Auf dieser Seite finden Sie eine Liste von Referenzleitfäden und -techniken zur Behebung von Security Health Analytics-Ergebnissen mithilfe von Security Command Center.
Sie benötigen ausreichende IAM-Rollen (Identity and Access Management), um die Ergebnisse anzusehen oder zu bearbeiten und auf Google Cloud-Ressourcen zuzugreifen oder diese zu ändern. Wenn Sie auf eine beim Zugriff auf Security Command Center in der Google Cloud Console haben, bitten Sie Ihren Administrator um Hilfe und weitere Informationen zu Rollen finden Sie unter Zugriffssteuerung. Informationen zum Beheben von Ressourcenfehlern finden Sie in der Dokumentation zu den betroffenen Produkten.
Behebung von Security Health Analytics-Ergebnissen
Dieser Abschnitt enthält Anweisungen zur Behebung aller Ergebnisse von Security Health Analytics.
Deaktivierung von Ergebnissen nach der Korrektur
Nachdem Sie eine Sicherheitslücke
oder eine fehlerhafte Konfiguration behoben haben,
Security Health Analytics legt den Status des Ergebnisses automatisch auf INACTIVE
fest
das nächste Mal nach dem Ergebnis.
Wie lange Security Health Analytics dauert, um ein korrigiertes Ergebnis auf INACTIVE
festzulegen
hängt davon ab, wann das Ergebnis behoben ist und vom Zeitplan des Scans,
das Ergebnis erkennt.
Security Health Analytics legt außerdem den Status eines Ergebnisses auf INACTIVE
fest
Ein Scan erkennt, dass die von dem Ergebnis betroffene Ressource
wird gelöscht. Wenn Sie ein Ergebnis für eine gelöschte Ressource entfernen möchten
während Sie auf Security Health Analytics warten,
ob die Ressource gelöscht wurde, können Sie das Ergebnis ausblenden. Zum Stummschalten
Informationen zu einem Ergebnis finden Sie unter Ergebnisse in Security Command Center ausblenden.
Verwenden Sie die Ausblendung nicht, um korrigierte Ergebnisse für vorhandene Ressourcen auszublenden.
Wenn das Problem wieder auftritt und Security Health Analytics ACTIVE
wiederherstellt
des Ergebnisses angezeigt wird, wird das reaktivierte Ergebnis möglicherweise nicht angezeigt.
ausgeblendete Ergebnisse werden von allen Ergebnisabfragen ausgeschlossen, die NOT mute="MUTED"
angeben, z. B. von der Standard-Ergebnisabfrage.
Informationen zu Scanintervallen finden Sie unter Scantypen für Security Health Analytics.
Access Transparency disabled
Kategoriename in der API: ACCESS_TRANSPARENCY_DISABLED
Access Transparency-Logs, wenn Google Cloud-Mitarbeiter auf Projekte in Ihrer Organisation zugreifen, um Support anzubieten. Aktivieren Mit Access Transparency wird protokolliert, wer von Google Cloud auf Ihr Informationen, wann und warum. Weitere Informationen finden Sie unter Access Transparency.
Um Access Transparency für ein Projekt zu aktivieren, muss das Projekt mit einem Rechnungskonto.
Erforderliche Rollen
Um die Berechtigungen zu erhalten, die Sie zum Ausführen dieser Aufgabe benötigen, fragen Sie Ihren
Administrator, der Ihnen die Rolle Access Transparency Admin (roles/axt.admin
) zuweist
IAM-Rolle auf Organisationsebene Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.
Diese vordefinierte Rolle enthält die Berechtigungen axt.labels.get
und
axt.labels.set
, die zum Ausführen dieser Aufgabe erforderlich sind. Vielleicht sind Sie auch
diese Berechtigungen mit einem
benutzerdefinierte Rolle oder andere
vordefinierten Rollen hinzufügen.
Schritte zur Abhilfe
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Prüfen Sie Ihre Berechtigungen auf Organisationsebene:
Rufen Sie die Seite Identity and Access Management (Identitäts- und Zugriffsverwaltung) auf der Google Cloud Console
Wenn Sie dazu aufgefordert werden, wählen Sie die Google Cloud-Organisation in der Auswahlmenü.
Wählen Sie mithilfe der Auswahlmenü.
Access Transparency wird auf einer Google Cloud-Projektseite konfiguriert, aber für die gesamte Organisation aktiviert.
Gehen Sie zur Seite IAM & Verwaltung > Einstellungen.
Klicken Sie auf Access Transparency aktivieren.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denAlloyDB auto backup disabled
Kategoriename in der API: ALLOYDB_AUTO_BACKUP_DISABLED
Für einen AlloyDB for PostgreSQL-Cluster sind keine automatischen Sicherungen aktiviert.
Aktivieren Sie automatische Sicherungen für Ihren Cluster, um Datenverluste zu vermeiden. Weitere Informationen Weitere Informationen finden Sie unter Zusätzliche automatische Sicherungen konfigurieren.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie die AlloyDB for PostgreSQL-Clusterseite in der Google Cloud Console
Klicken Sie in der Spalte Ressourcenname auf einen Cluster.
Klicken Sie auf Datenschutz.
Klicken Sie unter Richtlinie für automatische Sicherungen im Menü auf Bearbeiten. Zeile Automatische Sicherungen:
Klicken Sie das Kästchen Automatische Sicherungen an.
Klicken Sie auf Aktualisieren.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denAlloyDB backups disabled
Kategoriename in der API: ALLOYDB_BACKUPS_DISABLED
Ein AlloyDB for PostgreSQL-Cluster hat weder automatische noch kontinuierliche Sicherungen aktiviert.
Um Datenverluste zu vermeiden, aktivieren Sie entweder automatische oder kontinuierliche Sicherungen für Ihrem Cluster. Weitere Informationen finden Sie unter Zusätzliche Sicherungen konfigurieren.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie die AlloyDB for PostgreSQL-Clusterseite in der Google Cloud Console
Klicken Sie in der Spalte Ressourcenname auf den Namen des Clusters, der Ergebnis identifiziert werden.
Klicken Sie auf Datenschutz.
Richten Sie eine Sicherungsrichtlinie ein.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denAlloyDB CMEK disabled
Kategoriename in der API: ALLOYDB_CMEK_DISABLED
Ein AlloyDB-Cluster verwendet keine vom Kunden verwalteten Verschlüsselungsschlüssel (CMEKs).
Mit CMEK werden die Schlüssel, die Sie in Cloud KMS erstellen und verwalten, die Schlüssel umschließen, die Google zum Verschlüsseln Ihrer Daten verwendet. Dadurch haben Sie mehr Kontrolle über den Zugriff auf Ihre Daten. Weitere Informationen finden Sie unter Informationen zu CMEK. CMEK verursacht zusätzliche Kosten für Cloud KMS.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie die AlloyDB for PostgreSQL-Clusterseite in der Google Cloud Console
Klicken Sie in der Spalte Ressourcenname auf den Namen des Clusters, der Ergebnis identifiziert werden.
Klicken Sie auf Sicherung erstellen. Legen Sie eine Sicherungs-ID fest.
Klicken Sie auf Erstellen.
Klicken Sie im Abschnitt Sicherung/Wiederherstellung auf Wiederherstellen neben dem den von Ihnen ausgewählten Eintrag für die Sicherungs-ID.
Legen Sie eine neue Cluster-ID und ein neues Netzwerk fest.
Klicken Sie auf Erweiterte Verschlüsselungsoptionen. Wählen Sie den gewünschten CMEK aus. um den neuen Cluster zu verschlüsseln.
Klicken Sie auf Wiederherstellen.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denAlloyDB log min error statement severity
Kategoriename in der API: ALLOYDB_LOG_MIN_ERROR_STATEMENT_SEVERITY
Eine AlloyDB for PostgreSQL-Instanz hat nicht das log_min_error_statement
Datenbank-Flag ist auf error
oder einen anderen empfohlenen Wert festgelegt.
Das Flag log_min_error_statement
steuert, ob SQL-Anweisungen, die
Fehlerbedingungen werden in Serverprotokollen aufgezeichnet. SQL-Anweisungen der angegebenen
Schweregrad oder höher protokolliert. Je höher der Schweregrad, desto weniger Meldungen
erfasst werden. Wenn der Schweregrad zu hoch ist, können Fehlermeldungen
werden nicht protokolliert.
Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie die AlloyDB for PostgreSQL-Clusterseite in der Google Cloud Console
Klicken Sie in der Spalte Ressourcenname auf den Cluster.
Klicken Sie im Abschnitt Instanzen im Cluster neben dem Namen der Instanz auf Bearbeiten. Instanz.
Klicken Sie auf Advanced Configuration Options.
Legen Sie im Bereich Flags Datenbank-Flag
log_min_error_statement
mit einem der folgenden Werte: empfohlene Werte gemäß der Logging-Richtlinie Ihrer Organisation.debug5
debug4
debug3
debug2
debug1
info
notice
warning
error
Klicken Sie auf Instanz aktualisieren.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denAlloyDB log min messages
Kategoriename in der API: ALLOYDB_LOG_MIN_MESSAGES
Eine AlloyDB for PostgreSQL-Instanz hat nicht das log_min_messages
Datenbank-Flag ist mindestens auf warning
festgelegt.
Das Flag log_min_messages
steuert, in welchen Nachrichtenebenen aufgezeichnet wird
Serverprotokolle. Je höher der Schweregrad, desto weniger Meldungen werden aufgezeichnet. Einstellung
wenn der Schwellenwert zu niedrig ist,
kann die Größe und Länge des Logspeichers
wodurch es schwierig wird,
tatsächliche Fehler zu finden.
Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie die AlloyDB for PostgreSQL-Clusterseite in der Google Cloud Console
Klicken Sie in der Spalte Ressourcenname auf den Cluster.
Klicken Sie im Abschnitt Instanzen im Cluster neben dem Namen der Instanz auf Bearbeiten. Instanz.
Klicken Sie auf Advanced Configuration Options.
Legen Sie im Bereich Flags Datenbank-Flag
log_min_messages
mit einem der folgenden Werte: empfohlene Werte gemäß der Logging-Richtlinie Ihrer Organisation.debug5
debug4
debug3
debug2
debug1
info
notice
warning
Klicken Sie auf Instanz aktualisieren.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denAlloyDB log error verbosity
Kategoriename in der API: ALLOYDB_LOG_ERROR_VERBOSITY
Eine AlloyDB for PostgreSQL-Instanz hat nicht das log_error_verbosity
Datenbank-Flag ist auf default
oder einen anderen weniger restriktiven Wert festgelegt.
Das Flag log_error_verbosity
steuert die Detailgenauigkeit von Nachrichten
protokolliert. Je höher der Ausführlichkeitsgrad, desto mehr Details werden in den Meldungen aufgezeichnet.
Wir empfehlen, dieses Flag auf default
oder einen anderen weniger restriktiven Wert festzulegen.
Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie die AlloyDB for PostgreSQL-Clusterseite in der Google Cloud Console
Klicken Sie in der Spalte Ressourcenname auf den Cluster.
Klicken Sie im Abschnitt Instanzen im Cluster neben dem Namen der Instanz auf Bearbeiten. Instanz.
Klicken Sie auf Advanced Configuration Options.
Legen Sie im Bereich Flags Datenbank-Flag
log_error_verbosity
mit einem der folgenden Werte: empfohlene Werte gemäß der Logging-Richtlinie Ihrer Organisation.default
verbose
Klicken Sie auf Instanz aktualisieren.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denAlloyDB Public IP
Kategoriename in der API: ALLOYDB_PUBLIC_IP
Eine AlloyDB for PostgreSQL-Datenbankinstanz hat eine öffentliche IP-Adresse.
Verwenden Sie private statt öffentliche IP-Adressen, um die Angriffsfläche Ihrer Organisation zu reduzieren Adressen. Private IP-Adressen bieten eine höhere Netzwerksicherheit Latenz Ihrer Anwendung.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie die AlloyDB for PostgreSQL-Clusterseite in der Google Cloud Console
Klicken Sie in der Spalte Ressourcenname auf den Namen des Clusters, der Ergebnis identifiziert werden.
Klicken Sie im Abschnitt Instanzen im Cluster neben dem Namen der Instanz auf Bearbeiten. Instanz.
Entfernen Sie im Abschnitt Konnektivität das Häkchen aus dem Kästchen Öffentliche IP-Adresse aktivieren.
Klicken Sie auf Instanz aktualisieren.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denAlloyDB SSL not enforced
Kategoriename in der API: ALLOYDB_SSL_NOT_ENFORCED
Eine AlloyDB for PostgreSQL-Datenbankinstanz erfordert nicht alle eingehenden für die Verwendung von SSL.
So vermeiden Sie, dass sensible Daten bei der Übertragung durch unverschlüsselte Kommunikation verloren gehen: sollten alle eingehenden Verbindungen zu Ihrer AlloyDB-Datenbankinstanz SSL verwenden. SSL/TLS konfigurieren.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie die AlloyDB for PostgreSQL-Clusterseite in der Google Cloud Console
Klicken Sie in der Spalte Ressourcenname auf den Namen des Clusters, der Ergebnis identifiziert werden.
Klicken Sie im Abschnitt Instanzen im Cluster neben dem Namen der Instanz auf Bearbeiten. Instanz.
Klicken Sie im Abschnitt Netzwerksicherheit das Kästchen neben SSL-Verschlüsselung verlangen
Klicken Sie auf Instanz aktualisieren.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denAdmin service account
Kategoriename in der API: ADMIN_SERVICE_ACCOUNT
Ein Dienstkonto in Ihrer Organisation oder Ihrem Projekt hat die Rolle Administrator, Inhaber oder Bearbeiter. Berechtigungen zugewiesen sind. Diese Rollen haben umfassende Berechtigungen und sollten nicht Dienstkonten zugewiesen werden. Weitere Informationen zu Dienstkonten und den dafür verfügbaren Rollen finden Sie unter Dienstkonten.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite IAM-Richtlinien auf.
Für jedes im Ergebnis identifizierte Hauptkonto:
- Klicken Sie neben dem Hauptkonto auf Bearbeiten edit.
- Klicken Sie neben der entsprechenden Rolle oben auf Löschen delete, um die Berechtigungen zu entfernen.
- Klicken Sie auf Speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denAlpha cluster enabled
Kategoriename in der API: ALPHA_CLUSTER_ENABLED
Alphaclusterfunktionen sind für einen GKE-Cluster (Google Kubernetes Engine) aktiviert.
Mit Alphaclustern können erste Nutzer mit Arbeitslasten experimentieren, die neue Features verwenden, bevor sie für die Allgemeinheit veröffentlicht werden. In Alphaclustern sind alle Features der GKE API aktiviert. Allerdings sind diese Cluster nicht durch das GKE-SLA abgedeckt und erhalten keine Sicherheitsupdates. Außerdem sind automatische Knotenupgrades und die automatische Knotenreparatur deaktiviert und es können keine Upgrades durchgeführt werden. Nach 30 Tagen werden sie außerdem automatisch gelöscht.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Alphacluster können nicht deaktiviert werden. Sie müssen einen neuen Cluster mit deaktivierten Alphafeatures erstellen.
Rufen Sie in der Google Cloud Console die GKE-Seite Kubernetes Cluster auf.
Klicken Sie auf Erstellen.
Wählen Sie neben dem zu erstellenden Clustertyp Konfigurieren aus.
Im Tab Features muss Kubernetes-Alphafeatures in diesem Cluster aktivieren deaktiviert sein.
Klicken Sie auf Erstellen.
Informationen zum Verschieben von Arbeitslasten auf den neuen Cluster finden Sie unter Arbeitslasten zu anderen Maschinentypen migrieren.
Informationen zum Löschen des ursprünglichen Clusters finden Sie unter Cluster löschen.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denAPI key APIs unrestricted
Kategoriename in der API: API_KEY_APIS_UNRESTRICTED
API-Schlüssel werden zu umfassend verwendet.
Uneingeschränkte API-Schlüssel sind unsicher, da sie von Geräten, auf denen der Schlüssel gespeichert wird oder öffentlich sichtbar ist, abgerufen werden können, z. B. aus einem Browser. Konfigurieren Sie API-Schlüssel nach dem Prinzip der geringsten Berechtigung so, dass nur APIs aufgerufen werden, die für die Anwendung erforderlich sind. Weitere Informationen finden Sie unter Einschränkungen für API-Schlüssel anwenden
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite API-Schlüssel auf.
Führen Sie für jeden API-Schlüssel die folgenden Schritte aus:
- Rufen Sie im Abschnitt API-Schlüssel in der Zeile für jeden API-Schlüssel, für den Sie APIs einschränken müssen, das Menü Aktionen auf. Klicken Sie dazu auf .
- Klicken Sie im Menü Aktionen auf API-Schlüssel bearbeiten. Die Seite API-Schlüssel bearbeiten wird geöffnet.
- Wählen Sie im Abschnitt API-Einschränkungen die Option APIs einschränken aus. Das Drop-down-Menü APIs auswählen wird angezeigt.
- Wählen Sie in der Drop-down-Liste APIs auswählen aus, welche APIs zugelassen werden sollen. <ph type="x-smartling-placeholder">
- Klicken Sie auf Speichern. Es kann bis zu fünf Minuten dauern, bis die Einstellungen wirksam werden.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denAPI key apps unrestricted
Kategoriename in der API: API_KEY_APPS_UNRESTRICTED
API-Schlüssel werden uneingeschränkt verwendet und ermöglichen die Nutzung durch nicht vertrauenswürdige Anwendungen.
Uneingeschränkte API-Schlüssel sind unsicher, da sie auf Geräten, auf denen der Schlüssel gespeichert wird oder öffentlich sichtbar ist, abgerufen werden können, z. B. aus einem Browser. Beschränken Sie nach dem Prinzip der geringsten Berechtigung die Nutzung von API-Schlüsseln auf vertrauenswürdige Hosts, HTTP-Verweis-URLs und Anwendungen. Weitere Informationen finden Sie unter Einschränkungen für API-Schlüssel anwenden
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite API-Schlüssel auf.
Führen Sie für jeden API-Schlüssel die folgenden Schritte aus:
- Rufen Sie im Abschnitt API-Schlüssel in der Zeile für jeden API-Schlüssel, für den Sie Anwendungen einschränken müssen, das Menü Aktionen auf. Klicken Sie dazu auf das Symbol .
- Klicken Sie im Menü Aktionen auf API-Schlüssel bearbeiten. Die Seite API-Schlüssel bearbeiten wird geöffnet.
- Wählen Sie auf der Seite API-Schlüssel bearbeiten unter Anwendungseinschränkungen eine Einschränkungskategorie aus. Sie können pro Schlüssel eine Anwendungseinschränkung festlegen.
- Klicken Sie im Feld Element hinzufügen, das beim Auswählen einer Einschränkung angezeigt wird, auf Element hinzufügen, um je nach den Anforderungen Ihrer Anwendung Einschränkungen hinzuzufügen.
- Wenn Sie alle gewünschten Elemente hinzugefügt haben, klicken Sie auf Fertig. <ph type="x-smartling-placeholder">
- Klicken Sie auf Speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denAPI key exists
Kategoriename in der API: API_KEY_EXISTS
Ein Projekt nutzt API-Schlüssel anstelle der Standardauthentifizierung.
API-Schlüssel sind weniger sicher als andere Authentifizierungsmethoden, einfache verschlüsselte Strings und sind für andere leicht zu finden und zu verwenden. Sie können auf Geräten abgerufen werden, auf denen der Schlüssel gespeichert ist oder öffentlich einsehbar ist, -Instanz in einem Browser. Außerdem werden Nutzer durch API-Schlüssel nicht eindeutig identifiziert. oder Anwendungen, die Anfragen stellen. Alternativ können Sie einen Standard- mit einer der folgenden Methoden Dienstkonten oder Nutzerkonten.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
- Ihre Anwendungen sollten mit einer alternativen Art der Authentifizierung konfiguriert werden.
Rufen Sie in der Google Cloud Console die Seite Anmeldedaten der API auf.
Zeigen Sie im Abschnitt API-Schlüssel in der Zeile für jeden API-Schlüssel, den Sie löschen müssen, das Menü Aktionen an. Dazu klicken Sie auf das Symbol
.Klicken Sie im Menü Aktionen auf API-Schlüssel löschen.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denAPI key not rotated
Kategoriename in der API: API_KEY_NOT_ROTATED
Der API-Schlüssel wurde seit mehr als 90 Tagen nicht rotiert.
API-Schlüssel laufen nicht ab. Wenn ein Schlüssel gestohlen wird, kann er unbefristet verwendet werden, wenn er nicht vom Projektinhaber aufgehoben oder rotiert wird. Werden API-Schlüssel regelmäßig neu generiert, können gestohlene API-Schlüssel weniger lange verwendet werden, um Daten auf einem manipulierten oder gekündigten Konto aufzurufen. Rotieren Sie API-Schlüssel mindestens alle 90 Tage. Weitere Informationen finden Sie unter API-Schlüssel sichern
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite API-Schlüssel auf.
Führen Sie für jeden API-Schlüssel die folgenden Schritte aus:
- Klicken im Bereich API-Schlüssel in der Zeile des zu rotierenden API-Schlüssels auf das Symbol , um das Menü Aktionen aufzurufen.
- Klicken Sie im Menü Aktionen auf API-Schlüssel bearbeiten. Die Seite API-Schlüssel bearbeiten wird geöffnet.
