Soluciona los problemas de las estadísticas de estado de seguridad

>

En esta página, se proporciona una lista de guías de referencia y técnicas para corregir los resultados de las estadísticas del estado de seguridad mediante el Security Command Center.

Necesitas funciones de administración de identidades y accesos (IAM) adecuadas para ver o editar los hallazgos, y acceder a los recursos de Google Cloud o modificarlos. Si encuentras errores de acceso en el panel de Security Command Center, solicita asistencia a tu administrador y consulta Control de acceso para obtener información sobre las funciones. Para resolver los errores de recursos, lee la documentación de los productos afectados.

Solución de estadísticas de estado de seguridad

En esta sección, se incluyen instrucciones para solucionar todos los resultados de las estadísticas del estado de seguridad.

ADMIN_SERVICE_ACCOUNT

Una cuenta de servicio en tu organización tiene privilegios de administrador, propietario o editor asignados a ella. Estas funciones tienen permisos amplios y no deben asignarse a cuentas de servicio. Para obtener información sobre las cuentas de servicio y las funciones disponibles, consulta Cuentas de servicio.

Para solucionar el problema, haz lo siguiente:

  1. Dirígete a la página de la política de IAM.
    Ir a la política de IAM
  2. Para cada miembro identificado en el resultado:
    1. Haz clic en Editar junto al miembro.
    2. Para quitar permisos, haz clic en Borrar junto a la función infractora.
    3. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

API_KEY_APIS_UNRESTRICTED

Hay claves de API que se usan de una forma demasiado general.

Las claves de API sin restricciones no son seguras porque se pueden recuperar desde dispositivos en los que la clave se almacena o se pueden ver de forma pública, por ejemplo, desde un navegador. De acuerdo con el principio del mínimo privilegio, configura las claves de API para llamar solo a las API requeridas por la aplicación. Para obtener más información, consulta Usa claves de API.

Para solucionar el problema, haz lo siguiente:

  1. Ir a la página Claves de API.
    Ir a las claves de API
  2. Para cada clave de API, haz lo siguiente:
    1. Haz clic en Editar .
    2. En Restricciones de API, haz clic en Restringir clave.
    3. En la lista desplegable Seleccionar las API, selecciona las API que quieres permitir.
    4. Haz clic en Guardar. La configuración puede tardar hasta cinco minutos en aplicarse.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

API_KEY_APPS_UNRESTRICTED

Hay claves de API que se usan de forma no restringida, lo que permite el uso de cualquier app no confiable.

Las claves de API sin restricciones no son seguras porque se pueden recuperar en dispositivos en los que la clave se almacena o se pueden ver de forma pública, por ejemplo, desde un navegador. De acuerdo con el principio del mínimo privilegio, restringe el uso de la clave de API a los hosts de confianza, referencias de HTTP y aplicaciones. Para obtener más información, consulta cómo agregar restricciones a la aplicación.

Para solucionar el problema, haz lo siguiente:

  1. Ir a la página Claves de API.
    Claves de API de Go
  2. Para cada clave de API, haz lo siguiente:
    1. Haz clic en Editar .
    2. En Restricciones de aplicaciones, selecciona una categoría de restricción. Puedes configurar una restricción de aplicaciones por clave.
    3. Haz clic en Agregar un elemento para agregar restricciones según las necesidades de tu aplicación.
    4. Cuando termines de agregar elementos, haz clic en Listo.
    5. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

API_KEY_EXISTS

Un proyecto usa claves de API en lugar de la autenticación estándar.

Las claves de API son inseguras porque son strings encriptadas simples y son fáciles de detectar y usar para los demás. Se pueden recuperar en dispositivos en los que la clave se almacena o se puede ver de manera pública, por ejemplo, desde un navegador. Además, las claves de API no identifican de forma única a los usuarios o las aplicaciones que realizan solicitudes. En su lugar, usa un flujo de autenticación estándar. Consulta Autenticarse como usuario final para obtener más información.

Para solucionar el problema, haz lo siguiente:

  1. Asegúrate de que tus aplicaciones estén configuradas con una forma de autenticación alternativa.
  2. Ve a la página Credenciales de API.
    Ir a las credenciales de API
  3. En la sección Claves de API, haz clic en Borrar junto a cada clave de API.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

API_KEY_NOT_ROTATED

Una clave de API no se ha rotado durante más de 90 días.

Las claves de API no caducan, de modo que si se roban una, podría usarse de forma indefinida a menos que el propietario del proyecto revoque o rote la clave. Volver a generar claves de API a menudo reduce la cantidad de tiempo que se puede usar una clave de API robada para acceder a los datos de una cuenta comprometida o cerrada. Rota las claves de API al menos cada 90 días. Para obtener más información, consulta Protege una clave de API.

Para solucionar el problema, haz lo siguiente:

  1. Ir a la página Claves de API.
    Ir a las claves de API
  2. Para cada clave de API, haz lo siguiente:
    1. Revisa la Fecha de creación.
    2. Si la clave tiene más de 90 días, haz clic en el nombre o en Editar .
    3. En la parte superior de la página, haz clic en la clave Regenerar.
    4. Haz clic en Reemplazar clave.
    5. Si deseas garantizar que tus aplicaciones continúen funcionando sin interrupciones, actualízalas para que usen la nueva clave de API. La clave de API anterior funciona durante 24 horas antes de que se desactive de forma permanente.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

AUDIT_CONFIG_NOT_MONITORED

Las métricas y métricas de registro no están configuradas para supervisar los cambios de configuración de auditoría.

Cloud Logging produce registros de actividad del administrador y de acceso a los datos que permiten análisis de seguridad, seguimiento de cambios de recursos y auditoría de cumplimiento. Si supervisas los cambios de configuración de la auditoría, te aseguras de que todas las actividades de tu proyecto se puedan auditar en cualquier momento. Para obtener más información, consulta Descripción general de las métricas basadas en registros.

Según la cantidad de información, los costos de Cloud Monitoring pueden ser significativos. Para comprender tu uso del servicio y sus costos, consulta Optimización de costos para Google Cloud's operations suite.

Para solucionar este problema, crea métricas, si es necesario, y políticas de alerta:

Crear métrica

  1. Ve a la página Métricas basadas en registros.
    Ir a las métricas basadas en registros
  2. Haga clic en Crear métrica.
  3. En Tipo de métrica, selecciona Contador.
  4. En Detalles (Details), haz lo siguiente:
    1. Establece un nombre de métrica de registro.
    2. Agrega una descripción.
    3. Establece las Unidades en 1.
  5. En Selección de filtros, copia y pega el siguiente texto en el cuadro Filtro de compilación, si reemplazas el texto existente, si es necesario:
      protoPayload.methodName="SetIamPolicy"
      AND protoPayload.serviceData.policyDelta.auditConfigDeltas:*
    
  6. Haga clic en Crear métrica. Verás un mensaje de confirmación.

Crea una política de alertas

  1. Ve a la página Métricas basadas en registros.
    Ir a las métricas basadas en registros
  2. En la sección Métricas definidas por el usuario, selecciona la métrica que creaste en la sección anterior.
  3. Haz clic en Más y, luego, en Crear alerta de métrica. Si se te solicita que agregues tu proyecto a un espacio de trabajo, completa ese proceso.
  4. En el menú de navegación de la página que se abre, haz clic en Alertas.
  5. En ¿Qué deseas hacer el seguimiento?, haz clic en Agregar condición y completa el cuadro de diálogo para definir qué recursos se supervisan y cuándo se activan las alertas. Para obtener información sobre los campos de una condición, consulta Especifica condiciones.
  6. Cuando termines, haz clic en Agregar y, luego, en Siguiente.
  7. En ¿Quiénes deben recibir notificaciones?, haz clic en el menú desplegable Canales de notificación y selecciona cómo deseas recibirlos. Para obtener más información, consulta Administra canales de notificación.
  8. Haz clic en Aceptar y, luego, en Siguiente.
  9. En ¿Cuáles son los pasos para solucionar el problema?, configura un nombre de alerta.
  10. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

AUDIT_LOGGING_DISABLED

El registro de auditoría se inhabilitó para este recurso.

Habilita Cloud Logging para todos los servicios a fin de realizar un seguimiento de todas las actividades de administrador, acceso de lectura y escritura a los datos del usuario. Según la cantidad de información, los costos de Cloud Logging pueden ser significativos. Para comprender tu uso del servicio y su costo, consulta Optimización de costos para Google Cloud's operations suite.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Configuración de auditoría predeterminada.
    Ir a la configuración de auditoría predeterminada
  2. En la pestaña Tipo de registro, selecciona Lectura de administrador, Lectura de datos y Escritura de datos.
  3. Haz clic en Guardar.
  4. En la pestaña Usuarios exentos, haz clic en Borrar junto a cada nombre para quitar a todos los usuarios enumerados.
  5. Haz clic en Guardar.

Obtén información sobre los elementos de búsqueda y elementos compatibles de este tipo de resultado.

AUTO_BACKUP_INHABILITADO

Una base de datos de Cloud SQL no tiene habilitadas las copias de seguridad automáticas.

A fin de evitar la pérdida de datos, activa las copias de seguridad automáticas para las instancias de SQL. Para obtener más información, consulta la página sobre cómo crear y administrar copias de seguridad automáticas y bajo demanda.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Copias de seguridad de instancia de SQL.
    Ir a las copias de seguridad de instancias de SQL
  2. Junto a Configuración, haga clic en Editar .
  3. Selecciona la casilla Automatizar copias de seguridad.
  4. En el menú desplegable, elige un período para que se cree una copia de seguridad de tus datos automáticamente.
  5. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

AUTO_REPAIR_DISABLED

Una característica de reparación automática de un clúster de Google Kubernetes Engine (GKE), que mantiene los nodos en buen estado y en ejecución, está inhabilitado.

Cuando está habilitado, GKE realiza verificaciones periódicas sobre el estado de cada nodo en tu clúster. Si un nodo falla en varias verificaciones de estado consecutivas durante un período prolongado, GKE inicia un proceso de reparación para ese nodo. Para obtener más información, consulta Nodos de reparación automática.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Clústeres de Kubernetes.
    Ir a clústeres de Kubernetes

  2. Haz clic en la pestaña Nodos.

  3. En cada grupo de nodos:

    1. Haz clic en el nombre del grupo de nodos para ir a su página de detalles.
    2. Haz clic en Editar .
    3. En Administración, selecciona Habilitar reparación automática.
    4. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

AUTO_UPDATED_DISABLED

Se inhabilita la característica de actualización automática de un clúster de GKE, que conserva los clústeres y grupos de nodos de la última versión estable de Kubernetes.

Para obtener más información, consulta Cómo actualizar automáticamente los nodos.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Clústeres de Kubernetes.
    Ir a clústeres de Kubernetes
  2. En la lista de clústeres, haz clic en el nombre del clúster.
  3. Haz clic en la pestaña Nodos.
  4. Para cada grupo de nodos:
    1. Haz clic en el nombre del grupo de nodos para ir a su página de detalles.
    2. Haz clic en Editar .
    3. En Administración, selecciona Habilitar actualización automática.
    4. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

BUCKET_CMEK_DISABLED

Un depósito no se encripta con claves de encriptación administradas por el cliente (CMEK).

Configurar una CMEK predeterminada en un depósito te da más control sobre el acceso a tus datos. Para obtener más información, consulta Claves de encriptación administradas por el cliente.

Para solucionar este problema, usa CMEK con un depósito mediante el uso de claves de encriptación administradas por el cliente. Las CMEK generan costos adicionales relacionados con Cloud KMS.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

BUCKET_IAM_NOT_MONITORED

Las métricas y las métricas de registro no están configuradas para supervisar los cambios de permiso de IAM de Cloud Storage.

La supervisión de cambios en los permisos de depósitos de Cloud Storage te ayuda a identificar a los usuarios con privilegios excesivos o la actividad sospechosa. Para obtener más información, consulta Descripción general de las métricas basadas en registros.

Según la cantidad de información, los costos de Cloud Monitoring pueden ser significativos. Para comprender tu uso del servicio y sus costos, consulta Optimización de costos para Google Cloud's operations suite.

Para solucionar el problema, haz lo siguiente:

Crear métrica

  1. Ve a la página Métricas basadas en registros.
    Ir a las métricas basadas en registros
  2. Haga clic en Crear métrica.
  3. En Tipo de métrica, selecciona Contador.
  4. En Detalles (Details), haz lo siguiente:
    1. Establece un nombre de métrica de registro.
    2. Agrega una descripción.
    3. Establece las Unidades en 1.
  5. En Selección de filtros, copia y pega el siguiente texto en el cuadro Filtro de compilación, si reemplazas el texto existente, si es necesario:
      resource.type=gcs_bucket
      AND protoPayload.methodName="storage.setIamPermissions"
    
  6. Haga clic en Crear métrica. Verás un mensaje de confirmación.

Crea una política de alertas

  1. Ve a la página Métricas basadas en registros.
    Ir a las métricas basadas en registros
  2. En la sección Métricas definidas por el usuario, selecciona la métrica que creaste en la sección anterior.
  3. Haz clic en Más y, luego, en Crear alerta de métrica. Si se te solicita que agregues tu proyecto a un lugar de trabajo, completa ese proceso.
  4. En el menú de navegación de la página que se abre, haz clic en Alertas.
  5. En ¿Qué deseas hacer el seguimiento?, haz clic en Agregar condición y completa el cuadro de diálogo para definir qué recursos se supervisan y cuándo se activan las alertas. Para obtener información sobre los campos de una condición, consulta Especifica condiciones.
  6. Cuando termines, haz clic en Agregar y, luego, en Siguiente.
  7. En ¿Quiénes deben recibir notificaciones?, haz clic en el menú desplegable Canales de notificación y selecciona cómo deseas recibirlos. Para obtener más información, consulta Administra canales de notificación.
  8. Haz clic en Aceptar y, luego, en Siguiente.
  9. En ¿Cuáles son los pasos para solucionar el problema?, configura un nombre de alerta.
  10. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

BUCKET_LOGGING_DISABLED

Un depósito de almacenamiento sin registro habilitado

Para investigar los problemas de seguridad y supervisar el consumo de almacenamiento, habilita los registros de acceso y la información de almacenamiento en tus depósitos de Cloud Storage. Los registros de acceso proporcionan información de todas las solicitudes hechas a un depósito específico, y los registros de almacenamiento ofrecen información sobre el consumo de almacenamiento de ese depósito.

A fin de solucionar este problema, configura el registro para el depósito que indica el análisis de estado de seguridad; para ello, completa la guía sobre registros de uso y registros de almacenamiento.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

BUCKET_POLICY_ONLY_DISABLED

El acceso uniforme a nivel de depósito, antes llamado Solo política del depósito, no está configurado.

