Como corrigir as descobertas da análise de integridade de segurança

>

Esta página fornece uma lista de guias de referência e técnicas para corrigir descobertas do Security Health Analytics usando o Security Command Center.

Reversão do Security Health Analytics

BUCKET_LOGGING_DISABLED

Para ajudar a investigar problemas de segurança e monitorar o consumo de armazenamento, ative os registros de acesso e informação de armazenamento nos seus buckets do Cloud Storage. Os registros de acesso fornecem informações sobre todas as solicitações feitas em um bucket específico e os registros de armazenamento fornecem informações sobre o consumo de armazenamento daquele bucket.

Para corrigir essa descoberta, configure o registro para o bucket indicado pela descoberta do Security Health Analytics realizando o guia de registros de acesso e de armazenamento.

CLUSTER_LOGGING_DISABLED

Para ajudar a investigar problemas de segurança e monitorar o uso, é recomendável ativar o Cloud Logging nos clusters.

Para corrigir essa descoberta:

  1. Acesse a página Clusters do Kubernetes no Console do Cloud.
    Acessar a página de clusters do Kubernetes
  2. Selecione o cluster listado na descoberta do Security Health Analytics.
  3. Clique em Edit.

    O botão de edição pode ser desativado se a configuração do cluster tiver mudado recentemente. Se você não conseguir editar as configurações do cluster, aguarde alguns minutos e tente novamente.

  4. Na lista suspensa do Stackdriver Logging legado ou do Stackdriver Kubernetes Engine Monitoring, selecione Ativado.

    Essas opções não são compatíveis. Assegure-se de usar o Stackdriver Kubernetes Engine Monitoring apenas, ou Stackdriver Logging legado com Stackdriver Monitoring legado.

  5. Clique em Save.

CLUSTER_MONITORING_DISABLED

Para ajudar a investigar problemas de segurança e monitorar o uso, é recomendado que você ative o Cloud Monitoring nos seus clusters.

Para corrigir essa descoberta:

  1. Acesse a página Clusters do Kubernetes no Console do Cloud.
    Acessar a página de clusters do Kubernetes
  2. Selecione o cluster listado na descoberta do Security Health Analytics.
  3. Clique em Edit.

    O botão de edição pode ser desativado se a configuração do cluster tiver mudado recentemente. Se você não conseguir editar as configurações do cluster, aguarde alguns minutos e tente novamente.

  4. Na lista suspensa do Stackdriver Monitoring legado ou do Stackdriver Kubernetes Engine Monitoring, selecione Ativado.

    Essas opções não são compatíveis. Assegure-se de usar o Stackdriver Kubernetes Engine Monitoring apenas, ou Stackdriver Monitoring legado com o Stackdriver Logging legado.

  5. Clique em Save.

KMS_ROLE_SEPARATION

Um ou mais membros de sua organização têm múltiplas permissões KMS atribuídas. Recomenda-se que a permissão Administrador do Cloud KMS não seja utilizada com outras permissões na mesma conta.

Para corrigir essa descoberta:

  1. Acesse a página IAM no Console do Cloud.
    Acessar a página "IAM"
  2. Clique em Editar ao lado do membro listado na descoberta do Security Health Analytics.
  3. Para remover as permissões, clique em Excluir ao lado do Administrador do Cloud KMS. Se você quiser remover todas as permissões dos membros, clique em Excluir ao lado de todas as outras permissões.
  4. Clique em Save.
  5. Repita as etapas anteriores para cada um dos membros listados na descoberta do Security Health Analytics.

LEGACY_AUTHORIZATION_ENABLED

No Kubernetes, o controle de acesso baseado no papel (RBAC, na sigla em inglês) permite definir papéis com regras que contêm um conjunto de permissões e conceder permissões no cluster e no nível de namespace. Isso oferece maior segurança ao garantir que os usuários tenham acesso somente a recursos específicos. Recomenda-se desativar o controle de acesso baseado em atributo (ABAC, na sigla em inglês) legado.

Para corrigir essa descoberta:

  1. Acesse a página Clusters do Kubernetes no Console do Cloud.
    Acessar a página de clusters do Kubernetes
  2. Selecione o cluster listado na descoberta do Security Health Analytics.
  3. Clique em Edit.

    O botão de edição pode ser desativado se a configuração do cluster tiver mudado recentemente. Se você não conseguir editar as configurações do cluster, aguarde alguns minutos e tente novamente.

  4. Na lista suspensa Autorização herdada, selecione Desativada.

  5. Clique em Save.

MASTER_AUTHORIZED_NETWORKS_DISABLED

Redes autorizadas pelo mestre melhoram a segurança do cluster de contêiner bloqueando o acesso de endereços IP especificados ao plano de controle do cluster.

Para corrigir essa descoberta:

  1. Acesse a página Clusters do Kubernetes no Console do Cloud.
    Acessar a página de clusters do Kubernetes
  2. Selecione o cluster listado na descoberta do Security Health Analytics.
  3. Clique em Edit.