- Wenn auf der Seite API-Schlüssel bearbeiten das Datum im Feld Erstellungsdatum älter als 90 Tage ist, ersetzen Sie den Schlüssel, indem Sie auf Schlüssel neu generieren oben auf der Seite klicken. Ein neuer Ersatzschlüssel wird generiert.
- Klicken Sie auf Speichern.
- Damit Ihre Anwendungen weiterhin unterbrechungsfrei funktionieren, sollten Sie den neuen API-Schlüssel aktualisieren. Der alte API-Schlüssel funktioniert 24 Stunden, bevor er dauerhaft deaktiviert wird.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denAudit config not monitored
Kategoriename in der API: AUDIT_CONFIG_NOT_MONITORED
Logmesswerte und Benachrichtigungen sind nicht so konfiguriert, dass Änderungen an der Audit-Konfiguration überwacht werden.
Cloud-Audit-Logging erstellt Administrator- und Datenzugriffslogs, die Sicherheitsanalysen, das Verfolgen von Ressourcenänderungen und die Complianceprüfung ermöglichen. Durch das Monitoring der Audit-Konfigurationsänderungen sorgen Sie dafür, dass alle Aktivitäten in Ihrem Projekt jederzeit geprüft werden können. Weitere Informationen finden Sie in der Übersicht zu logbasierten Messwerten.
Abhängig von der Menge der Informationen können die Cloud Monitoring-Kosten erheblich sein. Bis die Nutzung des Dienstes und die damit verbundenen Kosten zu verstehen, <ph type="x-smartling-placeholder"></ph> Kostenoptimierung für Google Cloud Observability
Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation.
Erstellen Sie Messwerte, falls nötig, und erstellen Sie Benachrichtigungsrichtlinien, um dieses Ergebnis zu beheben:
Messwert erstellen
Rufen Sie in der Google Cloud Console die Seite Logbasierte Messwerte auf.
Klicken Sie auf Messwert erstellen.
Wählen Sie unter Messwerttyp die Option Zähler aus.
Unter Details:
- Legen Sie unter Name des Logmesswerts einen Namen fest.
- Fügen Sie eine Beschreibung hinzu.
- Legen Sie Einheiten auf 1 fest.
Kopieren Sie unter Filterauswahl den folgenden Text und fügen Sie ihn in das Filter erstellen und ersetzen Sie bei Bedarf den vorhandenen Text:
protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.auditConfigDeltas:*
Klicken Sie auf Messwert erstellen. Sie sehen eine Bestätigung.
Benachrichtigungsrichtlinie erstellen
-
Rufen Sie in der Google Cloud Console die Seite Logbasierte Messwerte auf:
Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.
- Wählen Sie im Bereich Benutzerdefinierte Messwerte den Messwert aus, den Sie im vorherigen Abschnitt erstellt haben.
-
Klicken Sie auf Mehr
und dann auf Benachrichtigung mit dem Messwert erstellen.Das Dialogfeld Neue Bedingung wird geöffnet. Die Optionen zur Messwert- und Datentransformation sind bereits ausgefüllt.
- Klicken Sie auf Next (Weiter).
- Prüfen Sie die vorkonfigurierten Einstellungen. Sie können den Schwellenwert ändern.
- Klicken Sie auf Bedingungsname und geben Sie einen Namen für die Bedingung ein.
- Klicken Sie auf Weiter.
Klicken Sie auf Benachrichtigungskanäle: Wählen Sie im Dialogfeld einen oder mehrere Benachrichtigungskanäle aus dem Menü aus und klicken Sie dann auf OK.
Um benachrichtigt zu werden, wenn Vorfälle geöffnet und geschlossen werden, aktivieren Sie Bei Schließung des Vorfalls benachrichtigen Standardmäßig werden Benachrichtigungen nur gesendet, werden geöffnet.
- Optional: Aktualisieren Sie die Dauer bis zur automatischen Schließung von Vorfällen. Dieses Feld bestimmt, wann Monitoring Vorfälle ohne Messwertdaten schließt.
- Optional: Klicken Sie auf Dokumentation und geben Sie alle Informationen ein, die in einer Benachrichtigung angezeigt werden sollen.
- Klicken Sie auf Name der Benachrichtigung und geben Sie einen Namen für die Benachrichtigungsrichtlinie ein.
- Klicken Sie auf Richtlinie erstellen.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denAudit logging disabled
Kategoriename in der API: AUDIT_LOGGING_DISABLED
Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.
Audit-Logging ist für einen oder mehrere Google Cloud-Dienste deaktiviert. Ein oder mehrere Hauptkonten sind vom Audit-Logging für den Datenzugriff ausgenommen.
Aktivieren Sie Cloud Logging für alle Dienste, um alle Administratoraktivitäten, Lesezugriff und Schreibzugriff auf Nutzerdaten zu verfolgen. Je nach Menge der Informationen können die Cloud Logging-Kosten erheblich sein. Um zu verstehen, Ihre Nutzung des Dienstes und die Kosten finden Sie unter <ph type="x-smartling-placeholder"></ph> Kostenoptimierung für Google Cloud Observability
Wenn Hauptkonten vom Audit-Logging für den Datenzugriff ausgeschlossen sind Standardkonfiguration des Audit-Loggings für den Datenzugriff oder das Logging für einzelne Dienste zu konfigurieren, entfernen Sie die Ausnahme.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie auf der Seite Standardkonfiguration für Audit-Logs zum Datenzugriff Google Cloud Console
Aktivieren Sie auf dem Tab Logtypen die Audit-Protokollierung für den Datenzugriff in der Standardkonfiguration:
- Wählen Sie Lesen durch Administrator, Daten lesen und Daten schreiben aus.
- Klicken Sie auf Speichern.
Entfernen Sie auf dem Tab Ausgenommene Hauptkonten alle ausgenommenen Nutzer aus dem Standardkonfiguration:
- Entfernen Sie jedes aufgeführte Hauptkonto, indem Sie auf Löschen klicken. delete nächste zu jedem Namen hinzufügen.
- Klicken Sie auf Speichern.
Rufen Sie die Seite Audit-Logs auf.
Alle ausgenommenen Hauptkonten aus den Audit-Log-Konfigurationen für den Datenzugriff entfernen einzelner Dienste.
- Gehen Sie unter Konfiguration von Audit-Logs zum Datenzugriff für jeden Dienst, der ein ausgenommenes Hauptkonto zeigt, klicken Sie auf den Dienst. Ein Audit-Log Konfigurationsbereich für den Dienst geöffnet.
- Entfernen Sie auf dem Tab Ausgenommene Hauptkonten alle ausgenommenen Hauptkonten indem Sie auf Löschen klicken. delete neben jedem Namen.
- Klicken Sie auf Speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denAuto backup disabled
Kategoriename in der API: AUTO_BACKUP_DISABLED
In einer Cloud SQL-Datenbank sind keine automatischen Sicherungen aktiviert.
Aktivieren Sie automatische Sicherungen Ihrer SQL-Instanzen, um Datenverlust zu vermeiden. Weitere Informationen finden Sie unter On-Demand- und automatische Sicherungen erstellen und verwalten.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite SQL-Instanzsicherungen auf.
Klicken Sie neben Einstellungen auf editBearbeiten.
Klicken Sie das Kästchen Automatische Sicherungen an.
Wählen Sie im Drop-down-Menü ein Zeitfenster für die automatische Sicherung Ihrer Daten aus.
Klicken Sie auf Speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denAuto repair disabled
Kategoriename in der API: AUTO_REPAIR_DISABLED
Die Funktion zur automatischen Reparatur eines Google Kubernetes Engine-Clusters (GKE), die Knoten in einem fehlerfreien, laufenden Zustand beibehält, ist deaktiviert.
Wenn die Funktion aktiviert ist, prüft GKE regelmäßig den Zustand jedes Knotens im Cluster. Wenn ein Knoten über einen längeren Zeitraum mehrere Systemdiagnosen hintereinander nicht besteht, initiiert GKE für diesen Knoten einen Reparaturprozess. Weitere Informationen finden Sie unter Knoten automatisch reparieren.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die GKE-Seite Kubernetes Cluster auf.
Klicken Sie auf den Tab Knoten.
Führen Sie für jeden Knotenpool die folgenden Schritte aus:
- Klicken Sie auf den Namen des Knotenpools, um zur Detailseite zu wechseln.
- Klicken Sie auf Bearbeiten edit.
- Wählen Sie unter Verwaltung die Option Automatische Reparatur aktivieren aus.
- Klicken Sie auf Speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denAuto upgrade disabled
Kategoriename in der API: AUTO_UPGRADE_DISABLED
Das Feature für automatische Upgrades eines GKE-Clusters, das dafür sorgt, dass Cluster und Knotenpools auf der neuesten stabilen Version von Kubernetes bleiben, ist deaktiviert.
Weitere Informationen finden Sie unter Knoten automatisch aktualisieren.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die GKE-Seite Kubernetes Cluster auf.
Klicken Sie in der Liste der Cluster auf den Namen des Clusters.
Klicken Sie auf den Tab Knoten.
Führen Sie für jeden Knotenpool die folgenden Schritte aus:
- Klicken Sie auf den Namen des Knotenpools, um zur Detailseite zu wechseln.
- Klicken Sie auf Bearbeiten edit.
- Wählen Sie unter Verwaltung die Option Automatisches Upgrade aktivieren aus.
- Klicken Sie auf Speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denBigQuery table CMEK disabled
Kategoriename in der API: BIGQUERY_TABLE_CMEK_DISABLED
Eine BigQuery-Tabelle ist nicht für die Verwendung eines vom Kunden verwalteten Verschlüsselungsschlüssels (Customer-Managed Encryption Key) konfiguriert.
Mit CMEK werden die von Ihnen in Cloud KMS erstellten und verwalteten Schlüssel mit den Schlüsseln umschlossen, die Google Cloud zum Verschlüsseln Ihrer Daten verwendet. Dadurch haben Sie mehr Kontrolle über den Zugriff auf Ihre Daten. Weitere Informationen finden Sie unter Daten mit Cloud KMS-Schlüsseln schützen.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
- Erstellen Sie eine durch Cloud Key Management Service geschützte Tabelle.
- Kopieren Sie die Tabelle in die neue CMEK-fähige Tabelle.
- Löschen Sie die ursprüngliche Tabelle.
Informationen zum Festlegen eines Standard-CMEK, der alle neuen Tabellen in einem Dataset verschlüsselt, finden Sie unter Dataset-Standardschlüssel festlegen.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denBinary authorization disabled
Kategoriename in der API: BINARY_AUTHORIZATION_DISABLED
Die Binärautorisierung ist in einem GKE-Cluster deaktiviert.
Die Binärautorisierung enthält ein optionales Feature zum Schutz der Sicherheit der Lieferkette, das nur die Bereitstellung von Container-Images im Cluster zulässt, die während des Entwicklungsprozesses von vertrauenswürdigen Stellen signiert wurden. Durch die Erzwingung einer signaturbasierten Bereitstellung erhalten Sie eine bessere Kontrolle über Ihre Container-Umgebung und können sicherstellen, dass nur verifizierte Images bereitgestellt werden dürfen.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die GKE-Seite Kubernetes Cluster auf.
Klicken Sie im Bereich Sicherheit in der Zeile Binärautorisierung auf das Symbol „Bearbeiten“ (edit).
Wenn die Clusterkonfiguration kürzlich geändert wurde, ist die Schaltfläche "Bearbeiten" möglicherweise deaktiviert. Wenn Sie die Clustereinstellungen nicht bearbeiten können, warten Sie ein paar Minuten und versuchen Sie es dann noch einmal.
Wählen Sie im Dialogfeld die Option Binärautorisierung aktivieren aus.
Klicken Sie auf Änderungen speichern.
Rufen Sie die Seite "Binärautorisierung" einrichten auf.
Achten Sie darauf, dass eine Richtlinie, die Attestierer erfordert, konfiguriert ist und die Standardregel des Projekts nicht so konfiguriert ist, dass Alle Images zulassen angezeigt wird. Weitere Informationen finden Sie unter Für GKE einrichten.
Damit Images, die gegen die Richtlinie verstoßen, bereitgestellt werden dürfen und Verstöße in Cloud Audit Logs protokolliert werden, können Sie den Probelaufmodus aktivieren.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denBucket CMEK disabled
Kategoriename in der API: BUCKET_CMEK_DISABLED
Ein Bucket ist nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt.
Wenn Sie einen Standard-CMEK für einen Bucket festlegen, können Sie den Zugriff auf Ihre Daten besser steuern. Weitere Informationen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel.
Um dieses Ergebnis zu beheben, verwenden Sie CMEK mit einem Bucket, indem Sie vom Kunden verwaltete Verschlüsselungsschlüssel verwenden folgen. CMEK verursacht zusätzliche Kosten im Zusammenhang mit Cloud KMS.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denBucket IAM not monitored
Kategoriename in der API: BUCKET_IAM_NOT_MONITORED
Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an Cloud Storage-IAM-Berechtigungen konfiguriert.
Durch das Monitoring von Änderungen an den Cloud Storage-Bucket-Berechtigungen können Sie privilegierte Nutzer oder verdächtige Aktivitäten identifizieren. Weitere Informationen finden Sie in der Übersicht zu logbasierten Messwerten.
Abhängig von der Menge der Informationen können die Cloud Monitoring-Kosten erheblich sein. Bis die Nutzung des Dienstes und die damit verbundenen Kosten zu verstehen, <ph type="x-smartling-placeholder"></ph> Kostenoptimierung für Google Cloud Observability
Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Messwert erstellen
Rufen Sie in der Google Cloud Console die Seite Logbasierte Messwerte auf.
Klicken Sie auf Messwert erstellen.
Wählen Sie unter Messwerttyp die Option Zähler aus.
Unter Details:
- Legen Sie unter Name des Logmesswerts einen Namen fest.
- Fügen Sie eine Beschreibung hinzu.
- Legen Sie Einheiten auf 1 fest.
Kopieren Sie unter Filterauswahl den folgenden Text und fügen Sie ihn in das Filter erstellen und ersetzen Sie bei Bedarf den vorhandenen Text:
resource.type=gcs_bucket AND protoPayload.methodName="storage.setIamPermissions"
Klicken Sie auf Messwert erstellen. Sie sehen eine Bestätigung.
Benachrichtigungsrichtlinie erstellen
-
Rufen Sie in der Google Cloud Console die Seite Logbasierte Messwerte auf:
Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.
- Wählen Sie im Bereich Benutzerdefinierte Messwerte den Messwert aus, den Sie im vorherigen Abschnitt erstellt haben.
-
Klicken Sie auf Mehr
und dann auf Benachrichtigung mit dem Messwert erstellen.Das Dialogfeld Neue Bedingung wird geöffnet. Die Optionen zur Messwert- und Datentransformation sind bereits ausgefüllt.
- Klicken Sie auf Next (Weiter).
- Prüfen Sie die vorkonfigurierten Einstellungen. Sie können den Schwellenwert ändern.
- Klicken Sie auf Bedingungsname und geben Sie einen Namen für die Bedingung ein.
- Klicken Sie auf Weiter.
Klicken Sie auf Benachrichtigungskanäle: Wählen Sie im Dialogfeld einen oder mehrere Benachrichtigungskanäle aus dem Menü aus und klicken Sie dann auf OK.
Um benachrichtigt zu werden, wenn Vorfälle geöffnet und geschlossen werden, aktivieren Sie Bei Schließung des Vorfalls benachrichtigen Standardmäßig werden Benachrichtigungen nur gesendet, werden geöffnet.
- Optional: Aktualisieren Sie die Dauer bis zur automatischen Schließung von Vorfällen. Dieses Feld bestimmt, wann Monitoring Vorfälle ohne Messwertdaten schließt.
- Optional: Klicken Sie auf Dokumentation und geben Sie alle Informationen ein, die in einer Benachrichtigung angezeigt werden sollen.
- Klicken Sie auf Name der Benachrichtigung und geben Sie einen Namen für die Benachrichtigungsrichtlinie ein.
- Klicken Sie auf Richtlinie erstellen.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denBucket logging disabled
Kategoriename in der API: BUCKET_LOGGING_DISABLED
Es ist ein Storage-Bucket vorhanden, für den kein Logging aktiviert ist.
Damit Sicherheitsprobleme besser untersucht und der Speicherverbrauch besser überwacht werden können, sollten Sie Zugriffslogs und Speicherinformationen für Ihre Cloud Storage-Buckets aktivieren. Zugriffslogs liefern Informationen über alle Anfragen an einen bestimmten Bucket und die Speicherlogs liefern Informationen über den Speicherverbrauch dieses Buckets.
Richten Sie zur Behebung dieses Ergebnisses das Logging für den Bucket ein, der im Security Health Analytics-Ergebnis angegeben ist, indem Sie den Leitfaden Verbraucher- und Speicherlogs befolgen.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denBucket policy only disabled
Kategoriename in der API: BUCKET_POLICY_ONLY_DISABLED
Der einheitliche Zugriff auf Bucket-Ebene – bisher als "Nur Bucket-Richtlinie" bezeichnet – ist nicht konfiguriert.
Der einheitliche Zugriff auf Bucket-Ebene vereinfacht die Zugriffssteuerung für Buckets, indem Berechtigungen (ACLs) auf Objektebene deaktiviert werden. Wenn dieser aktiviert ist, gewähren nur Bucket-IAM-Berechtigungen auf Bucket-Ebene Zugriff auf den Bucket und die enthaltenen Objekte. Weitere Informationen finden Sie unter Einheitlicher Zugriff auf Bucket-Ebene.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite des Cloud Storage-Browsers auf.
Klicken Sie in der Bucket-Liste auf den Namen des gewünschten Buckets.
Klicken Sie auf den Tab Configuration (Konfiguration).
Klicken Sie unter Berechtigungen in der Zeile für Zugriffssteuerung auf das Symbol Bearbeiten (edit).
Wählen Sie im Dialogfeld die Option Einheitlich aus.
Klicken Sie auf Speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denCloud Asset API disabled
Kategoriename in der API: CLOUD_ASSET_API_DISABLED
Der Cloud Asset Inventory-Dienst ist für das Projekt nicht aktiviert.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite API-Bibliothek auf.
Suchen Sie nach
Cloud Asset Inventory
.Wählen Sie das Ergebnis für den Dienst Cloud Asset API aus.
Achten Sie darauf, dass API aktiviert angezeigt wird.
Cluster logging disabled
Kategoriename in der API: CLUSTER_LOGGING_DISABLED
Logging ist für einen GKE-Cluster nicht aktiviert.
Aktivieren Sie Cloud Logging in Ihren Clustern, um Sicherheitsprobleme zu untersuchen und die Nutzung zu überwachen.
Je nach Menge der Informationen können die Cloud Logging-Kosten erheblich sein. Um zu verstehen, Ihre Nutzung des Dienstes und die Kosten finden Sie unter <ph type="x-smartling-placeholder"></ph> Kostenoptimierung für Google Cloud Observability
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die GKE-Seite Kubernetes Cluster auf.
Wählen Sie den Cluster aus, der im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf edit Bearbeiten.
Wenn die Clusterkonfiguration kürzlich geändert wurde, ist die Schaltfläche "Bearbeiten" möglicherweise deaktiviert. Wenn Sie die Clustereinstellungen nicht bearbeiten können, warten Sie einige Minuten und versuchen Sie es dann noch einmal.
Wählen Sie in der Drop-down-Liste Legacy-Stackdriver Logging oder Stackdriver Kubernetes Engine Monitoring die Option Aktiviert aus.
Diese Optionen sind nicht miteinander kompatibel. Achten Sie darauf, dass Sie entweder Stackdriver Kubernetes Engine Monitoring allein oder Legacy-Stackdriver Logging mit Legacy-Stackdriver Monitoring verwenden.
Klicken Sie auf Speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denCluster monitoring disabled
Kategoriename in der API: CLUSTER_MONITORING_DISABLED
Monitoring ist auf GKE-Clustern deaktiviert.
Aktivieren Sie Cloud Monitoring in Ihren Clustern, um Sicherheitsprobleme zu untersuchen und die Nutzung zu überwachen.
Abhängig von der Menge der Informationen können die Cloud Monitoring-Kosten erheblich sein. Bis die Nutzung des Dienstes und die damit verbundenen Kosten zu verstehen, <ph type="x-smartling-placeholder"></ph> Kostenoptimierung für Google Cloud Observability
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die GKE-Seite Kubernetes Cluster auf.
Wählen Sie den Cluster aus, der im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf edit Bearbeiten.
Wenn die Clusterkonfiguration kürzlich geändert wurde, ist die Schaltfläche "Bearbeiten" möglicherweise deaktiviert. Wenn Sie die Clustereinstellungen nicht bearbeiten können, warten Sie einige Minuten und versuchen Sie es dann noch einmal.
Wählen Sie in der Drop-down-Liste Legacy-Stackdriver Monitoring oder Stackdriver Kubernetes Engine Monitoring die Option Aktiviert aus.
Diese Optionen sind nicht miteinander kompatibel. Achten Sie darauf, dass Sie entweder Stackdriver Kubernetes Engine Monitoring allein oder Legacy-Stackdriver Monitoring mit Legacy-Stackdriver Logging verwenden.
Klicken Sie auf Speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denCluster private Google access disabled
Kategoriename in der API: CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED
Clusterhosts sind nicht so konfiguriert, dass sie nur private, interne IP-Adressen für den Zugriff auf Google APIs verwenden.