El acceso uniforme a nivel de depósito simplifica el control de acceso a depósitos mediante la inhabilitación de los permisos a nivel de objeto (LCA). Cuando se habilita, solo los permisos de IAM a nivel de depósito otorgan acceso al depósito y a los objetos que contiene. Para obtener más información, consulta Acceso uniforme a nivel de depósito.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Navegador de Cloud Storage.
    Ir al navegador de Cloud Storage
  2. En la lista de depósitos, haz clic en el nombre del depósito deseado.
  3. Haz clic en la pestaña Permisos.
  4. En la tarjeta Control de acceso, haz clic en Cambiar a uniforme.
  5. En el cuadro de diálogo, selecciona Uniforme.
  6. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

CLUSTER_LOGGING_DISABLED

Logging no está habilitado para un clúster de GKE.

Para investigar los problemas de seguridad y supervisar el uso, habilita Cloud Logging en tus clústeres.

Según la cantidad de información, los costos de Cloud Logging pueden ser significativos. Para comprender tu uso del servicio y su costo, consulta Optimización de costos para Google Cloud's operations suite.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Clústeres de Kubernetes en Cloud Console.
    Ir a clústeres de Kubernetes
  2. Selecciona el clúster enumerado en el resultado de las estadísticas del estado de seguridad.
  3. Haz clic en  Editar.

    Si la configuración del clúster cambió recientemente, el botón de edición puede estar inhabilitado. Si no puedes editar la configuración del clúster, espera unos minutos y vuelve a intentarlo.

  4. En la lista desplegable Stackdriver Logging heredado o Stackdriver Kubernetes Engine Monitoring, selecciona Habilitado.

    Estas opciones no son compatibles. Asegúrate de usar Stackdriver Logging heredado con Stackdriver Monitoring heredado o solo Stackdriver Kubernetes Engine Monitoring.

  5. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

CLUSTER_MONITORING_DISABLED

Monitoring está inhabilitado en los clústeres de GKE.

Para investigar los problemas de seguridad y supervisar el uso, habilita Cloud Monitoring en tus clústeres.

Según la cantidad de información, los costos de Cloud Monitoring pueden ser significativos. Para comprender tu uso del servicio y sus costos, consulta Optimización de costos para Google Cloud's operations suite.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Clústeres de Kubernetes en Cloud Console.
    Ir a clústeres de Kubernetes
  2. Selecciona el clúster enumerado en el resultado de las estadísticas del estado de seguridad.
  3. Haz clic en  Editar.

    Si la configuración del clúster cambió recientemente, el botón de edición puede estar inhabilitado. Si no puedes editar la configuración del clúster, espera unos minutos y vuelve a intentarlo.

  4. En la lista desplegable Stackdriver Monitoring heredado o Stackdriver Kubernetes Engine Monitoring, selecciona Habilitado.

    Estas opciones no son compatibles. Asegúrate de usar Stackdriver Monitoring heredado con Stackdriver Logging heredado o solo Stackdriver Kubernetes Engine Monitoring.

  5. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED

Los hosts de clúster no están configurados para usar solo direcciones IP internas privadas a fin de acceder a las API de Google.

El acceso privado a Google permite que las instancias de máquinas virtuales (VM) solo con direcciones IP internas y privadas lleguen a las direcciones IP públicas de los servicios y las API de Google. Para obtener más información, consulta Cómo configurar el acceso privado a Google.

Para solucionar el problema, haz lo siguiente:

  1. Ir a la página Redes de nube privada virtual
    Ir a Redes de VPC
  2. En la lista de redes, haz clic en el nombre de la red deseada.
  3. En la página Detalles de red de VPC, haz clic en la pestaña Subredes.
  4. En la lista de subredes, haz clic en el nombre de la subred asociada con el clúster de Kubernetes en el resultado.
  5. En la página Detalles de la subred, haz clic en Editar .
  6. En Acceso privado a Google, selecciona Activado.
  7. Haz clic en Guardar.
  8. Para quitar IP públicas (externas) de instancias de VM cuyo tráfico externo es solo a las API de Google, consulta Cómo anular la asignación de una dirección IP externa estática.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

Se usan las Llaves SSH de nivel de proyecto, lo que permite el acceso a todas las instancias del proyecto.

El uso de Llaves SSH de nivel de proyecto facilita la administración de Llaves SSH, pero, si se ve comprometida, plantea un riesgo de seguridad que pueda afectar todas las instancias dentro de un proyecto. Debes usar Llaves SSH específicas de la instancia, que limitan la superficie de ataque si las llaves SSH están comprometidas. Para obtener más información, consulta Administra Llaves SSH en los metadatos.

Para solucionar el problema, haz lo siguiente:

  1. Ir a la página Instancias de VM
    Ir a instancias de VM
  2. En la lista de instancias, haz clic en el nombre de la instancia en el resultado.
  3. En la página Detalles de la instancia de VM, haz clic en Editar.
  4. En Llaves SSH, selecciona Bloquear Llaves SSH para todo el proyecto.
  5. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

COMPUTE_SECURE_BOOT_DISABLED

Una VM protegida no tiene habilitado el inicio seguro.

Usar el Inicio seguro ayuda a proteger tus máquinas virtuales de los rootkits y bootkits. Compute Engine no habilita el inicio seguro de forma predeterminada porque algunos controladores sin firmar y software de nivel bajo no son compatibles. Si tu VM no usa software incompatible y se inicia con el Inicio seguro habilitado, Google recomienda usar el inicio seguro. Si usas módulos de terceros con controladores Nvidia, asegúrate de que sean compatibles con el Inicio seguro antes de habilitarlo.

Para obtener más información, consulta la documentación sobre Inicio seguro.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Instancias de VM en Cloud Console.
    Ir a Instancias de VM
  2. En la lista de instancias, haz clic en el nombre de la instancia en el resultado.
  3. En la página Detalles de la instancia de VM, haz clic en Detener.
  4. Una vez que la instancia se detenga, haz clic en Editar.
  5. En VM protegida, selecciona Activar el inicio seguro.
  6. Haz clic en Guardar.
  7. Haz clic en Iniciar para iniciar la instancia.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

COMPUTE_SERIAL_PORTS_ENABLED

Los puertos en serie están habilitados para una instancia, lo que permite conexiones a la consola en serie de la instancia.

Si habilitas esta consola en una instancia, los clientes pueden intentar conectarse a esa instancia desde cualquier dirección IP. Por lo tanto, se debe inhabilitar la compatibilidad con la consola en serie interactiva. Para obtener más información, consulta Habilita el acceso para un proyecto.

Para solucionar el problema, haz lo siguiente:

  1. Ir a la página Instancias de VM
    Ir a instancias de VM
  2. En la lista de instancias, haz clic en el nombre de la instancia en el resultado.
  3. En la página Detalles de la instancia de VM, haz clic en Editar.
  4. En Acceso remoto, desmarca Habilitar conexión a puertos en serie.
  5. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

COS_NOT_USE

Las VM de Compute Engine no usan Container-Optimized OS, que está diseñado para ejecutar contenedores de Docker en Google Cloud de forma segura.

Container-Optimized OS es el SO que recomienda Google para alojar y ejecutar contenedores en Google Cloud. El tamaño reducido del SO minimiza los riesgos de seguridad, mientras que las actualizaciones automáticas aplican parches a vulnerabilidades de seguridad con rapidez. Para obtener más información, consulta la descripción general de Container-Optimized OS.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Clústeres de Kubernetes.
    Ir a clústeres de Kubernetes
  2. En la lista de clústeres, haz clic en el nombre del clúster en el resultado.
  3. Haz clic en la pestaña Nodos.
  4. Para cada grupo de nodos:
    1. Haz clic en el nombre del grupo de nodos para ir a su página de detalles.
    2. Haz clic en Editar .
    3. En Nodos ->> Tipo de imagen, haz clic en Cambiar.
    4. Selecciona Container-Optimized OS y, luego, haz clic en Cambiar.
    5. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

CUSTOM_ROLE_NOT_MONITORED

Las métricas y las alertas de registro no están configuradas para supervisar los cambios de las funciones personalizadas.

IAM proporciona funciones predefinidas y personalizadas que otorgan acceso a recursos específicos de Google Cloud. Mediante la supervisión, la eliminación y la actualización de actividades de las funciones, puedes identificar las funciones con privilegios en etapas iniciales. A fin de obtener más información, consulta Descripción general de las métricas basadas en registros.

Según la cantidad de información, los costos de Cloud Monitoring pueden ser significativos. Para comprender tu uso del servicio y sus costos, consulta Optimización de costos para Google Cloud's operations suite.

Para solucionar el problema, haz lo siguiente:

Crear métrica

  1. Ve a la página Métricas basadas en registros.
    Ir a las métricas basadas en registros
  2. Haga clic en Crear métrica.
  3. En Tipo de métrica, selecciona Contador.
  4. En Detalles (Details), haz lo siguiente:
    1. Establece un nombre de métrica de registro.
    2. Agrega una descripción.
    3. Establece las Unidades en 1.
  5. En Selección de filtros, copia y pega el siguiente texto en el cuadro Filtro de compilación, si reemplazas el texto existente, si es necesario:
      resource.type="iam_role"
      AND protoPayload.methodName="google.iam.admin.v1.CreateRole"
      OR protoPayload.methodName="google.iam.admin.v1.DeleteRole"
      OR protoPayload.methodName="google.iam.admin.v1.UpdateRole"
    
  6. Haga clic en Crear métrica. Verás un mensaje de confirmación.

Crea una política de alertas

  1. Ve a la página Métricas basadas en registros.
    Ir a las métricas basadas en registros
  2. En la sección Métricas definidas por el usuario, selecciona la métrica que creaste en la sección anterior.
  3. Haz clic en Más y, luego, en Crear alerta de métrica. Si se te solicita que agregues tu proyecto a un lugar de trabajo, completa ese proceso.
  4. En el menú de navegación de la página que se abre, haz clic en Alertas.
  5. En ¿Qué deseas hacer el seguimiento?, haz clic en Agregar condición y completa el cuadro de diálogo para definir qué recursos se supervisan y cuándo se activan las alertas. Para obtener información sobre los campos de una condición, consulta Especifica condiciones.
  6. Cuando termines, haz clic en Agregar y, luego, en Siguiente.
  7. En ¿Quiénes deben recibir notificaciones?, haz clic en el menú desplegable Canales de notificación y selecciona cómo deseas recibirlos. Para obtener más información, consulta Administra canales de notificación.
  8. Haz clic en Aceptar y, luego, en Siguiente.
  9. En ¿Cuáles son los pasos para solucionar el problema?, configura un nombre de alerta.
  10. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

DEFAULT_NETWORK

La red predeterminada existe en un proyecto.

Las redes predeterminadas crearon automáticamente reglas de firewall y configuraciones de red que podrían no ser seguras. Para obtener más información, consulta Red predeterminada.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Redes de VPC en Cloud Console.
    Ir a redes de VPC
  2. En la lista de redes, haz clic en el nombre de la red predeterminada.
  3. En la página Detalles de red de VPC, haz clic en Borrar red de VPC.
  4. Para crear una red nueva con reglas de firewall personalizadas, consulta cómo crear redes.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

DEFAULT_SERVICE_ACCOUNT_USE

Una instancia de Compute Engine se configura para usar la cuenta de servicio predeterminada.

La cuenta de servicio de Compute Engine predeterminada tiene la función Editor en el proyecto, que permite el acceso de lectura y escritura a la mayoría de los servicios de Google Cloud. Para defenderte de las derivaciones de privilegios y el acceso no autorizado, no uses la cuenta de servicio de Compute Engine predeterminada. En su lugar, crea una cuenta de servicio nueva y asigna solo los permisos que necesita la instancia. Lee Control de acceso para obtener información sobre las funciones y los permisos.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Instancias de VM en Cloud Console.
    Ir a Instancias de VM
  2. Selecciona la instancia relacionada con el resultado de las estadísticas del estado de seguridad.
  3. En la página Detalles de la instancia que se carga, haz clic en Detener.
  4. Una vez que la instancia se detenga, haz clic en Editar (Edit).
  5. En la sección Cuenta de servicio, selecciona una cuenta de servicio que no sea la predeterminada de Compute Engine. Es posible que primero debas crear una cuenta de servicio nueva. Lee Control de acceso para obtener información sobre las funciones y permisos de IAM.
  6. Haz clic en Guardar. La configuración nueva aparecerá en la página Detalles de la instancia.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

DISK_CMEK_INHABILITADA

Los discos de esta VM no están encriptados con claves de encriptación administradas por el cliente (CMEK).

Mediante las CMEK, las claves que creas y administras en Cloud KMS unen las claves que Google usa para encriptar tus datos, lo que te brinda más control sobre el acceso a tus datos. Para obtener más información, consulta Protege recursos con claves de Cloud KMS.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Discos de Compute Engine en Cloud Console.
    Ir a discos de Compute Engine
  2. En la lista de discos, haz clic en el nombre del disco indicado en el hallazgo.
  3. En la página Administrar disco, haz clic en Borrar.
  4. Para crear un disco nuevo con CMEK habilitadas, consulta Encripta un disco persistente nuevo con tus propias claves. Las CMEK generan costos adicionales relacionados con Cloud KMS.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

DISK_CSEK_DISABLED

Los discos en esta VM no están encriptados con claves de encriptación proporcionadas por el cliente (CSEK). Los discos para las VM críticas se deben encriptar con CSEK.

Si proporcionas tus propias claves de encriptación, Compute Engine las usa a fin de proteger las claves generadas por Google que se usan para encriptar y desencriptar tus datos. Para obtener más información, consulta Claves de encriptación proporcionadas por el cliente. CSEK genera costos adicionales relacionados con Cloud KMS.

Para solucionar el problema, haz lo siguiente:

Borrar y crear disco

Solo puedes encriptar discos persistentes nuevos con tu propia clave. No puedes usarla para encriptar discos persistentes existentes.

  1. Ve a la página Discos de Compute Engine en Cloud Console.
    Ir a discos de Compute Engine
  2. En la lista de discos, haz clic en el nombre del disco indicado en el hallazgo.
  3. En la página Administrar disco, haz clic en Borrar.
  4. Para crear un disco nuevo con CSEK habilitado, consulta Encriptar discos con claves de encriptación proporcionadas por el cliente.
  5. Completa los pasos restantes para habilitar el detector.

Habilita el detector

  1. Ve a la página Elementos del Security Command Center en Cloud Console.
    Ir a activos
  2. Junto a Ver por, haz clic en Tipo de recurso.
  3. En la lista de recursos, selecciona Disco. La tabla se propaga con una lista de tus discos.
  4. En resourceProperties.name, marca la casilla junto al nombre del disco que deseas usar con CSEK y, luego, haz clic en Configurar marcas de seguridad.
  5. En el diálogo, haz clic en Agregar marcador.
  6. En el campo clave, ingresa enforce_customer_supplied_disk_encryption_keys y, en el campo valor, ingresa true.
  7. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

DNSSEC_DISABLED

Las extensiones de seguridad del sistema de nombres de dominio (DNSSEC) están inhabilitadas para las zonas de Cloud DNS.

