Como corrigir as descobertas da análise de integridade de segurança

>

Esta página fornece uma lista de guias de referência e técnicas para corrigir descobertas do Security Health Analytics usando o Security Command Center.

Reversão do Security Health Analytics

BUCKET_LOGGING_DISABLED

Para ajudar a investigar problemas de segurança e monitorar o consumo de armazenamento, ative os registros de acesso e informação de armazenamento nos seus buckets do Cloud Storage. Os registros de acesso fornecem informações sobre todas as solicitações feitas em um bucket específico e os registros de armazenamento fornecem informações sobre o consumo de armazenamento daquele bucket.

Para corrigir essa descoberta, configure o registro para o bucket indicado pela descoberta do Security Health Analytics realizando o guia de registros de acesso e de armazenamento.

CLUSTER_LOGGING_DISABLED

Para ajudar a investigar problemas de segurança e monitorar o uso, é recomendável ativar o Cloud Logging nos clusters.

Para corrigir essa descoberta:

  1. Acesse a página Clusters do Kubernetes no Console do Cloud.
    Acessar a página de clusters do Kubernetes
  2. Selecione o cluster listado na descoberta do Security Health Analytics.
  3. Clique em Edit.

    Se a configuração do cluster tiver sido alterada recentemente, o botão de edição poderá ser desativado. Se você não conseguir editar as configurações do cluster, aguarde alguns minutos e tente novamente.

  4. Na lista suspensa do Stackdriver Logging legado ou do Stackdriver Kubernetes Engine Monitoring, selecione Ativado.

    Essas opções não são compatíveis. Assegure-se de usar o Stackdriver Kubernetes Engine Monitoring apenas, ou Stackdriver Logging legado com Stackdriver Monitoring legado.

  5. Clique em Save.

CLUSTER_MONITORING_DISABLED

Para ajudar a investigar problemas de segurança e monitorar o uso, é recomendado que você ative o Cloud Monitoring nos seus clusters.

Para corrigir essa descoberta:

  1. Acesse a página Clusters do Kubernetes no Console do Cloud.
    Acessar a página de clusters do Kubernetes
  2. Selecione o cluster listado na descoberta do Security Health Analytics.
  3. Clique em Edit.

    Se a configuração do cluster tiver sido alterada recentemente, o botão de edição poderá ser desativado. Se você não conseguir editar as configurações do cluster, aguarde alguns minutos e tente novamente.

  4. Na lista suspensa do Stackdriver Monitoring legado ou do Stackdriver Kubernetes Engine Monitoring, selecione Ativado.

    Essas opções não são compatíveis. Assegure-se de usar o Stackdriver Kubernetes Engine Monitoring apenas, ou Stackdriver Monitoring legado com o Stackdriver Logging legado.

  5. Clique em Save.

DEFAULT_SERVICE_ACCOUNT_USED

A conta de serviço padrão do Compute Engine tem o papel de editor no projeto, o que permite acesso de leitura e gravação à maioria dos serviços do Google Cloud. Para se proteger contra escalonamentos de privilégios e acesso não autorizado, não use a conta de serviço padrão do Compute Engine. Em vez disso, crie uma nova conta de serviço e atribua apenas as permissões necessárias à instância. Leia Controle de acesso para informações sobre papéis e permissões.

Para corrigir essa descoberta:

  1. Acesse a página Instâncias de VMs no Console do Cloud.
    Acessar a página "Instâncias de VM"
  2. Selecione a instância relacionada à descoberta da Security Health Analytics.
  3. Na página Detalhes da instância carregada, clique em Parar.
  4. Depois que a instância parar, clique em Editar.
  5. Na seção Conta de serviço, selecione uma conta de serviço diferente da padrão. Talvez seja necessário criar uma nova conta de serviço primeiro. Leia Controle de acesso para informações sobre papéis e permissões do Gerenciamento de identidade e acesso.
  6. Clique em Save. A nova configuração aparecerá na página Detalhes da instância.

KMS_ROLE_SEPARATION

Um ou mais membros de sua organização têm múltiplas permissões KMS atribuídas. Recomenda-se que a permissão Administrador do Cloud KMS não seja utilizada com outras permissões na mesma conta.