Mit dem privaten Google-Zugriff können VM-Instanzen, die nur private, interne IP-Adressen haben, die öffentlichen IP-Adressen von Google APIs und Diensten erreichen. Weitere Informationen finden Sie unter Privaten Google-Zugriff konfigurieren.
Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Virtual Private Cloud-Netzwerke auf.
Klicken Sie in der Liste der Netzwerke auf den Namen des Netzwerks.
Klicken Sie auf der Seite VPC-Netzwerkdetails auf den Tab Subnetze.
Klicken Sie in der Liste der Subnetze auf den Namen des Subnetzes, das dem Kubernetes-Cluster im Ergebnis zugeordnet ist.
Klicken Sie auf der Seite mit den Subnetz-Details auf Bearbeiten edit.
Wählen Sie für Privater Google-Zugriff die Option Ein aus.
Klicken Sie auf Speichern.
Informationen zum Entfernen öffentlicher (externer) IP-Adressen aus VM-Instanzen, deren nur externer Traffic zu Google APIs gehört, finden Sie unter Zuweisung einer statischen externen IP-Adresse aufheben.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denCluster secrets encryption disabled
Kategoriename in der API: CLUSTER_SECRETS_ENCRYPTION_DISABLED
Die Verschlüsselung von Secrets auf Anwendungsebene ist in einem GKE-Cluster deaktiviert.
Die Verschlüsselung von Secrets auf Anwendungsebene sorgt dafür, dass GKE-Secrets mit Cloud KMS-Schlüsseln verschlüsselt werden. Das Feature bietet eine zusätzliche Sicherheitsebene für vertrauliche Daten wie benutzerdefinierte Secrets und Secrets, die für den Betrieb des Clusters erforderlich sind (z. B. Dienstkontoschlüssel). Diese werden alle in etcd gespeichert.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Cloud KMS-Schlüssel auf.
Überprüfen Sie Ihre Anwendungsschlüssel oder erstellen Sie einen Datenbankverschlüsselungsschlüssel (Database Encryption Key, DEK). Weitere Informationen finden Sie unter Cloud KMS-Schlüssel erstellen.
Rufen Sie die Seite Kubernetes-Cluster auf.
Wählen Sie den Cluster im Ergebnis aus.
Klicken Sie unter Sicherheit im Feld Verschlüsselung von Secrets auf Anwendungsebene auf edit Verschlüsselung von Secrets auf Anwendungsebene bearbeiten.
Klicken Sie auf das Kästchen Verschlüsselung von Secrets auf Anwendungsebene aktivieren und wählen Sie dann den erstellten DEK aus.
Klicken Sie auf Änderungen speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denCluster shielded nodes disabled
Kategoriename in der API: CLUSTER_SHIELDED_NODES_DISABLED
Shielded GKE-Knoten sind für einen Cluster nicht aktiviert.
Ohne Shielded GKE-Knoten können Angreifer eine Sicherheitslücke in einem Pod ausnutzen, um Bootstrap-Anmeldedaten zu stehlen und die Identität von Knoten im Cluster anzunehmen. Durch die Sicherheitslücke erhalten die Angreifer Zugriff auf Cluster-Secrets.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die GKE-Seite Kubernetes Cluster auf.
Wählen Sie den Cluster im Ergebnis aus.
Klicken Sie unter Sicherheit im Feld Shielded GKE-Knoten auf edit Shielded GKE-Knoten bearbeiten.
Klicken Sie auf das Kästchen Shielded GKE-Knoten aktivieren.
Klicken Sie auf Änderungen speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denCompute project wide SSH keys allowed
Kategoriename in der API: COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED
Es werden projektweite SSH-Schlüssel verwendet, sodass eine Anmeldung bei allen Instanzen im Projekt möglich ist.
Die Verwendung von projektweiten SSH-Schlüsseln vereinfacht die Verwaltung von SSH-Schlüsseln. Wenn sie jedoch manipuliert wurde, stellt dies ein Sicherheitsrisiko dar, das alle Instanzen innerhalb eines Projekts beeinträchtigen kann. Sie sollten instanzspezifische SSH-Schlüssel verwenden, die die Angriffsfläche begrenzen, wenn SSH-Schlüssel manipuliert wurden. Weitere Informationen finden Sie unter SSH-Schlüssel in Metadaten verwalten.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.
Klicken Sie in der Liste der Instanzen auf den Namen der Instanz im Ergebnis.
Klicken Sie auf der Seite VM-Instanzdetails auf edit Bearbeiten.
Wählen Sie unter SSH-Schlüssel die Option Projektweite SSH-Schlüssel blockieren aus.
Klicken Sie auf Speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denCompute Secure Boot disabled
Kategoriename in der API: COMPUTE_SECURE_BOOT_DISABLED
Für diese Shielded VM ist Secure Boot nicht aktiviert.
Das Verwenden von Secure Boot hilft, Ihre virtuellen Maschinen gegen Rootkit- und Bootkit-Angriffe zu schützen. Compute Engine aktiviert Secure Boot nicht standardmäßig, da einige nicht signierte Treiber und andere auf tieferer Ebene arbeitende Software nicht kompatibel sind. Wenn Ihre VM keine inkompatible Software verwendet und der Bootvorgang mit aktiviertem Secure Boot startet, empfiehlt Google, Secure Boot auch zu verwenden. Wenn Sie Module von Drittanbietern mit Nvidia-Treibern verwenden, achten Sie darauf, dass diese mit Secure Boot kompatibel sind, bevor Sie es aktivieren.
Weitere Informationen finden Sie unter Secure Boot.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.
Klicken Sie in der Liste der Instanzen auf den Namen der Instanz im Ergebnis.
Klicken Sie auf der Seite VM-Instanzdetails auf
Stoppen.Wenn die Instanz nicht mehr ausgeführt wird, klicken Sie auf editBearbeiten.
Wählen Sie unter Shielded VM die Option Secure Boot aktivieren aus.
Klicken Sie auf Speichern.
Klicken Sie nun auf
Starten, um die Instanz zu starten.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denCompute serial ports enabled
Kategoriename in der API: COMPUTE_SERIAL_PORTS_ENABLED
Serielle Ports sind für eine Instanz aktiviert, sodass Verbindungen zur seriellen Konsole der Instanz möglich sind.
Wenn Sie die interaktive serielle Konsole auf einer Instanz aktivieren, können Clients von jeder IP-Adresse aus versuchen, eine Verbindung zu dieser Instanz herzustellen. Daher sollte die Unterstützung der interaktiven seriellen Konsole deaktiviert sein. Weitere Informationen finden Sie unter Zugriff für ein Projekt aktivieren.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.
Klicken Sie in der Liste der Instanzen auf den Namen der Instanz im Ergebnis.
Klicken Sie auf der Seite VM-Instanzdetails auf edit Bearbeiten.
Löschen Sie unter Remotezugriff die Option Verbindung mit seriellen Ports aktivieren.
Klicken Sie auf Speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denConfidential Computing disabled
Kategoriename in der API: CONFIDENTIAL_COMPUTING_DISABLED
Auf einer Compute Engine-Instanz ist Confidential Computing nicht aktiviert.
Confidential Computing fügt der Ende-zu-Ende-Verschlüsselung eine dritte Säule hinzu, da Daten während der Verwendung verschlüsselt werden. Mit den vertraulichen Ausführungsumgebungen, die von Confidential Computing und AMD Secure Encrypted Virtualization (SEV) bereitgestellt werden, hält Google Cloud den vertraulichen Code und andere Daten während der Verarbeitung verschlüsselt.
Confidential Computing kann nur aktiviert werden, wenn eine Instanz erstellt wird. Daher müssen Sie die aktuelle Instanz löschen und eine neue erstellen.
Weitere Informationen finden Sie unter Confidential VM und Compute Engine.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.
Klicken Sie in der Liste der Instanzen auf den Namen der Instanz im Ergebnis.
Klicken Sie auf der Seite VM-Instanzdetails auf delete Löschen.
Erstellen Sie mit der Google Cloud Console eine Confidential VM.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denCOS not used
Kategoriename in der API: COS_NOT_USED
Compute Engine-VMs nutzen nicht das Container-Optimized OS, das für die sichere Ausführung von Docker-Containern in Google Cloud entwickelt wurde.
Container-Optimized OS ist das von Google empfohlene Betriebssystem für das Hosting und Ausführen von Containern auf Google Cloud. Es bietet eine minimale Angriffsfläche und automatische Aktualisierungen sorgen dafür, dass Sicherheitslücken rechtzeitig geschlossen werden. Weitere Informationen finden Sie unter Übersicht über Container-Optimized OS.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die GKE-Seite Kubernetes Cluster auf.
Klicken Sie in der Liste der Cluster auf den Namen des Clusters in dem Ergebnis.
Klicken Sie auf den Tab Knoten.
Führen Sie für jeden Knotenpool die folgenden Schritte aus:
- Klicken Sie auf den Namen des Knotenpools, um zur Detailseite zu wechseln.
- Klicken Sie auf Bearbeiten edit.
- Klicken Sie unter Knoten -> Image-Typ auf Ändern.
- Wählen Sie Container-Optimized OS aus und klicken Sie dann auf Ändern.
- Klicken Sie auf Speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denCustom role not monitored
Kategoriename in der API: CUSTOM_ROLE_NOT_MONITORED
Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an benutzerdefinierten Rollen konfiguriert.
IAM bietet vordefinierte und benutzerdefinierte Rollen, die Zugriff auf bestimmte Google Cloud-Ressourcen gewähren. Durch das Monitoring der Aktivitäten zum Erstellen, Löschen und Aktualisieren von Rollen können Sie frühzeitig überprivilegierte Rollen identifizieren. Weitere Informationen finden Sie in der Übersicht zu logbasierten Messwerten.
Abhängig von der Menge der Informationen können die Cloud Monitoring-Kosten erheblich sein. Bis die Nutzung des Dienstes und die damit verbundenen Kosten zu verstehen, <ph type="x-smartling-placeholder"></ph> Kostenoptimierung für Google Cloud Observability
Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Messwert erstellen
Rufen Sie in der Google Cloud Console die Seite Logbasierte Messwerte auf.
Klicken Sie auf Messwert erstellen.
Wählen Sie unter Messwerttyp die Option Zähler aus.
Unter Details:
- Legen Sie unter Name des Logmesswerts einen Namen fest.
- Fügen Sie eine Beschreibung hinzu.
- Legen Sie Einheiten auf 1 fest.
Kopieren Sie unter Filterauswahl den folgenden Text und fügen Sie ihn in das Filter erstellen und ersetzen Sie bei Bedarf den vorhandenen Text:
resource.type="iam_role" AND (protoPayload.methodName="google.iam.admin.v1.CreateRole" OR protoPayload.methodName="google.iam.admin.v1.DeleteRole" OR protoPayload.methodName="google.iam.admin.v1.UpdateRole")
Klicken Sie auf Messwert erstellen. Sie sehen eine Bestätigung.
Benachrichtigungsrichtlinie erstellen
-
Rufen Sie in der Google Cloud Console die Seite Logbasierte Messwerte auf:
Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.
- Wählen Sie im Bereich Benutzerdefinierte Messwerte den Messwert aus, den Sie im vorherigen Abschnitt erstellt haben.
-
Klicken Sie auf Mehr
und dann auf Benachrichtigung mit dem Messwert erstellen.Das Dialogfeld Neue Bedingung wird geöffnet. Die Optionen zur Messwert- und Datentransformation sind bereits ausgefüllt.
- Klicken Sie auf Next (Weiter).
- Prüfen Sie die vorkonfigurierten Einstellungen. Sie können den Schwellenwert ändern.
- Klicken Sie auf Bedingungsname und geben Sie einen Namen für die Bedingung ein.
- Klicken Sie auf Weiter.
Klicken Sie auf Benachrichtigungskanäle: Wählen Sie im Dialogfeld einen oder mehrere Benachrichtigungskanäle aus dem Menü aus und klicken Sie dann auf OK.
Um benachrichtigt zu werden, wenn Vorfälle geöffnet und geschlossen werden, aktivieren Sie Bei Schließung des Vorfalls benachrichtigen Standardmäßig werden Benachrichtigungen nur gesendet, werden geöffnet.
- Optional: Aktualisieren Sie die Dauer bis zur automatischen Schließung von Vorfällen. Dieses Feld bestimmt, wann Monitoring Vorfälle ohne Messwertdaten schließt.
- Optional: Klicken Sie auf Dokumentation und geben Sie alle Informationen ein, die in einer Benachrichtigung angezeigt werden sollen.
- Klicken Sie auf Name der Benachrichtigung und geben Sie einen Namen für die Benachrichtigungsrichtlinie ein.
- Klicken Sie auf Richtlinie erstellen.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denDataproc CMEK disabled
Kategoriename in der API: DATAPROC_CMEK_DISABLED
Ein Dataproc-Cluster wurde ohne Verschlüsselung erstellt Konfigurations-CMEK Mit CMEK können Schlüssel, die Sie im Cloud Key Management Service erstellen und verwalten, die Schlüssel zu verpacken, mit denen Google Cloud Ihre Daten verschlüsselt, Kontrolle über den Zugriff auf Ihre Daten.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Dataproc-Cluster auf.
Wählen Sie Ihr Projekt aus und klicken Sie auf Cluster erstellen.
Klicken Sie im Bereich Sicherheit verwalten auf Verschlüsselung und wählen Sie Vom Kunden verwalteter Schlüssel
Wählen Sie einen vom Kunden verwalteten Schlüssel aus der Liste aus.
Wenn Sie keinen vom Kunden verwalteten Schlüssel haben, müssen Sie einen erstellen. Weitere Informationen Weitere Informationen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel.
Achten Sie darauf, dass der ausgewählte KMS-Schlüssel den Cloud KMS CryptoKey enthält Verschlüsseler/Entschlüsseler Rolle dem Dataproc-Cluster-Dienstkonto zuweisen ("serviceAccount:service-project_number@compute-system.iam.gserviceaccount.com").
Nachdem der Cluster erstellt wurde, migrieren Sie alle Arbeitslasten aus dem alten Cluster zum neuen Cluster.
Rufen Sie die Dataproc-Cluster auf und wählen Sie die Projekt arbeiten.
Wählen Sie den alten Cluster aus und klicken Sie auf delete Cluster löschen.
Wiederholen Sie alle oben genannten Schritte für andere verfügbare Dataproc-Cluster im ausgewählten Projekt erstellen.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denDataproc image outdated
Kategoriename in der API: DATAPROC_IMAGE_OUTDATED
Ein Dataproc-Cluster wurde mit einer Dataproc-Image-Version erstellt, die von Sicherheitslücken im Apache Log4j 2-Dienstprogramm betroffen ist (CVE-2021-44228 und CVE-2021-45046).
Dieser Detektor findet Sicherheitslücken, indem er prüft, ob das Feld softwareConfig.imageVersion
im Attribut config
eines
Cluster
eine der folgenden betroffenen Versionen hat:
- Image-Versionen vor 1.3.95.
- Sub-Minor-Image-Versionen vor 1.4.77, 1.5.53 und 2.0.27.
Die Versionsnummer eines benutzerdefinierten Dataproc-Image kann manuell überschrieben werden. Sehen Sie sich die folgenden Szenarien an:
- Sie können die Version eines betroffenen benutzerdefinierten Images ändern, damit es nicht betroffen erscheint. In diesem Fall gibt dieser Detektor kein Ergebnis aus.
- Es ist möglich, die Version eines nicht betroffenen benutzerdefinierten Images mit einem Image zu überschreiben, das bekanntermaßen die Sicherheitslücke aufweist. In diesem Fall gibt dieser Detektor ein falsch-positives Ergebnis aus. Um diese falsch-positiven Ergebnisse zu unterdrücken, können Sie sie stummschalten.
Erstellen Sie den betroffenen Cluster neu und aktualisieren Sie ihn, um dieses Ergebnis zu korrigieren.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denDataset CMEK disabled
Kategoriename in der API: DATASET_CMEK_DISABLED
Ein BigQuery-Dataset ist nicht für die Verwendung eines vom Kunden verwalteten Standardverschlüsselungsschlüssels (Customer-Managed Encryption Key, CMEK) konfiguriert.
Mit CMEK werden die von Ihnen in Cloud KMS erstellten und verwalteten Schlüssel mit den Schlüsseln umschlossen, die Google Cloud zum Verschlüsseln Ihrer Daten verwendet. Dadurch haben Sie mehr Kontrolle über den Zugriff auf Ihre Daten. Weitere Informationen finden Sie unter Daten mit Cloud KMS-Schlüsseln schützen.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Sie können eine Tabelle nicht zwischen der Standardverschlüsselung und der CMEK-Verschlüsselung wechseln. Folgen Sie der Anleitung unter Dataset-Standardschlüssel festlegen, um einen Standard-CMEK-Schlüssel für die Verschlüsselung aller neuen Tabellen im Dataset festzulegen.
Durch das Festlegen eines Standardschlüssels werden Tabellen, die sich derzeit im Dataset befinden, nicht rückwirkend mit einem neuen Schlüssel neu verschlüsselt. So verwenden Sie CMEK für vorhandene Daten:
- Erstellen Sie ein neues Dataset.
- Legen Sie einen Standard-CMEK-Schlüssel für das von Ihnen erstellte Dataset fest.
- Wie Sie Tabellen in Ihr CMEK-fähiges Dataset kopieren, erfahren Sie in der Anleitung unter Tabelle kopieren.
- Löschen Sie die ursprünglichen Datasets nach dem erfolgreichen Kopieren der Daten.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denDefault network
Kategoriename in der API: DEFAULT_NETWORK
Das Standardnetzwerk ist in einem Projekt vorhanden.
Standardnetzwerke haben automatisch erstellte Firewallregeln und Netzwerkkonfigurationen, die eventuell nicht sicher sind. Weitere Informationen finden Sie unter Standardnetzwerk.
Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.
Klicken Sie in der Liste der Netzwerke auf den Namen des Netzwerks.
Klicken Sie auf der Seite VPC-Netzwerkdetails auf deleteVPC-Netzwerk löschen.
Informationen zum Erstellen eines neuen Netzwerks mit benutzerdefinierten Firewallregeln finden Sie unter Netzwerke erstellen.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denDefault service account used
Kategoriename in der API: DEFAULT_SERVICE_ACCOUNT_USED
Eine Compute Engine-Instanz ist für die Verwendung des Standarddienstkontos konfiguriert.
Das Compute Engine-Standarddienstkonto hat die Bearbeiterrolle für das Projekt, die Lese- und Schreibzugriff auf die meisten Google Cloud-Dienste gewährt. Verwenden Sie zum Schutz vor Rechteausweitungen und unbefugten Zugriffen nicht das Compute Engine-Standarddienstkonto. Erstellen Sie stattdessen ein neues Dienstkonto und weisen Sie nur die Berechtigungen zu, die von Ihrer Instanz benötigt werden. Weitere Informationen zu IAM-Rollen und -Berechtigungen finden Sie unter Zugriffssteuerung.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.
Wählen Sie die Instanz aus, die sich auf das Ergebnis von Security Health Analytics bezieht.
Klicken Sie auf der Seite Instanzdetails, die geladen wird, auf
Beenden.Wenn die Instanz nicht mehr ausgeführt wird, klicken Sie auf editBearbeiten.
Wählen Sie im Abschnitt Dienstkonto ein anderes Dienstkonto als das Compute Engine-Standarddienstkonto aus. Möglicherweise müssen Sie zuerst ein neues Dienstkonto erstellen. Weitere Informationen zu IAM-Rollen und -Berechtigungen finden Sie unter Zugriffssteuerung.
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzdetails angezeigt.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denDisk CMEK disabled
Kategoriename in der API: DISK_CMEK_DISABLED
Laufwerke auf dieser VM werden nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt.
Mit CMEK werden die von Ihnen in Cloud KMS erstellten und verwalteten Schlüssel mit den Schlüsseln umschlossen, die Google Cloud zum Verschlüsseln Ihrer Daten verwendet. Dadurch haben Sie mehr Kontrolle über den Zugriff auf Ihre Daten. Weitere Informationen finden Sie unter Ressourcen mit Cloud KMS-Schlüsseln schützen.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Compute Engine-Laufwerke auf.
Klicken Sie in der Liste der Laufwerke auf den Namen des Laufwerks, das im Ergebnis angegeben ist.
Klicken Sie auf der Seite Laufwerk verwalten auf delete Löschen.
Informationen zum Erstellen eines neuen Laufwerks mit aktiviertem CMEK finden Sie unter Neuen nichtflüchtigen Speicher mit eigenen Schlüsseln verschlüsseln. CMEK verursacht zusätzliche Kosten im Zusammenhang mit Cloud KMS.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denDisk CSEK disabled
Kategoriename in der API: DISK_CSEK_DISABLED
Laufwerke auf dieser VM werden nicht mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln (Customer-Supplied Encryption Keys, CSEK) verschlüsselt. Laufwerke für kritische VMs sollten mit CSEK verschlüsselt werden.
Wenn Sie Ihre eigenen Verschlüsselungsschlüssel bereitstellen, sichert Compute Engine die von Google generierten Schlüssel, die für die Ver- und Entschlüsselung Ihrer Daten verwendet werden, mithilfe Ihres Schlüssels. Weitere Informationen finden Sie unter Vom Kunden bereitgestellte Verschlüsselungsschlüssel. Für CSEK fallen zusätzliche Kosten für Cloud KMS an.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Laufwerk löschen und erstellen
Sie können nur neue nichtflüchtige Speicher mit einem eigenen Schlüssel verschlüsseln. Vorhandene nichtflüchtige Speicher können nicht mit einem eigenen Schlüssel verschlüsselt werden.