    O botão de edição pode ser desativado se a configuração do cluster tiver mudado recentemente. Se você não conseguir editar as configurações do cluster, aguarde alguns minutos e tente novamente.

  4. Na lista suspensa Redes principais autorizadas, selecione Ativadas.

  5. Clique em Adicionar rede autorizada.

  6. Especifique as redes autorizadas que você quer usar.

  7. Clique em Save.

NETWORK_POLICY_DISABLED

Por padrão, a comunicação entre pods fica aberta. A comunicação aberta permite que os pods se conectem diretamente entre os nós, com ou sem NAT. Uma NetworkPolicy é como um firewall no nível do pod que restringe as conexões entre os pods, a menos que a conexão seja explicitamente permitida pela NetworkPolicy. Aprenda a definir uma política de rede.

Para corrigir essa descoberta:

  1. Acesse a página Clusters do Kubernetes no Console do Cloud.
    Acessar a página de clusters do Kubernetes
  2. Selecione o cluster listado na descoberta do Security Health Analytics.
  3. Clique em Edit.

    O botão de edição pode ser desativado se a configuração do cluster tiver mudado recentemente. Se você não conseguir editar as configurações do cluster, aguarde alguns minutos e tente novamente.

  4. Nas listas suspensas Política de rede para mestre e Política de rede para nós, selecione Ativado.

  5. Clique em Save.

NON_ORG_IAM_MEMBER

Um usuário fora da organização tem permissões do IAM em um projeto ou organização. Saiba mais sobre as permissões do IAM.

Para corrigir essa descoberta:

  1. Acesse a página IAM no Console do Cloud.
    Acessar a página "IAM"
  2. Marque a caixa de seleção ao lado dos usuários fora da organização.
  3. Clique em Remover.

OBJECT_VERSIONING_DISABLED

O Cloud Storage oferece o recurso de controle de versões de objetos para recuperar objetos que são excluídos ou substituídos. Ative o controle de versão de objetos para evitar que os dados do Cloud Storage sejam substituídos ou excluídos acidentalmente. Saiba como ativar o controle de versão de objetos.

Para corrigir essa descoberta, use o comando gsutil versioning set on com o valor apropriado, como gsutil versioning set on gs://finding.assetDisplayName.

OPEN_FIREWALL

Regras de firewall que permitem conexões de todos os endereços IP, como 0.0.0.0/0, podem expor de maneira desnecessária os recursos a ataques de fontes indesejadas. Essas regras devem ser removidas ou delimitadas explicitamente para os intervalos de IP de origem pretendidos. Saiba mais sobre Como excluir regras de firewall.

Para corrigir essa descoberta:

  1. Acesse a página Regras de firewall no Console do Cloud.
    Faça isso neste link
  2. Clique na regra de firewall listada na descoberta do Security Health Analytics e clique em Editar.
  3. Em Intervalos de IP de origem, edite os valores de IP para restringir o intervalo de IPs que são permitidos.

OS_LOGIN_DISABLED

O login de SO ativa o gerenciamento centralizado de chave SSH com IAM e desativa a configuração de chave SSH baseada em metadados em todas as instâncias de um projeto. Saiba como instalar e configurar o login do SO.

Para corrigir essa descoberta:

  1. Acesse a página Metadados no Console do Cloud.
    Acessar a página "Metadados"
  2. Clique em Editar e depois clique em Adicionar item.
  3. Adicione um item com a chave enable-oslogin e o valor TRUE.

POD_SECURITY_POLICY_DISABLED

Um PodSecurityPolicy é um recurso controlador de admissão que valida solicitações para criar e atualizar pods em um cluster. O PodSecurityPolicy define um conjunto de condições que os pods precisam atender para serem aceitos pelo cluster.

Para corrigir essa descoberta, defina e autorize PodSecurityPolicies e ative o controlador PodSecurityPolicy. Para instruções, consulte o guia Como usar PodSecurityPolicies.

PRIVATE_CLUSTER_DISABLED

Clusters particulares só permitem que os nós tenham endereços IP particulares RFC 1918. Isso limita o acesso à Internet de saída do nó. Se um nó de cluster não tiver um endereço IP público, ele não poderá ser descoberto ou exposto à Internet pública. Ainda é possível rotear o tráfego para um nó usando um balanceador de carga interno.

Não é possível tornar privado um cluster atual. Para corrigir essa descoberta, crie um novo cluster privado:

  1. Acesse a página Clusters do Kubernetes no Console do Cloud.
    Acessar a página de clusters do Kubernetes
  2. Clique em Criar cluster.
  3. Clique em Disponibilidade, rede, segurança e outros recursos e, depois, selecione as caixas de seleção para Ativar VPC-nativo (usando IP alias) e Cluster privado.
  4. Clique em Criar

PUBLIC_BUCKET_ACL

O bucket indicado pela descoberta do Security Health Analytics é público e pode ser acessado por qualquer pessoa na Internet.