Las DNSSEC validan las respuestas de DNS y mitigan los riesgos, como la usurpación de DNS y los ataques de persona en intermediario, mediante la firma criptográfica de los registros DNS. Debes habilitar DNSSEC. Consulta la descripción general de las extensiones de seguridad de DNS (DNSSEC) para obtener más información.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Cloud DNS en Cloud Console.
    Ir a redes de Cloud DNS
  2. Ubica la fila con la zona DNS que se indica en el resultado.
  3. Haz clic en la configuración de DNSSEC en la fila y, en DNSSEC, selecciona Activar.
  4. Lee el diálogo que aparece. Si está satisfecho, haga clic en Habilitar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

EGRESS_DENY_RULE_NOT_SET

Una regla de rechazo de salida no se configura en un firewall.

Un firewall que rechace todo el tráfico de red de salida evita cualquier conexión de red saliente no deseada, excepto que esas conexiones autoricen explícitamente otros firewalls. Para obtener más información, consulta Casos de salida.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Firewall en Cloud Console.
    Ir a Firewall
  2. Haga clic en Crear regla de firewall.
  3. Asígnale un nombre al firewall y, opcionalmente, una descripción.
  4. En Dirección del tráfico, selecciona Salida.
  5. En Acción en caso de coincidencia, selecciona Rechazar.
  6. En el menú desplegable Destinos, selecciona Todas las instancias de la red.
  7. En el menú desplegable Filtro de destino, selecciona Rangos de IP y, luego, ingresa 0.0.0.0/0 en el cuadro Rangos de IP de destino. las rutas "a GCP".
  8. En Protocolos y puertos, selecciona Rechazar todos.
  9. Haga clic en Inhabilitar regla y, en Aplicación, seleccione Habilitada.
  10. Haga clic en Crear.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

FIREWALL_NOT_MONITORED

Las métricas y las alertas de registro no están configuradas para supervisar los cambios de las reglas de firewall de la red de VPC.

La supervisión y los eventos de actualización de las reglas de firewall te brindan estadísticas sobre los cambios de acceso a la red y pueden ayudarte a detectar rápidamente la actividad sospechosa. A fin de obtener más información, consulta Descripción general de las métricas basadas en registros.

Según la cantidad de información, los costos de Cloud Monitoring pueden ser significativos. Para comprender tu uso del servicio y sus costos, consulta Optimización de costos para Google Cloud's operations suite.

Para solucionar el problema, haz lo siguiente:

Crear métrica

  1. Ve a la página Métricas basadas en registros.
    Ir a las métricas basadas en registros
  2. Haga clic en Crear métrica.
  3. En Tipo de métrica, selecciona Contador.
  4. En Detalles (Details), haz lo siguiente:
    1. Establece un nombre de métrica de registro.
    2. Agrega una descripción.
    3. Establece las Unidades en 1.
  5. En Selección de filtros, copia y pega el siguiente texto en el cuadro Filtro de compilación, si reemplazas el texto existente, si es necesario:
      resource.type="gce_firewall_rule"
      AND jsonPayload.event_subtype="compute.firewalls.patch"
      OR jsonPayload.event_subtype="compute.firewalls.insert"
    
  6. Haga clic en Crear métrica. Verás un mensaje de confirmación.

Crea una política de alertas

  1. Ve a la página Métricas basadas en registros.
    Ir a las métricas basadas en registros
  2. En la sección Métricas definidas por el usuario, selecciona la métrica que creaste en la sección anterior.
  3. Haz clic en Más y, luego, en Crear alerta de métrica. Si se te solicita que agregues tu proyecto a un lugar de trabajo, completa ese proceso.
  4. En el menú de navegación de la página que se abre, haz clic en Alertas.
  5. En ¿Qué deseas hacer el seguimiento?, haz clic en Agregar condición y completa el cuadro de diálogo para definir qué recursos se supervisan y cuándo se activan las alertas. Para obtener información sobre los campos de una condición, consulta Especifica condiciones.
  6. Cuando termines, haz clic en Agregar y, luego, en Siguiente.
  7. En ¿Quiénes deben recibir notificaciones?, haz clic en el menú desplegable Canales de notificación y selecciona cómo deseas recibirlos. Para obtener más información, consulta Administra canales de notificación.
  8. Haz clic en Aceptar y, luego, en Siguiente.
  9. En ¿Cuáles son los pasos para solucionar el problema?, configura un nombre de alerta.
  10. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

FIREWALL_RULE_LOGGING_DISABLED

El registro de las reglas de firewall está inhabilitado.

El registro de las reglas de firewall te permite auditar, verificar y analizar los efectos de tus reglas de firewall. Puede ser útil para auditar el acceso a la red o proporcionar una advertencia temprana de que la red se está usando de manera no aprobada. El costo de los registros puede ser considerable. Para obtener más información sobre el registro de reglas de firewall y su costo, consulta Usa el registro de reglas de firewall.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Firewall en Cloud Console.
    Ir al firewall
  2. En la lista de reglas de firewall, haz clic en el nombre de la regla de firewall deseada.
  3. Haz clic en  Editar.
  4. En Registros, selecciona Activar.
  5. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

FLOW_LOGS_DISABLED

Hay una subred de VPC que tiene los registros de flujo inhabilitados.

Los registros de flujo de VPC registran una muestra de los flujos de red que se envían y se reciben en las instancias de VM. Estos registros se pueden utilizar para supervisar redes, detectar intrusiones, realizar un análisis de la seguridad en tiempo real y optimizar gastos. Para obtener más información sobre los registros de flujo y su costo, consulta Usa registros de flujo de VPC.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Redes de VPC.
    Ir a redes de VPC
  2. En la lista de redes, haz clic en el nombre de la red deseada.
  3. En la página Detalles de red de VPC, haz clic en la pestaña Subredes.
  4. En la lista de subredes, haz clic en el nombre de la subred que se indica en el resultado.
  5. En la página Detalles de la subred, haz clic en Editar.
  6. En Registros de flujo, selecciona Activado.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

FULL_API_ACCESS

Una instancia de Compute Engine se configura para usar la cuenta de servicio predeterminada con acceso completo a todas las API de Google Cloud.

Una instancia configurada con el alcance predeterminado de la cuenta de servicio, Permitir el acceso total a todas las API de Cloud, puede permitir a los usuarios realizar operaciones o llamadas a la API para las que no tienen permisos de IAM. Para obtener más información, consulta Cuenta de servicio predeterminada de Compute Engine.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Instancias de VM en Cloud Console.
    Ir a Instancias de VM
  2. En la lista de instancias, haz clic en el nombre de la instancia en el resultado.
  3. Haz clic en Detener si la instancia está iniciada en este momento.
  4. Una vez que la instancia se detenga, haz clic en Editar.
  5. En Cuenta de servicio, en el menú desplegable, selecciona Cuenta de servicio predeterminada de Compute Engine.
  6. En la sección Niveles de acceso, asegúrate de que la opción Permitir acceso completo a todas las API de Cloud no esté seleccionada.
  7. Haz clic en Guardar.
  8. Haz clic en Iniciar para iniciar la instancia.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

HTTP_LOAD_BALANCER

Una instancia de Compute Engine usa un balanceador de cargas configurado para usar un proxy HTTP de destino en lugar de un proxy HTTPS de destino.

Para proteger la integridad de los datos y evitar que los intrusos interfieran con tus comunicaciones, configura los balanceadores de cargas de HTTP(S) para permitir solo el tráfico HTTPS. Para obtener más información, consulta Descripción general del balanceo de cargas HTTP(S) externo.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Proxies de destino en Cloud Console.
    Ir a proxies de destino
  2. En la lista de proxies de destino, haz clic en el nombre del proxy de destino en el resultado.
  3. Haz clic en el vínculo en Mapa de URL.
  4. Haz clic en  Editar.
  5. Haga clic en Configuración de frontend.
  6. Borra todas las configuraciones de IP de frontend y puertos que permiten el tráfico HTTP y crea configuraciones nuevas que permitan el tráfico HTTPS.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

IP_PASSWORD_DISABLED

Se creó un clúster de GKE con rangos de alias de IP inhabilitados.

Cuando habilitas rangos de alias de IP, los clústeres de GKE asignan direcciones IP desde un bloque CIDR conocido, por lo que el clúster es escalable y interactúa mejor con los productos y las entidades de Google Cloud. Para obtener más información, consulta Descripción general de los rangos de IP de alias.

Para solucionar el problema, haz lo siguiente:

Actualmente, no puedes migrar un clúster existente para que use alias de IP. Para crear un clúster nuevo con IP de alias habilitadas, haz lo siguiente:

  1. Ve a la página Clústeres de Kubernetes en Cloud Console.
    Ir a clústeres de Kubernetes
  2. Haga clic en Crear.
  3. En el panel de navegación, en Clúster, haz clic en Redes.
  4. En Opciones de herramientas de redes avanzadas, selecciona Habilitar enrutamiento de tráfico nativo de VPC (usa IP de alias).
  5. Haga clic en Crear.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

IP_FORWARDING_ENABLED

El reenvío de IP está habilitado en las instancias de Compute Engine.

Evita la pérdida de datos o la divulgación de información mediante la inhabilitación del reenvío de IP de los paquetes de datos para tus VM.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Instancias de VM en Cloud Console.
    Ir a Instancias de VM
  2. En la lista de instancias, marca la casilla junto al nombre de la instancia en el resultado.
  3. Haz clic en Borrar.
  4. Selecciona Crear instancia para crear una instancia nueva y reemplazar la que borraste.
  5. Para garantizar que la opción Reenvío de IP esté inhabilitada, haz clic en Administración, discos, herramientas de redes, Llaves SSH y, luego, haz clic en Herramientas de redes.
  6. En Interfaces de red, haz clic en Editar.
  7. En Reenvío de IP, en el menú desplegable, asegúrate de que Desactivado esté seleccionado.
  8. Especifica cualquier otro parámetro de instancia y haz clic en Crear. Para obtener más información, consulta Crea y, luego, inicia una instancia de VM.

Obtén información sobre los elementos de búsqueda y elementos compatibles de este tipo de resultado.

KMS_KEY_NOT_ROTATED

La rotación no está configurada en una clave de encriptación de Cloud KMS.

Rotar tus claves de encriptación con regularidad proporciona protección en caso de que una clave se vea comprometida y limita la cantidad de mensajes encriptados disponibles para realizar un criptoanálisis de una versión de clave específica. Para obtener más información, consulta Rotación de claves.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Claves de Cloud KMS en Cloud Console.
    Ir a claves de Cloud KMS
  2. Haz clic en el nombre del llavero de claves indicado en el hallazgo.
  3. Haz clic en el nombre de la clave indicada en el resultado.
  4. Haz clic en Editar período de rotación.
  5. Establece el período de rotación en un máximo de 90 días.
  6. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

KMS_PROJECT_HAS_OWNER

Un usuario tiene permisos roles/Owner en un proyecto que tiene claves criptográficas. Para obtener más información, consulta Permisos y funciones.

Para solucionar el problema, haz lo siguiente:

  1. Dirígete a la página IAM.
    Ir a la página de IAM
  2. Si es necesario, selecciona el proyecto en el hallazgo.
  3. Para cada miembro con la función Propietario asignada, sigue estos pasos:
    1. Haz clic en  Editar.
    2. En el panel Editar permisos, junto a la función Propietario, haz clic en Borrar.
    3. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

KMS_PUBLIC_KEY

Un llavero de claves de Cloud KMS o un llavero de claves de Cloud KMS es público y accesible para cualquier persona en Internet. Para obtener más información, consulta Usa IAM con Cloud KMS.

Para solucionar este problema, si está relacionado con una criptografía:

  1. Ve a la página Claves criptográficas en Cloud Console.
    Claves criptográficas
  2. En Nombre, selecciona el llavero de claves que contiene la clave criptográfica relacionada con el resultado de las estadísticas del estado de seguridad.
  3. En la página Detalles del llavero de claves que se carga, selecciona la casilla de verificación junto a la clave criptográfica.
  4. Si el botónPANEL DE INFORMACI N no se muestra, haz clic en elMOSTRAR PANEL DE INFORMACIINFON botón.
  5. Usa el cuadro de filtro anterior a Función / Miembro para buscar miembros de allUsers y allAuthenticatedUsers, y haz clic en Borrar para quitar el acceso de estos miembros.

Para solucionar este problema, si está relacionado con un llavero de claves:

  1. Ve a la página Claves criptográficas en Cloud Console.
    Claves criptográficas
  2. Busca la fila con el llavero de claves en el resultado y selecciona la casilla de verificación.
  3. Si el botónPANEL DE INFORMACI N no se muestra, haz clic en elMOSTRAR PANEL DE INFORMACIINFON botón.
  4. Usa el cuadro de filtro anterior a Función / Miembro para buscar miembros de allUsers y allAuthenticatedUsers, y haz clic en Borrar para quitar el acceso de estos miembros.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

KMS_ROLE_SEPARATION

Uno o más miembros de tu organización tienen varios permisos asignados de Cloud KMS. Se recomienda que ninguna cuenta tenga permisos de administrador de Cloud KMS junto con otros permisos de Cloud KMS. Para obtener más información, consulta Permisos y funciones.

Para solucionar el problema, haz lo siguiente:

  1. Dirígete a la página IAM en Cloud Console.
    Ir a IAM
  2. Haz clic en Editar junto al miembro que aparece en la lista de las estadísticas del estado de la seguridad.
  3. Para quitar permisos, haz clic en Borrar junto a Administrador de Cloud KMS. Si deseas quitar todos los permisos del miembro, haz clic en Borrar junto a todos los demás permisos.
  4. Haz clic en Guardar.
  5. Repite los pasos anteriores para cada uno de los miembros enumerados en el resultado de las estadísticas del estado de seguridad.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

LEGACY_AUTHORIZATION_ENABLED

La autorización heredada está habilitada en clústeres de GKE.

En Kubernetes, el control de acceso basado en funciones (RBAC) te permite definir funciones con reglas que contienen un conjunto de permisos y otorgar permisos en el nivel de clúster y espacio de nombres. Esto proporciona mayor seguridad y garantiza que los usuarios solo tengan acceso a los recursos específicos. Considera inhabilitar el control de acceso basado en atributos (ABAC) heredado.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Clústeres de Kubernetes en Cloud Console.
    Ir a clústeres de Kubernetes
  2. Selecciona el clúster enumerado en el resultado de las estadísticas del estado de seguridad.
  3. Haz clic en  Editar.

    Si la configuración del clúster cambió recientemente, el botón de edición puede estar inhabilitado. Si no puedes editar la configuración del clúster, espera unos minutos y vuelve a intentarlo.

