Corriger les résultats de l'analyse de l'état de la sécurité

>

Cette page fournit une liste de guides de référence et de techniques permettant de corriger les résultats de l'analyse de l'état de la sécurité à l'aide de Security Command Center.

Correction de l'analyse de l'état de la sécurité

BUCKET_LOGGING_DISABLED

Pour faciliter l'analyse des problèmes de sécurité et surveiller l'utilisation de l'espace de stockage, activez les journaux d'accès et les informations de stockage de vos buckets Cloud Storage. Les journaux d'accès fournissent des informations pour toutes les requêtes effectuées sur un bucket spécifié. Les journaux de stockage fournissent des informations sur l'espace de stockage consommé par ce bucket.

Pour corriger ce résultat, configurez la journalisation pour le bucket indiqué par le résultat de l'analyse de l'état de la sécurité en suivant le guide Journaux d'accès et journaux de stockage.

CLUSTER_LOGGING_DISABLED

Pour examiner plus facilement les problèmes de sécurité et surveiller l'utilisation, il est recommandé d'activer Cloud Logging sur vos clusters.

Pour corriger ce résultat, procédez comme suit :

  1. Accédez à la page Clusters Kubernetes de Cloud Console.
    Accéder à la page "Clusters Kubernetes"
  2. Sélectionnez le cluster répertorié dans le résultat de l'analyse de l'état de la sécurité.
  3. Cliquez sur Modifier.

    Si la configuration du cluster a récemment été modifiée, il est possible que le bouton "Modifier" ne soit pas disponible. Si vous ne pouvez pas modifier les paramètres du cluster, attendez quelques minutes, puis réessayez.

  4. Dans la liste déroulante Ancien Stackdriver Logging ou Stackdriver Kubernetes Engine Monitoring, sélectionnez Activé.

    Ces options ne sont pas compatibles. Veillez à utiliser uniquement Stackdriver Kubernetes Engine Monitoring, ou à combiner les options Ancien Stackdriver Logging et Ancien Stackdriver Monitoring.

  5. Cliquez sur Enregistrer.

CLUSTER_MONITORING_DISABLED

Pour faciliter l'analyse des problèmes de sécurité et surveiller l'utilisation, il est recommandé d'activer Stackdriver Monitoring sur vos clusters.

Pour corriger ce résultat, procédez comme suit :

  1. Accédez à la page Clusters Kubernetes de Cloud Console.
    Accéder à la page "Clusters Kubernetes"
  2. Sélectionnez le cluster répertorié dans le résultat de l'analyse de l'état de la sécurité.
  3. Cliquez sur Modifier.

    Si la configuration du cluster a récemment été modifiée, il est possible que le bouton "Modifier" ne soit pas disponible. Si vous ne pouvez pas modifier les paramètres du cluster, attendez quelques minutes, puis réessayez.

  4. Dans la liste déroulante Ancien Legacy Stackdriver Monitoring ou Stackdriver Kubernetes Engine Monitoring, sélectionnez Activé.

    Ces options ne sont pas compatibles. Veillez à utiliser uniquement Stackdriver Kubernetes Engine Monitoring, ou à combiner les options Ancien Stackdriver Monitoring et Ancien Stackdriver Logging.

  5. Cliquez sur Enregistrer.

KMS_ROLE_SEPARATION

Plusieurs autorisations KMS ont été attribuées à un ou plusieurs membres de votre organisation. Il est recommandé de ne pas attribuer simultanément d'autorisation Administrateur de Cloud KMS avec d'autres autorisations KMS.

Pour corriger ce résultat, procédez comme suit :

  1. Accédez à la page IAM de Cloud Console.
    Accéder à la page IAM
  2. Cliquez sur Modifier à côté du membre répertorié dans le résultat de l'analyse de l'état de la sécurité.
  3. Pour supprimer les autorisations, cliquez sur Supprimer à côté de l'option Administrateur Cloud KMS. Si vous souhaitez supprimer toutes les autorisations du membre, cliquez sur Supprimer à côté de toutes les autres autorisations.
  4. Cliquez sur Enregistrer.
  5. Répétez les étapes précédentes pour chacun des membres répertoriés dans les résultats de l'analyse de l'état de la sécurité.