Para corrigir essa descoberta:

  1. Acesse a página IAM no Console do Cloud.
    Acessar a página "IAM"
  2. Clique em Editar ao lado do membro listado na descoberta do Security Health Analytics.
  3. Para remover as permissões, clique em Excluir ao lado do Administrador do Cloud KMS. Se você quiser remover todas as permissões do membro, clique em Excluir ao lado de todas as outras permissões.
  4. Clique em Save.
  5. Repita as etapas anteriores para cada um dos membros listados na descoberta do Security Health Analytics.

LEGACY_AUTHORIZATION_ENABLED

No Kubernetes, o controle de acesso baseado no papel (RBAC, na sigla em inglês) permite definir papéis com regras que contêm um conjunto de permissões e conceder permissões nos níveis do cluster e do namespace. Isso oferece maior segurança ao garantir que os usuários tenham acesso somente a recursos específicos. Recomenda-se desativar o controle de acesso baseado em atributo (ABAC, na sigla em inglês) legado.

Para corrigir essa descoberta:

  1. Acesse a página Clusters do Kubernetes no Console do Cloud.
    Acessar a página de clusters do Kubernetes
  2. Selecione o cluster listado na descoberta do Security Health Analytics.
  3. Clique em Edit.

    Se a configuração do cluster tiver sido alterada recentemente, o botão de edição poderá ser desativado. Se você não conseguir editar as configurações do cluster, aguarde alguns minutos e tente novamente.

  4. Na lista suspensa Autorização herdada, selecione Desativada.

  5. Clique em Save.

MASTER_AUTHORIZED_NETWORKS_DISABLED

Redes autorizadas pelo mestre melhoram a segurança do cluster de contêiner bloqueando o acesso de endereços IP especificados ao plano de controle do cluster.

Para corrigir essa descoberta:

  1. Acesse a página Clusters do Kubernetes no Console do Cloud.
    Acessar a página de clusters do Kubernetes
  2. Selecione o cluster listado na descoberta do Security Health Analytics.
  3. Clique em Edit.

    Se a configuração do cluster tiver sido alterada recentemente, o botão de edição poderá ser desativado. Se você não conseguir editar as configurações do cluster, aguarde alguns minutos e tente novamente.

  4. Na lista suspensa Redes principais autorizadas, selecione Ativadas.

  5. Clique em Adicionar rede autorizada.

  6. Especifique as redes autorizadas que você quer usar.

  7. Clique em Save.

NETWORK_POLICY_DISABLED

Por padrão, a comunicação entre pods fica aberta. A comunicação aberta permite que os pods se conectem diretamente entre os nós, com ou sem NAT. Uma NetworkPolicy é como um firewall no nível do pod que restringe as conexões entre os pods, a menos que a NetworkPolicy permita explicitamente a conexão. Aprenda a definir uma política de rede.

Para corrigir essa descoberta:

  1. Acesse a página Clusters do Kubernetes no Console do Cloud.
    Acessar a página de clusters do Kubernetes
  2. Selecione o cluster listado na descoberta do Security Health Analytics.
  3. Clique em Edit.

    Se a configuração do cluster tiver sido alterada recentemente, o botão de edição poderá ser desativado. Se você não conseguir editar as configurações do cluster, aguarde alguns minutos e tente novamente.

  4. Nas listas suspensas Política de rede para mestre e Política de rede para nós, selecione Ativado.

  5. Clique em Save.

NON_ORG_IAM_MEMBER

Um usuário fora da organização tem permissões do IAM em um projeto ou organização. Saiba mais sobre as permissões do IAM.

Para corrigir essa descoberta:

  1. Acesse a página IAM no Console do Cloud.
    Acessar a página "IAM"
  2. Marque a caixa de seleção ao lado dos usuários fora da organização.
  3. Clique em Remover.

OBJECT_VERSIONING_DISABLED

O Cloud Storage oferece o recurso de controle de versões de objetos para recuperar objetos que são excluídos ou substituídos. Ative o controle de versão de objetos para evitar que os dados do Cloud Storage sejam substituídos ou excluídos acidentalmente. Saiba como ativar o controle de versão de objetos.

Para corrigir essa descoberta, use o comando gsutil versioning set on com o valor apropriado, como gsutil versioning set on gs://finding.assetDisplayName.