  4. En la lista desplegable Autorización heredada, selecciona Inhabilitada.

  5. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

LEGACY_METADATA_ENABLED

Los metadatos heredados están habilitados en los clústeres de GKE.

El servidor de metadatos de instancia de Compute Engine expone los extremos heredados /0.1/ y /v1beta1/, que no aplican encabezados de consulta de metadatos. Esta es una característica de las API /v1/ que dificulta a un atacante potencial recuperar metadatos de instancia. A menos que sea necesario, te recomendamos que inhabilites estas API heredadas /0.1/ y /v1beta1/.

Para obtener más información, consulta Inhabilita y transición de las API de metadatos heredados.

Para solucionar el problema, haz lo siguiente:

Actualmente, solo puedes inhabilitar las API de metadatos heredados cuando creas un clúster nuevo o agregas un grupo de nodos nuevo a uno existente. Si deseas actualizar un clúster existente para inhabilitar las API de metadatos heredados, consulta Migra cargas de trabajo a diferentes tipos de máquina.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

LEGACY_NETWORK

Una red heredada existe en un proyecto.

No se recomiendan las redes heredadas porque muchas características de seguridad de Google Cloud nuevas no son compatibles con las redes heredadas. En su lugar, usa redes de VPC. Para obtener más información, consulta Redes heredadas.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Redes de VPC en Cloud Console.
    Ir a redes de VPC
  2. Para crear una nueva red no heredada, haz clic en Crear red.
  3. Regrese a la página Redes de VPC.
  4. En la lista de redes, haz clic en legacy_network.
  5. En la página Detalles de red de VPC, haz clic en Borrar red de VPC.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

LOCKED_RETENTION_POLICY_NOT_SET

No se configuró una política de retención bloqueada para los registros.

Una política de retención bloqueada evita que se reemplacen los registros y que se borre el depósito de registro. Para obtener más información, consulta Políticas de retención y bloqueos de políticas de retención.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Navegador de almacenamiento en Cloud Console.
    Ir al navegador de Storage
  2. Selecciona el bucket enumerado en el resultado de las estadísticas del estado de seguridad.
  3. En la página Detalles del depósito, haz clic en la pestaña Retención.
  4. Si no se configuró una política de retención, haz clic en Configurar política de retención.
  5. Ingresa un período de retención.
  6. Haz clic en Guardar. La política de retención se muestra en la pestaña Retención.
  7. Haz clic en Bloquear para asegurarte de que el período de retención no se acorte ni se quite.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

LOG_NOT_EXPORTED

Un recurso no tiene un receptor de registros adecuado configurado.

Cloud Logging te ayuda a encontrar con rapidez las causas principales de los problemas en tus sistemas y aplicaciones. Sin embargo, la mayoría de los registros solo se conservan durante 30 días de forma predeterminada. Exporta copias de todas las entradas de registro para extender el período de almacenamiento. Para obtener más información, consulta Descripción general de las exportaciones de registros.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Enrutador de registros.
    Ir al enrutador de registros
  2. Haz clic en Crear receptor.
  3. Completa los campos necesarios Los filtros de inclusión y exclusión te permiten elegir qué registros exportar. Para asegurarte de que todos los registros se exporten, deja los filtros de inclusión y exclusión vacíos.
  4. Haz clic en Crear receptor.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

MASTER_AUTHORIZED_NETWORKS_DISABLED

Las redes autorizadas de instancia principal no están habilitadas en los clústeres de GKE.

Las redes autorizadas principales mejoran la seguridad de tu clúster de contenedores mediante el bloqueo de direcciones IP específicas a fin de que no puedan acceder al plano de control de tu clúster. Si deseas obtener más información, consulta cómo agregar redes autorizadas para el acceso del plano de control.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Clústeres de Kubernetes en Cloud Console.
    Ir a clústeres de Kubernetes
  2. Selecciona el clúster enumerado en el resultado de las estadísticas del estado de seguridad.
  3. Haz clic en  Editar.

    Si la configuración del clúster cambió recientemente, el botón de edición puede estar inhabilitado. Si no puedes editar la configuración del clúster, espera unos minutos y vuelve a intentarlo.

  4. En la lista desplegable Redes autorizadas de la instancia principal, seleccione Habilitadas.

  5. Haga clic en Agregar red autorizada.

  6. Especifica las redes autorizadas que deseas utilizar.

  7. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

MFA_NOT_ENFORZADO

La autenticación de varios factores, específicamente, la verificación en dos pasos (2SV), está inhabilitada para algunos usuarios de tu organización.

La autenticación de varios factores se usa para proteger las cuentas del acceso no autorizado y es la herramienta más importante a fin de proteger tu organización contra las credenciales de acceso comprometida. Para obtener más información, consulta Cómo proteger tu empresa con la verificación en dos pasos.

Para solucionar el problema, haz lo siguiente:

  1. Ir a la página de la Consola del administrador
    Ir a la Consola del administrador
  2. Aplicar la verificación en dos pasos en todas las unidades organizacionales

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

RED_NOT_MONITORED

Las métricas y métricas de registro no están configuradas para supervisar los cambios de la red de VPC.

Para detectar cambios incorrectos o no autorizados en la configuración de la red, supervisa los cambios de la red de VPC. Para obtener más información, consulta Descripción general de las métricas basadas en registros.

Según la cantidad de información, los costos de Cloud Monitoring pueden ser significativos. Para comprender tu uso del servicio y sus costos, consulta Optimización de costos para Google Cloud's operations suite.

Para solucionar el problema, haz lo siguiente:

Crear métrica

  1. Ve a la página Métricas basadas en registros.
    Ir a las métricas basadas en registros
  2. Haga clic en Crear métrica.
  3. En Tipo de métrica, selecciona Contador.
  4. En Detalles (Details), haz lo siguiente:
    1. Establece un nombre de métrica de registro.
    2. Agrega una descripción.
    3. Establece las Unidades en 1.
  5. En Selección de filtros, copia y pega el siguiente texto en el cuadro Filtro de compilación, si reemplazas el texto existente, si es necesario:
      resource.type=gce_network AND jsonPayload.event_subtype="compute.networks.insert"
      OR jsonPayload.event_subtype="compute.networks.patch"
      OR jsonPayload.event_subtype="compute.networks.delete"
      OR jsonPayload.event_subtype="compute.networks.removePeering"
      OR jsonPayload.event_subtype="compute.networks.addPeering"
    
  6. Haga clic en Crear métrica. Verás un mensaje de confirmación.

Crea una política de alertas

  1. Ve a la página Métricas basadas en registros.
    Ir a las métricas basadas en registros
  2. En la sección Métricas definidas por el usuario, selecciona la métrica que creaste en la sección anterior.
  3. Haz clic en Más y, luego, en Crear alerta de métrica. Si se te solicita que agregues tu proyecto a un lugar de trabajo, completa ese proceso.
  4. En el menú de navegación de la página que se abre, haz clic en Alertas.
  5. En ¿Qué deseas hacer el seguimiento?, haz clic en Agregar condición y completa el cuadro de diálogo para definir qué recursos se supervisan y cuándo se activan las alertas. Para obtener información sobre los campos de una condición, consulta Especifica condiciones.
  6. Cuando termines, haz clic en Agregar y, luego, en Siguiente.
  7. En ¿Quiénes deben recibir notificaciones?, haz clic en el menú desplegable Canales de notificación y selecciona cómo deseas recibirlos. Para obtener más información, consulta Administra canales de notificación.
  8. Haz clic en Aceptar y, luego, en Siguiente.
  9. En ¿Cuáles son los pasos para solucionar el problema?, configura un nombre de alerta.
  10. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

NETWORK_POLICY_DISABLED

La política de red está inhabilitada en los clústeres de GKE.

Según la configuración predeterminada, la comunicación entre pods está abierta. Las comunicaciones abiertas permiten que los pods se conecten directamente en los nodos, con o sin traducción de direcciones de red. Un recurso NetworkPolicy es como un firewall a nivel de pod que restringe las conexiones entre los pods, a menos que el recurso NetworkPolicy permita la conexión de forma explícita. Obtén información sobre cómo definir una política de red.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Clústeres de Kubernetes en Cloud Console.
    Ir a clústeres de Kubernetes
  2. Haz clic en el nombre del clúster que se muestra en el resultado de las estadísticas del estado de seguridad.
  3. En Herramientas de redes, en la fila Política de red, haz clic en Editar.

    Si la configuración del clúster cambió recientemente, el botón de edición puede estar inhabilitado. Si no puedes editar la configuración del clúster, espera unos minutos y vuelve a intentarlo.

  4. En el diálogo, selecciona Habilitar política de red para instancia principal y Habilitar política de red para nodos.

  5. Haz clic en Save Changes.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

NODEPOOL_BOOT_CMEK_DISABLED

Los discos de arranque en este grupo de nodos no están encriptados con claves de encriptación administradas por el cliente (CMEK). Las CMEK permiten que el usuario configure las claves de encriptación predeterminadas para los discos de arranque de un grupo de nodos.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Clústeres de Kubernetes.
    Ir a clústeres de Kubernetes
  2. En la lista de clústeres, haz clic en el nombre del clúster en el resultado.
  3. Haz clic en la pestaña Nodos.
  4. Para cada grupo de nodos default-pool, haz clic en Borrar .
  5. Para crear grupos de nodos nuevos mediante CMEK, consulta Usa claves de encriptación administradas por el cliente (CMEK). Las CMEK generan costos adicionales relacionados con Cloud KMS.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

NON_ORG_IAM_MEMBER

Un usuario fuera de la organización tiene permisos de IAM en un proyecto o una organización. Obtén más información sobre los permisos de IAM.

Para solucionar el problema, haz lo siguiente:

  1. Dirígete a la página IAM en Cloud Console.
    Ir a IAM
  2. Seleccione la casilla de verificación junto a los usuarios fuera de su organización.
  3. Haz clic en Quitar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

OBJECT_VERSIONING_DISABLED

El control de versiones de los objetos no está habilitado en un depósito de almacenamiento en el que se configuren los receptores.

Para admitir la recuperación de objetos que se borran o reemplazan, Cloud Storage ofrece la función de control de versiones de objetos. Habilita el control de versiones de objetos para proteger los datos de Cloud Storage y evitar que se reemplacen o borren por accidente. Obtén más información sobre cómo habilitar el control de versiones de objetos.

Para solucionar este problema, usa el comando gsutil versioning set on con el valor adecuado:

    gsutil versioning set on gs://finding.assetDisplayName

Reemplaza finding.assetDisplayName por el nombre del depósito pertinente.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

ABRIR_CASSANDRA_PORT

Las reglas de firewall que permiten que cualquier dirección IP se conecte a los puertos de Cassandra pueden exponer tus servicios de Cassandra a atacantes. Para obtener más información, consulta la Descripción general de las reglas de firewall de VPC.

Los puertos del servicio de Cassandra son los siguientes:

  • TCP - 7000, 7001, 7199, 8888, 9042, 9160, 61620, 61621

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Firewall en Cloud Console.
    Ir al firewall
  2. En la lista de reglas de firewall, haz clic en el nombre de la regla de firewall en el resultado.
  3. Haz clic en  Editar.
  4. En Rangos de IP de origen, borra 0.0.0.0/0.
  5. Agrega direcciones IP o rangos de IP específicos que deseas permitir que se conecte a la instancia.
  6. Agrega los puertos y protocolos específicos que quieres abrir en tu instancia.
  7. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

OPEN_CISCOSECURE_WEBSM_PORT

Las reglas de firewall que permiten que cualquier dirección IP se conecte a los puertos CiscoSecure/WebSM pueden exponer tus servicios de CiscoSecure/WebSM a los atacantes. Para obtener más información, consulta la Descripción general de las reglas de firewall de VPC.

Los puertos del servicio CiscoSecure/WebSM son los siguientes:

  • TCP - 9090

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Firewall en Cloud Console.
    Ir al firewall
  2. En la lista de reglas de firewall, haz clic en el nombre de la regla de firewall en el resultado.
  3. Haz clic en  Editar.
  4. En Rangos de IP de origen, borra 0.0.0.0/0.
  5. Agrega direcciones IP o rangos de IP específicos que deseas permitir que se conecte a la instancia.
  6. Agrega los puertos y protocolos específicos que quieres abrir en tu instancia.
  7. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

OPEN_DIRECTORY_SERVICES_PORT

Las reglas de firewall que permiten que cualquier dirección IP se conecte a los puertos de directorio pueden exponer tus servicios de Directorio a atacantes. Para obtener más información, consulta la Descripción general de las reglas de firewall de VPC.

Los puertos del servicio del directorio son los siguientes:

  • TCP - 445
  • UDP - 445

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Firewall en Cloud Console.
    Ir al firewall
  2. En la lista de reglas de firewall, haz clic en el nombre de la regla de firewall en el resultado.
  3. Haz clic en  Editar.
  4. En Rangos de IP de origen, borra 0.0.0.0/0.
  5. Agrega direcciones IP o rangos de IP específicos que deseas permitir que se conecte a la instancia.
  6. Agrega los puertos y protocolos específicos que quieres abrir en tu instancia.
  7. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

ABRIR_DNS_PORT

Las reglas de firewall que permiten que cualquier dirección IP se conecte a los puertos DNS pueden exponer tus servicios de DNS a los atacantes. Para obtener más información, consulta Descripción general de las reglas de firewall de VPC.

Los puertos del servicio de DNS son los siguientes:

  • TCP - 53
  • UDP - 53

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Firewall en Cloud Console.
    Ir al firewall
  2. En la lista de reglas de firewall, haz clic en el nombre de la regla de firewall en el resultado.
  3. Haz clic en  Editar.
  4. En Rangos de IP de origen, borra 0.0.0.0/0.
  5. Agrega direcciones IP o rangos de IP específicos que deseas permitir que se conecte a la instancia.
  6. Agrega los puertos y protocolos específicos que quieres abrir en tu instancia.
  7. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

OPEN_ELASTICSEARCH_PORT

Las reglas de firewall que permiten que cualquier dirección IP se conecte a los puertos de Elasticsearch podría exponer tus servicios de Elasticsearch a los atacantes. Para obtener más información, consulta la Descripción general de las reglas de firewall de VPC.

Los puertos del servicio Elasticsearch son los siguientes:

  • TCP - 9200, 9300

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Firewall en Cloud Console.
    Ir al firewall
  2. En la lista de reglas de firewall, haz clic en el nombre de la regla de firewall en el resultado.
  3. Haz clic en  Editar.
  4. En Rangos de IP de origen, borra 0.0.0.0/0.
  5. Agrega direcciones IP o rangos de IP específicos que deseas permitir que se conecte a la instancia.
  6. Agrega los puertos y protocolos específicos que quieres abrir en tu instancia.
  7. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

OPEN_FIREWALL

Las reglas de firewall que permiten conexiones desde todas las direcciones IP, como 0.0.0.0/0, o desde todos los puertos pueden exponer de forma innecesaria los recursos a ataques de fuentes no previstas. Se deben quitar o definir de manera explícita estas reglas a los puertos o rangos de IP de origen deseados. Por ejemplo, en aplicaciones destinadas a ser públicas, considera restringir los puertos permitidos a los necesarios para la aplicación, como 80 y 443. Si tu aplicación necesita permitir conexiones de todas las direcciones IP o puertos, considera permitir la enumeración del recurso.