LEGACY_AUTHORIZATION_ENABLED

Dans Kubernetes, le contrôle des accès basé sur les rôles permet de définir des rôles avec des règles contenant un ensemble d'autorisations, et d'accorder des autorisations aux niveaux du cluster et de l'espace de noms. Ce mécanisme renforce la sécurité en garantissant que les utilisateurs n'ont accès qu'à des ressources spécifiques. Il est recommandé de désactiver l'ancien contrôle des accès basé sur les attributs.

Pour corriger ce résultat, procédez comme suit :

  1. Accédez à la page Clusters Kubernetes de Cloud Console.
    Accéder à la page "Clusters Kubernetes"
  2. Sélectionnez le cluster répertorié dans le résultat de l'analyse de l'état de la sécurité.
  3. Cliquez sur Modifier.

    Si la configuration du cluster a récemment été modifiée, il est possible que le bouton "Modifier" ne soit pas disponible. Si vous ne pouvez pas modifier les paramètres du cluster, attendez quelques minutes, puis réessayez.

  4. Dans la liste déroulante Ancienne autorisation, sélectionnez Désactivée.

  5. Cliquez sur Enregistrer.

MASTER_AUTHORIZED_NETWORKS_DISABLED

Les réseaux autorisés maîtres améliorent la sécurité de votre cluster de conteneurs en bloquant l'accès des adresses IP spécifiées au plan de contrôle du cluster.

Pour corriger ce résultat, procédez comme suit :

  1. Accédez à la page Clusters Kubernetes de Cloud Console.
    Accéder à la page "Clusters Kubernetes"
  2. Sélectionnez le cluster répertorié dans le résultat de l'analyse de l'état de la sécurité.
  3. Cliquez sur Modifier.

    Si la configuration du cluster a récemment été modifiée, il est possible que le bouton "Modifier" ne soit pas disponible. Si vous ne pouvez pas modifier les paramètres du cluster, attendez quelques minutes, puis réessayez.

  4. Dans la liste déroulante Réseaux autorisés maîtres, sélectionnez Activé.

  5. Cliquez sur Ajouter un réseau autorisé.

  6. Spécifiez les réseaux autorisés que vous souhaitez utiliser.

  7. Cliquez sur Enregistrer.

NETWORK_POLICY_DISABLED

La communication entre les pods est ouverte par défaut. Une communication ouverte permet aux pods de se connecter directement aux nœuds, avec ou sans traduction d'adresses réseau. À moins qu'elle n'autorise explicitement la connexion, une règle de réseau est comparable à un pare-feu au niveau du pod qui restreint les connexions entre les pods. Découvrez comment définir une règle de réseau.

Pour corriger ce résultat, procédez comme suit :

  1. Accédez à la page Clusters Kubernetes de Cloud Console.
    Accéder à la page "Clusters Kubernetes"
  2. Sélectionnez le cluster répertorié dans le résultat de l'analyse de l'état de la sécurité.
  3. Cliquez sur Modifier.

    Si la configuration du cluster a récemment été modifiée, il est possible que le bouton "Modifier" ne soit pas disponible. Si vous ne pouvez pas modifier les paramètres du cluster, attendez quelques minutes, puis réessayez.

  4. Dans les listes déroulantes Règle de réseau pour le maître et Règle de réseau pour les nœuds, sélectionnez Activée.

  5. Cliquez sur Enregistrer.

NON_ORG_IAM_MEMBER

Un utilisateur hors de votre organisation dispose d'autorisations IAM sur un projet ou une organisation. Découvrez les autorisations IAM.

Pour corriger ce résultat, procédez comme suit :

  1. Accédez à la page IAM de Cloud Console.
    Accéder à la page IAM
  2. Cochez la case à côté des utilisateurs externes à votre organisation.
  3. Cliquez sur Supprimer.

OBJECT_VERSIONING_DISABLED

Pour permettre la récupération des objets supprimés ou écrasés, Cloud Storage propose la fonctionnalité de gestion des versions d'objets. Activez la gestion des versions d'objets pour éviter que vos données Cloud Storage ne soient accidentellement écrasées ou supprimées. Découvrez comment Activer la gestion des versions d'objets.

Pour corriger ce résultat, utilisez la commande gsutil versioning set on avec la valeur appropriée ; par exemple, gsutil versioning set on gs://finding.assetDisplayName.