Rufen Sie in der Google Cloud Console die Seite Compute Engine-Laufwerke auf.
Klicken Sie in der Liste der Laufwerke auf den Namen des Laufwerks, das im Ergebnis angegeben ist.
Klicken Sie auf der Seite Laufwerk verwalten auf delete Löschen.
Informationen zum Erstellen eines neuen Laufwerks mit aktiviertem CSEK finden Sie unter Laufwerke mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln verschlüsseln.
Führen Sie die verbleibenden Schritte aus, um den Detektor zu aktivieren.
Detektor aktivieren
Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf.
Gehen Sie im Bereich Schnellfilter unter Resource type (Ressourcentyp) wie folgt vor: Wählen Sie compute.Disk aus.
Wenn compute.Disk nicht angezeigt wird, klicken Sie auf Mehr anzeigen, geben Sie
Disk
in das Suchfeld ein und klicken Sie auf Übernehmen.Im Bereich Ergebnisse werden nun nur noch Instanzen der Ressourcentyp
compute.Disk
.Klicken Sie in der Spalte Anzeigename das Kästchen neben dem Namen des Laufwerks, das Sie mit CSEK verwenden möchten, und klicken Sie auf Sicherheitsmarkierungen setzen.
Klicken Sie im Dialogfeld auf Add Mark (Markierung hinzufügen).
Geben Sie im Feld Schlüssel den Wert
enforce_customer_supplied_disk_encryption_keys
und im Feld Werttrue
ein.Klicken Sie auf Speichern.
unterstützte Einstellungen für Assets und Scans.
Informationen zu diesem ErgebnistypDNS logging disabled
Kategoriename in der API: DNS_LOGGING_DISABLED
Mit dem Monitoring von Cloud DNS-Logs erhalten Sie Einblick in die DNS-Namen, die von den Clients im VPC-Netzwerk angefordert werden. Diese Logs können auf ungewöhnliche Domainnamen überwacht und anhand von Bedrohungsinformationen analysiert werden. Wir empfehlen, DNS-Logging für VPC-Netzwerke zu aktivieren.
Je nach Menge der Informationen können die Cloud DNS-Logging-Kosten erheblich sein. Informationen zur Nutzung des Dienstes und zu den Kosten findest du unter Preise für Google Cloud Observability: Cloud Logging
Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.
Klicken Sie in der Liste der Netzwerke auf den Namen des VPC-Netzwerks.
Erstellen Sie eine neue Serverrichtlinie (falls noch nicht vorhanden) oder bearbeiten Sie eine vorhandene Richtlinie:
Wenn das Netzwerk keine DNS-Serverrichtlinie hat, führen Sie die folgenden Schritte aus:
- Klicken Sie auf edit Bearbeiten.
- Klicken Sie im Feld DNS-Serverrichtlinie auf Neue Serverrichtlinie erstellen.
- Geben Sie einen Namen für die neue Serverrichtlinie ein.
- Setzen Sie Logs auf Ein.
- Klicken Sie auf Speichern.
Wenn das Netzwerk eine DNS-Serverrichtlinie hat, führen Sie die folgenden Schritte aus:
- Klicken Sie im Feld DNS-Serverrichtlinie auf den Namen der DNS-Richtlinie.
- Klicken Sie auf edit Richtlinie bearbeiten.
- Setzen Sie Logs auf Ein.
- Klicken Sie auf Speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denDNSSEC disabled
Kategoriename in der API: DNSSEC_DISABLED
Domain Name System Security Extensions (DNSSEC) ist für Cloud DNS-Zonen deaktiviert.
DNSSEC validiert DNS-Antworten und mindert Risiken wie DNS-Hacker- und Personal-in-the-Middle-Angriffe, indem DNS-Einträge kryptografisch signiert werden. Aktivieren Sie DNSSEC. Weitere Informationen finden Sie unter Übersicht über DNS-Sicherheitserweiterungen (DNSSEC).
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Cloud DNS auf.
Suchen Sie die Zeile mit der DNS-Zone, die im Ergebnis angegeben ist.
Klicken Sie in der Zeile auf die DNSSEC-Einstellung und wählen Sie dann unter DNSSEC die Option Ein aus.
Lesen Sie die Informationen im angezeigten Dialogfeld. Wenn Sie zufrieden sind, klicken Sie auf Aktivieren.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denEgress deny rule not set
Kategoriename in der API: EGRESS_DENY_RULE_NOT_SET
In einer Firewall ist keine Regel zum Ablehnen von ausgehendem Traffic festgelegt.
Eine Firewall, die den gesamten ausgehenden Netzwerk-Traffic ablehnt, verhindert alle unerwünschten ausgehenden Netzwerkverbindungen mit Ausnahme dieser Verbindungen, die von anderen Firewalls explizit autorisiert werden. Weitere Informationen finden Sie unter Ausgehende Fälle.
Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Firewall auf.
Klicken Sie auf Firewallregel erstellen.
Geben Sie der Firewall einen Namen und optional eine Beschreibung.
Wählen Sie unter Traffic-Richtung die Option Ausgehend aus.
Wählen Sie unter Aktion bei Übereinstimmung die Option Ablehnen aus.
Wählen Sie im Drop-down-Menü Ziele die Option Alle Instanzen im Netzwerk aus.
Wählen Sie im Drop-down-Menü Zielfilter die Option IP-Bereiche aus und geben Sie
0.0.0.0/0
in das Feld Ziel-IP-Bereiche ein.Wählen Sie unter Protokolle und Ports die Option Alle ablehnen aus.
Klicken Sie auf Regel deaktivieren und wählen Sie unter Erzwingung die Option Aktiviert aus.
Klicken Sie auf Erstellen.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denEssential contacts not configured
Kategoriename in der API: ESSENTIAL_CONTACTS_NOT_CONFIGURED
Ihre Organisation hat keine Person oder Gruppe für den Empfang von Benachrichtigungen festgelegt von Google Cloud über wichtige Ereignisse wie Angriffe, Sicherheitslücken und Datenvorfälle in Ihrer Google Cloud-Organisation. Wir empfehlen Ihnen, eine oder mehrere Personen oder Gruppen in Ihrem Unternehmensorganisation.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie die Seite Wichtige Kontakte im Google Cloud Console
Stellen Sie sicher, dass die Organisation in der Ressourcenauswahl oben auf der auf der Seite. In der Ressourcenauswahl sehen Sie, welches Projekt, welchen Ordner Organisation, für die Sie derzeit Kontakte verwalten.
Klicken Sie auf +Kontakt hinzufügen. Der Bereich Kontakt hinzufügen wird geöffnet.
Geben Sie die E-Mail-Adresse in die Felder E-Mail und E-Mail bestätigen ein. des Kontakts.
Klicken Sie im Abschnitt Benachrichtigungskategorien auf das Benachrichtigungskategorien, die der Kontakt erhalten soll für die Kommunikation. Achten Sie darauf, dass geeignete E-Mail-Adressen konfiguriert sind für jede der folgenden Benachrichtigungskategorien:
- Recht
- Sicherheit
- Sperrung
- Technisch
Klicken Sie auf Speichern. unterstützten Einstellungen für Assets und Scans dieses Ergebnistyps.
Weitere Informationen zu den
Firewall not monitored
Kategoriename in der API: FIREWALL_NOT_MONITORED
Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an den VPC-Netzwerk-Firewallregeln konfiguriert.
Durch das Erstellen und Aktualisieren von Firewallregeln können Sie sich einen Überblick über Änderungen am Netzwerkzugriff verschaffen und verdächtige Aktivitäten schnell erkennen. Weitere Informationen finden Sie in der Übersicht zu Log-basierten Messwerten.
Abhängig von der Menge der Informationen können die Cloud Monitoring-Kosten erheblich sein. Bis die Nutzung des Dienstes und die damit verbundenen Kosten zu verstehen, <ph type="x-smartling-placeholder"></ph> Kostenoptimierung für Google Cloud Observability
Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Messwert erstellen
Rufen Sie in der Google Cloud Console die Seite Logbasierte Messwerte auf.
Klicken Sie auf Messwert erstellen.
Wählen Sie unter Messwerttyp die Option Zähler aus.
Unter Details:
- Legen Sie unter Name des Logmesswerts einen Namen fest.
- Fügen Sie eine Beschreibung hinzu.
- Legen Sie Einheiten auf 1 fest.
Kopieren Sie unter Filterauswahl den folgenden Text und fügen Sie ihn in das Filter erstellen und ersetzen Sie bei Bedarf den vorhandenen Text:
resource.type="gce_firewall_rule" AND (protoPayload.methodName:"compute.firewalls.insert" OR protoPayload.methodName:"compute.firewalls.patch" OR protoPayload.methodName:"compute.firewalls.delete")
Klicken Sie auf Messwert erstellen. Sie sehen eine Bestätigung.
Benachrichtigungsrichtlinie erstellen
-
Rufen Sie in der Google Cloud Console die Seite Logbasierte Messwerte auf:
Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.
- Wählen Sie im Bereich Benutzerdefinierte Messwerte den Messwert aus, den Sie im vorherigen Abschnitt erstellt haben.
-
Klicken Sie auf Mehr
und dann auf Benachrichtigung mit dem Messwert erstellen.Das Dialogfeld Neue Bedingung wird geöffnet. Die Optionen zur Messwert- und Datentransformation sind bereits ausgefüllt.
- Klicken Sie auf Next (Weiter).
- Prüfen Sie die vorkonfigurierten Einstellungen. Sie können den Schwellenwert ändern.
- Klicken Sie auf Bedingungsname und geben Sie einen Namen für die Bedingung ein.
- Klicken Sie auf Weiter.
Klicken Sie auf Benachrichtigungskanäle: Wählen Sie im Dialogfeld einen oder mehrere Benachrichtigungskanäle aus dem Menü aus und klicken Sie dann auf OK.
Um benachrichtigt zu werden, wenn Vorfälle geöffnet und geschlossen werden, aktivieren Sie Bei Schließung des Vorfalls benachrichtigen Standardmäßig werden Benachrichtigungen nur gesendet, werden geöffnet.
- Optional: Aktualisieren Sie die Dauer bis zur automatischen Schließung von Vorfällen. Dieses Feld bestimmt, wann Monitoring Vorfälle ohne Messwertdaten schließt.
- Optional: Klicken Sie auf Dokumentation und geben Sie alle Informationen ein, die in einer Benachrichtigung angezeigt werden sollen.
- Klicken Sie auf Name der Benachrichtigung und geben Sie einen Namen für die Benachrichtigungsrichtlinie ein.
- Klicken Sie auf Richtlinie erstellen.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denFirewall rule logging disabled
Kategoriename in der API: FIREWALL_RULE_LOGGING_DISABLED
Firewallregel-Logging ist deaktiviert.
Durch das Logging der Firewallregeln können Sie die Auswirkungen Ihrer Firewallregeln im Blick behalten, prüfen und analysieren. Diese Informationen sind mitunter nützlich, um den Netzwerkzugriff zu prüfen oder frühzeitig auf eine unzulässige Netzwerknutzung hinzuweisen. Die Kosten für Logs können beträchtlich sein. Weitere Informationen zum Logging von Firewallregeln und den damit verbundenen Kosten finden Sie unter Logging von Firewallregeln verwenden.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Firewall auf.
Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel in dem Ergebnis.
Klicken Sie auf edit Bearbeiten.
Wählen Sie unter Logs die Option Ein aus.
Klicken Sie auf Speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denFlow logs disabled
Kategoriename in der API: FLOW_LOGS_DISABLED
Es gibt ein VPC-Subnetzwerk, in dem Flusslogs deaktiviert sind.
VPC-Flusslogs erfassen eine Stichprobe von Netzwerkflüssen, die von VM-Instanzen gesendet und empfangen werden. Diese Flussprotokolle können für Netzwerküberwachung, Forensik, Echtzeit-Sicherheitsanalysen und Kostenoptimierung verwendet werden. Weitere Informationen zu Flusslogs und ihren Kosten finden Sie unter VPC-Flusslogs verwenden.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.
Klicken Sie in der Liste der Netzwerke auf den Namen des Netzwerks.
Klicken Sie auf der Seite VPC-Netzwerkdetails auf den Tab Subnetze.
Klicken Sie in der Liste der Subnetze auf den Namen des Subnetzes, das in den Ergebnissen angegeben ist.
Klicken Sie auf der Seite Subnetzdetails auf edit Bearbeiten.
Wählen Sie unter Fluss-Logs die Option Ein.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denFlow logs settings not recommended
Kategoriename in der API: VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED
In der Konfiguration eines Subnetzes in einem VPC-Netzwerk ist der Dienst für VPC-Flusslogs entweder deaktiviert oder nicht gemäß den Empfehlungen von CIS Benchmark 1.3 konfiguriert. VPC-Flusslogs erfassen eine Stichprobe von Netzwerkflüssen, die von der VM gesendet und empfangen werden Instanzen zum Erkennen von Bedrohungen.
Weitere Informationen zu VPC-Flusslogs und ihren Kosten finden Sie unter Verwendung von VPC-Flusslogs.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.
Klicken Sie in der Liste der Netzwerke auf den Namen des Netzwerks.
Klicken Sie auf der Seite VPC-Netzwerkdetails auf den Tab Subnetze.
Klicken Sie in der Liste der Subnetze auf den Namen des Subnetzes, das in den Ergebnissen angegeben ist.
Klicken Sie auf der Seite Subnetzdetails auf edit Bearbeiten.
Wählen Sie unter Flusslogs die Option An aus.
- Ändern Sie optional die Konfiguration der Logs. Klicken Sie dazu auf das
Schaltfläche Logs konfigurieren, um den Tab zu maximieren. CIS-Benchmarks
empfehlen folgende Einstellungen:
<ph type="x-smartling-placeholder">
- </ph>
- Legen Sie das Aggregationsintervall auf 5 SEK. fest.
- Klicken Sie unter Zusatzfelder das Kästchen Metadaten einschließen auswählen.
- Legen Sie die Abtastrate auf 100% fest.
- Klicken Sie auf die Schaltfläche SPEICHERN.
- Ändern Sie optional die Konfiguration der Logs. Klicken Sie dazu auf das
Schaltfläche Logs konfigurieren, um den Tab zu maximieren. CIS-Benchmarks
empfehlen folgende Einstellungen:
<ph type="x-smartling-placeholder">
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denFull API access
Kategoriename in der API: FULL_API_ACCESS
Eine Compute Engine-Instanz ist so konfiguriert, dass sie das Standarddienstkonto mit uneingeschränktem Zugriff auf alle Google Cloud APIs verwendet.
Eine Instanz, die mit dem Standarddienstkonto und dem API-Zugriff konfiguriert ist Wenn der Bereich auf Uneingeschränkten Zugriff auf alle Cloud APIs zulassen festgelegt ist, können Nutzer möglicherweise Ausführen von Vorgängen oder API-Aufrufen, für die IAM nicht vorhanden ist Berechtigungen. Weitere Informationen finden Sie unter Standardmäßiges Compute Engine-Dienstkonto.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.
Klicken Sie in der Liste der Instanzen auf den Namen der Instanz im Ergebnis.
Wenn die Instanz ausgeführt wird, klicken Sie auf
. Beenden.Wenn die Instanz beendet ist, klicken Sie auf edit Bearbeiten.
Gehen Sie im Bereich Sicherheit und Zugriff unter Dienstkonten wie folgt vor: Wählen Sie das Compute Engine-Standarddienstkonto aus.
Wählen Sie unter Zugriffsbereiche entweder Standardzugriff zulassen oder Zugriff für jede API festlegen Dadurch werden die APIs eingeschränkt, oder Arbeitslast, die das Standard-VM-Dienstkonto verwendet.
Wenn Sie Zugriff für jede API festlegen ausgewählt haben, gehen Sie so vor:
- Deaktivieren Sie die Cloud Platform, indem Sie sie auf Keine setzen.
- Bestimmte APIs aktivieren, die das Standard-VM-Dienstkonto benötigt auf die Sie zugreifen können.
Klicken Sie auf Speichern.
Klicken Sie auf
Starten, um und starten Sie die Instanz.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denHTTP load balancer
Kategoriename in der API: HTTP_LOAD_BALANCER
Eine Compute Engine-Instanz verwendet einen Load-Balancer, der so konfiguriert ist, dass er statt eines HTTPS-Zielproxys einen Ziel-HTTP-Proxy verwendet.
Um die Integrität Ihrer Daten zu schützen und zu verhindern, dass Eindringlinge Ihre Kommunikation manipulieren, konfigurieren Sie Ihre HTTP(S)-Load-Balancer so, dass nur HTTPS-Traffic zulässig ist. Weitere Informationen finden Sie unter Übersicht über externes HTTP(S)-Load-Balancing.
Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Zielproxys auf.
Klicken Sie in der Liste der Zielproxys auf den Namen des Zielproxys im Ergebnis.
Klicken Sie auf den Link im Abschnitt URL-Zuordnung.
Klicken Sie auf edit Bearbeiten.
Klicken Sie auf Frontend-Konfiguration.
Löschen Sie alle Frontend-IP- und Portkonfigurationen, die HTTP-Traffic zulassen, und erstellen Sie neue Konfigurationen, die HTTPS-Traffic zulassen.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denInstance OS login disabled
Kategoriename in der API: INSTANCE_OS_LOGIN_DISABLED
OS Login ist für diese Compute Engine-Instanz deaktiviert.
OS Login aktiviert die zentralisierte Verwaltung von SSH-Schlüsseln mit IAM und deaktiviert die metadatenbasierte SSH-Schlüsselkonfiguration aller Instanzen eines Projekts. Lesen Sie die Informationen zum Einrichten und Konfigurieren von OS Login.
Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.
Klicken Sie in der Liste der Instanzen auf den Namen der Instanz im Ergebnis.
Auf der Seite Instanzdetails, die geladen wird, Klicken Sie auf
Beenden.Nachdem die Instanz beendet wurde, Klicken Sie auf edit Bearbeiten.
Prüfen Sie im Abschnitt Benutzerdefinierte Metadaten, ob das Element mit dem Schlüssel enable-oslogin hat den Wert TRUE.
Klicken Sie auf Speichern.
Klicken Sie nun auf
Starten, um die Instanz zu starten.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denIntegrity monitoring disabled
Kategoriename in der API: INTEGRITY_MONITORING_DISABLED
Das Integritätsmonitoring ist in einem GKE-Cluster deaktiviert.
Mit dem Integritätsmonitoring können Sie die Laufzeit-Bootintegrität Ihrer Shielded-Knoten mithilfe von Monitoring überwachen und überprüfen. So können Sie auf Integritätsfehler reagieren und verhindern, dass manipulierte Knoten im Cluster bereitgestellt werden.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Nachdem ein Knoten bereitgestellt wurde, kann er nicht mehr aktualisiert werden, um das Integritätsmonitoring zu aktivieren. Sie müssen einen neuen Knotenpool mit aktiviertem Integritätsmonitoring erstellen.
Rufen Sie in der Google Cloud Console die GKE-Seite Kubernetes Cluster auf.
Klicken Sie auf den Namen des Clusters im Ergebnis.
Klicken Sie auf Knotenpool hinzufügen.
Prüfen Sie auf dem Tab Sicherheit, ob die Option Integritätsmonitoring aktivieren aktiviert ist.
Klicken Sie auf Erstellen.
Informationen zum Migrieren Ihrer Arbeitslasten von den vorhandenen nicht konformen Knotenpools zu den neuen Knotenpools finden Sie unter Arbeitslasten zu anderen Maschinentypen migrieren.
Löschen Sie den ursprünglichen nicht konformen Knotenpool, nachdem die Arbeitslasten verschoben wurden.
- Klicken Sie auf der Seite Kubernetes-Cluster im Menü Knotenpools auf den Namen des Knotenpools, den Sie löschen möchten.
- Klicken Sie auf Knotenpool entfernen.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denIntranode visibility disabled
Kategoriename in der API: INTRANODE_VISIBILITY_DISABLED
Knoteninterne Sichtbarkeit ist für einen GKE-Cluster deaktiviert.
Durch das Aktivieren der knoteninternen Sichtbarkeit wird Ihr knoteninterner Pod-zu-Pod-Traffic für das Netzwerk-Fabric sichtbar. Mit diesem Feature können Sie den knoteninternen Traffic mithilfe von VPC-Fluss-Logging und anderen VPC-Features überwachen oder steuern. Für den Abruf von Logs müssen Sie VPC-Flusslogs im ausgewählten Subnetzwerk aktivieren. Weitere Informationen finden Sie unter VPC-Flusslogs verwenden.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Nachdem ein Knoten bereitgestellt wurde, kann er nicht mehr aktualisiert werden, um das Integritätsmonitoring zu aktivieren. Sie müssen einen neuen Knotenpool mit aktiviertem Integritätsmonitoring erstellen.
Rufen Sie in der Google Cloud Console die GKE-Seite Kubernetes Cluster auf.
Klicken Sie im Bereich Netzwerk in der Zeile Knoteninterne Sichtbarkeit auf das Symbol „Bearbeiten“ (edit).
Wenn die Clusterkonfiguration kürzlich geändert wurde, ist die Schaltfläche "Bearbeiten" möglicherweise deaktiviert. Wenn Sie die Clustereinstellungen nicht bearbeiten können, warten Sie ein paar Minuten und versuchen Sie es dann noch einmal.