Para corrigir essa descoberta:

  1. Acesse a página Navegador do Storage no Console do Cloud.
    Navegador do Storage
  2. Selecione o bucket listado na descoberta do Security Health Analytics.
  3. Na página Detalhes do bucket, clique na guia Permissões.
  4. Em Papéis, clique em Excluir para remover todas as permissões do IAM concedidas a allUsers e allAuthenticatedUsers.

SERVICE_ACCOUNT_ROLE_SEPARATION

Um ou mais membros de sua organização têm múltiplas permissões de conta de serviço atribuídas. Recomenda-se que a permissão Administrador de contas de serviço não seja usada com outras permissões de contas de serviço.

Para corrigir essa descoberta:

  1. Acesse a página IAM no Console do Cloud.
    Acessar a página "IAM"
  2. Clique em Editar ao lado do membro listado na descoberta do Security Health Analytics.
  3. Para remover permissões, clique em Excluir ao lado deAdministrador de conta de serviço. Se quiser remover todas as permissões da conta de serviço, clique em Excluir ao lado de todas as outras permissões.
  4. Clique em Save.
  5. Repita as etapas anteriores para cada um dos membros listados na descoberta do Security Health Analytics.

SQL_NO_ROOT_PASSWORD

As instâncias do banco de dados MySQL indicadas pelo Security Health Analytics não têm uma senha definida para a conta raiz.

Para corrigir essa descoberta, adicione uma senha às instâncias do banco de dados MySQL:

  1. Acesse a página Instâncias de SQL no Console do Cloud.
    Acessar a página Instâncias do SQL
  2. Selecione a instância listada na descoberta do Security Health Analytics.
  3. Na página Detalhes da instância carregada, selecione a guia Usuários.
  4. Ao lado do usuário root, clique em Mais e selecione Alterar senha.
  5. Insira uma senha nova e forte e clique em OK.

SQL_WEAK_ROOT_PASSWORD

As instâncias do banco de dados MySQL indicadas pela descoberta do Security Health Analytics têm uma senha fraca definida para a conta raiz.

Para corrigir essa descoberta, defina uma senha forte para as instâncias do banco de dados MySQL:

  1. Acesse a página Instâncias de SQL no Console do Cloud.
    Acessar a página Instâncias do SQL
  2. Selecione a instância listada na descoberta do Security Health Analytics.
  3. Na página Detalhes da instância carregada, selecione a guia Usuários.
  4. Ao lado do usuário root, clique em Mais e selecione Alterar senha.
  5. Insira uma senha nova e forte e clique em OK.

SSL_NOT_ENFORCED

Para evitar o vazamento de dados confidenciais em trânsito durante comunicações não criptografadas, todas as conexões de entrada com sua instância do banco de dados do SQL precisam usar o SSL. Saiba mais sobre Como configurar SSL/TLS.

Para remediar essa descoberta, permita apenas conexões SSL para suas instâncias SQL:

  1. Acesse a página Instâncias de SQL no Console do Cloud.
    Acessar a página Instâncias do SQL
  2. Selecione a instância listada na descoberta do Security Health Analytics.
  3. Na guia Conexões, clique em Permitir apenas conexões SSL.

WEB_UI_ENABLED

A UI da Web do Kubernetes é apoiada por uma conta de serviço do Kubernetes altamente privilegiada, que pode ser violada se for comprometida. Se você já estiver usando o Console do Cloud, a IU da Web do Kubernetes estenderá sua superfície de ataque desnecessariamente. Saiba mais sobre Como desativar a IU da Web do Kubernetes.

Para corrigir essa descoberta, desative a IU da Web do Kubernetes:

  1. Acesse a página Clusters do Kubernetes no Console do Cloud.
    Acessar a página de clusters do Kubernetes
  2. Selecione o cluster listado na descoberta do Security Health Analytics.
  3. Clique em Edit.

    O botão de edição pode ser desativado se a configuração do cluster tiver mudado recentemente. Se você não conseguir editar as configurações do cluster, aguarde alguns minutos e tente novamente.

  4. Clique em Complementos. A seção se expande para exibir os complementos disponíveis.

  5. Na lista suspensa Painel do Kubernetes, selecione Desativado.

  6. Clique em Save.

WORKLOAD_IDENTITY_DISABLED

A identidade de carga de trabalho é a maneira recomendada de acessar os serviços do Google Cloud a partir do GKE porque oferece melhores propriedades de segurança e capacidade de gerenciamento. Sua ativação evita que metadados de sistema potencialmente confidenciais das cargas de trabalho do usuário sejam executados no seu cluster. Saiba mais sobre ocultação de metadados.

Para corrigir essa descoberta, siga o guia para Ativar a Identidade da carga de trabalho em um cluster atual.