OPEN_FIREWALL

Les règles de pare-feu qui autorisent les connexions à partir de toutes les adresses IP (telles que 0.0.0.0/0) peuvent exposer inutilement les ressources à des attaques d'origine imprévue. Ces règles doivent être supprimées ou appliquées de façon explicite aux plages d'adresses IP prévues. Découvrez comment Supprimer des règles de pare-feu.

Pour corriger ce résultat, procédez comme suit :

  1. Accédez à la page Règles de pare-feu de Cloud Console.
    Accéder à la page "Règles de pare-feu"
  2. Cliquez sur la règle de pare-feu répertoriée dans le résultat de l'analyse de l'état de la sécurité, puis sur Modifier.
  3. Sous Plages d'adresses IP sources, modifiez les valeurs de d'adresse IP pour restreindre la plage d'adresses IP autorisées.

OS_LOGIN_DISABLED

OS Login active la gestion centralisée des clés SSH avec IAM et désactive les configurations de clés SSH basées sur les métadonnées dans toutes les instances d'un projet. Découvrez comment Configurer OS Login.

Pour corriger ce résultat, procédez comme suit :

  1. Accédez à la page Métadonnées de Cloud Console.
    Accéder à la page "Métadonnées"
  2. Cliquez sur Modifier, puis sur Ajouter un élément.
  3. Ajoutez un élément comportant la clé enable-oslogin et la valeur TRUE.

POD_SECURITY_POLICY_DISABLED

Une stratégie PodSecurityPolicy est une ressource de contrôleur d'admission qui valide les demandes de création et de mise à jour de pods sur un cluster. La stratégie PodSecurityPolicy définit un ensemble de conditions que les pods doivent remplir pour être acceptés par le cluster.

Pour corriger ce résultat, définissez et autorisez les règles PodSecurityPolicies, puis activez le contrôleur PodSecurityPolicy. Pour savoir comment procéder, consultez le guide Utiliser PodSecurityPolicies.

PRIVATE_CLUSTER_DISABLED

Les nœuds de clusters privés ne peuvent utiliser que des adresses IP internes. Cette restriction limite leur accès Internet sortant. Si un nœud de cluster ne dispose pas d'une adresse IP publique, il n'est pas visible ni exposé sur le réseau Internet public. Vous pouvez toutefois utiliser un équilibreur de charge interne pour acheminer le trafic vers ce nœud.

Vous ne pouvez pas créer un cluster privé à partir d'un cluster existant. Pour corriger ce résultat, créez un cluster privé :

  1. Accédez à la page Clusters Kubernetes de Cloud Console.
    Accéder à la page "Clusters Kubernetes"
  2. Cliquez sur Créer un cluster.
  3. Cliquez sur Disponibilité, mise en réseau, sécurité et autres fonctionnalités, puis cochez les cases Activer le VPC natif (utilisation d'une adresse IP d'alias) et Cluster privé.
  4. Cliquez sur Créer.

PUBLIC_BUCKET_ACL

Le bucket indiqué par le résultat de l'analyse de l'état de la sécurité est public et accessible par tous les internautes.

Pour corriger ce résultat, procédez comme suit :

  1. Accédez à la page Navigateur de stockage de Cloud Console.
    Navigateur de stockage
  2. Sélectionnez le bucket répertorié dans le résultat de l'analyse de l'état de la sécurité.
  3. Sur la page Informations sur le bucket, cliquez sur l'onglet Autorisations.
  4. Sous Rôle(s), cliquez sur Supprimer pour supprimer toutes les autorisations IAM attribuées à allUsers et allAuthenticatedUsers.

SERVICE_ACCOUNT_ROLE_SEPARATION

Plusieurs autorisations de compte de service ont été attribuées à un ou plusieurs membres de votre organisation. Il est recommandé de ne pas attribuer simultanément d'autorisation Administrateur de compte de service avec d'autres autorisations de compte de service.

Pour corriger ce résultat, procédez comme suit :

  1. Accédez à la page IAM de Cloud Console.
    Accéder à la page IAM
  2. Cliquez sur Modifier à côté du membre répertorié dans le résultat de l'analyse de l'état de la sécurité.
  3. Pour supprimer des autorisations, cliquez sur Supprimer à côté de l'option Administrateur de compte de service. Si vous souhaitez supprimer toutes les autorisations de compte de service, cliquez sur Supprimer à côté de toutes les autres autorisations.
  4. Cliquez sur Enregistrer.
  5. Répétez les étapes précédentes pour chacun des membres répertoriés dans les résultats de l'analyse de l'état de la sécurité.