Wählen Sie im Dialogfeld die Option Knoteninterne Sichtbarkeit aktivieren aus.
Klicken Sie auf Änderungen speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denIP alias disabled
Kategoriename in der API: IP_ALIAS_DISABLED
Ein GKE-Cluster wurde mit deaktivierten Alias-IP-Bereichen erstellt.
Wenn Sie Alias-IP-Bereiche aktivieren, weisen GKE-Cluster IP-Adressen aus einem bekannten CIDR-Block zu. Der Cluster kann so skaliert werden und besser mit Google Cloud-Produkten und -Entitäten interagieren. Weitere Informationen finden Sie unter Alias-IP-Bereiche – Übersicht.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Sie können einen vorhandenen Cluster nicht migrieren, um Alias-IP-Adressen zu verwenden. So erstellen Sie einen neuen Cluster mit aktivierten Alias-IP-Adressen:
Rufen Sie in der Google Cloud Console die GKE-Seite Kubernetes Cluster auf.
Klicken Sie auf Erstellen.
Klicken Sie im Navigationsbereich unter Cluster auf Netzwerk.
Wählen Sie unter Erweiterte Netzwerkoptionen die Option VPC-natives Traffic-Routing aktivieren (verwendet Alias-IP-Adresse) aus.
Klicken Sie auf Erstellen.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denIP forwarding enabled
Kategoriename in der API: IP_FORWARDING_ENABLED
Die IP-Weiterleitung ist für Compute Engine-Instanzen aktiviert.
Verhindern Sie Datenverlust oder die Offenlegung von Informationen, indem Sie die IP-Weiterleitung von Datenpaketen für Ihre VMs deaktivieren.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.
Klicken Sie in der Liste der Instanzen auf das Kästchen neben dem Namen der Instanz für das Ergebnis.
Klicken Sie auf delete Löschen.
Wählen Sie Instanz erstellen aus, um eine neue Instanz zu erstellen, die die gelöschte Instanz ersetzt.
Wenn Sie die IP-Weiterleitung deaktivieren möchten, klicken Sie auf Verwaltung, Laufwerke, Netzwerke, SSH-Schlüssel und dann auf Netzwerke.
Klicken Sie unter Netzwerkschnittstellen auf edit Bearbeiten.
Achten Sie darauf, dass im Drop-down-Menü unter IP-Weiterleitung die Option Aus ausgewählt ist.
Geben Sie alle anderen Instanzparameter an und klicken Sie dann auf Erstellen. Weitere Informationen finden Sie unter VM-Instanz erstellen und starten.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denKMS key not rotated
Kategoriename in der API: KMS_KEY_NOT_ROTATED
Für einen Cloud KMS-Verschlüsselungsschlüssel ist keine Rotation konfiguriert.
Das Rotieren Ihrer Verschlüsselungsschlüssel bietet regelmäßig Schutz, wenn ein Schlüssel manipuliert wurde, und begrenzt die Anzahl verschlüsselter Nachrichten, die der Kryptoanalyse für eine bestimmte Schlüsselversion zur Verfügung stehen. Weitere Informationen finden Sie unter Schlüsselrotation.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Cloud KMS-Schlüssel auf.
Klicken Sie auf den Namen des Schlüsselbunds, der in dem Ergebnis angegeben ist.
Klicken Sie auf den Namen des im Ergebnis angegebenen Schlüssels.
Klicken Sie auf Rotationszeitraum bearbeiten.
Legen Sie den Rotationszeitraum auf maximal 90 Tage fest.
Klicken Sie auf Speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denKMS project has owner
Kategoriename in der API: KMS_PROJECT_HAS_OWNER
Ein Nutzer hat roles/Owner
-Berechtigungen für ein Projekt mit kryptografischen Schlüsseln.
Weitere Informationen finden Sie unter Berechtigungen und Rollen.
Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die IAM-Seite auf.
Wählen Sie ggf. das Projekt im Ergebnis aus.
Führen Sie für jedes Mitglied mit der Rolle Inhaber die folgenden Schritte aus:
- Klicken Sie auf edit Bearbeiten.
- Klicken Sie im Bereich Bearbeitungsberechtigung neben der Rolle Inhaber auf delete Löschen.
- Klicken Sie auf Speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denKMS public key
Kategoriename in der API: KMS_PUBLIC_KEY
Ein Cloud KMS Cryptokey oder Cloud KMS-Schlüsselbund ist öffentlich und für jeden im Internet zugänglich. Weitere Informationen finden Sie unter IAM mit Cloud KMS verwenden.
So beheben Sie dieses Ergebnis, wenn es mit einem kryptografischen Schlüssel zusammenhängt:
Rufen Sie in der Google Cloud Console die Seite Kryptografische Schlüssel auf.
Wählen Sie unter Name den Schlüsselbund aus, der den kryptografischen Schlüssel mit dem Security Health Analytics-Ergebnis enthält.
Klicken Sie auf der Seite Schlüsselbunddetails, die geladen wird, das Kästchen neben dem kryptografischen Schlüssel an.
Wenn das Infofeld nicht angezeigt wird, klicken Sie auf Infofeld ansehen.
Verwenden Sie das Filterfeld vor Rolle/Hauptkonto, um Hauptkonten nach allUsers und allAuthenticatedUsers zu suchen, und klicken Sie auf Löschen. delete, um den Zugriff für diese Hauptkonten zu entfernen.
So beheben Sie dieses Ergebnis, wenn es mit einem Schlüsselbund zusammenhängt:
Rufen Sie in der Google Cloud Console die Seite Kryptografische Schlüssel auf.
Suchen Sie die Zeile mit dem Schlüsselbund in dem Ergebnis und klicken Sie das Kästchen an.
Wenn das Infofeld nicht angezeigt wird, klicken Sie auf Infofeld ansehen.
Verwenden Sie das Filterfeld vor Rolle/Hauptkonto, um Hauptkonten nach allUsers und allAuthenticatedUsers zu suchen, und klicken Sie auf Löschen. delete, um den Zugriff für diese Hauptkonten zu entfernen.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denKMS role separation
Kategoriename in der API: KMS_ROLE_SEPARATION
Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.
Mindestens einem Hauptkonto sind mehrere Cloud KMS-Berechtigungen zugewiesen. Wir empfehlen, keinem Konto gleichzeitig Cloud KMS-Administratorberechtigungen und andere Cloud KMS-Berechtigungen zuzuweisen. Weitere Informationen finden Sie unter Berechtigungen und Rollen.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die IAM-Seite auf.
Gehen Sie für jedes Hauptkonto, das in dem Ergebnis aufgeführt ist, so vor:
- Prüfen Sie in der Spalte Übernahme, ob die Rolle von einem Ordner oder einer Organisationsressource übernommen wurde. Wenn die Spalte einen Link zu einer übergeordneten Ressource enthält, klicken Sie darauf, um zur IAM-Seite der übergeordneten Ressource zu gelangen.
- Klicken Sie neben einem Hauptkonto auf Bearbeiten edit.
- Klicken Sie zum Entfernen von Berechtigungen neben Cloud KMS-Administrator auf Löschen delete. Wenn Sie alle Berechtigungen für das Hauptkonto entfernen möchten, klicken Sie neben allen anderen Berechtigungen auf Löschen.
Klicken Sie auf Speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denLegacy authorization enabled
Kategoriename in der API: LEGACY_AUTHORIZATION_ENABLED
Die Legacy-Autorisierung ist für GKE-Cluster aktiviert.
In Kubernetes können Sie über eine rollenbasierte Zugriffssteuerung (RBAC) Rollen mit Regeln definieren, die aus einem Set von Berechtigungen bestehen, und Berechtigungen auf Cluster- und Namespace-Ebene erteilen. Durch diese Funktion wird die Sicherheit verbessert, da Nutzer nur Zugriff auf bestimmte Ressourcen haben. Erwägen Sie, die attributbasierte Zugriffssteuerung (ABAC) zu deaktivieren.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die GKE-Seite Kubernetes Cluster auf.
Wählen Sie den Cluster aus, der im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf edit Bearbeiten.
Wenn die Clusterkonfiguration kürzlich geändert wurde, ist die Schaltfläche "Bearbeiten" möglicherweise deaktiviert. Wenn Sie die Clustereinstellungen nicht bearbeiten können, warten Sie einige Minuten und versuchen Sie es dann noch einmal.
Wählen Sie in der Drop-down-Liste Alte Autorisierung die Option Deaktiviert aus.
Klicken Sie auf Speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denLegacy metadata enabled
Kategoriename in der API: LEGACY_METADATA_ENABLED
Legacy-Metadaten sind für GKE-Cluster aktiviert.
Der Instanzmetadatenserver von Compute Engine macht die Legacy-Endpunkte /0.1/
und /v1beta1/
verfügbar, die keine Metadatenabfrage-Header erzwingen. Dieses Feature in der /v1/
API erschwert potenziellen Angreifern das Abrufen von Instanzmetadaten. Sofern nicht erforderlich, empfehlen wir, diese Legacy-APIs /0.1/
und /v1beta1/
zu deaktivieren.
Weitere Informationen finden Sie unter Legacy-Metadaten-APIs deaktivieren und von dort wechseln.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Sie können Legacy-Metadaten-APIs nur deaktivieren, wenn Sie einen neuen Cluster erstellen oder einem vorhandenen Cluster einen neuen Knotenpool hinzufügen. Informationen zum Aktualisieren eines vorhandenen Clusters und zum Deaktivieren von Legacy-Metadaten-APIs finden Sie unter Arbeitslasten zu anderen Maschinentypen migrieren.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denLegacy network
Kategoriename in der API: LEGACY_NETWORK
Ein Legacy-Netzwerk ist in einem Projekt vorhanden.
Legacy-Netzwerke werden nicht empfohlen, da viele neue Google Cloud-Sicherheitsfeatures in Legacy-Netzwerken nicht unterstützt werden. Verwenden Sie stattdessen VPC-Netzwerke. Weitere Informationen finden Sie unter Legacy-Netzwerke.
Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.
Klicken Sie auf Netzwerk erstellen, um ein neues Nicht-Legacy-Netzwerk zu erstellen.
Kehren Sie zur Seite VPC-Netzwerke zurück.
Klicken Sie in der Liste der Netzwerke auf legacy_network.
Klicken Sie auf der Seite VPC-Netzwerkdetails auf deleteVPC-Netzwerk löschen.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denLoad balancer logging disabled
Kategoriename in der API: LOAD_BALANCER_LOGGING_DISABLED
Logging ist für den Back-End-Dienst in einem Load-Balancer deaktiviert.
Wenn Sie Logging für einen Load-Balancer aktivieren, können Sie den HTTP(S)-Netzwerktraffic ansehen für Ihre Webanwendungen. Weitere Informationen finden Sie unter Load-Balancer.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie die Seite Cloud Load Balancing in der Google Cloud Console
Klicken Sie auf den Namen des Load-Balancers.
Klicken Sie auf Bearbeiten edit.
Klicken Sie auf Backend-Konfiguration.
Klicken Sie auf der Seite Back-End-Konfiguration auf edit.
Wählen Sie im Bereich Logging die Option Logging aktivieren und dann das beste Stichprobenrate für Ihr Projekt.
Klicken Sie auf Aktualisieren, um das Bearbeiten des Backend-Dienstes abzuschließen.
Klicken Sie auf Aktualisieren, um das Bearbeiten des Load Balancers abzuschließen.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denLocked retention policy not set
Kategoriename in der API: LOCKED_RETENTION_POLICY_NOT_SET
Für ein Log ist keine gesperrte Aufbewahrungsrichtlinie festgelegt.
Eine gesperrte Aufbewahrungsrichtlinie verhindert, dass Logs überschrieben werden und dass der Log-Bucket gelöscht wird. Weitere Informationen finden Sie unter Bucket Sperren.
Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Storage-Browser auf.
Wählen Sie den Bucket aus, der in den Ergebnissen von Security Health Analytics aufgeführt ist.
Klicken Sie auf der Seite Bucket-Details auf den Tab Aufbewahrung.
Wenn keine Aufbewahrungsrichtlinie festgelegt ist, klicken Sie auf Aufbewahrungsrichtlinie festlegen.
Geben Sie eine Aufbewahrungsdauer ein.
Klicken Sie auf Speichern. Die Aufbewahrungsrichtlinie wird auf dem Tab Aufbewahrung angezeigt.
Klicken Sie auf Sperren, um sicherzustellen, dass die Aufbewahrungsdauer nicht verkürzt oder entfernt wird.
<ph type="x-smartling-placeholder">
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denLog not exported
Kategoriename in der API: LOG_NOT_EXPORTED
Für eine Ressource ist keine entsprechende Logsenke konfiguriert.
Mit Cloud Logging können Sie die Ursache von Problemen in Ihren Systemen und Anwendungen schneller finden. Allerdings werden die meisten Logs nur 30 Tage lang aufbewahrt. Exportieren Sie Kopien aller Logeinträge, um die Speicherdauer zu verlängern. Weitere Informationen finden Sie unter Logexporte.
Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Log-Router auf.
Klicken Sie auf Senke erstellen.
Lassen Sie die „Einschließen“- und „Ausschließen“-Filter leer, damit alle Logs exportiert werden.
Klicken Sie auf Senke erstellen.
<ph type="x-smartling-placeholder">
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denMaster authorized networks disabled
Kategoriename in der API: MASTER_AUTHORIZED_NETWORKS_DISABLED
Autorisierte Netzwerke auf Steuerungsebene sind in GKE-Clustern nicht aktiviert.
Autorisierte Netzwerke der Steuerungsebene verbessern die Sicherheit des Containerclusters, indem sie bestimmten IP-Adressen den Zugriff auf die Steuerungsebene des Clusters verwehren. Weitere Informationen finden Sie unter Autorisierte Netzwerke für den Zugriff auf Steuerungsebene hinzufügen.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die GKE-Seite Kubernetes Cluster auf.
Wählen Sie den Cluster aus, der im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf edit Bearbeiten.
Wenn die Clusterkonfiguration kürzlich geändert wurde, ist die Schaltfläche "Bearbeiten" möglicherweise deaktiviert. Wenn Sie die Clustereinstellungen nicht bearbeiten können, warten Sie einige Minuten und versuchen Sie es dann noch einmal.
Wählen Sie in der Drop-down-Liste Autorisierte Netzwerke der Steuerungsebene die Option Aktiviert aus.
Klicken Sie auf Autorisiertes Netzwerk hinzufügen.
Geben Sie die gewünschten autorisierten Netzwerke an.
Klicken Sie auf Speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denMFA not enforced
Kategoriename in der API: MFA_NOT_ENFORCED
Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.
Die Multi-Faktor-Authentifizierung, genauer die Bestätigung in zwei Schritten (2FA), ist für einige Nutzer in Ihrer Organisation deaktiviert.
Die Multi-Faktor-Authentifizierung kann verwendet werden, um Konten vor einem nicht autorisierten Zugriff zu schützen. Sie stellt das wichtigste Tool für den Schutz der Organisation vor manipulierten Anmeldedaten dar. Weitere Informationen finden Sie unter Ihr Unternehmen mit der Bestätigung in zwei Schritten schützen.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Wechseln Sie in der Google Cloud Console zur Seite Admin-Konsole.
Erzwingen Sie die 2-Faktor-Authentifizierung für alle Organisationseinheiten.
Ergebnisse dieses Typs unterdrücken
Wenn Sie Ergebnisse dieses Typs unterdrücken möchten, definieren Sie eine Ausblendungsregel, die automatisch zukünftige Ergebnisse dieser Art. Weitere Informationen finden Sie unter Ergebnisse in Security Command Center ausblenden
Es ist zwar keine empfohlene Methode zum Unterdrücken von Ergebnissen, Sie können aber auch Gesonderte Sicherheitsmarkierungen hinzufügen damit Security Health Analytics-Detektoren keine Sicherheitsfunktionen Ergebnisse für diese Assets.
- Damit dieses Ergebnis nicht wieder aktiviert wird, fügen Sie das Sicherheitszeichen
allow_mfa_not_enforced
mit dem Werttrue
hinzu. - Um potenzielle Verstöße für bestimmte Organisationseinheiten zu ignorieren, fügen Sie dem Asset das Sicherheitszeichen
excluded_orgunits
mit einer durch Kommas getrennten Liste mit Pfaden für Organisationseinheiten im Feld Wert hinzu. Beispiel:excluded_orgunits:/people/vendors/vendorA,/people/contractors/contractorA
.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denNetwork not monitored
Kategoriename in der API: NETWORK_NOT_MONITORED
Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen am VPC-Netzwerk konfiguriert.
Überwachen Sie Änderungen des VPC-Netzwerks, um falsche oder nicht autorisierte Änderungen an der Netzwerkeinrichtung zu erkennen. Weitere Informationen finden Sie in der Übersicht zu Logbasierten Messwerten.
Abhängig von der Menge der Informationen können die Cloud Monitoring-Kosten erheblich sein. Bis die Nutzung des Dienstes und die damit verbundenen Kosten zu verstehen, <ph type="x-smartling-placeholder"></ph> Kostenoptimierung für Google Cloud Observability
Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Messwert erstellen
Rufen Sie in der Google Cloud Console die Seite Logbasierte Messwerte auf.
Klicken Sie auf Messwert erstellen.
Wählen Sie unter Messwerttyp die Option Zähler aus.
Unter Details:
- Legen Sie unter Name des Logmesswerts einen Namen fest.
- Fügen Sie eine Beschreibung hinzu.
- Legen Sie Einheiten auf 1 fest.
Kopieren Sie unter Filterauswahl den folgenden Text und fügen Sie ihn in das Filter erstellen und ersetzen Sie bei Bedarf den vorhandenen Text:
resource.type="gce_network" AND (protoPayload.methodName:"compute.networks.insert" OR protoPayload.methodName:"compute.networks.patch" OR protoPayload.methodName:"compute.networks.delete" OR protoPayload.methodName:"compute.networks.removePeering" OR protoPayload.methodName:"compute.networks.addPeering")
Klicken Sie auf Messwert erstellen. Sie sehen eine Bestätigung.
Benachrichtigungsrichtlinie erstellen
-
Rufen Sie in der Google Cloud Console die Seite Logbasierte Messwerte auf:
Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.
- Wählen Sie im Bereich Benutzerdefinierte Messwerte den Messwert aus, den Sie im vorherigen Abschnitt erstellt haben.
-
Klicken Sie auf Mehr
und dann auf Benachrichtigung mit dem Messwert erstellen.Das Dialogfeld Neue Bedingung wird geöffnet. Die Optionen zur Messwert- und Datentransformation sind bereits ausgefüllt.
- Klicken Sie auf Next (Weiter).
- Prüfen Sie die vorkonfigurierten Einstellungen. Sie können den Schwellenwert ändern.
- Klicken Sie auf Bedingungsname und geben Sie einen Namen für die Bedingung ein.
- Klicken Sie auf Weiter.
Klicken Sie auf Benachrichtigungskanäle: Wählen Sie im Dialogfeld einen oder mehrere Benachrichtigungskanäle aus dem Menü aus und klicken Sie dann auf OK.
Um benachrichtigt zu werden, wenn Vorfälle geöffnet und geschlossen werden, aktivieren Sie Bei Schließung des Vorfalls benachrichtigen Standardmäßig werden Benachrichtigungen nur gesendet, werden geöffnet.
- Optional: Aktualisieren Sie die Dauer bis zur automatischen Schließung von Vorfällen. Dieses Feld bestimmt, wann Monitoring Vorfälle ohne Messwertdaten schließt.
- Optional: Klicken Sie auf Dokumentation und geben Sie alle Informationen ein, die in einer Benachrichtigung angezeigt werden sollen.
- Klicken Sie auf Name der Benachrichtigung und geben Sie einen Namen für die Benachrichtigungsrichtlinie ein.
- Klicken Sie auf Richtlinie erstellen.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denNetwork policy disabled
Kategoriename in der API: NETWORK_POLICY_DISABLED
Die Netzwerkrichtlinie ist auf GKE-Clustern deaktiviert.
Standardmäßig ist die Pod-zu-Pod-Kommunikation offen. Offene Kommunikation erlaubt Pods, sich direkt über Knoten zu verbinden, mit oder ohne Übersetzung von Netzwerkadressen. Eine NetworkPolicy
-Ressource ist wie eine Firewall auf Pod-Ebene, die Verbindungen zwischen Pods einschränkt, es sei denn, die Ressource NetworkPolicy
lässt die Verbindung explizit zu. Lesen Sie die Informationen zum Definieren von Netzwerkrichtlinien.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die GKE-Seite Kubernetes Cluster auf.
Klicken Sie auf den Namen des Clusters, der im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie unter Netzwerk in der Zeile für Calico-Kubernetes-Netzwerkrichtlinie auf edit Bearbeiten.
Wenn die Clusterkonfiguration kürzlich geändert wurde, ist die Schaltfläche "Bearbeiten" möglicherweise deaktiviert. Wenn Sie die Clustereinstellungen nicht bearbeiten können, warten Sie einige Minuten und versuchen Sie es dann noch einmal.
Wählen Sie im Dialogfeld Calico-Kubernetes-Netzwerkrichtlinie für Steuerungsebene aktivieren aus und Calico-Kubernetes-Netzwerkrichtlinie für Knoten aktivieren
Klicken Sie auf Änderungen speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denNodepool boot CMEK disabled
Kategoriename in der API: NODEPOOL_BOOT_CMEK_DISABLED
Bootlaufwerke in diesem Knotenpool werden nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verschlüsselt. Mit CMEK kann der Nutzer die Standardverschlüsselungsschlüssel für Bootlaufwerke in einem Knotenpool konfigurieren.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die GKE-Seite Kubernetes Cluster auf.