Obtén más información sobre cómo actualizar las reglas de firewall.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Reglas de Firewall en Cloud Console.
    Ir a las reglas de firewall
  2. Haz clic en la regla de firewall que se encuentra en el resultado de las estadísticas de estado de seguridad y, luego, haz clic en Editar.
  3. En Rangos de IP de origen, edita los valores de IP para restringir el rango de IP permitidas.
  4. En Protocolos y puertos, selecciona Protocolos y puertos especificados, selecciona los protocolos permitidos y, luego, ingresa los puertos permitidos.
  5. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

OPEN_FTP_PORT

Las reglas de firewall que permiten que cualquier dirección IP se conecte a puertos FTP podría exponer tus servicios de FTP a atacantes. Para obtener más información, consulta Descripción general de las reglas de firewall de VPC.

Los puertos del servicio FTP son los siguientes:

  • TCP - 21

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Firewall en Cloud Console.
    Ir al firewall
  2. En la lista de reglas de firewall, haz clic en el nombre de la regla de firewall en el resultado.
  3. Haz clic en  Editar.
  4. En Rangos de IP de origen, borra 0.0.0.0/0.
  5. Agrega direcciones IP o rangos de IP específicos que deseas permitir que se conecte a la instancia.
  6. Agrega los puertos y protocolos específicos que quieres abrir en tu instancia.
  7. Haz clic en Guardar.

Obtén información sobre los elementos de búsqueda y elementos compatibles de este tipo de resultado.

ABRIR_HTTP_PORT

Las reglas de firewall que permiten que cualquier dirección IP se conecte a puertos HTTP pueden exponer tus servicios HTTP a atacantes. Para obtener más información, consulta Descripción general de las reglas de firewall de VPC.

Los puertos de servicio HTTP son los siguientes:

  • TCP - 80

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Firewall en Cloud Console.
    Ir al firewall
  2. En la lista de reglas de firewall, haz clic en el nombre de la regla de firewall en el resultado.
  3. Haz clic en  Editar.
  4. En Rangos de IP de origen, borra 0.0.0.0/0.
  5. Agrega direcciones IP o rangos de IP específicos que deseas permitir que se conecte a la instancia.
  6. Agrega los puertos y protocolos específicos que quieres abrir en tu instancia.
  7. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

ABRIR_LDAP_PORT

Las reglas de firewall que permiten que cualquier dirección IP se conecte a los puertos LDAP podría exponer tus servicios de LDAP a los atacantes. Para obtener más información, consulta Descripción general de las reglas de firewall de VPC.

Los puertos de servicio de LDAP son los siguientes:

  • TCP - 389, 636
  • UDP - 389

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Firewall en Cloud Console.
    Ir al firewall
  2. En la lista de reglas de firewall, haz clic en el nombre de la regla de firewall en el resultado.
  3. Haz clic en  Editar.
  4. En Rangos de IP de origen, borra 0.0.0.0/0.
  5. Agrega direcciones IP o rangos de IP específicos que deseas permitir que se conecte a la instancia.
  6. Agrega los puertos y protocolos específicos que quieres abrir en tu instancia.
  7. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

OPEN_MEMCACHE_PORT

Las reglas de firewall que permiten que cualquier dirección IP se conecte a los puertos de Memcached podría exponer tus servicios de Memcached a atacantes. Para obtener más información, consulta la Descripción general de las reglas de firewall de VPC.

Los puertos del servicio de Memcached son los siguientes:

  • TCP - 11211, 11214, 11215
  • UDP - 11211, 11214, 11215

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Firewall en Cloud Console.
    Ir al firewall
  2. En la lista de reglas de firewall, haz clic en el nombre de la regla de firewall en el resultado.
  3. Haz clic en  Editar.
  4. En Rangos de IP de origen, borra 0.0.0.0/0.
  5. Agrega direcciones IP o rangos de IP específicos que deseas permitir que se conecte a la instancia.
  6. Agrega los puertos y protocolos específicos que quieres abrir en tu instancia.
  7. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

OPEN_MONGODB_PORT

Las reglas de firewall que permiten que cualquier dirección IP se conecte a los puertos de MongoDB pueden exponer tus servicios de MongoDB a atacantes. Para obtener más información, consulta la Descripción general de las reglas de firewall de VPC.

Los puertos de servicio de MongoDB son los siguientes:

  • TCP - 27017, 27018, 27019

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Firewall en Cloud Console.
    Ir al firewall
  2. En la lista de reglas de firewall, haz clic en el nombre de la regla de firewall en el resultado.
  3. Haz clic en  Editar.
  4. En Rangos de IP de origen, borra 0.0.0.0/0.
  5. Agrega direcciones IP o rangos de IP específicos que deseas permitir que se conecte a la instancia.
  6. Agrega los puertos y protocolos específicos que quieres abrir en tu instancia.
  7. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

ABRIR_MYSQL_PORT

Las reglas de firewall que permiten que cualquier dirección IP se conecte a los puertos MySQL pueden exponer tus servicios de MySQL a los atacantes. Para obtener más información, consulta Descripción general de las reglas de firewall de VPC.

Los puertos del servicio MySQL son los siguientes:

  • TCP - 3306

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Firewall en Cloud Console.
    Ir al firewall
  2. En la lista de reglas de firewall, haz clic en el nombre de la regla de firewall en el resultado.
  3. Haz clic en  Editar.
  4. En Rangos de IP de origen, borra 0.0.0.0/0.
  5. Agrega direcciones IP o rangos de IP específicos que deseas permitir que se conecte a la instancia.
  6. Agrega los puertos y protocolos específicos que quieres abrir en tu instancia.
  7. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

OPEN_NETBIOS_PORT

Las reglas de firewall que permiten que cualquier dirección IP se conecte a puertos NetBIOS podría exponer tus servicios de NetBIOS a los atacantes. Para obtener más información, consulta la Descripción general de las reglas de firewall de VPC.

Los puertos del servicio NetBIOS son los siguientes:

  • TCP - 137, 138, 139
  • UDP - 137, 138, 139

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Firewall en Cloud Console.
    Ir al firewall
  2. En la lista de reglas de firewall, haz clic en el nombre de la regla de firewall en el resultado.
  3. Haz clic en  Editar.
  4. En Rangos de IP de origen, borra 0.0.0.0/0.
  5. Agrega direcciones IP o rangos de IP específicos que deseas permitir que se conecte a la instancia.
  6. Agrega los puertos y protocolos específicos que quieres abrir en tu instancia.
  7. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

OPEN_ORACLED_PORT

Las reglas de firewall que permiten que cualquier dirección IP se conecte a puertos de Oracle DB puede exponer tus servicios de Oracle DB a atacantes. Para obtener más información, consulta la Descripción general de las reglas de firewall de VPC.

Los puertos del servicio OracleaDB son los siguientes:

  • TCP - 1521, 2483, 2484
  • UDP - 2483, 2484

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Firewall en Cloud Console.
    Ir al firewall
  2. En la lista de reglas de firewall, haz clic en el nombre de la regla de firewall en el resultado.
  3. Haz clic en  Editar.
  4. En Rangos de IP de origen, borra 0.0.0.0/0.
  5. Agrega direcciones IP o rangos de IP específicos que deseas permitir que se conecte a la instancia.
  6. Agrega los puertos y protocolos específicos que quieres abrir en tu instancia.
  7. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

OPEN_POP3_PORT

Las reglas de firewall que permiten que cualquier dirección IP se conecte a puertos POP3 puede exponer tus servicios de POP3 a atacantes. Para obtener más información, consulta Descripción general de las reglas de firewall de VPC.

Los puertos del servicio POP3 son los siguientes:

  • TCP - 110

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Firewall en Cloud Console.
    Ir al firewall
  2. En la lista de reglas de firewall, haz clic en el nombre de la regla de firewall en el resultado.
  3. Haz clic en  Editar.
  4. En Rangos de IP de origen, borra 0.0.0.0/0.
  5. Agrega direcciones IP o rangos de IP específicos que deseas permitir que se conecte a la instancia.
  6. Agrega los puertos y protocolos específicos que quieres abrir en tu instancia.
  7. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

ABRIR_POSTGRESQL_PORT

Las reglas de firewall que permiten que cualquier dirección IP se conecte a los puertos de PostgreSQL podría exponer tus servicios de PostgreSQL a los atacantes. Para obtener más información, consulta la Descripción general de las reglas de firewall de VPC.

Los puertos del servicio PostgreSQL son los siguientes:

  • TCP - 5432
  • UDP - 5432

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Firewall en Cloud Console.
    Ir al firewall
  2. En la lista de reglas de firewall, haz clic en el nombre de la regla de firewall en el resultado.
  3. Haz clic en  Editar.
  4. En Rangos de IP de origen, borra 0.0.0.0/0.
  5. Agrega direcciones IP o rangos de IP específicos que deseas permitir que se conecte a la instancia.
  6. Agrega los puertos y protocolos específicos que quieres abrir en tu instancia.
  7. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

ABRIR_RDP_PORT

Las reglas de firewall que permiten que cualquier dirección IP se conecte a los puertos de RDP podría exponer tus servicios de RDP a los atacantes. Para obtener más información, consulta Descripción general de las reglas de firewall de VPC.

Los puertos del servicio RDP son los siguientes:

  • TCP - 3389
  • UDP - 3389

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Firewall en Cloud Console.
    Ir al firewall
  2. En la lista de reglas de firewall, haz clic en el nombre de la regla de firewall en el resultado.
  3. Haz clic en  Editar.
  4. En Rangos de IP de origen, borra 0.0.0.0/0.
  5. Agrega direcciones IP o rangos de IP específicos que deseas permitir que se conecte a la instancia.
  6. Agrega los puertos y protocolos específicos que quieres abrir en tu instancia.
  7. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

ABRIR_REDIS_PORT

Las reglas de firewall que permiten que cualquier dirección IP se conecte a los puertos de Redis podrían exponer tus servicios de Redis a atacantes. Para obtener más información, consulta Descripción general de las reglas de firewall de VPC.

Los puertos del servicio de Redis son los siguientes:

  • TCP - 6379

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Firewall en Cloud Console.
    Ir al firewall
  2. En la lista de reglas de firewall, haz clic en el nombre de la regla de firewall en el resultado.
  3. Haz clic en  Editar.
  4. En Rangos de IP de origen, borra 0.0.0.0/0.
  5. Agrega direcciones IP o rangos de IP específicos que deseas permitir que se conecte a la instancia.
  6. Agrega los puertos y protocolos específicos que quieres abrir en tu instancia.
  7. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

OPEN_SMTP_PORT

Las reglas de firewall que permiten que cualquier dirección IP se conecte a los puertos SMTP podría exponer tus servicios de SMTP a los atacantes. Para obtener más información, consulta Descripción general de las reglas de firewall de VPC.

Los puertos del servicio SMTP son los siguientes:

  • TCP - 25

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Firewall en Cloud Console.
    Ir al firewall
  2. En la lista de reglas de firewall, haz clic en el nombre de la regla de firewall en el resultado.
  3. Haz clic en  Editar.
  4. En Rangos de IP de origen, borra 0.0.0.0/0.
  5. Agrega direcciones IP o rangos de IP específicos que deseas permitir que se conecte a la instancia.
  6. Agrega los puertos y protocolos específicos que quieres abrir en tu instancia.
  7. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

ABRIR_SSH_PORT

Las reglas de firewall que permiten que cualquier dirección IP se conecte a los puertos SSH puede exponer tus servicios SSH a los atacantes. Para obtener más información, consulta Descripción general de las reglas de firewall de VPC.

Los puertos del servicio SSH son los siguientes:

  • SCTP - 22
  • TCP - 22

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Firewall en Cloud Console.
    Ir al firewall
  2. En la lista de reglas de firewall, haz clic en el nombre de la regla de firewall en el resultado.
  3. Haz clic en  Editar.
  4. En Rangos de IP de origen, borra 0.0.0.0/0.
  5. Agrega direcciones IP o rangos de IP específicos que deseas permitir que se conecte a la instancia.
  6. Agrega los puertos y protocolos específicos que quieres abrir en tu instancia.
  7. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

OPEN_TELNET_PORT

Las reglas de firewall que permiten que cualquier dirección IP se conecte a los puertos de Telnet puede exponer tus servicios de Telnet a los atacantes. Para obtener más información, consulta Descripción general de las reglas de firewall de VPC.

Los puertos del servicio Telnet son los siguientes:

  • TCP - 23

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Firewall en Cloud Console.
    Ir al firewall
  2. En la lista de reglas de firewall, haz clic en el nombre de la regla de firewall en el resultado.
  3. Haz clic en  Editar.
  4. En Rangos de IP de origen, borra 0.0.0.0/0.
  5. Agrega direcciones IP o rangos de IP específicos que deseas permitir que se conecte a la instancia.
  6. Agrega los puertos y protocolos específicos que quieres abrir en tu instancia.
  7. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

ORG_POLICY_CONFIDENCIAL_VM_POLICY

Un recurso de Compute Engine no cumple con la política de la organización constraints/compute.restrictNonConfidentialComputing. Para obtener más información sobre esta restricción de política de la organización, consulta la página sobre cómo aplicar restricciones de políticas de la organización.

Tu organización requiere que esta VM tenga habilitado el servicio de VM confidencial. Las VM que no tengan este servicio habilitado no usarán la encriptación de memoria del entorno de ejecución, lo que las expone a ataques de memoria del entorno de ejecución.

Para solucionar el problema, haz lo siguiente:

  1. Ir a la página Instancias de VM
    Ir a instancias de VM
  2. En la lista de instancias, haz clic en el nombre de la instancia en el resultado.
  3. Si la VM no requiere el servicio de VM confidencial, muévelo a una nueva carpeta o proyecto.
  4. Si la VM requiere una VM confidencial, haz clic en Borrar.
  5. Para crear una instancia nueva con VM confidenciales habilitadas, consulta la guía de inicio rápido: Crea una instancia de VM confidencial.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

ORG_POLICY_LOCATION_RESTRICTION

La restricción de política de la organización gcp.resourceLocations te permite restringir la creación de recursos nuevos a las regiones de Cloud que selecciones. Para obtener más información, consulta Restringe las ubicaciones de recursos.