OPEN_FIREWALL

Regras de firewall que permitem conexões de todos os endereços IP, como 0.0.0.0/0, podem expor de maneira desnecessária os recursos a ataques de fontes indesejadas. Essas regras devem ser removidas ou delimitadas explicitamente para os intervalos de IP de origem pretendidos. Saiba mais sobre Como excluir regras de firewall.

Para corrigir essa descoberta:

  1. Acesse a página Regras de firewall no Console do Cloud.
    Faça isso neste link
  2. Clique na regra de firewall listada na descoberta do Security Health Analytics e clique em Editar.
  3. Em Intervalos de IP de origem, edite os valores de IP para restringir o intervalo de IPs que são permitidos.

OS_LOGIN_DISABLED

O login de SO ativa o gerenciamento centralizado de chave SSH com IAM e desativa a configuração de chave SSH baseada em metadados em todas as instâncias de um projeto. Saiba como instalar e configurar o login do SO.

Para corrigir essa descoberta:

  1. Acesse a página Metadados no Console do Cloud.
    Acessar a página "Metadados"
  2. Clique em Editar e depois clique em Adicionar item.
  3. Adicione um item com a chave enable-oslogin e o valor TRUE.

POD_SECURITY_POLICY_DISABLED

Um PodSecurityPolicy é um recurso controlador de admissão que valida solicitações para criar e atualizar pods em um cluster. O PodSecurityPolicy define um conjunto de condições que os pods precisam atender para serem aceitos pelo cluster.

Para corrigir essa descoberta, defina e autorize PodSecurityPolicies e ative o controlador PodSecurityPolicy. Para instruções, consulte o guia Como usar PodSecurityPolicies.

PRIVATE_CLUSTER_DISABLED

Clusters particulares só permitem que os nós tenham endereços IP internos. Isso limita o acesso à Internet de saída do nó. Se um nó de cluster não tiver um endereço IP público, ele não poderá ser descoberto ou exposto à Internet pública. Ainda é possível rotear o tráfego para um nó usando um balanceador de carga interno.

Não é possível tornar privado um cluster atual. Para corrigir essa descoberta, crie um novo cluster privado:

  1. Acesse a página Clusters do Kubernetes no Console do Cloud.
    Acessar a página de clusters do Kubernetes
  2. Clique em Criar cluster.
  3. Clique em Disponibilidade, rede, segurança e outros recursos e, depois, selecione as caixas de seleção para Ativar VPC-nativo (usando IP alias) e Cluster privado.
  4. Clique em Criar

PUBLIC_BUCKET_ACL

O bucket indicado pela descoberta do Security Health Analytics é público e qualquer pessoa na Internet pode acessá-lo.

Para corrigir essa descoberta:

  1. Acesse a página Navegador do Storage no Console do Cloud.
    Navegador do Storage
  2. Selecione o bucket listado na descoberta do Security Health Analytics.
  3. Na página Detalhes do bucket, clique na guia Permissões.
  4. Em Papéis, clique em Excluir para remover todas as permissões do IAM concedidas a allUsers e allAuthenticatedUsers.

SERVICE_ACCOUNT_ROLE_SEPARATION

Um ou mais membros de sua organização têm múltiplas permissões de conta de serviço atribuídas. Recomenda-se que a permissão Administrador de contas de serviço não seja usada com outras permissões de contas de serviço.

Para corrigir essa descoberta:

  1. Acesse a página IAM no Console do Cloud.
    Acessar a página "IAM"
  2. Clique em Editar ao lado do membro listado na descoberta do Security Health Analytics.
  3. Para remover permissões, clique em Excluir ao lado deAdministrador de conta de serviço. Se você quiser remover todas as permissões da conta de serviço, clique em Excluir ao lado de todas as outras permissões.
  4. Clique em Save.
  5. Repita as etapas anteriores para cada um dos membros listados na descoberta do Security Health Analytics.

SHIELDED_VM_DISABLED

As VMs protegidas são máquinas virtuais (VMs) no Google Cloud reforçadas por um conjunto de controles de segurança que ajudam a proteger contra rootkits e bootkits. As VMs protegidas ajudam a garantir que o carregador de inicialização e o firmware sejam assinados e verificados. Saiba mais sobre VM protegida.