Klicken Sie in der Liste der Cluster auf den Namen des Clusters in dem Ergebnis.
Klicken Sie auf den Tab Knoten.
Klicken Sie bei jedem Default-pool-Knotenpool auf Löschen delete.
Wenn Sie zur Bestätigung aufgefordert werden, klicken Sie auf Löschen.
Informationen zum Erstellen neuer Knotenpools mit CMEK finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden. CMEK verursacht zusätzliche Kosten im Zusammenhang mit Cloud KMS.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denNodepool secure boot disabled
Kategoriename in der API: NODEPOOL_SECURE_BOOT_DISABLED
Secure Boot ist für einen GKE-Cluster deaktiviert.
Aktivieren Sie Secure Boot für Shielded GKE-Knoten, um die digitalen Signaturen von Knotenkomponenten beim Knoten zu prüfen. Weitere Informationen finden Sie unter Secure Boot.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Nachdem ein Knotenpool bereitgestellt wurde, kann er nicht mehr aktualisiert werden, um Secure Boot zu aktivieren. Sie müssen einen neuen Knotenpool mit aktiviertem Secure Boot erstellen.
Rufen Sie in der Google Cloud Console die GKE-Seite Kubernetes Cluster auf.
Klicken Sie auf den Namen des Clusters im Ergebnis.
Klicken Sie auf Knotenpool hinzufügen.
Führen Sie im Menü Knotenpools die folgenden Schritte aus:
- Klicken Sie auf den Namen des neuen Knotenpools, um den Tab zu maximieren.
- Wählen Sie Sicherheit und dann unter Shielded-Optionen die Option Secure Boot aktivieren aus.
- Klicken Sie auf Erstellen.
- Informationen zum Migrieren Ihrer Arbeitslasten von den vorhandenen nicht konformen Knotenpools zu den neuen Knotenpools finden Sie unter Arbeitslasten zu anderen Maschinentypen migrieren.
- Löschen Sie den ursprünglichen nicht konformen Knotenpool, nachdem die Arbeitslasten verschoben wurden.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denNon org IAM member
Kategoriename in der API: NON_ORG_IAM_MEMBER
Ein Nutzer außerhalb Ihrer Organisation oder Ihres Projekts hat IAM-Berechtigungen für für ein Projekt oder eine Organisation. Übersicht über IAM-Berechtigungen
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die IAM-Seite auf.
Klicken Sie auf das Kästchen neben Nutzern außerhalb Ihrer Organisation oder Ihres Projekts.
Klicken Sie auf Entfernen.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denObject versioning disabled
Kategoriename in der API: OBJECT_VERSIONING_DISABLED
Die Objektversionsverwaltung ist für einen Storage-Bucket, in dem Senken konfiguriert sind, nicht aktiviert.
Damit Sie auch bereits gelöschte oder überschriebene Objekte abrufen können, bietet Cloud Storage die Möglichkeit der Objektversionsverwaltung. Aktivieren Sie die Objektversionierung, um Ihre Cloud Storage-Daten vor dem Überschreiben oder versehentlichen Löschen zu schützen. Objektversionierung aktivieren
Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation.
Zur Behebung dieses Problems verwenden Sie den Befehl gsutil versioning set on
mit dem entsprechenden Wert:
gsutil versioning set on gs://finding.assetDisplayName
Ersetzen Sie finding.assetDisplayName
durch den Namen des entsprechenden Buckets.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denOpen Cassandra port
Kategoriename in der API: OPEN_CASSANDRA_PORT
Firewallregeln, die zulassen, dass beliebige IP-Adressen eine Verbindung zu Cassandra-Ports herstellen, können Ihre Cassandra-Dienste für Angreifer verfügbar machen. Weitere Informationen finden Sie unter VPC-Firewallregeln - Übericht.
Die Cassandra-Dienstports sind
TCP - 7000, 7001, 7199, 8888, 9042, 9160, 61620, 61621
Dieses Ergebnis wird für anfällige Firewallregeln generiert, auch wenn Sie sie absichtlich deaktivieren. Aktive Ergebnisse für deaktivierte Firewallregeln informieren Sie über unsichere Konfigurationen, die unerwünschten Traffic zulassen, sofern diese aktiviert sind.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Firewall auf.
Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel in dem Ergebnis.
Klicken Sie auf edit Bearbeiten.
Löschen Sie unter Quell-IP-Bereiche den Wert
0.0.0.0/0
.Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die sich mit der Instanz verbinden sollen.
Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
Klicken Sie auf Speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denOpen ciscosecure websm port
Kategoriename in der API: OPEN_CISCOSECURE_WEBSM_PORT
Firewallregeln, die zulassen, dass beliebige IP-Adressen eine Verbindung zu CiscoSecure/WebSM-Ports herstellen, können Ihre CiscoSecure/WebSM-Dienste für Angreifer verfügbar machen. Weitere Informationen finden Sie unter VPC-Firewallregeln - Übersicht.
Die CiscoSecure/WebSM-Dienstports sind:
TCP - 9090
Dieses Ergebnis wird für anfällige Firewallregeln generiert, auch wenn Sie sie absichtlich deaktivieren. Aktive Ergebnisse für deaktivierte Firewallregeln informieren Sie über unsichere Konfigurationen, die unerwünschten Traffic zulassen, sofern diese aktiviert sind.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Firewall auf.
Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel in dem Ergebnis.
Klicken Sie auf edit Bearbeiten.
Löschen Sie unter Quell-IP-Bereiche den Wert
0.0.0.0/0
.Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die sich mit der Instanz verbinden sollen.
Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
Klicken Sie auf Speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denOpen directory services port
Kategoriename in der API: OPEN_DIRECTORY_SERVICES_PORT
Firewallregeln, die zulassen, dass beliebige IP-Adressen eine Verbindung zu Verzeichnisports herstellen, können Ihre Verzeichnisdienste für Angreifer verfügbar machen. Weitere Informationen finden Sie unter VPC-Firewallregeln - Übericht.
Die Verzeichnisdienstports sind:
TCP - 445
UDP - 445
Dieses Ergebnis wird für anfällige Firewallregeln generiert, auch wenn Sie sie absichtlich deaktivieren. Aktive Ergebnisse für deaktivierte Firewallregeln informieren Sie über unsichere Konfigurationen, die unerwünschten Traffic zulassen, sofern diese aktiviert sind.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Firewall auf.
Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel in dem Ergebnis.
Klicken Sie auf edit Bearbeiten.
Löschen Sie unter Quell-IP-Bereiche den Wert
0.0.0.0/0
.Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die sich mit der Instanz verbinden sollen.
Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
Klicken Sie auf Speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denOpen DNS port
Kategoriename in der API: OPEN_DNS_PORT
Firewallregeln, die zulassen, dass beliebige IP-Adressen eine Verbindung zu DNS-Ports herstellen, können Ihre DNS-Dienste für Angreifer verfügbar machen. Weitere Informationen finden Sie unter VPC-Firewallregeln - Übersicht.
Die DNS-Dienstports sind:
TCP - 53
UDP - 53
Dieses Ergebnis wird für anfällige Firewallregeln generiert, auch wenn Sie sie absichtlich deaktivieren. Aktive Ergebnisse für deaktivierte Firewallregeln informieren Sie über unsichere Konfigurationen, die unerwünschten Traffic zulassen, sofern diese aktiviert sind.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Firewall auf.
Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel in dem Ergebnis.
Klicken Sie auf edit Bearbeiten.
Löschen Sie unter Quell-IP-Bereiche den Wert
0.0.0.0/0
.Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die sich mit der Instanz verbinden sollen.
Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
Klicken Sie auf Speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denOpen Elasticsearch port
Kategoriename in der API: OPEN_ELASTICSEARCH_PORT
Firewallregeln, die zulassen, dass beliebige IP-Adressen eine Verbindung mit Elasticsearch-Ports herstellen, können Ihre Elasticsearch-Dienste für Angreifer verfügbar machen. Weitere Informationen finden Sie unter VPC-Firewallregeln - Übericht.
Die Ports für den Elasticsearch-Dienst sind:
TCP - 9200, 9300
Dieses Ergebnis wird für anfällige Firewallregeln generiert, auch wenn Sie sie absichtlich deaktivieren. Aktive Ergebnisse für deaktivierte Firewallregeln informieren Sie über unsichere Konfigurationen, die unerwünschten Traffic zulassen, sofern diese aktiviert sind.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Firewall auf.
Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel in dem Ergebnis.
Klicken Sie auf edit Bearbeiten.
Löschen Sie unter Quell-IP-Bereiche den Wert
0.0.0.0/0
.Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die sich mit der Instanz verbinden sollen.
Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
Klicken Sie auf Speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denOpen firewall
Kategoriename in der API: OPEN_FIREWALL
Firewallregeln, die Verbindungen von allen IP-Adressen, z. B. 0.0.0.0/0
, oder von allen Ports zulassen, können Ressourcen unnötigerweise Angriffen aus unbeabsichtigten Quellen aussetzen. Diese Regeln sollten entfernt oder ausdrücklich auf die vorgesehenen Quell-IP-Bereiche oder -Ports beschränkt werden. Beispielsweise könnten Sie bei öffentlichen Anwendungen die zulässigen Ports auf diejenigen beschränken, die für die Anwendung erforderlich sind, z. B. 80 und 443. Wenn Ihre Anwendung Verbindungen von allen IP-Adressen oder Ports zulassen muss, sollten Sie das Asset auf eine Zulassungsliste setzen. Weitere Informationen finden Sie unter Firewallregeln aktualisieren.
Dieses Ergebnis wird für anfällige Firewallregeln generiert, auch wenn Sie sie absichtlich deaktivieren. Aktive Ergebnisse für deaktivierte Firewallregeln informieren Sie über unsichere Konfigurationen, die unerwünschten Traffic zulassen, sofern diese aktiviert sind.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Firewallregeln auf.
Klicken Sie auf die Firewallregel, die im Security Health Analytics-Ergebnis aufgeführt ist, und klicken Sie dann auf edit Bearbeiten.
Bearbeiten Sie unter Quell-IP-Bereiche die IP-Werte, um den Bereich der zulässigen IP-Adressen einzuschränken.
Wählen Sie unter Protokolle und Ports die Option Angegebene Protokolle und Ports und dann die zulässigen Protokolle aus.
Klicken Sie auf Speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denOpen FTP port
Kategoriename in der API: OPEN_FTP_PORT
Firewallregeln, die zulassen, dass beliebige IP-Adressen eine Verbindung mit FTP-Ports herstellen, können Ihre FTP-Dienste für Angreifer verfügbar machen. Weitere Informationen finden Sie unter VPC-Firewallregeln - Übersicht.
Die FTP-Dienstports sind:
TCP - 21
Dieses Ergebnis wird für anfällige Firewallregeln generiert, auch wenn Sie sie absichtlich deaktivieren. Aktive Ergebnisse für deaktivierte Firewallregeln informieren Sie über unsichere Konfigurationen, die unerwünschten Traffic zulassen, sofern diese aktiviert sind.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Firewall auf.
Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel in dem Ergebnis.
Klicken Sie auf edit Bearbeiten.
Löschen Sie unter Quell-IP-Bereiche den Wert
0.0.0.0/0
.Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die sich mit der Instanz verbinden sollen.
Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
Klicken Sie auf Speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denOpen group IAM member
Kategoriename in der API: OPEN_GROUP_IAM_MEMBER
Ein oder mehrere Hauptkonten, die Zugriff auf eine Organisation, ein Projekt oder einen Ordner haben, sind Google Groups-Konten, die ohne Genehmigung verknüpft werden können.
Google Cloud-Kunden können Google Groups verwenden, um Rollen und Berechtigungen für Mitglieder in ihren Organisationen zu verwalten oder Zugriffsrichtlinien auf Sammlungen von Nutzern anzuwenden. Administratoren können Google Groups Rollen und Berechtigungen zuweisen und Mitglieder dann bestimmten Gruppen hinzufügen, statt Rollen direkt an Mitglieder zu erteilen. Gruppenmitglieder übernehmen alle Rollen und Berechtigungen einer Gruppe, wodurch sie auf bestimmte Ressourcen und Dienste zugreifen können.
Wenn ein offenes Google Groups-Konto als Hauptkonto in einer IAM-Bindung verwendet wird, kann jeder die zugehörige Rolle übernehmen, indem er der Gruppe direkt oder indirekt (über eine Untergruppe) beitritt. Wir empfehlen, die Rollen der offenen Gruppen zu widerrufen oder den Zugriff auf diese Gruppen einzuschränken.
Führen Sie eines der folgenden Verfahren aus, um dieses Ergebnis zu korrigieren.
Gruppe aus IAM-Richtlinie entfernen
Rufen Sie in der Google Cloud Console die IAM-Seite auf.
Wählen Sie bei Bedarf das Projekt, den Ordner oder die Organisation im Ergebnis aus.
Widerrufen Sie die Rolle für jede offene Gruppe, die im Ergebnis angegeben ist.
Zugriff auf offene Gruppen einschränken
- Melden Sie sich in Google Groups an.
- Aktualisieren Sie die Einstellungen jeder offenen Gruppe und ihrer Untergruppen, um anzugeben, wer der Gruppe beitreten kann und wer sie genehmigen muss.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denOpen HTTP port
Kategoriename in der API: OPEN_HTTP_PORT
Firewallregeln, die zulassen, dass beliebige IP-Adressen eine Verbindung mit HTTP-Ports herstellen, können Ihre HTTP-Dienste für Angreifer verfügbar machen. Weitere Informationen finden Sie unter VPC-Firewallregeln - Übersicht.
Die HTTP-Dienstports sind:
TCP - 80
Dieses Ergebnis wird für anfällige Firewallregeln generiert, auch wenn Sie sie absichtlich deaktivieren. Aktive Ergebnisse für deaktivierte Firewallregeln informieren Sie über unsichere Konfigurationen, die unerwünschten Traffic zulassen, sofern diese aktiviert sind.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Firewall auf.
Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel in dem Ergebnis.
Klicken Sie auf edit Bearbeiten.
Löschen Sie unter Quell-IP-Bereiche den Wert
0.0.0.0/0
.Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die sich mit der Instanz verbinden sollen.
Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
Klicken Sie auf Speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denOpen LDAP port
Kategoriename in der API: OPEN_LDAP_PORT
Firewallregeln, die zulassen, dass beliebige IP-Adressen eine Verbindung zu LDAP-Ports herstellen, können Ihre LDAP-Dienste für Angreifer verfügbar machen. Weitere Informationen finden Sie unter VPC-Firewallregeln - Übersicht.
Die LDAP-Dienstports sind:
TCP - 389, 636
UDP - 389
Dieses Ergebnis wird für anfällige Firewallregeln generiert, auch wenn Sie sie absichtlich deaktivieren. Aktive Ergebnisse für deaktivierte Firewallregeln informieren Sie über unsichere Konfigurationen, die unerwünschten Traffic zulassen, sofern diese aktiviert sind.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Firewall auf.
Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel in dem Ergebnis.
Klicken Sie auf edit Bearbeiten.
Löschen Sie unter Quell-IP-Bereiche den Wert
0.0.0.0/0
.Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die sich mit der Instanz verbinden sollen.
Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
Klicken Sie auf Speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denOpen Memcached port
Kategoriename in der API: OPEN_MEMCACHED_PORT
Firewallregeln, die zulassen, dass beliebige IP-Adressen eine Verbindung mit Memcached-Ports herstellen, können Ihre Memcached-Dienste für Angreifer verfügbar machen. Weitere Informationen finden Sie unter VPC-Firewallregeln - Übericht.
Die Memcached-Dienst-Ports sind:
TCP - 11211, 11214, 11215
UDP - 11211, 11214, 11215
Dieses Ergebnis wird für anfällige Firewallregeln generiert, auch wenn Sie sie absichtlich deaktivieren. Aktive Ergebnisse für deaktivierte Firewallregeln informieren Sie über unsichere Konfigurationen, die unerwünschten Traffic zulassen, sofern diese aktiviert sind.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Firewall auf.
Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel in dem Ergebnis.
Klicken Sie auf edit Bearbeiten.
Löschen Sie unter Quell-IP-Bereiche den Wert
0.0.0.0/0
.Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die sich mit der Instanz verbinden sollen.
Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
Klicken Sie auf Speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denOpen MongoDB port
Kategoriename in der API: OPEN_MONGODB_PORT
Firewallregeln, die zulassen, dass beliebige IP-Adressen eine Verbindung mit MongoDB-Ports herstellen, können Ihre MongoDB-Dienste für Angreifer verfügbar machen. Weitere Informationen finden Sie unter VPC-Firewallregeln - Übericht.
Die MongoDB-Dienstports sind:
TCP - 27017, 27018, 27019
Dieses Ergebnis wird für anfällige Firewallregeln generiert, auch wenn Sie sie absichtlich deaktivieren. Aktive Ergebnisse für deaktivierte Firewallregeln informieren Sie über unsichere Konfigurationen, die unerwünschten Traffic zulassen, sofern diese aktiviert sind.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Firewall auf.
Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel in dem Ergebnis.
Klicken Sie auf edit Bearbeiten.
Löschen Sie unter Quell-IP-Bereiche den Wert
0.0.0.0/0
.Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die sich mit der Instanz verbinden sollen.
Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
Klicken Sie auf Speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denOpen MySQL port
Kategoriename in der API: OPEN_MYSQL_PORT
Firewallregeln, die zulassen, dass beliebige IP-Adressen eine Verbindung zu MySQL-Ports herstellen, können Ihre MySQL-Dienste für Angreifer verfügbar machen. Weitere Informationen finden Sie unter VPC-Firewallregeln - Übersicht.
Die MySQL-Dienstports sind:
TCP - 3306
Dieses Ergebnis wird für anfällige Firewallregeln generiert, auch wenn Sie sie absichtlich deaktivieren. Aktive Ergebnisse für deaktivierte Firewallregeln informieren Sie über unsichere Konfigurationen, die unerwünschten Traffic zulassen, sofern diese aktiviert sind.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Firewall auf.
Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel in dem Ergebnis.
Klicken Sie auf edit Bearbeiten.
Löschen Sie unter Quell-IP-Bereiche den Wert
0.0.0.0/0
.Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die sich mit der Instanz verbinden sollen.
Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
Klicken Sie auf Speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denOpen NetBIOS port
Kategoriename in der API: `OPEN_NETBIOS_PORT
Firewallregeln, die zulassen, dass beliebige IP-Adressen eine Verbindung zu NetBIOS-Ports herstellen, können Ihre NetBIOS-Dienste für Angreifer verfügbar machen. Weitere Informationen finden Sie unter VPC-Firewallregeln - Übericht.
Die NetBIOS-Dienstports sind:
TCP - 137, 138, 139
UDP - 137, 138, 139
Dieses Ergebnis wird für anfällige Firewallregeln generiert, auch wenn Sie sie absichtlich deaktivieren. Aktive Ergebnisse für deaktivierte Firewallregeln informieren Sie über unsichere Konfigurationen, die unerwünschten Traffic zulassen, sofern diese aktiviert sind.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Firewall auf.
Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel in dem Ergebnis.
Klicken Sie auf edit Bearbeiten.
Löschen Sie unter Quell-IP-Bereiche den Wert
0.0.0.0/0
.Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die sich mit der Instanz verbinden sollen.
Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
Klicken Sie auf Speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denOpen OracleDB port
Kategoriename in der API: OPEN_ORACLEDB_PORT
Firewallregeln, die zulassen, dass beliebige IP-Adressen eine Verbindung zu OracleDB-Ports herstellen, können Ihre OracleDB-Dienste für Angreifer verfügbar machen. Weitere Informationen finden Sie unter VPC-Firewallregeln - Übericht.
Die OracleDB-Dienstports sind:
TCP - 1521, 2483, 2484
UDP - 2483, 2484
Dieses Ergebnis wird für anfällige Firewallregeln generiert, auch wenn Sie sie absichtlich deaktivieren. Aktive Ergebnisse für deaktivierte Firewallregeln informieren Sie über unsichere Konfigurationen, die unerwünschten Traffic zulassen, sofern diese aktiviert sind.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Firewall auf.
Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel in dem Ergebnis.
Klicken Sie auf edit Bearbeiten.
Löschen Sie unter Quell-IP-Bereiche den Wert
0.0.0.0/0
.Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die sich mit der Instanz verbinden sollen.
Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
Klicken Sie auf Speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denOpen POP3 port
Kategoriename in der API: OPEN_POP3_PORT
Firewallregeln, die zulassen, dass beliebige IP-Adressen eine Verbindung zu POP3-Ports herstellen, können Ihre POP3-Dienste für Angreifer verfügbar machen. Weitere Informationen finden Sie unter VPC-Firewallregeln - Übersicht.
Die POP3-Dienstports sind:
TCP - 110
Dieses Ergebnis wird für anfällige Firewallregeln generiert, auch wenn Sie sie absichtlich deaktivieren. Aktive Ergebnisse für deaktivierte Firewallregeln informieren Sie über unsichere Konfigurationen, die unerwünschten Traffic zulassen, sofern diese aktiviert sind.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Firewall auf.
Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel in dem Ergebnis.
Klicken Sie auf edit Bearbeiten.
Löschen Sie unter Quell-IP-Bereiche den Wert
0.0.0.0/0
.Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die sich mit der Instanz verbinden sollen.
Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
Klicken Sie auf Speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denOpen PostgreSQL port
Kategoriename in der API: OPEN_POSTGRESQL_PORT
Firewallregeln, die zulassen, dass beliebige IP-Adressen eine Verbindung mit PostgreSQL-Ports herstellen, können Ihre PostgreSQL-Dienste für Angreifer verfügbar machen. Weitere Informationen finden Sie unter VPC-Firewallregeln - Übericht.
Die PostgreSQL-Dienstports sind:
TCP - 5432
UDP - 5432
Dieses Ergebnis wird für anfällige Firewallregeln generiert, auch wenn Sie sie absichtlich deaktivieren. Aktive Ergebnisse für deaktivierte Firewallregeln informieren Sie über unsichere Konfigurationen, die unerwünschten Traffic zulassen, sofern diese aktiviert sind.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Firewall auf.
Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel in dem Ergebnis.
Klicken Sie auf edit Bearbeiten.
Löschen Sie unter Quell-IP-Bereiche den Wert
0.0.0.0/0
.Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die sich mit der Instanz verbinden sollen.
Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
Klicken Sie auf Speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denOpen RDP port
Kategoriename in der API: OPEN_RDP_PORT
Firewallregeln, die zulassen, dass beliebige IP-Adressen eine Verbindung mit RDP-Ports herstellen, können Ihre RDP-Dienste für Angreifer verfügbar machen. Weitere Informationen finden Sie unter VPC-Firewallregeln - Übersicht.
Die RDP-Dienstports sind:
TCP - 3389
UDP - 3389
Dieses Ergebnis wird für anfällige Firewallregeln generiert, auch wenn Sie sie absichtlich deaktivieren. Aktive Ergebnisse für deaktivierte Firewallregeln informieren Sie über unsichere Konfigurationen, die unerwünschten Traffic zulassen, sofern diese aktiviert sind.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Firewall auf.
Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel in dem Ergebnis.
Klicken Sie auf edit Bearbeiten.
Löschen Sie unter Quell-IP-Bereiche den Wert
0.0.0.0/0
.Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die sich mit der Instanz verbinden sollen.
Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
Klicken Sie auf Speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denOpen Redis port
Kategoriename in der API: OPEN_REDIS_PORT
Firewallregeln, die zulassen, dass beliebige IP-Adressen eine Verbindung zu Redis-Ports herstellen, können Ihre Redis-Dienste für Angreifer verfügbar machen. Weitere Informationen finden Sie unter VPC-Firewallregeln - Übersicht.
Die Redis-Dienstports sind:
TCP - 6379
Dieses Ergebnis wird für anfällige Firewallregeln generiert, auch wenn Sie sie absichtlich deaktivieren. Aktive Ergebnisse für deaktivierte Firewallregeln informieren Sie über unsichere Konfigurationen, die unerwünschten Traffic zulassen, sofern diese aktiviert sind.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Firewall auf.
Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel in dem Ergebnis.
Klicken Sie auf edit Bearbeiten.
Löschen Sie unter Quell-IP-Bereiche den Wert
0.0.0.0/0
.Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die sich mit der Instanz verbinden sollen.
Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
Klicken Sie auf Speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denOpen SMTP port
Kategoriename in der API: OPEN_SMTP_PORT
Firewallregeln, die zulassen, dass beliebige IP-Adressen eine Verbindung mit SMTP-Ports herstellen, können Ihre SMTP-Dienste für Angreifer verfügbar machen. Weitere Informationen finden Sie unter VPC-Firewallregeln - Übersicht.
Die SMTP-Dienstports sind:
TCP - 25
Dieses Ergebnis wird für anfällige Firewallregeln generiert, auch wenn Sie sie absichtlich deaktivieren. Aktive Ergebnisse für deaktivierte Firewallregeln informieren Sie über unsichere Konfigurationen, die unerwünschten Traffic zulassen, sofern diese aktiviert sind.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Firewall auf.
Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel in dem Ergebnis.
Klicken Sie auf edit Bearbeiten.
Löschen Sie unter Quell-IP-Bereiche den Wert
0.0.0.0/0
.Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die sich mit der Instanz verbinden sollen.
Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
Klicken Sie auf Speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denOpen SSH port
Kategoriename in der API: OPEN_SSH_PORT
Firewallregeln, die zulassen, dass beliebige IP-Adressen eine Verbindung zu SSH-Ports herstellen, können Ihre SSH-Dienste für Angreifer verfügbar machen. Weitere Informationen finden Sie unter VPC-Firewallregeln - Übersicht.
Die SSH-Dienstports sind:
SCTP - 22
TCP - 22
Dieses Ergebnis wird für anfällige Firewallregeln generiert, auch wenn Sie sie absichtlich deaktivieren. Aktive Ergebnisse für deaktivierte Firewallregeln informieren Sie über unsichere Konfigurationen, die unerwünschten Traffic zulassen, sofern diese aktiviert sind.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Firewall auf.
Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel in dem Ergebnis.
Klicken Sie auf edit Bearbeiten.
Löschen Sie unter Quell-IP-Bereiche den Wert
0.0.0.0/0
.Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die sich mit der Instanz verbinden sollen.
Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
Klicken Sie auf Speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denOpen Telnet port
Kategoriename in der API: OPEN_TELNET_PORT
Firewallregeln, die zulassen, dass beliebige IP-Adressen eine Verbindung zu Telnet-Ports herstellen, können Ihre Telnet-Dienste für Angreifer verfügbar machen. Weitere Informationen finden Sie unter VPC-Firewallregeln - Übersicht.
Die Ports des Telnet-Dienstes sind:
TCP - 23
Dieses Ergebnis wird für anfällige Firewallregeln generiert, auch wenn Sie sie absichtlich deaktivieren. Aktive Ergebnisse für deaktivierte Firewallregeln informieren Sie über unsichere Konfigurationen, die unerwünschten Traffic zulassen, sofern diese aktiviert sind.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Firewall auf.
Klicken Sie in der Liste der Firewallregeln auf den Namen der Firewallregel in dem Ergebnis.
Klicken Sie auf edit Bearbeiten.
Löschen Sie unter Quell-IP-Bereiche den Wert
0.0.0.0/0
.Fügen Sie bestimmte IP-Adressen oder IP-Bereiche hinzu, die sich mit der Instanz verbinden sollen.
Fügen Sie bestimmte Protokolle und Ports hinzu, die für die Instanz geöffnet werden sollen.
Klicken Sie auf Speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denOrg policy Confidential VM policy
Kategoriename in der API: ORG_POLICY_CONFIDENTIAL_VM_POLICY
Eine Compute Engine-Ressource verstößt gegen die Organisationsrichtlinie constraints/compute.restrictNonConfidentialComputing
. Weitere Informationen zu dieser Einschränkung der Organisationsrichtlinie finden Sie unter Einschränkungen für Organisationsrichtlinien erzwingen.
In Ihrer Organisation muss für diese VM der Confidential VM-Dienst aktiviert sein. VMs, für die dieser Dienst nicht aktiviert ist, verwenden keine Laufzeitarbeitsspeicher-Verschlüsselung, wodurch sie Angriffen auf den Laufzeitarbeitsspeicher ausgesetzt sind.
Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.
Klicken Sie in der Liste der Instanzen auf den Namen der Instanz im Ergebnis.
Wenn der Confidential VM-Dienst für die VM nicht erforderlich ist, verschieben Sie ihn in einen neuen Ordner oder ein neues Projekt.
Wenn für die VM Confidential VM erforderlich ist, klicken Sie auf delete Löschen.
Informationen zum Erstellen einer neuen Instanz mit aktivierter Confidential VM finden Sie unter Kurzanleitung: Confidential VM-Instanz erstellen.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denOrg policy location restriction
Kategoriename in der API: ORG_POLICY_LOCATION_RESTRICTION
Mit der Einschränkung gcp.resourceLocations
der Organisationsrichtlinie können Sie das Erstellen neuer Ressourcen auf von Ihnen ausgewählte Cloud-Regionen einschränken.
For more information, see Restricting resource locations.
Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Der ORG_POLICY_LOCATION_RESTRICTION
-Detektor deckt viele Ressourcentypen ab und die Vorgehensweise zur Fehlerbehebung unterscheidet sich je nach Ressource. Der allgemeine Ansatz zur Behebung von Standortverstößen umfasst Folgendes:
- Kopieren, verschieben oder sichern Sie die Ressource oder die Daten außerhalb der Region in eine Ressource, die sich innerhalb der Region befindet. Eine Anleitung zum Verschieben von Ressourcen finden Sie in der Dokumentation zu den einzelnen Diensten.
- Löschen Sie die ursprüngliche Out-of-Region-Ressource oder ihre Daten.
Dieser Ansatz ist nicht für alle Ressourcentypen möglich. Hinweise finden Sie in den angepassten Empfehlungen des Ergebnisses.
Weitere Überlegungen
Beachten Sie Folgendes, wenn Sie dieses Ergebnis beheben.
Verwaltete Ressourcen
Die Lebenszyklen von Ressourcen werden manchmal von anderen Ressourcen verwaltet und gesteuert. Eine verwaltete Compute Engine-Instanzgruppe erstellt und löscht beispielsweise Compute Engine-Instanzen gemäß der Autoscaling-Richtlinie der Instanzgruppe. Wenn verwaltete und verwaltete Ressourcen der Durchsetzung des Standorts unterliegen, werden beide als Verstoß gegen die Organisationsrichtlinie gekennzeichnet. Die Behebung von Ergebnissen für verwaltete Ressourcen sollte in der Verwaltung der Ressource erfolgen, um die Betriebsstabilität zu gewährleisten.
Verwendete Ressourcen
Bestimmte Ressourcen werden von anderen Ressourcen verwendet. Beispielsweise wird ein Compute Engine-Laufwerk, das an eine laufende Compute Engine-Instanz angehängt ist, von der Instanz als genutzt betrachtet. Wenn die verwendete Ressource gegen die Organisationsrichtlinie für Standorte verstößt, müssen Sie dafür sorgen, dass die Ressource nicht verwendet wird, bevor sie den Standortverstoß beheben.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denOS login disabled
Kategoriename in der API: OS_LOGIN_DISABLED
OS Login ist für diese Compute Engine-Instanz deaktiviert.
OS Login aktiviert die zentralisierte Verwaltung von SSH-Schlüsseln mit IAM und deaktiviert die metadatenbasierte SSH-Schlüsselkonfiguration aller Instanzen eines Projekts. Lesen Sie die Informationen zum Einrichten und Konfigurieren von OS Login.
Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Metadaten auf.
Klicken Sie zuerst auf Bearbeiten und dann auf Element hinzufügen.
Fügen Sie ein Element mit dem Schlüssel enable-oslogin und dem Wert TRUE hinzu.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denOver privileged account
Kategoriename in der API: OVER_PRIVILEGED_ACCOUNT
Ein GKE-Knoten verwendet den Compute Engine-Standarddienstknoten mit standardmäßig weitreichendem Zugriff. Er hat möglicherweise zu umfassende Berechtigungen für das Ausführen Ihres GKE-Clusters.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Folgen Sie der Anleitung im Hilfeartikel Google-Dienstkonten mit Mindestberechtigung verwenden.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denOver privileged scopes
Kategoriename in der API: OVER_PRIVILEGED_SCOPES
Ein Knotendienstkonto hat übermäßige Zugriffsbereiche.
Zugriffsbereiche sind die herkömmliche Methode, Berechtigungen für Ihre Instanz festzulegen. Um die Wahrscheinlichkeit einer Rechteausweitung bei einem Angriff zu reduzieren, sollten Sie für das Ausführen Ihres GKE-Clusters ein Dienstkonto mit minimalen Berechtigungen erstellen und verwenden.
Um dieses Ergebnis zu beheben, folgen Sie der Anleitung unter Google-Dienstkonten mit Mindestberechtigung verwenden.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denOver privileged service account user
Kategoriename in der API: OVER_PRIVILEGED_SERVICE_ACCOUNT_USER
Ein Nutzer hat die Rolle iam.serviceAccountUser
oder iam.serviceAccountTokenCreator
auf Projekt-, Ordner- oder Organisationsebene und nicht für ein bestimmtes Dienstkonto.
Wenn Sie einem Nutzer diese Rollen für ein Projekt, einen Ordner oder eine Organisation zuweisen, erhält er Zugriff auf alle vorhandenen und zukünftigen Dienstkonten mit Zugriff auf diesen Bereich. Dies kann zu einer unbeabsichtigten Rechteausweitung führen. Weitere Informationen erhalten Sie unter Dienstkontoberechtigungen.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die IAM-Seite auf.
Wählen Sie bei Bedarf das Projekt, den Ordner oder die Organisation im Ergebnis aus.
Führen Sie für jedes Hauptkonto, das
roles/iam.serviceAccountUser
oderroles/iam.serviceAccountTokenCreator
zugewiesen wird, folgende Schritte aus:- Klicken Sie auf edit Bearbeiten.
- Klicken Sie im Bereich Berechtigungen bearbeiten neben den Rollen auf delete Löschen.
- Klicken Sie auf Speichern.
Folgen Sie dieser Anleitung, um es bestimmten Nutzern zu gestatten, die Identität eines einzelnen Dienstkontos zu übernehmen. Sie müssen die Anleitung für jedes Dienstkonto ausführen, für das Sie ausgewählten Nutzern erlauben möchten, dessen Identität zu übernehmen.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denOwner not monitored
Kategoriename in der API: OWNER_NOT_MONITORED
Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Zuweisungen oder Änderungen an der Projektinhaberschaft konfiguriert.
Die Cloud IAM-Inhaberrolle hat die höchste Berechtigung für ein Projekt. Zum Schutz Ihrer Ressourcen richten Sie ein, dass Sie benachrichtigt werden, wenn neue Inhaber hinzugefügt oder entfernt werden. Weitere Informationen finden Sie in der Übersicht zu Log-basierten Messwerten.
Abhängig von der Menge der Informationen können die Cloud Monitoring-Kosten erheblich sein. Bis die Nutzung des Dienstes und die damit verbundenen Kosten zu verstehen, <ph type="x-smartling-placeholder"></ph> Kostenoptimierung für Google Cloud Observability
Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Messwert erstellen
Rufen Sie in der Google Cloud Console die Seite Logbasierte Messwerte auf.
Klicken Sie auf Messwert erstellen.
Wählen Sie unter Messwerttyp die Option Zähler aus.
Unter Details:
- Legen Sie unter Name des Logmesswerts einen Namen fest.
- Fügen Sie eine Beschreibung hinzu.
- Legen Sie Einheiten auf 1 fest.
Kopieren Sie unter Filterauswahl den folgenden Text und fügen Sie ihn in das Filter erstellen und ersetzen Sie bei Bedarf den vorhandenen Text:
(protoPayload.serviceName="cloudresourcemanager.googleapis.com") AND (ProjectOwnership OR projectOwnerInvitee) OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")
Klicken Sie auf Messwert erstellen. Sie sehen eine Bestätigung.
Benachrichtigungsrichtlinie erstellen
-
Rufen Sie in der Google Cloud Console die Seite Logbasierte Messwerte auf:
Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.
- Wählen Sie im Bereich Benutzerdefinierte Messwerte den Messwert aus, den Sie im vorherigen Abschnitt erstellt haben.
-
Klicken Sie auf Mehr
und dann auf Benachrichtigung mit dem Messwert erstellen.Das Dialogfeld Neue Bedingung wird geöffnet. Die Optionen zur Messwert- und Datentransformation sind bereits ausgefüllt.
- Klicken Sie auf Next (Weiter).
- Prüfen Sie die vorkonfigurierten Einstellungen. Sie können den Schwellenwert ändern.
- Klicken Sie auf Bedingungsname und geben Sie einen Namen für die Bedingung ein.
- Klicken Sie auf Weiter.
Klicken Sie auf Benachrichtigungskanäle: Wählen Sie im Dialogfeld einen oder mehrere Benachrichtigungskanäle aus dem Menü aus und klicken Sie dann auf OK.
Um benachrichtigt zu werden, wenn Vorfälle geöffnet und geschlossen werden, aktivieren Sie Bei Schließung des Vorfalls benachrichtigen Standardmäßig werden Benachrichtigungen nur gesendet, werden geöffnet.
- Optional: Aktualisieren Sie die Dauer bis zur automatischen Schließung von Vorfällen. Dieses Feld bestimmt, wann Monitoring Vorfälle ohne Messwertdaten schließt.
- Optional: Klicken Sie auf Dokumentation und geben Sie alle Informationen ein, die in einer Benachrichtigung angezeigt werden sollen.
- Klicken Sie auf Name der Benachrichtigung und geben Sie einen Namen für die Benachrichtigungsrichtlinie ein.
- Klicken Sie auf Richtlinie erstellen.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denPod security policy disabled
Kategoriename in der API: POD_SECURITY_POLICY_DISABLED
PodSecurityPolicy
ist auf einem GKE-Cluster deaktiviert.
Eine PodSecurityPolicy
ist eine Ressource für die Zugangssteuerung, mit der Anforderungen zur Erstellung und Aktualisierung von Pods in einem Cluster validiert werden. Cluster akzeptieren keine Pods, die die in PodSecurityPolicy
definierten Bedingungen nicht erfüllen.
Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation.
Definieren und autorisieren Sie PodSecurityPolicies
und aktivieren Sie den PodSecurityPolicy
-Controller, um dieses Ergebnis zu beheben. Eine Anleitung finden Sie unter PodSecurityPolicies
verwenden.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denPrimitive roles used
Kategoriename in der API: PRIMITIVE_ROLES_USED
Ein Nutzer hat eine der folgenden einfachen IAM-Rollen: roles/owner
, roles/editor
oder roles/viewer
. Diese Rollen sind zu weit gefasst und sollten nicht verwendet werden. Stattdessen sollten sie nur pro Projekt zugewiesen werden.
Weitere Informationen finden Sie unter Informationen zu Rollen.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite IAM-Richtlinien auf.
Verwenden Sie für jeden Nutzer, dem eine einfache Rolle zugewiesen wurde, detaillierte Rollen.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denPrivate cluster disabled
Kategoriename in der API: PRIVATE_CLUSTER_DISABLED
Auf einem GKE-Cluster ist ein privater Cluster deaktiviert.
Bei privaten Clustern können Knoten nur private IP-Adressen haben. Mit diesem Feature wird der ausgehende Internetzugriff für Knoten eingeschränkt. Ohne öffentliche IP-Adresse sind Clusterknoten nicht auffindbar und für das öffentliche Internet nicht sichtbar. Mit einem internen Load-Balancer können Sie jedoch Traffic zu diesen Knoten weiterleiten. Weitere Informationen finden Sie unter Private Cluster.
Sie können einen vorhandenen Cluster nicht privat machen. Erstellen Sie einen neuen privaten Cluster, um dieses Ergebnis zu beheben:
Rufen Sie in der Google Cloud Console die GKE-Seite Kubernetes Cluster auf.
Klicken Sie auf Cluster erstellen.
Wählen Sie im Navigationsmenü unter Cluster die Option Netzwerk aus.
Wählen Sie das Optionsfeld für Privater Cluster aus.
Klicken Sie unter Erweiterte Netzwerkoptionen das Kästchen für VPC-natives Traffic-Routing aktivieren (verwendet Alias-IP-Adresse) an.
Klicken Sie auf Erstellen.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denPrivate Google access disabled
Kategoriename in der API: PRIVATE_GOOGLE_ACCESS_DISABLED
Es gibt private Subnetze ohne Zugriff auf öffentliche Google APIs.
Mit dem privaten Google-Zugriff können VM-Instanzen mit ausschließlich internen (privaten) IP-Adressen die öffentlichen IP-Adressen von Google APIs und Diensten erreichen.
Weitere Informationen finden Sie unter Privaten Google-Zugriff konfigurieren.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.
Klicken Sie in der Liste der Netzwerke auf den Namen des Netzwerks.
Klicken Sie auf der Seite VPC-Netzwerkdetails auf den Tab Subnetze.
Klicken Sie in der Liste der Subnetze auf den Namen des Subnetzes, das dem Kubernetes-Cluster im Ergebnis zugeordnet ist.
Klicken Sie auf der Seite mit den Subnetz-Details auf Bearbeiten edit.
Wählen Sie für Privater Google-Zugriff die Option Ein aus.
Klicken Sie auf Speichern.
Informationen zum Entfernen öffentlicher (externer) IP-Adressen aus VM-Instanzen, deren nur externer Traffic zu Google APIs gehört, finden Sie unter Zuweisung einer statischen externen IP-Adresse aufheben.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denPublic bucket ACL
Kategoriename in der API: PUBLIC_BUCKET_ACL
Buckets sind öffentlich und jeder im Internet kann darauf zugreifen.
Weitere Informationen finden Sie unter Zugriffssteuerung.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Storage-Browser auf.
Wählen Sie den Bucket aus, der in den Ergebnissen von Security Health Analytics aufgeführt ist.
Klicken Sie auf der Seite Bucket-Details auf den Tab Berechtigungen.
Klicken Sie neben Anzeigen nach auf Rollen.
Suchen Sie im Feld Filter nach allUsers und allAuthenticatedUsers.
Klicken Sie auf Löschen delete, um alle IAM-Berechtigungen zu entfernen, die allUsers und allAuthenticatedUsers gewährt wurden.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denPublic Compute image
Kategoriename in der API: PUBLIC_COMPUTE_IMAGE
Ein Compute Engine-Image ist öffentlich und jeder im Internet kann darauf zugreifen. allUsers steht für alle Nutzer im Internet und allAuthenticatedUsers für alle Nutzer, die sich mit einer Google-Konto; Keiner ist auf Nutzer innerhalb Ihrer Organisation beschränkt.
