parameter maximumAllowedRotationFrequency angeben, wird das Steuerelement nur dann übergeben, wenn das Secret innerhalb des angegebenen Zeitfensters automatisch rotiert wird.

Secrets Manager hilft Ihnen, den Sicherheitsstatus Ihrer Organisation zu verbessern. Secrets enthalten Datenbankanmeldedaten, Passwörter und API-Schlüssel von Drittanbietern. Mit Secrets Manager können Sie Secrets zentral speichern und automatisch verschlüsseln sowie den Zugriff auf Secrets sicher und automatisch rotieren.

Secrets Manager kann Secrets rotieren. Mithilfe der Rotation können Sie langfristige Secrets durch kurzfristige Secrets ersetzen. Durch das Rotieren von Secrets wird eingeschränkt, wie lange ein nicht autorisierter Nutzer ein manipuliertes Secret verwenden kann. Aus diesem Grund sollten Sie Ihre Secrets häufig rotieren. Weitere Informationen zur Rotation finden Sie im AWS Secrets Manager-Nutzerhandbuch unter „AWS Secrets Manager-Secrets rotieren“.

Empfehlung: Prüft, ob für alle AWS Secrets Manager-Secrets die Rotation aktiviert ist

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Sns Encrypted Kms`

Kategoriename in der API: SNS_ENCRYPTED_KMS

Prüft, ob ein SNS-Thema im Ruhezustand mit AWS KMS verschlüsselt wird. Die Steuerung schlägt fehl, wenn ein SNS-Thema keinen KMS-Schlüssel für die serverseitige Verschlüsselung (SSE) verwendet.

Durch die Verschlüsselung inaktiver Daten wird das Risiko verringert, dass auf dem Laufwerk gespeicherte Daten von einem Nutzer aufgerufen werden, der nicht bei AWS authentifiziert ist. Darüber hinaus werden weitere Zugriffskontrollen hinzugefügt, um die Möglichkeiten für unbefugte Nutzer einzuschränken, auf die Daten zuzugreifen. Beispielsweise sind API-Berechtigungen erforderlich, um die Daten zu entschlüsseln, bevor sie gelesen werden können. SNS-Themen sollten bei Inaktivität verschlüsselt werden, um eine zusätzliche Sicherheitsebene zu schaffen.

Empfehlung: Prüft, ob alle SNS-Themen mit KMS verschlüsselt sind

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Vpc Default Security Group Closed`

Kategoriename in der API: VPC_DEFAULT_SECURITY_GROUP_CLOSED

Mit dieser Steuerung wird geprüft, ob die Standardsicherheitsgruppe einer VPC eingehenden oder ausgehenden Traffic zulässt. Die Steuerung schlägt fehl, wenn die Sicherheitsgruppe eingehenden oder ausgehenden Traffic zulässt.

Die Regeln für die Standardsicherheitsgruppe lassen den gesamten ausgehenden und eingehenden Traffic von Netzwerkschnittstellen (und den zugehörigen Instanzen) zu, die derselben Sicherheitsgruppe zugewiesen sind. Wir empfehlen, nicht die Standardsicherheitsgruppe zu verwenden. Da die Standardsicherheitsgruppe nicht gelöscht werden kann, sollten Sie die Einstellung für die Standardregeln für Sicherheitsgruppen ändern, um den ein- und ausgehenden Traffic einzuschränken. Dadurch wird unbeabsichtigter Traffic verhindert, wenn die Standardsicherheitsgruppe versehentlich für Ressourcen wie EC2-Instanzen konfiguriert wurde.

Empfehlung: Achten Sie darauf, dass die Standardsicherheitsgruppe jeder VPC den gesamten Traffic einschränkt

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Vpc Flow Logging Enabled All Vpcs`

Kategoriename in der API: VPC_FLOW_LOGGING_ENABLED_ALL_VPCS

VPC-Flusslogs sind ein Feature, mit dem Sie Informationen über den IP-Traffic erfassen können, der an Netzwerkschnittstellen in Ihrer VPC ein- und ausgeht. Nachdem Sie ein Flusslog erstellt haben, können Sie dessen Daten in Amazon CloudWatch-Logs ansehen und abrufen. Es wird empfohlen, VPC-Flusslogs für das Paket „Abgelehnt“ für VPCs zu aktivieren.

Empfehlung: Achten Sie darauf, dass das VPC-Fluss-Logging in allen VPCs aktiviert ist.

Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:

AWS-Konsole

In der Verwaltungskonsole anmelden
Services und dann VPC auswählen
Wählen Sie im linken Navigationsbereich Your VPCs aus.
VPC auswählen
Wählen Sie im rechten Bereich den Tab Flow Logs aus.
Wenn kein Flusslog vorhanden ist, klicken Sie auf Create Flow Log.
Wählen Sie als Filter Reject aus.
Geben Sie einen Role und eine Destination Log Group ein
Klicken Sie auf Create Log Flow.
Klicken Sie auf CloudWatch Logs Group.

Hinweis:Wenn Sie den Filter auf „Ablehnen“ festlegen, werden deutlich weniger Logging-Daten für diese Empfehlung erfasst und es werden ausreichend Informationen für die Erkennung, Untersuchung und Behebung von Verstößen bereitgestellt. In Zeiten mit der geringsten Berechtigung kann der Filter jedoch auf „Alle“ gesetzt werden, um vorhandene Trafficflüsse zu ermitteln, die für den ordnungsgemäßen Betrieb einer bereits ausgeführten Umgebung erforderlich sind.