Para solucionar el problema, haz lo siguiente:

El detector ORG_POLICY_LOCATION_RESTRICTION abarca muchos tipos de recursos y las instrucciones de solución son diferentes para cada recurso. El enfoque general para solucionar los incumplimientos de la ubicación incluye lo siguiente:

  1. Copia, mueve o crea una copia de seguridad del recurso fuera de la región o sus datos en un recurso que esté en la región. Lee la documentación de servicios individuales para obtener instrucciones sobre cómo mover recursos.
  2. Borra el recurso original fuera de la región o sus datos.

Este enfoque no es posible para todos los tipos de recursos. Para obtener orientación, consulta las recomendaciones personalizadas que se proporcionan en el hallazgo.

Consideraciones adicionales

Recursos administrados

En ocasiones, otros recursos administran y controlan los ciclos de vida de los recursos. Por ejemplo, un grupo de instancias administrado de Compute Engine crea y destruye instancias de Compute Engine de acuerdo con la política de ajuste de escala automático del grupo de instancias. Si los recursos administrados y administrados están dentro del alcance de la aplicación de la ubicación, ambos se pueden marcar como infringir la política de la organización. La solución de los hallazgos de los recursos administrados debe realizarse en el administrador de recursos para garantizar la estabilidad operativa.

Recursos en uso

Algunos recursos se usan en otros recursos. Por ejemplo, un disco de Compute Engine que se adjunta a una instancia en ejecución de Compute Engine se considera que está en uso. Si el recurso en uso infringe la política de la organización de la ubicación, debes asegurarte de que no se esté usando antes de abordar la infracción de ubicación.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

OS_LOGIN_DISABLED

OS Login está inhabilitado en esta instancia de Compute Engine.

El Acceso al SO habilita la administración centralizada de la clave SSH con la IAM y, además, inhabilita la configuración de la clave SSH basada en metadatos en todas las instancias de un proyecto. Obtén información sobre cómo configurar el Acceso al SO.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Metadatos en Cloud Console.
    Ir a metadatos
  2. Haz clic en Editar y, luego, en Agregar elemento.
  3. Agrega un elemento con la clave enable-oslogin y el valor TRUE.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

OVER_PRIVILEGED_ACCOUNT

Un nodo de GKE usa el nodo de servicio predeterminado de Compute Engine, que tiene acceso amplio de forma predeterminada y puede estar sobrecargado para ejecutar tu clúster de GKE.

Para solucionar el problema, haz lo siguiente:

Sigue las instrucciones para usar cuentas de servicio de Google con privilegios mínimos.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

OVER_PRIVILEGED_SCOPES

Una cuenta de servicio de nodo tiene permisos de acceso amplios.

Los permisos de acceso son el método heredado que permite especificar permisos para tu instancia. Para reducir la posibilidad de una elevación de privilegios en un ataque, crea y usa una cuenta de servicio con privilegios mínimos para ejecutar tu clúster de GKE.

A fin de solucionar este problema, sigue las instrucciones para usar cuentas de servicio de Google con privilegios mínimos.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Un usuario tiene el iam.serviceAccountUser o el iam.serviceAccountTokenCreator a nivel de proyecto, en lugar de una cuenta de servicio específica.

Si se otorgan esas funciones a un usuario para un proyecto, se le otorga acceso a todas las cuentas de servicio existentes y futuras en el proyecto. Esta situación puede derivar en una derivación involuntaria de privilegios. Para obtener más información, consulta Permisos de la cuenta de servicio.

Para solucionar el problema, haz lo siguiente:

  1. Dirígete a la página IAM.
    Ir a la página de IAM
  2. Si es necesario, selecciona el proyecto en el hallazgo.
  3. Para cada miembro asignado roles/iam.serviceAccountUser o roles/iam.serviceAccountTokenCreator:
    1. Haz clic en  Editar.
    2. En el panel Editar permisos, junto a las funciones, haz clic en Borrar.
    3. Haz clic en Guardar.
  4. Sigue esta guía para otorgar permisos individuales a fin de robar la identidad de una sola cuenta de servicio. Debes seguir la guía para cada cuenta de servicio a fin de permitir que los usuarios seleccionados roben la identidad de esta persona.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

OWNER_NOT_MONITORED

Las métricas y alertas de registro no están configuradas para supervisar las asignaciones o los cambios en la propiedad del proyecto.

La función Propietario de IAM tiene el nivel más alto de privilegio en un proyecto. A fin de proteger tus recursos, configura alertas para recibir notificaciones cuando se agreguen o quiten propietarios nuevos. Para obtener más información, consulta Descripción general de las métricas basadas en registros.

Según la cantidad de información, los costos de Cloud Monitoring pueden ser significativos. Para comprender tu uso del servicio y sus costos, consulta Optimización de costos para Google Cloud's operations suite.

Para solucionar el problema, haz lo siguiente:

Crear métrica

  1. Ve a la página Métricas basadas en registros.
    Ir a las métricas basadas en registros
  2. Haga clic en Crear métrica.
  3. En Tipo de métrica, selecciona Contador.
  4. En Detalles (Details), haz lo siguiente:
    1. Establece un nombre de métrica de registro.
    2. Agrega una descripción.
    3. Establece las Unidades en 1.
  5. En Selección de filtros, copia y pega el siguiente texto en el cuadro Filtro de compilación, si reemplazas el texto existente, si es necesario:
      (protoPayload.serviceName="cloudresourcemanager.googleapis.com")
      AND (ProjectOwnership OR projectOwnerInvitee)
      OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE"
      AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")
      OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD"
      AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")
    
  6. Haga clic en Crear métrica. Verás un mensaje de confirmación.

Crea una política de alertas

  1. Ve a la página Métricas basadas en registros.
    Ir a las métricas basadas en registros
  2. En la sección Métricas definidas por el usuario, selecciona la métrica que creaste en la sección anterior.
  3. Haz clic en Más y, luego, en Crear alerta de métrica. Si se te solicita que agregues tu proyecto a un lugar de trabajo, completa ese proceso.
  4. En el menú de navegación de la página que se abre, haz clic en Alertas.
  5. En ¿Qué deseas hacer el seguimiento?, haz clic en Agregar condición y completa el cuadro de diálogo para definir qué recursos se supervisan y cuándo se activan las alertas. Para obtener información sobre los campos de una condición, consulta Especifica condiciones.
  6. Cuando termines, haz clic en Agregar y, luego, en Siguiente.
  7. En ¿Quiénes deben recibir notificaciones?, haz clic en el menú desplegable Canales de notificación y selecciona cómo deseas recibirlos. Para obtener más información, consulta Administra canales de notificación.
  8. Haz clic en Aceptar y, luego, en Siguiente.
  9. En ¿Cuáles son los pasos para solucionar el problema?, configura un nombre de alerta.
  10. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

POD_SECURITY_POLICY_DISABLED

El PodSecurityPolicy está inhabilitado en un clúster de GKE.

Una PodSecurityPolicy es un recurso del controlador de admisión que valida las solicitudes para crear y actualizar los pods de un clúster. Los clústeres no aceptarán pods que no cumplan con las condiciones definidas en el PodSecurityPolicy.

Para solucionar este problema, define y autoriza PodSecurityPolicies y habilita el controlador PodSecurityPolicy. Para obtener instrucciones, consulta Usa PodSecurityPolicies.

Obtén información sobre los elementos de búsqueda y elementos compatibles de este tipo de resultado.

PRIMITIVE_ROLES_USE

Un usuario tiene una de las siguientes funciones básicas de IAM: roles/owner, roles/editor o roles/viewer. Estas funciones son demasiado permisivas y no se deben usar. En su lugar, solo se deben asignar por proyecto.

Para obtener más información, consulta Información sobre las funciones.

Para solucionar el problema, haz lo siguiente:

  1. Dirígete a la página de la política de IAM.
    Ir a la política de IAM
  2. Para cada usuario con una función básica, considera usar funciones más detalladas.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

PRIVATE_CLUSTER_DISABLED

Un clúster de GKE tiene un clúster privado inhabilitado.

Los clústeres privados permiten que los nodos solo tengan direcciones IP internas. Esta función limita el acceso a Internet saliente para los nodos. Si los nodos del clúster no tienen una dirección IP pública, no son detectables ni están expuestos a la Internet pública. Aun así, puedes dirigir el tráfico a estos con un balanceador de cargas interno. Para obtener más información, consulta Clústeres privados.

No puedes convertir un clúster existente en privado. Para solucionar este resultado, crea un clúster privado nuevo:

  1. Ve a la página Clústeres de Kubernetes en Cloud Console.
    Ir a clústeres de Kubernetes
  2. Haz clic en Crear clúster.
  3. Haz clic en Disponibilidad, redes, seguridad y características adicionales y, luego, marca las casillas de verificación de Habilitar VPC nativa (con un alias de IP) y Clúster privado.
  4. Haga clic en Crear.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

PRIVATE_GOOGLE_ACCESS_DISABLED

Hay subredes privadas sin acceso a las API públicas de Google.

El acceso privado a Google permite que las instancias de VM con direcciones IP internas (privadas) internas lleguen a las direcciones IP públicas de los servicios y las API de Google

Para obtener más información, consulta Cómo configurar el acceso privado a Google.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Redes de VPC.
    Ir a redes de VPC
  2. En la lista de redes, haz clic en el nombre de la red deseada.
  3. En la página Detalles de red de VPC, haz clic en la pestaña Subredes.
  4. En la lista de subredes, haz clic en el nombre de la subred asociada con el clúster de Kubernetes en el resultado.
  5. En la página Detalles de la subred, haz clic en Editar .
  6. En Acceso privado a Google, selecciona Activado.
  7. Haz clic en Guardar.
  8. Para quitar IP públicas (externas) de instancias de VM cuyo tráfico externo es solo a las API de Google, consulta Cómo anular la asignación de una dirección IP externa estática.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

PUBLIC_BUCKET_ACL

Un depósito es público y cualquier persona que navegue en Internet puede acceder a él.

Para obtener más información, consulta Descripción general del control de acceso.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Navegador de almacenamiento en Cloud Console.
    Ir al navegador de Storage
  2. Selecciona el bucket enumerado en el resultado de las estadísticas del estado de seguridad.
  3. En la página Detalles del depósito, haz clic en la pestaña Permisos.
  4. Junto a Ver por, haz clic en Funciones.
  5. En el cuadro Filtro, busca allUsers y allAuthenticatedUsers.
  6. Haz clic en Borrar para quitar todos los permisos de IAM otorgados a allUsers y a allAuthenticatedUsers.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

PUBLIC_COMPUTE_IMAGE

Una imagen de Compute Engine es pública y cualquiera en Internet puede acceder a ella. allUsers representa a cualquier persona en Internet y allAuthenticatedUsers representa a cualquier persona autenticada con un Cuenta de Google; Ninguna está limitada a los usuarios de tu organización.

Las imágenes de Compute Engine pueden contener información sensible, como claves de encriptación o software con licencia. Esa información sensible no debe ser de acceso público. Si deseas hacer pública esta imagen de Compute Engine, asegúrate de que no contenga información sensible.

Para obtener más información, consulta Descripción general del control de acceso.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página de imágenes de Compute Engine en Cloud Console.
    Ir a imágenes de Compute Engine
  2. Selecciona el cuadro junto a la imagen public-image y, luego, haz clic en Mostrar panel de información.
  3. En el cuadro Filtro, busca miembros para allUsers y allAuthenticatedUsers.
  4. Expande la función de la que deseas quitar usuarios.
  5. Haz clic en Borrar para quitar un usuario de esa función.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

PUBLIC_DATASET

Un conjunto de datos de BigQuery es público y accesible para cualquier persona en Internet. El miembro de IAM allUsers representa a cualquier persona en Internet y allAuthenticatedUsers representa a cualquier persona que haya accedido a un servicio de Google. Ninguna de estas opciones está restringida a los usuarios de tu organización.

Para obtener más información, consulta Controla el acceso a los conjuntos de datos.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Conjunto de datos de BigQuery
    Ir a conjunto de datos de BigQuery
  2. Haz clic en Compartir conjunto de datos.
  3. En el panel Permisos del conjunto de datos, usa el cuadro Buscar miembros para buscar allUsers y allAuthenticatedUsers, y quitar el acceso para estos miembros.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

PUBLIC_IP_ADDRESS

Una instancia de Compute Engine tiene una dirección IP pública.

Para reducir la superficie de ataque de tus organizaciones, evita asignar direcciones IP públicas a tus VM. Las instancias detenidas aún pueden marcarse con una búsqueda de IP pública, por ejemplo, si las interfaces de red están configuradas para asignar una IP pública efímera al inicio. Asegúrate de que la configuración de red para las instancias detenidas no incluya acceso externo.

Si deseas obtener más información, consulta Conéctate a instancias de VM de forma segura.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Instancias de VM en Cloud Console.
    Ir a Instancias de VM
  2. En la lista de instancias, marca la casilla junto al nombre de la instancia en el resultado.
  3. Haz clic en  Editar.
  4. Para cada interfaz enInterfaces de red, haz clic en Cómo hacer un cambio y estableceIP externa aNo hay las rutas "a GCP".
  5. Haga clic en Listo y, luego, en Guardar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

PUBLIC_LOG_BUCKET

Un depósito de almacenamiento es público y se usa como receptor de registros, lo que significa que cualquier persona en Internet puede acceder a los registros almacenados en este depósito. allUsers representa a cualquier persona en Internet y allAuthenticatedUsers representa a cualquier persona que haya accedido a un servicio de Google. Ninguna está restringido a los usuarios de tu organización.

Para obtener más información, consulta Descripción general del control de acceso.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Navegador de Cloud Storage.
    Ir al navegador de Cloud Storage
  2. En la lista de depósitos, haz clic en el nombre del depósito que se indica en el resultado.
  3. Haz clic en la pestaña Permisos.
  4. Quita allUsers y allAuthenticatedUsers de los miembros del depósito.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

PUBLIC_SQL_INSTANCE

Tu instancia de SQL tiene 0.0.0.0/0 como una red permitida. Este caso significa que cualquier cliente de IPv4 puede pasar el firewall de la red y hacer intentos de acceso a tu instancia, incluidos clientes que tal vez no hayas autorizado para permitir. Los clientes necesitan credenciales válidas para acceder correctamente a tu instancia.

Para obtener más información, consulta la página sobre cómo autorizar con redes autorizadas.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Instancias de Cloud SQL en Cloud Console.
    Ir a instancias de Cloud SQL
  2. Selecciona la instancia que aparece en el resultado de las estadísticas de estado de seguridad.
  3. Haz clic en  Editar.
  4. En el panel de navegación, haz clic en Conexiones.
  5. En Redes autorizadas, borra 0.0.0.0/0 y agrega direcciones IP o rangos de IP específicos que deseas permitir que se conecte a tu instancia.
  6. Haga clic en Listo y, luego, en Guardar.

Obtén información sobre los elementos de búsqueda y elementos compatibles de este tipo de resultado.