Para corrigir essa descoberta:

  1. Acesse a página Instâncias de VM no Console do Cloud.
    Acessar a página "Instâncias de VM"
  2. Selecione a instância relacionada à descoberta da Security Health Analytics.
  3. Na página Detalhes da instância carregada, clique em Parar.
  4. Depois que a instância parar, clique em Editar.
  5. Na seção VM protegida, ative Ativar vTPM e Ativar monitoramento de integridade para ativar a VM protegida.
  6. Opcionalmente, se você não usa drivers personalizados ou não assinados, também ative a Inicialização segura.
  7. Clique em Save. A nova configuração aparecerá na página Detalhes da instância.
  8. Clique em Iniciar para iniciar a instância.

SQL_NO_ROOT_PASSWORD

As instâncias do banco de dados MySQL indicadas pelo Security Health Analytics não têm uma senha definida para a conta raiz.

Para corrigir essa descoberta, adicione uma senha às instâncias do banco de dados MySQL:

  1. Acesse a página Instâncias de SQL no Console do Cloud.
    Acessar a página Instâncias do SQL
  2. Selecione a instância listada na descoberta do Security Health Analytics.
  3. Na página Detalhes da instância carregada, selecione a guia Usuários.
  4. Ao lado do usuário root, clique em Mais e selecione Alterar senha.
  5. Insira uma senha nova e forte e clique em OK.

SQL_WEAK_ROOT_PASSWORD

As instâncias do banco de dados MySQL indicadas pela descoberta do Security Health Analytics têm uma senha fraca definida para a conta raiz.

Para corrigir essa descoberta, defina uma senha forte para as instâncias do banco de dados MySQL:

  1. Acesse a página Instâncias de SQL no Console do Cloud.
    Acessar a página Instâncias do SQL
  2. Selecione a instância listada na descoberta do Security Health Analytics.
  3. Na página Detalhes da instância carregada, selecione a guia Usuários.
  4. Ao lado do usuário root, clique em Mais e selecione Alterar senha.
  5. Insira uma senha nova e forte e clique em OK.

SSL_NOT_ENFORCED

Para evitar o vazamento de dados confidenciais em trânsito durante comunicações não criptografadas, todas as conexões de entrada com sua instância do banco de dados do SQL precisam usar o SSL. Saiba mais sobre Como configurar SSL/TLS.

Para remediar essa descoberta, permita apenas conexões SSL para suas instâncias SQL:

  1. Acesse a página Instâncias de SQL no Console do Cloud.
    Acessar a página Instâncias do SQL
  2. Selecione a instância listada na descoberta do Security Health Analytics.
  3. Na guia Conexões, clique em Permitir apenas conexões SSL.

WEB_UI_ENABLED

As contas de serviço do Kubernetes altamente privilegiadas apoiam a interface da Web do Kubernetes. Caso ela seja comprometida, a conta de serviço pode ser violada. Se você já estiver usando o Console do Cloud, a interface da Web do Kubernetes estende a superfície de ataque desnecessariamente. Saiba mais sobre Como desativar a interface da Web do Kubernetes.

Para corrigir essa descoberta, desative a interface da Web do Kubernetes:

  1. Acesse a página Clusters do Kubernetes no Console do Cloud.
    Acessar a página de clusters do Kubernetes
  2. Selecione o cluster listado na descoberta do Security Health Analytics.
  3. Clique em Edit.

    Se a configuração do cluster tiver sido alterada recentemente, o botão de edição poderá ser desativado. Se você não conseguir editar as configurações do cluster, aguarde alguns minutos e tente novamente.

  4. Clique em Complementos. A seção se expande para exibir os complementos disponíveis.

  5. Na lista suspensa Painel do Kubernetes, selecione Desativado.

  6. Clique em Save.

WORKLOAD_IDENTITY_DISABLED

A identidade de carga de trabalho é a maneira recomendada de acessar os serviços do Google Cloud a partir do GKE porque oferece melhores propriedades de segurança e capacidade de gerenciamento. Sua ativação evita que metadados de sistema potencialmente confidenciais das cargas de trabalho do usuário sejam executados no seu cluster. Saiba mais sobre ocultação de metadados.

Para corrigir essa descoberta, siga o guia para Ativar a Identidade da carga de trabalho em um cluster atual.