AWS-CLI

Erstellen Sie ein Richtliniendokument mit dem Namen role_policy_document.json und fügen Sie den folgenden Inhalt ein:

{
 "Version": "2012-10-17",
 "Statement": [
 {
 "Sid": "test",
 "Effect": "Allow",
 "Principal": {
 "Service": "ec2.amazonaws.com"
 },
 "Action": "sts:AssumeRole"
 }
 ]
}

Erstellen Sie ein weiteres Richtliniendokument und nennen Sie es iam_policy.json und fügen Sie den folgenden Inhalt ein:

{
 "Version": "2012-10-17",
 "Statement": [
 {
 "Effect": "Allow",
 "Action":[
 "logs:CreateLogGroup",
 "logs:CreateLogStream",
 "logs:DescribeLogGroups",
 "logs:DescribeLogStreams",
 "logs:PutLogEvents",
 "logs:GetLogEvents",
 "logs:FilterLogEvents"
 ],
 "Resource": "*"
 }
 ]
}

Führen Sie den folgenden Befehl aus, um eine IAM-Rolle zu erstellen:

aws iam create-role --role-name <aws_support_iam_role> --assume-role-policy-document file://<file-path>role_policy_document.json

Führen Sie den folgenden Befehl aus, um eine IAM-Richtlinie zu erstellen:

aws iam create-policy --policy-name <ami-policy-name> --policy-document file://<file-path>iam-policy.json

Führen Sie den Befehl attach-group-policy mit dem im vorherigen Schritt zurückgegebenen ARN der IAM-Richtlinie aus, um die Richtlinie an die IAM-Rolle anzuhängen. Wenn der Befehl erfolgreich ist, wird keine Ausgabe zurückgegeben:

aws iam attach-group-policy --policy-arn arn:aws:iam::<aws-account-id>:policy/<iam-policy-name> --group-name <group-name>

Führen Sie describe-vpcs aus, um die in der ausgewählten Region verfügbare VpcId abzurufen:

aws ec2 describe-vpcs --region <region>

Die Befehlsausgabe sollte die VPC-ID zurückgeben, die in der ausgewählten Region verfügbar ist.
Führen Sie create-flow-logs aus, um ein Flusslog für den VPC zu erstellen:

aws ec2 create-flow-logs --resource-type VPC --resource-ids <vpc-id> --traffic-type REJECT --log-group-name <log-group-name> --deliver-logs-permission-arn <iam-role-arn>

Wiederholen Sie Schritt 8 für andere VPCs, die in der ausgewählten Region verfügbar sind.
Ändern Sie die Region, indem Sie „--region“ aktualisieren und das Abhilfeverfahren für andere VPCs wiederholen.

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Vpc Sg Open Only To Authorized Ports`

Kategoriename in der API: VPC_SG_OPEN_ONLY_TO_AUTHORIZED_PORTS

Dieses Steuerelement prüft, ob eine Amazon EC2-Sicherheitsgruppe uneingeschränkten eingehenden Traffic von nicht autorisierten Ports zulässt. Der Status der Kontrollgruppe wird wie folgt bestimmt:

Wenn Sie den Standardwert für AuthorizedTcpPorts verwenden, schlägt die Steuerung fehl, wenn die Sicherheitsgruppe uneingeschränkten eingehenden Traffic von jedem Port außer den Ports 80 und 443 zulässt.

Wenn Sie benutzerdefinierte Werte für „authorizedTcpPorts“ oder „authorizedUdpPorts“ angeben, schlägt die Steuerung fehl, wenn die Sicherheitsgruppe uneingeschränkten eingehenden Traffic von einem nicht aufgeführten Port zulässt.

Wird kein Parameter verwendet, schlägt die Steuerung bei allen Sicherheitsgruppen fehl, für die eine Regel für uneingeschränkten eingehenden Traffic gilt.

Sicherheitsgruppen bieten eine zustandsorientierte Filterung des ein- und ausgehenden Netzwerktraffics zu AWS. Regeln für Sicherheitsgruppen sollten dem Prinzip der geringsten Berechtigung folgen. Uneingeschränkter Zugriff (IP-Adresse mit einem /0-Suffix) erhöht die Wahrscheinlichkeit für schädliche Aktivitäten wie Hacking, Denial-of-Service-Angriffe und Datenverluste. Sofern ein Port nicht ausdrücklich zugelassen ist, sollte er uneingeschränkten Zugriff verweigern.

Empfehlung: Prüft, ob jede Sicherheitsgruppe mit 0.0.0.0/0 einer VPC nur bestimmten eingehenden TCP/UDP-Traffic zulässt

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

`Both VPC VPN Tunnels Up`

Kategoriename in der API: VPC_VPN_2_TUNNELS_UP

Ein VPN-Tunnel ist eine verschlüsselte Verbindung, über die Daten innerhalb einer AWS Site-to-Site-VPN-Verbindung vom Kundennetzwerk zu oder von AWS übertragen werden können. Jede VPN-Verbindung umfasst zwei VPN-Tunnel, die Sie gleichzeitig für Hochverfügbarkeit nutzen können. Es ist wichtig, dass beide VPN-Tunnel für eine VPN-Verbindung aktiv sind, um eine sichere und hochverfügbare Verbindung zwischen einer AWS-VPC und Ihrem Remote-Netzwerk zu gewährleisten.

Mit dieser Steuerung wird geprüft, ob beide von AWS Site-to-Site VPN bereitgestellten VPN-Tunnel den Status „UP“ haben. Die Steuerung schlägt fehl, wenn sich einer oder beide Tunnel im AUS-Status befinden.

Empfehlung: Prüft, ob beide von AWS Site-to-Site bereitgestellten AWS-VPN-Tunnel den Status „UP“ haben

Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.