PUBSUB_CMEK_DISABLED

Un tema de Pub/Sub no está encriptado con claves de encriptación administradas por el cliente (CMEK).

Mediante las CMEK, las claves que creas y administras en Cloud KMS unen las claves que Google usa para encriptar tus datos, lo que te brinda más control sobre el acceso a tus datos.

Para solucionar este problema, borra el tema existente y crea uno nuevo:

  1. Ve a la página Temas de Pub/Sub en Cloud Console.

    Ir a Temas

  2. Si es necesario, selecciona el proyecto que contiene el tema de Pub/Sub.

  3. Selecciona la casilla de verificación junto al tema que aparece en el resultado y, luego, haz clic en Borrar.

  4. Para crear un nuevo tema de Pub/Sub con CMEK habilitadas, consulta la página sobre cómo usar claves de encriptación administradas por el cliente. Las CMEK generan costos adicionales relacionados con Cloud KMS.

  5. Publica los resultados o algún otro dato en el tema de Pub/Sub habilitado para CMEK.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

ROUTE_NOT_MONITORED

Las métricas y alertas de registro no están configuradas para supervisar los cambios de ruta de la red de VPC.

Las rutas de Google Cloud son destinos y saltos que definen la ruta que sigue el tráfico de red de una instancia de VM a una IP de destino. Mediante la supervisión de los cambios en las tablas de ruta, puedes asegurarte de que todo el tráfico de VPC fluye a través de una ruta de acceso esperada.

Para obtener más información, consulta Descripción general de las métricas basadas en registros.

Según la cantidad de información, los costos de Cloud Monitoring pueden ser significativos. Para comprender tu uso del servicio y sus costos, consulta Optimización de costos para Google Cloud's operations suite.

Para solucionar el problema, haz lo siguiente:

Crear métrica

  1. Ve a la página Métricas basadas en registros.
    Ir a las métricas basadas en registros
  2. Haga clic en Crear métrica.
  3. En Tipo de métrica, selecciona Contador.
  4. En Detalles (Details), haz lo siguiente:
    1. Establece un nombre de métrica de registro.
    2. Agrega una descripción.
    3. Establece las Unidades en 1.
  5. En Selección de filtros, copia y pega el siguiente texto en el cuadro Filtro de compilación, si reemplazas el texto existente, si es necesario:
      resource.type="gce_route"
      AND jsonPayload.event_subtype="compute.routes.delete"
      OR jsonPayload.event_subtype="compute.routes.insert"
    
  6. Haga clic en Crear métrica. Verás un mensaje de confirmación.

Crea una política de alertas

  1. Ve a la página Métricas basadas en registros.
    Ir a las métricas basadas en registros
  2. En la sección Métricas definidas por el usuario, selecciona la métrica que creaste en la sección anterior.
  3. Haz clic en Más y, luego, en Crear alerta de métrica. Si se te solicita que agregues tu proyecto a un lugar de trabajo, completa ese proceso.
  4. En el menú de navegación de la página que se abre, haz clic en Alertas.
  5. En ¿Qué deseas hacer el seguimiento?, haz clic en Agregar condición y completa el cuadro de diálogo para definir qué recursos se supervisan y cuándo se activan las alertas. Para obtener información sobre los campos de una condición, consulta Especifica condiciones.
  6. Cuando termines, haz clic en Agregar y, luego, en Siguiente.
  7. En ¿Quiénes deben recibir notificaciones?, haz clic en el menú desplegable Canales de notificación y selecciona cómo deseas recibirlos. Para obtener más información, consulta Administra canales de notificación.
  8. Haz clic en Aceptar y, luego, en Siguiente.
  9. En ¿Cuáles son los pasos para solucionar el problema?, configura un nombre de alerta.
  10. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

REDIS_ROLE_USE_ON_ORG

Se asigna una función de IAM de Redis a nivel de la organización o la carpeta.

Las siguientes funciones de IAM de Redis se deben asignar solo por proyecto, no a nivel de organización o carpeta:

  • roles/redis.admin
  • roles/redis.viewer
  • roles/redis.editor

Para obtener más información, consulta Control de acceso y permisos.

Para solucionar el problema, haz lo siguiente:

  1. Dirígete a la página de la política de IAM.
    Ir a la política de IAM
  2. Quita las funciones de IAM de Redis que se indican en los resultados y, luego, agrégalas a los proyectos individuales.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

RSASHA1_FOR_SIGNING

RSASHA1 se usa para la firma de claves en zonas de Cloud DNS. El algoritmo que se usa para la firma de claves no debe ser débil.

Para solucionar este resultado, reemplaza el algoritmo por uno recomendado mediante la guía de Opciones de firma avanzadas.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

SERVICE_ACCOUNT_KEY_NOT_ROTATED

Una clave de cuenta de servicio administrada por el usuario no se rotó durante más de 90 días.

Las claves de cuenta de servicio administradas por el usuario se deben rotar cada 90 días para garantizar que no se pueda acceder a los datos con una clave anterior que podría haberse perdido, comprometida o robado. Para obtener más información, consulta Administra claves de cuenta de servicio.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Cuentas de servicio.
    Ir a Cuentas de servicio
  2. Si es necesario, selecciona el proyecto indicado en el resultado.
  3. En la lista de cuentas de servicio, busca la cuenta de servicio que aparece en los resultados y haz clic en Borrar. Antes de continuar, considera el impacto que podría tener la eliminación de una cuenta de servicio en tus recursos de producción.
  4. Crea una clave de cuenta de servicio nueva para reemplazar la anterior. Para obtener más información, consulta Crea claves de cuenta de servicio.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

SERVICE_ACCOUNT_ROLE_SEPARATION

Uno o más miembros de tu organización tienen varios permisos asignados sobre las cuentas de servicio. Ninguna cuenta debe tener simultáneamente Administrador de cuenta de servicio junto con otros permisos de cuenta de servicio. Para obtener información sobre las cuentas de servicio y las funciones disponibles, consulta Cuentas de servicio.

Para solucionar el problema, haz lo siguiente:

  1. Dirígete a la página IAM en Cloud Console.
    Ir a IAM
  2. Haz clic en Editar junto al miembro que aparece en la lista de las estadísticas del estado de la seguridad.
  3. Para quitar permisos, haz clic en Borrar junto a Administrador de cuenta de servicio. Si deseas quitar todos los permisos de la cuenta de servicio, haz clic en Borrar junto a todos los demás permisos.
  4. Haz clic en Guardar.
  5. Repite los pasos anteriores para cada uno de los miembros enumerados en el resultado de las estadísticas del estado de seguridad.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

SHELLED_VM_DISABLED

La VM protegida está inhabilitada en esta instancia de Compute Engine.

Las VM protegidas son máquinas virtuales (VM) de Google Cloud endurecidas gracias a un conjunto de controles de seguridad destinados a protegerlas de los rootkits y bootkits. La ayuda de la VM protegida garantiza que el cargador y el firmware de inicio estén firmados y verificados. Obtén más información sobre las VM protegidas.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Instancias de VM en Cloud Console.
    Ir a Instancias de VM
  2. Selecciona la instancia relacionada con el resultado de las estadísticas del estado de seguridad.
  3. En la página Detalles de la instancia que se carga, haz clic en Detener.
  4. Una vez que la instancia se detenga, haz clic en Editar (Edit).
  5. En la sección VM protegida, activa Activar vTPM y Activar la supervisión de integridad para habilitar la VM protegida.
  6. De manera opcional, si no usas ningún controlador personalizado o sin firma, también habilita Inicio seguro.
  7. Haz clic en Guardar. La configuración nueva aparecerá en la página Detalles de la instancia.
  8. Haz clic en Iniciar para iniciar la instancia.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

SQL_CMEK_INHABILITADA

Una instancia de base de datos SQL no usa claves de encriptación administradas por el cliente (CMEK).

Mediante las CMEK, las claves que creas y administras en Cloud KMS unen las claves que Google usa para encriptar tus datos, lo que te brinda más control sobre el acceso a tus datos. Para obtener más información, consulta las descripciones generales de CMEK para tu producto: Cloud SQL para MySQL, Cloud SQL para PostgreSQL o Cloud SQL para SQL Server. Las CMEK generan costos adicionales relacionados con Cloud KMS.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Instancias de Cloud SQL en Cloud Console.
    Ir a instancias de Cloud SQL
  2. Selecciona la instancia que aparece en el resultado de las estadísticas de estado de seguridad.
  3. Haz clic en Borrar.
  4. Si quieres crear una instancia nueva con CMEK habilitadas, sigue las instrucciones a fin de configurar CMEK para tu producto:
    1. Cloud SQL para MySQL
    2. Cloud SQL para PostgreSQL
    3. Cloud SQL para SQL Server

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

SQL_CONTAIED_DATABASE_AUTHENTICATION

Una instancia de base de datos de Cloud SQL para SQL Server no tiene la marca de base de datos autenticación de base de datos contenida establecida en Desactivado.

La marca de autenticación de base de datos contenida controla si puedes crear o adjuntar bases de datos contenidas en App Engine. Una base de datos contenida incluye todos los metadatos y la configuración de la base de datos necesarios para definir la base de datos, y no tiene dependencias de configuración en la instancia de Database Engine en la que está instalada la base de datos.

No se recomienda habilitar esta marca debido a lo siguiente:

  • Los usuarios pueden conectarse a la base de datos sin autenticación a nivel del motor de base de datos.
  • Aísla la base de datos de App Engine para mover la base de datos a otra instancia de SQL Server.

Las bases de datos contenidas se enfrentan a amenazas únicas que deben comprender y mitigar los administradores de SQL Server Database Engine. La mayoría de las amenazas surgen del proceso de autenticación USER WITH PASSWORD, que mueve el límite de autenticación del nivel de App Engine al nivel de la base de datos.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Instancias de Cloud SQL en Cloud Console.
    Ir a instancias de Cloud SQL
  2. Selecciona la instancia que aparece en el resultado de las estadísticas de estado de seguridad.
  3. Haz clic en  Editar.
  4. En la sección Marcas de base de datos, configura la marca de base de datos autenticación de base de datos contenida con el valor Off.
  5. Haz clic en Guardar. La configuración nueva aparecerá en la página Descripción general de la instancia.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

SQL_CROSS_DB_OWNERSHIP_CHAINING

Una instancia de base de datos de Cloud SQL para SQL Server no tiene la marca de base de datos de cadena de propiedad cruzada configurada como Desactivado.

La marca de cadena de propiedad base de datos cruzada te permite controlar la cadena de propiedad de varias bases de datos a nivel de la base de datos o permitir el encadenamiento de propiedades de bases de datos múltiples para todas las declaraciones de base de datos.

No se recomienda habilitar esta marca, a menos que todas las bases de datos alojadas por la instancia de SQL Server participen en la cadena de propiedad de varias bases de datos y que estés al tanto de las implicaciones de seguridad de esta configuración.

Para obtener más información, consulta Configura marcas de base de datos.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Instancias de Cloud SQL en Cloud Console.
    Ir a instancias de Cloud SQL
  2. Selecciona la instancia que aparece en el resultado de las estadísticas de estado de seguridad.
  3. Haz clic en  Editar.
  4. En la sección Marcas de base de datos, configura la marca de base de datos de la cadena de propiedad cruzada de base de datos con el valor Off.
  5. Haz clic en Guardar. La configuración nueva aparecerá en la página Descripción general de la instancia.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

SQL_INSTANCE_NOT_MONITORED

Las métricas y métricas de registro no están configuradas para supervisar los cambios de configuración de la instancia de Cloud SQL.

La configuración incorrecta de las opciones de instancias de SQL puede causar riesgos de seguridad. Inhabilitar las opciones de copia de seguridad automática y alta disponibilidad podría afectar la continuidad del negocio y no restringir las redes autorizadas podrían aumentar la exposición a redes no confiables. La supervisión de los cambios en la configuración de las instancias de SQL te ayuda a reducir el tiempo que se necesita para detectar y corregir las configuraciones incorrectas.

Para obtener más información, consulta Descripción general de las métricas basadas en registros.

Según la cantidad de información, los costos de Cloud Monitoring pueden ser significativos. Para comprender tu uso del servicio y sus costos, consulta Optimización de costos para Google Cloud's operations suite.

Para solucionar el problema, haz lo siguiente:

Crear métrica

  1. Ve a la página Métricas basadas en registros.
    Ir a las métricas basadas en registros
  2. Haga clic en Crear métrica.
  3. En Tipo de métrica, selecciona Contador.
  4. En Detalles (Details), haz lo siguiente:
    1. Establece un nombre de métrica de registro.
    2. Agrega una descripción.
    3. Establece las Unidades en 1.
  5. En Selección de filtros, copia y pega el siguiente texto en el cuadro Filtro de compilación, si reemplazas el texto existente, si es necesario:
      protoPayload.methodName="cloudsql.instances.update"
    
  6. Haga clic en Crear métrica. Verás un mensaje de confirmación.

Crea una política de alertas

  1. Ve a la página Métricas basadas en registros.
    Ir a las métricas basadas en registros
  2. En la sección Métricas definidas por el usuario, selecciona la métrica que creaste en la sección anterior.
  3. Haz clic en Más y, luego, en Crear alerta de métrica. Si se te solicita que agregues tu proyecto a un lugar de trabajo, completa ese proceso.
  4. En el menú de navegación de la página que se abre, haz clic en Alertas.
  5. En ¿Qué deseas hacer el seguimiento?, haz clic en Agregar condición y completa el cuadro de diálogo para definir qué recursos se supervisan y cuándo se activan las alertas. Para obtener información sobre los campos de una condición, consulta Especifica condiciones.
  6. Cuando termines, haz clic en Agregar y, luego, en Siguiente.
  7. En ¿Quiénes deben recibir notificaciones?, haz clic en el menú desplegable Canales de notificación y selecciona cómo deseas recibirlos. Para obtener más información, consulta Administra canales de notificación.
  8. Haz clic en Aceptar y, luego, en Siguiente.
  9. En ¿Cuáles son los pasos para solucionar el problema?, configura un nombre de alerta.
  10. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

SQL_LOCAL_INFILE

Una instancia de base de datos de Cloud SQL para MySQL no tiene la marca de base de datos local_infile establecida en Desactivado. Debido a problemas de seguridad asociados con el marcador local_infile, debe inhabilitarse. Para obtener más información, consulta Configura marcas de base de datos.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Instancias de Cloud SQL en Cloud Console.
    Ir a instancias de Cloud SQL
  2. Selecciona la instancia que aparece en el resultado de las estadísticas de estado de seguridad.
  3. Haz clic en  Editar.
  4. En la sección Marcas de base de datos, configura la marca de base de datos local_infile con el valor Off.
  5. Haz clic en Guardar. La configuración nueva aparecerá en la página Descripción general de la instancia.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

SQL_LOG_CHECKPOINTS_INHABILITADO

Una instancia de base de datos de Cloud SQL para PostgreSQL no tiene la marca de base de datos log_checkpoints establecida en Activado.