SQL_NO_ROOT_PASSWORD

Aucun mot de passe n'est défini pour le compte racine des instances de base de données MySQL indiquées par l'analyse de l'état de la sécurité.

Pour corriger ce résultat, ajoutez un mot de passe aux instances de base de données MySQL :

  1. Accédez à la page Instances SQL de Cloud Console.
    Accéder à la page Instances SQL
  2. Sélectionnez l'instance répertoriée dans le résultat de l'analyse de l'état de la sécurité.
  3. Sur la page Détails de l'instance qui s'affiche, sélectionnez l'onglet Utilisateurs.
  4. À côté de l'utilisateur root, cliquez sur Plus , puis sélectionnez Modifier le mot de passe.
  5. Saisissez un nouveau mot de passe sécurisé, puis cliquez sur OK.

SQL_WEAK_ROOT_PASSWORD

Le mot de passe des instances de base de données MySQL indiquées par l'analyse de l'état de la sécurité est peu sécurisé pour le compte racine.

Pour corriger ce résultat, définissez un mot de passe sécurisé pour les instances de base de données MySQL :

  1. Accédez à la page Instances SQL de Cloud Console.
    Accéder à la page Instances SQL
  2. Sélectionnez l'instance répertoriée dans le résultat de l'analyse de l'état de la sécurité.
  3. Sur la page Détails de l'instance qui s'affiche, sélectionnez l'onglet Utilisateurs.
  4. À côté de l'utilisateur root, cliquez sur Plus , puis sélectionnez Modifier le mot de passe.
  5. Saisissez un nouveau mot de passe sécurisé, puis cliquez sur OK.

SSL_NOT_ENFORCED

Pour éviter la fuite de données sensibles pendant leur transit via des communications non chiffrées, toutes les connexions entrantes à votre instance de base de données SQL doivent utiliser le protocole SSL. Apprenez-en plus sur la configuration de SSL/TLS.

Pour corriger ce résultat, autorisez uniquement les connexions SSL pour vos instances SQL :

  1. Accédez à la page Instances SQL de Cloud Console.
    Accéder à la page Instances SQL
  2. Sélectionnez l'instance répertoriée dans le résultat de l'analyse de l'état de la sécurité.
  3. Dans l'onglet Connexions, cliquez sur Autoriser uniquement les connexions SSL.

WEB_UI_ENABLED

L'UI Web de Kubernetes est protégée par un compte de service Kubernetes hautement privilégié, qui peut être utilisé de manière abusive s'il est compromis. Si vous utilisez déjà Cloud Console, l'UI Web de Kubernetes étend inutilement votre surface d'attaque. Découvrez comment Désactiver l'UI Web de Kubernetes.

Pour corriger ce résultat, désactivez l'UI Web de Kubernetes :

  1. Accédez à la page Clusters Kubernetes de Cloud Console.
    Accéder à la page "Clusters Kubernetes"
  2. Sélectionnez le cluster répertorié dans le résultat de l'analyse de l'état de la sécurité.
  3. Cliquez sur Modifier.

    Si la configuration du cluster a récemment été modifiée, il est possible que le bouton "Modifier" ne soit pas disponible. Si vous ne pouvez pas modifier les paramètres du cluster, attendez quelques minutes, puis réessayez.

  4. Cliquez sur Modules complémentaires. La section se développe pour afficher les modules complémentaires disponibles.

  5. Dans la liste déroulante Tableau de bord Kubernetes, sélectionnez Désactivé.

  6. Cliquez sur Enregistrer.

WORKLOAD_IDENTITY_DISABLED

Workload Identity est la solution recommandée pour accéder aux services Google Cloud à partir de GKE, car elle propose des propriétés de sécurité renforcée et simplifie la gestion. Son activation permet de protéger certaines métadonnées système potentiellement sensibles contre les charges de travail d'utilisateur exécutées sur votre cluster. En savoir plus sur la Dissimulation de métadonnées.

Pour corriger ce résultat, suivez le guide Activer Workload Identity sur un cluster existant.