Si habilitas log_checkpoints, los puntos de control y los puntos de reinicio se registran en el registro del servidor. Algunas estadísticas se incluyen en los mensajes de registro, incluida la cantidad de búferes escritos y el tiempo dedicado a escribirlos.

Para obtener más información, consulta Configura marcas de base de datos.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Instancias de Cloud SQL en Cloud Console.
    Ir a instancias de Cloud SQL
  2. Selecciona la instancia que aparece en el resultado de las estadísticas de estado de seguridad.
  3. Haz clic en  Editar.
  4. En la sección Marcas de base de datos, configura la marca de base de datos log_checkpoints con el valor On.
  5. Haz clic en Guardar. La configuración nueva aparecerá en la página Descripción general de la instancia.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

SQL_LOG_CONNECTIONS_DISABLED

Una instancia de base de datos de Cloud SQL para PostgreSQL no tiene la marca de base de datos log_connections configurada como On.

Habilitar la configuración log_connections hace que se intenten las conexiones con el servidor y la finalización del proceso de autenticación del cliente correcta. Los registros pueden ser útiles para solucionar problemas y confirmar intentos de conexión inusuales al servidor.

Para obtener más información, consulta Configura marcas de base de datos.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Instancias de Cloud SQL en Cloud Console.
    Ir a instancias de Cloud SQL
  2. Selecciona la instancia que aparece en el resultado de las estadísticas de estado de seguridad.
  3. Haz clic en  Editar.
  4. En la sección Marcas de base de datos, configura la marca log_connections de la base de datos con el valor On.
  5. Haz clic en Guardar. La configuración nueva aparecerá en la página Descripción general de la instancia.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

SQL_LOG_DISCONNECTIONS_DISABLED

Una instancia de base de datos de Cloud SQL para PostgreSQL no tiene la marca de base de datos log_disconnections establecida en Activado.

Habilitar la configuración log_disconnections crea entradas de registro al final de cada sesión. Los registros son útiles para solucionar problemas y confirmar actividades inusuales durante un período. Para obtener más información, consulta Configura marcas de base de datos.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Instancias de Cloud SQL en Cloud Console.
    Ir a instancias de Cloud SQL
  2. Selecciona la instancia que aparece en el resultado de las estadísticas de estado de seguridad.
  3. Haz clic en  Editar.
  4. En la sección Marcas de base de datos, configura la marca de base de datos log_disconnections con el valor On.
  5. Haz clic en Guardar. La configuración nueva aparecerá en la página Descripción general de la instancia.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

SQL_LOG_LOCK_WAITS_DISABLED

Una instancia de base de datos de Cloud SQL para PostgreSQL no tiene la marca de base de datos log_lock_waits establecida en Activada.

La habilitación de la configuración log_lock_waits crea entradas de registro cuando la sesión espera más tiempo del tiempo deadlock_timeout para adquirir un bloqueo. Los registros son útiles para determinar si las esperas de bloqueo causan un rendimiento bajo.

Para obtener más información, consulta Configura marcas de base de datos.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Instancias de Cloud SQL en Cloud Console.
    Ir a instancias de Cloud SQL
  2. Selecciona la instancia que aparece en el resultado de las estadísticas de estado de seguridad.
  3. Haz clic en  Editar.
  4. En la sección Marcas de base de datos, configura la marca de base de datos log_lock_waits con el valor On.
  5. Haz clic en Guardar. La configuración nueva aparecerá en la página Descripción general de la instancia.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

Una instancia de la base de datos de Cloud SQL para PostgreSQL no tiene la marca de base de datos log_min_duration_statement configurada como -1.

La marca log_min_duration_statement hace que las instrucciones de SQL que se ejecutan más tiempo que un tiempo especificado se registren. Considera inhabilitar esta configuración porque las instrucciones de SQL pueden contener información sensible que no se debe registrar. Para obtener más información, consulta Configura marcas de base de datos.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Instancias de Cloud SQL en Cloud Console.
    Ir a instancias de Cloud SQL
  2. Selecciona la instancia que aparece en el resultado de las estadísticas de estado de seguridad.
  3. Haz clic en  Editar.
  4. En la sección Marcas de base de datos, configura la marca de base de datos log_min_duration_statement con el valor -1.
  5. Haz clic en Guardar. La configuración nueva aparecerá en la página Descripción general de la instancia.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

SQL_LOG_MIN_ERROR_STATEMENT

Una instancia de la base de datos de Cloud SQL para PostgreSQL no tiene la marca de base de datos log_min_duration_statement configurada correctamente.

La marca log_min_error_statement controla si las instrucciones de SQL que generan condiciones de error se registran en los registros del servidor. Las instrucciones de SQL de la gravedad especificada o superior se registran con los mensajes de las instrucciones de error. Cuanto mayor sea la gravedad, más mensajes se registrarán.

Si log_min_error_statement no se configura con el valor correcto, es posible que los mensajes no se clasifiquen como mensajes de error. Un conjunto de gravedad demasiado bajo aumentaría la cantidad de mensajes y dificultaría encontrar errores reales. Si la configuración de gravedad es demasiado alta, es posible que no se registren los mensajes de error debido a errores reales.

Para obtener más información, consulta Configura marcas de base de datos.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Instancias de Cloud SQL en Cloud Console.
    Ir a instancias de Cloud SQL
  2. Selecciona la instancia que aparece en el resultado de las estadísticas de estado de seguridad.
  3. Haz clic en  Editar.
  4. En la sección Marcas de base de datos, configura la marca de base de datos log_min_duration_statement con uno de los siguientes valores recomendados, según la política de registro de tu organización.
    • debug5
    • debug4
    • debug3
    • debug2
    • debug1
    • info
    • notice
    • warning
    • error
  5. Haz clic en Guardar. La configuración nueva aparecerá en la página Descripción general de la instancia.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

SQL_LOG_TEMP_FILES

Una instancia de base de datos de Cloud SQL para PostgreSQL no tiene la marca de base de datos log_temp_files configurada como 0.

Se pueden crear archivos temporales para los órdenes, los hashes y los resultados de consultas temporales. Configurar la marca log_temp_files como 0 hace que se registre toda la información de archivos temporales. El registro de todos los archivos temporales es útil para identificar posibles problemas de rendimiento. Para obtener más información, consulta Configura marcas de base de datos.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Instancias de Cloud SQL en Cloud Console.
    Ir a instancias de Cloud SQL
  2. Selecciona la instancia que aparece en el resultado de las estadísticas de estado de seguridad.
  3. Haz clic en  Editar.
  4. En la sección Marcas de base de datos, configura la marca de base de datos log_temp_files con el valor 0.
  5. Haz clic en Guardar. La configuración nueva aparecerá en la página Descripción general de la instancia.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

SQL_NO_ROOT_PASSWORD

Una instancia de base de datos MySQL no tiene una contraseña configurada para la cuenta raíz. Deberías agregar una contraseña a la instancia de base de datos de MySQL. Para obtener más información, consulta Usuarios de MySQL.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Instancias de Cloud SQL en Cloud Console.
    Ir a Instancias de SQL
  2. Selecciona la instancia que aparece en el resultado de las estadísticas de estado de seguridad.
  3. En la página Detalles de la instancia que se carga, selecciona la pestaña Usuarios.
  4. Junto al usuario root, haz clic en Más y, luego, selecciona Cambiar contraseña.
  5. Ingresa una contraseña segura y nueva y, a continuación, haz clic en Aceptar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

IP_PUBLIC_IP

Una base de datos de Cloud SQL tiene una dirección IP pública.

Para reducir la superficie de ataque de tu organización, las bases de datos de Cloud SQL no deben tener direcciones IP públicas. Las direcciones IP privadas proporcionan mayor seguridad de red y menor latencia para tu aplicación.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Instancias de Cloud SQL en Cloud Console.
    Ir a Instancias de SQL
  2. Selecciona la instancia que aparece en el resultado de las estadísticas de estado de seguridad.
  3. En la pestaña Conexiones, borra la casilla de verificación IP pública.
  4. Si la instancia aún no está configurada para usar una IP privada, consulta Cómo configurar una IP privada para una instancia existente.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

SQL_WEAK_ROOT_PASSWORD

Una instancia de base de datos MySQL tiene una contraseña no segura configurada para la cuenta raíz. Debes establecer una contraseña segura para la instancia. Para obtener más información, consulta Usuarios de MySQL.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Instancias de Cloud SQL en Cloud Console.
    Ir a Instancias de SQL
  2. Selecciona la instancia que aparece en el resultado de las estadísticas de estado de seguridad.
  3. En la página Detalles de la instancia que se carga, selecciona la pestaña Usuarios.
  4. Junto al usuario root, haz clic en Más y, luego, selecciona Cambiar contraseña.
  5. Ingresa una contraseña segura y nueva y, a continuación, haz clic en Aceptar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

SSL_NOT_ENFORCED

Una instancia de base de datos de Cloud SQL no requiere que todas las conexiones entrantes usen SSL.

Para evitar que se filtren datos sensibles en tránsito a través de comunicaciones no encriptadas, todas las conexiones entrantes a tu instancia de base de datos SQL deben usar SSL. Obtén más información sobre la configuración de certificados SSL/TLS.

A fin de solucionar este problema, solo permite conexiones SSL para las instancias de SQL:

  1. Ve a la página Instancias de Cloud SQL en Cloud Console.
    Ir a Instancias de SQL
  2. Selecciona la instancia que aparece en el resultado de las estadísticas de estado de seguridad.
  3. En la pestaña Conexiones, haz clic en Solo permitir conexiones SSL.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

TOO_MANY_KMS_ERS

Limite la cantidad de usuarios principales que pueden usar claves criptográficas para tres. Las siguientes funciones predefinidas otorgan permisos para encriptar, desencriptar o firmar datos mediante claves criptográficas:

  • roles/owner
  • roles/cloudkms.cryptoKeyEncrypterDecrypter
  • roles/cloudkms.cryptoKeyEncrypter
  • roles/cloudkms.cryptoKeyDecrypter
  • roles/cloudkms.signer
  • roles/cloudkms.signerVerifier

Para obtener más información, consulta Permisos y funciones.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Claves de Cloud KMS en Cloud Console.
    Ir a Claves de Cloud KMS
  2. Haz clic en el nombre del llavero de claves indicado en el hallazgo.
  3. Haz clic en el nombre de la clave indicada en el resultado.
  4. Selecciona el cuadro junto a la versión principal y haz clic en Mostrar panel de información.
  5. Reduce la cantidad de principales que tienen permisos para encriptar, desencriptar o firmar datos en tres o menos. Para revocar permisos, haz clic en Borrar junto a cada miembro.

Obtén información sobre los elementos de búsqueda y elementos compatibles de este tipo de resultado.

USER_MANAGED_SERVICE_ACCOUNT_KEY

Un usuario administra una clave de cuenta de servicio.

Las cuentas de servicio no deben tener claves administradas por el usuario porque se pueden robar con facilidad. Para obtener más información, consulta Administra claves de cuenta de servicio.

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Cuentas de servicio.
    Ir a Cuentas de servicio
  2. Si es necesario, selecciona el proyecto indicado en el resultado.
  3. Borra las claves de cuentas de servicio administradas por el usuario que se indican en el resultado, si ninguna aplicación las usa.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

WEA_SSL_POLICY

Una instancia de Compute Engine tiene una política de SSL débil.

Los balanceadores de cargas de proxy SSL y HTTPS usan políticas de SSL para determinar el protocolo y los conjuntos de cifrado empleados en las conexiones TLS establecidas entre Internet y los usuarios. Estas conexiones encriptan los datos sensibles para evitar que las espías maliciosas accedan a ellos. Una política de SSL débil permite que los clientes que usan versiones desactualizadas de TLS se conecten con un protocolo o un conjunto de cifrado menos seguro. Para ver una lista de conjuntos de cifrado recomendados y desactualizados, visita la [página de parámetros TLS de iana.org]. (https://www.iana.org/assignments/tls-parameters/tls-parameters.xhtml#tls-parameters-4)

Para solucionar el problema, haz lo siguiente:

  1. Ve a la página Proxies de destino en Cloud Console.
    Ir a proxies de destino
  2. Busca el proxy de destino indicado en las reglas de reenvío de resultados y notas en la columna En uso por.
  3. Si quieres crear una política de SSL nueva o actualizar una existente, consulta Usa políticas de SSL. La política debe tener una versión mínima de TLS de 1.2 y un Perfil moderno o restringido.
  4. Para usar un perfil personalizado , asegúrate de que los siguientes conjuntos de cifrado estén inhabilitados:
    • TLS_RSA_WITH_AES_128_GCM_SHA256
    • TLS_RSA_WITH_AES_256_GCM_SHA384
    • TLS_RSA_WITH_AES_128_CBC_SHA
    • TLS_RSA_WITH_AES_256_CBC_SHA
    • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  5. Aplica la política de SSL a cada regla de reenvío que anotaste antes.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

WEB_UI_ENABLED

La IU web de GKE (panel) está habilitada.

Una cuenta de servicio de Kubernetes con una gran cantidad de privilegios respalda la interfaz web de Kubernetes. Se puede abusar de la cuenta de servicio si se vulnera. Si ya usas Cloud Console, la interfaz web de Kubernetes extiende la superficie de ataque de forma innecesaria. Aprende a inhabilitar la interfaz web de Kubernetes.

Para solucionar este resultado, inhabilita la interfaz web de Kubernetes de la siguiente manera:

  1. Ve a la página Clústeres de Kubernetes en Cloud Console.
    Ir a clústeres de Kubernetes
  2. Haz clic en el nombre del clúster que se muestra en el resultado de las estadísticas del estado de seguridad.
  3. Haz clic en  Editar.

    Si la configuración del clúster cambió recientemente, el botón de edición puede estar inhabilitado. Si no puedes editar la configuración del clúster, espera unos minutos y vuelve a intentarlo.

  4. Haz clic en Complementos. La sección se expande para mostrar los complementos disponibles.

  5. En la lista desplegable del panel de Kubernetes, selecciona Inhabilitado.

  6. Haz clic en Guardar.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.

WORKLOAD_IDENTITY_DISABLED

Workload Identity está inhabilitada en un clúster de GKE.

Workload Identity es la manera recomendada de acceder a los servicios de Google Cloud desde GKE, ya que ofrece propiedades de seguridad y capacidad de administración superiores. Si habilitas esta función, algunos metadatos potencialmente sensibles del sistema estarán protegidos de las cargas de trabajo del usuario que se ejecutan en tu clúster. Obtén más información sobre el ocultamiento de metadatos.

Para solucionar este problema, sigue la guía sobre cómo habilitar Workload Identity en un clúster.

Obtén información sobre los elementos admitidos y la configuración de búsqueda de este tipo de resultado.