Compute Engine-Images können vertrauliche Informationen wie Verschlüsselungsschlüssel oder lizenzierte Software enthalten. Solche vertraulichen Informationen sollten nicht öffentlich zugänglich sein. Wenn Sie dieses Compute-Image veröffentlichen möchten, darf es keine vertraulichen Informationen enthalten.
Weitere Informationen finden Sie unter Zugriffssteuerung - Übersicht.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Compute Engine-Images auf.
Klicken Sie auf das Kästchen neben dem Image public-image und dann auf Infofeld anzeigen.
Suchen Sie im Feld Filter nach Mitgliedern für allUsers und allAuthenticatedUsers.
Erweitern Sie die Rolle, aus der Sie Nutzer entfernen möchten.
Klicken Sie auf delete Löschen, um einen Nutzer aus dieser Rolle zu entfernen.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denPublic dataset
Kategoriename in der API: PUBLIC_DATASET
Ein BigQuery-Dataset ist öffentlich und für jeden im Internet zugänglich. Das IAM-Mitglied allUsers stellt alle Nutzer im Internet dar, allAuthenticatedUsers dagegen alle Nutzer, die bei einem Google-Dienst angemeldet sind. Beide Mitglieder sind nicht auf Nutzer innerhalb der Organisation beschränkt.
Weitere Informationen finden Sie unter Zugriff auf Datasets steuern.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie die BigQuery-Seite Explorer in der Google Cloud Console
Klicken Sie in der Liste der Datasets auf den Namen des Datasets, das durch das Ergebnis identifiziert wird. Der Bereich Dataset-Informationen wird geöffnet.
Klicken Sie oben im Bereich Dataset-Informationen auf Freigabe.
Klicken Sie im Drop-down-Menü auf Berechtigungen.
Geben Sie im Bereich Dataset-Berechtigungen allUsers und allAuthenticatedUsers ein und entfernen Sie den Zugriff für diese Hauptkonten.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denPublic IP address
Kategoriename in der API: PUBLIC_IP_ADDRESS
Eine Compute Engine-Instanz hat eine öffentliche IP-Adresse.
Vermeiden Sie es, VMs öffentliche IP-Adressen zuzuweisen, um die Angriffsfläche Ihrer Organisationen zu verringern. Beendete Instanzen werden möglicherweise dennoch mit einem öffentlichen IP-Ergebnis gekennzeichnet, z. B. wenn die Netzwerkschnittstellen so konfiguriert sind, dass beim Start eine sitzungsspezifische öffentliche IP-Adresse zugewiesen wird. Achten Sie darauf, dass die Netzwerkkonfigurationen für beendete Instanzen den externen Zugriff ausschließen.
Weitere Informationen finden Sie unter Sichere Verbindung zu VM-Instanzen herstellen.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.
Klicken Sie in der Liste der Instanzen auf das Kästchen neben dem Namen der Instanz für das Ergebnis.
Klicken Sie auf edit Bearbeiten.
Für jede Schnittstelle unter Netzwerkschnittstellen klicken Sie auf edit Bearbeiten und legen Sie die externe IP-Adresse auf Keine fest.
Klicken Sie auf Fertig und anschließend auf Speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denPublic log bucket
Kategoriename in der API: PUBLIC_LOG_BUCKET
Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.
Ein Storage-Bucket ist öffentlich und wird als Logsenke verwendet. Das bedeutet, dass jeder im Internet auf die in diesem Bucket gespeicherten Logs zugreifen kann. allUsers steht für alle Nutzer im Internet und allAuthenticatedUsers für alle Nutzer, die bei einem Google-Dienst angemeldet sind. Keiner ist auf Nutzer innerhalb Ihrer Organisation beschränkt.
Weitere Informationen finden Sie unter Zugriffssteuerung.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite des Cloud Storage-Browsers auf.
Klicken Sie in der Liste der Buckets auf den Namen des Buckets, der im Ergebnis angegeben ist.
Klicken Sie auf den Tab Berechtigungen.
Entfernen Sie allUsers und allAuthenticatedUsers aus der Liste der Hauptkonten.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denPublic SQL instance
Kategoriename in der API: PUBLIC_SQL_INSTANCE
0.0.0.0/0
wurde als zulässiges Netzwerk für die SQL-Instanz festgelegt. Das bedeutet, dass jeder IPv4-Client die Netzwerkfirewall passieren und Anmeldeversuche bei Ihrer Instanz vornehmen kann. Dies gilt auch für potenziell unerwünschte Clients. Clients benötigen weiterhin gültige Anmeldedaten, um sich erfolgreich bei Ihrer Instanz anmelden zu können.
Weitere Informationen finden Sie unter Mit autorisierten Netzwerken autorisieren.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf edit Bearbeiten.
Klicken Sie im Navigationsbereich auf Verbindungen.
Löschen Sie unter Autorisierte Netzwerke den Eintrag
0.0.0.0/0
und fügen Sie die spezifischen IP-Adressen oder IP-Bereiche hinzu, die sich mit der Instanz verbinden sollen.Klicken Sie auf Fertig und anschließend auf Speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denPubsub CMEK disabled
Kategoriename in der API: PUBSUB_CMEK_DISABLED
Ein Pub/Sub-Thema wird nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verschlüsselt.
Mit CMEK werden die Schlüssel, die Sie in Cloud KMS erstellen und verwalten, die Schlüssel umschließen, die Google zum Verschlüsseln Ihrer Daten verwendet. Dadurch haben Sie mehr Kontrolle über den Zugriff auf Ihre Daten.
Um dieses Ergebnis zu beheben, löschen Sie das vorhandene Thema und erstellen Sie ein neues:
Rufen Sie in der Google Cloud Console die Seite "Pub/Sub-Themen" auf.
Wählen Sie gegebenenfalls das Projekt aus, das das Pub/Sub-Thema enthält.
Klicken Sie das Kästchen neben dem aufgeführten Thema an und klicken Sie dann auf delete Löschen.
Informationen zum Erstellen eines neuen Pub/Sub-Themas mit aktiviertem CMEK finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden. CMEK verursacht zusätzliche Kosten im Zusammenhang mit Cloud KMS.
Veröffentlichen Sie Ergebnisse oder andere Daten im CMEK-fähigen Pub/Sub-Thema.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denRoute not monitored
Kategoriename in der API: ROUTE_NOT_MONITORED
Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an der VPC-Netzwerkroute konfiguriert.
Google Cloud-Routen sind Ziele und Hops, die den Pfad definieren, den der Netzwerktraffic von einer VM-Instanz zu einer Ziel-IP-Adresse abruft. Durch das Monitoring von Änderungen an Routentabellen können Sie dafür sorgen, dass der gesamte VPC-Traffic über einen erwarteten Pfad fließt.
Weitere Informationen finden Sie in der Übersicht zu Log-basierten Messwerten.
Abhängig von der Menge der Informationen können die Cloud Monitoring-Kosten erheblich sein. Bis die Nutzung des Dienstes und die damit verbundenen Kosten zu verstehen, <ph type="x-smartling-placeholder"></ph> Kostenoptimierung für Google Cloud Observability
Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Messwert erstellen
Rufen Sie in der Google Cloud Console die Seite Logbasierte Messwerte auf.
Klicken Sie auf Messwert erstellen.
Wählen Sie unter Messwerttyp die Option Zähler aus.
Unter Details:
- Legen Sie unter Name des Logmesswerts einen Namen fest.
- Fügen Sie eine Beschreibung hinzu.
- Legen Sie Einheiten auf 1 fest.
Kopieren Sie unter Filterauswahl den folgenden Text und fügen Sie ihn in das Filter erstellen und ersetzen Sie bei Bedarf den vorhandenen Text:
resource.type="gce_route" AND (protoPayload.methodName:"compute.routes.delete" OR protoPayload.methodName:"compute.routes.insert")
Klicken Sie auf Messwert erstellen. Sie sehen eine Bestätigung.
Benachrichtigungsrichtlinie erstellen
-
Rufen Sie in der Google Cloud Console die Seite Logbasierte Messwerte auf:
Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.
- Wählen Sie im Bereich Benutzerdefinierte Messwerte den Messwert aus, den Sie im vorherigen Abschnitt erstellt haben.
-
Klicken Sie auf Mehr
und dann auf Benachrichtigung mit dem Messwert erstellen.Das Dialogfeld Neue Bedingung wird geöffnet. Die Optionen zur Messwert- und Datentransformation sind bereits ausgefüllt.
- Klicken Sie auf Next (Weiter).
- Prüfen Sie die vorkonfigurierten Einstellungen. Sie können den Schwellenwert ändern.
- Klicken Sie auf Bedingungsname und geben Sie einen Namen für die Bedingung ein.
- Klicken Sie auf Weiter.
Klicken Sie auf Benachrichtigungskanäle: Wählen Sie im Dialogfeld einen oder mehrere Benachrichtigungskanäle aus dem Menü aus und klicken Sie dann auf OK.
Um benachrichtigt zu werden, wenn Vorfälle geöffnet und geschlossen werden, aktivieren Sie Bei Schließung des Vorfalls benachrichtigen Standardmäßig werden Benachrichtigungen nur gesendet, werden geöffnet.
- Optional: Aktualisieren Sie die Dauer bis zur automatischen Schließung von Vorfällen. Dieses Feld bestimmt, wann Monitoring Vorfälle ohne Messwertdaten schließt.
- Optional: Klicken Sie auf Dokumentation und geben Sie alle Informationen ein, die in einer Benachrichtigung angezeigt werden sollen.
- Klicken Sie auf Name der Benachrichtigung und geben Sie einen Namen für die Benachrichtigungsrichtlinie ein.
- Klicken Sie auf Richtlinie erstellen.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denRedis role used on org
Kategoriename in der API: REDIS_ROLE_USED_ON_ORG
Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.
Eine Redis-IAM-Rolle wird auf der Organisations- oder Ordnerebene zugewiesen.
Die folgenden Redis-IAM-Rollen sollten nur pro Projekt und nicht auf Organisations- oder Ordnerebene zugewiesen werden:
roles/redis.admin
roles/redis.viewer
roles/redis.editor
Weitere Informationen finden Sie unter Zugriffssteuerung und Berechtigungen.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite IAM-Richtlinien auf.
Entfernen Sie die im Ergebnis angegebenen Redis-IAM-Rollen und fügen Sie sie stattdessen den einzelnen Projekten hinzu.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denRelease channel disabled
Kategoriename in der API: RELEASE_CHANNEL_DISABLED
Ein GKE-Cluster ist nicht auf einer Release-Version abonniert.
Abonnieren Sie eine Release-Version, um Versions-Upgrades für den GKE-Cluster zu automatisieren. Die Features reduzieren auch die Komplexität der Versionsverwaltung, je nachdem, wie viele Features und welche Stabilität erforderlich sind. Weitere Informationen finden Sie unter Release-Versionen.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die GKE-Seite Kubernetes Cluster auf.
Klicken Sie im Abschnitt Clustergrundlagen in der Zeile Release-Version auf das Bearbeitungssymbol (edit).
Wenn die Clusterkonfiguration kürzlich geändert wurde, ist die Schaltfläche "Bearbeiten" möglicherweise deaktiviert. Wenn Sie die Clustereinstellungen nicht bearbeiten können, warten Sie ein paar Minuten und versuchen Sie es dann noch einmal.
Wählen Sie im Dialogfeld Release-Version und dann die Release-Version aus, die Sie abonnieren möchten.
Wenn die Version der Steuerungsebene Ihres Clusters nicht auf eine Release-Version aktualisiert werden kann, wird dieser Kanal möglicherweise als Option deaktiviert.
Klicken Sie auf Änderungen speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denRSASHA1 for signing
Kategoriename in der API: RSASHA1_FOR_SIGNING
RSASHA1 wird für die Schlüsselsignierung in Cloud DNS-Zonen verwendet. Der zur Schlüsselsignatur verwendete Algorithmus sollte nicht schwach sein.
Um dieses Ergebnis zu beheben, ersetzen Sie den Algorithmus durch einen empfohlenen. Folgen Sie dazu der Anleitung Erweiterte Signaturoptionen verwenden.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denService account key not rotated
Kategoriename in der API: SERVICE_ACCOUNT_KEY_NOT_ROTATED
Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.
Ein vom Nutzer verwalteter Dienstkontoschlüssel wurde seit mehr als 90 Tagen nicht mehr rotiert.
Im Allgemeinen sollten vom Nutzer verwaltete Dienstkontoschlüssel mindestens alle 90 Tage rotiert werden, um zu gewährleisten, dass auf Daten nicht mit einem alten Schlüssel zugegriffen werden kann, der möglicherweise verloren gegangen ist oder manipuliert oder gestohlen wurde. Weitere Informationen finden Sie unter Dienstkontoschlüssel rotieren, um Sicherheitsrisiken durch gehackte Schlüssel zu reduzieren.
Wenn Sie das öffentliche/private Schlüsselpaar selbst generiert, den privaten Schlüssel in einem Hardware-Sicherheitsmodul (HSM) gespeichert und den öffentlichen Schlüssel in Google hochgeladen haben, müssen Sie den Schlüssel möglicherweise nicht alle 90 Tage rotieren. Sie können den Schlüssel jedoch rotieren, wenn Sie der Meinung sind, dass er möglicherweise manipuliert wurde.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Dienstkonten auf.
Wählen Sie bei Bedarf das im Ergebnis angegebene Projekt aus.
Suchen Sie in der Liste der Dienstkonten nach dem Dienstkonto, das in den Ergebnissen aufgeführt ist, und klicken Sie auf delete Löschen. Erwägen Sie vor dem Fortfahren, wie sich das Löschen eines Dienstkontos auf Ihre Produktionsressourcen auswirken könnte.
Erstellen Sie einen neuen Dienstkontoschlüssel, um den gelöschten Schlüssel zu ersetzen. Weitere Informationen finden Sie unter Dienstkontoschlüssel erstellen.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denService account role separation
Kategoriename in der API: SERVICE_ACCOUNT_ROLE_SEPARATION
Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.
Mindestens einem Hauptkonto Ihrer Organisation wurden mehrere Dienstkontoberechtigungen zugewiesen. Ein Konto sollte nicht gleichzeitig Dienstkontoadministrator und andere Dienstkontoberechtigungen haben. Weitere Informationen zu Dienstkonten und den dafür verfügbaren Rollen finden Sie unter Dienstkonten.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite IAM auf.
Gehen Sie für jedes Hauptkonto, das in dem Ergebnis aufgeführt ist, so vor:
- Prüfen Sie in der Spalte Übernahme, ob die Rolle von einem Ordner oder einer Organisationsressource übernommen wurde. Wenn die Spalte einen Link zu einer übergeordneten Ressource enthält, klicken Sie darauf, um zur IAM-Seite der übergeordneten Ressource zu gelangen.
- Klicken Sie neben einem Hauptkonto auf Bearbeiten edit.
- Klicken Sie zum Entfernen von Berechtigungen neben Dienstkontoadministrator auf Löschen delete. Wenn Sie alle Dienstkontoberechtigungen entfernen möchten, klicken Sie neben allen anderen Berechtigungen auf Löschen.
Klicken Sie auf Speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denShielded VM disabled
Kategoriename in der API: SHIELDED_VM_DISABLED
Shielded VM ist auf dieser Compute Engine-Instanz deaktiviert.
Shielded VMs sind virtuelle Maschinen (VMs) in Google Cloud, die durch eine Reihe von Sicherheitsfunktionen gegen Rootkits und Bootkits geschützt werden. Shielded VMs sorgen dafür, dass der Bootloader und die Firmware signiert und verifiziert werden. Weitere Informationen zu Shielded VM.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.
Wählen Sie die Instanz aus, die sich auf das Ergebnis von Security Health Analytics bezieht.
Klicken Sie auf der Seite Instanzdetails, die geladen wird, auf
Beenden.Wenn die Instanz nicht mehr ausgeführt wird, klicken Sie auf editBearbeiten.
Verwenden Sie im Bereich Shielded VM die Umschalter vTPM aktivieren und Integrity Monitoring aktivieren, um Shielded VM zu aktivieren.
Wenn Sie keine benutzerdefinierten oder nicht signierten Treiber verwenden, können Sie optional auch Secure Boot aktivieren.
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzdetails angezeigt.
Klicken Sie nun auf
Starten, um die Instanz zu starten.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denSQL CMEK disabled
Kategoriename in der API: SQL_CMEK_DISABLED
Eine SQL-Datenbankinstanz verwendet keine vom Kunden verwalteten Verschlüsselungsschlüssel (CMEK).
Mit CMEK werden die Schlüssel, die Sie in Cloud KMS erstellen und verwalten, die Schlüssel umschließen, die Google zum Verschlüsseln Ihrer Daten verwendet. Dadurch haben Sie mehr Kontrolle über den Zugriff auf Ihre Daten. Weitere Informationen finden Sie in der CMEK-Übersicht für Ihr Produkt: Cloud SQL for MySQL, Cloud SQL for PostgreSQL oder Cloud SQL. für SQL Server. CMEK verursacht zusätzliche Kosten im Zusammenhang mit Cloud KMS.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf delete Löschen.
Um eine neue Instanz mit aktiviertem CMEK zu erstellen, folgen Sie der Anleitung zum Konfigurieren von CMEK für Ihr Produkt:
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denSQL contained database authentication
Kategoriename in der API: SQL_CONTAINED_DATABASE_AUTHENTICATION
Bei einer Datenbankinstanz von Cloud SQL for SQL Server ist das Datenbank-Flag enthaltene Datenbankauthentifizierung nicht auf Aus gesetzt.
Das Flag contained database authentication steuert, ob Sie eigenständige Datenbanken im Datenbankmodul erstellen oder an dieses anhängen können. Eine eigenständige Datenbank enthält alle Datenbankeinstellungen und -metadaten, die zum Definieren der Datenbank erforderlich sind. Außerdem hat die Datenbank keine Konfigurationsabhängigkeiten mit der Instanz des Datenbankmoduls, in der sie installiert ist.
Die Aktivierung dieses Flags wird aus folgenden Gründen nicht empfohlen:
- Nutzer können ohne Authentifizierung auf Datenbank-Engine-Ebene eine Verbindung zur Datenbank herstellen.
- Wenn die Datenbank vom Datenbankmodul isoliert wird, kann sie in eine andere Instanz von SQL Server verschoben werden.
Eigenständige Datenbanken sind konkreten Bedrohungen ausgesetzt, die von Administratoren des SQL Server-Datenbankmoduls erkannt und minimiert werden sollten. Die meisten Bedrohungen sind auf den Authentifizierungsprozess USER WITH PASSWORD zurückzuführen, der die Authentifizierungsgrenze von der Ebene des Datenbankmoduls auf die Ebene der Datenbank verschiebt.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf edit Bearbeiten.
Legen Sie im Bereich Datenbank-Flags für das Datenbank-Flag contained database authentication den Wert Aus fest.
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denSQL cross DB ownership chaining
Kategoriename in der API: SQL_CROSS_DB_OWNERSHIP_CHAINING
Bei einer Cloud SQL for SQL Server-Datenbankinstanz ist das Datenbank-Flag Cross-DB-Inhaberverkettung nicht auf Aus gesetzt.
Mit dem Flag cross db ownership chaining können Sie die datenbankübergreifende Verkettung der Eigentümerschaft auf Datenbankebene steuern oder die datenbankübergreifende Verkettung der Eigentümerschaft für alle Datenbankanweisungen zulassen.
Die Aktivierung dieses Flags wird nicht empfohlen, es sei denn, alle von der SQL Server-Instanz gehosteten Datenbanken nehmen an der datenbankübergreifenden Verkettung der Eigentümerschaft teil und Sie sind sich der Auswirkungen dieser Einstellung auf die Sicherheit bewusst.
Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf edit Bearbeiten.
Legen Sie im Bereich Datenbank-Flags für das Datenbank-Flag cross db ownership chaining den Wert Aus fest.
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denSQL external scripts enabled
Kategoriename in der API: SQL_EXTERNAL_SCRIPTS_ENABLED
Bei einer Datenbankinstanz von Cloud SQL for SQL Server ist das Datenbank-Flag external scripts enabled nicht auf Aus gesetzt.
Wenn diese Einstellung aktiviert ist, wird die Ausführung von Skripts mit bestimmten Remote-Spracherweiterungen aktiviert. Da dieses Feature die Sicherheit des Systems beeinträchtigen kann, empfehlen wir, es zu deaktivieren.
Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf edit Bearbeiten.
Legen Sie im Bereich Datenbank-Flags das Datenbank-Flag external scripts enabled auf den Wert Aus fest.
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denSQL instance not monitored
Kategoriename in der API: SQL_INSTANCE_NOT_MONITORED
Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.
Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an der Konfiguration von Cloud SQL-Instanzen konfiguriert.
Eine fehlerhafte Konfiguration der SQL-Instanzoptionen kann zu Sicherheitsrisiken führen. Das Deaktivieren der automatischen Sicherung und der Hochverfügbarkeitsoptionen kann die Geschäftskontinuität beeinträchtigen und das Einschränken autorisierter Netzwerke kann die Präsenz in nicht vertrauenswürdigen Netzwerken erhöhen. Wenn Sie Änderungen an der Konfiguration der SQL-Instanz überwachen, können Sie weniger Zeit für die Erkennung und Korrektur von Fehlkonfigurationen aufwenden.
Weitere Informationen finden Sie in der Übersicht zu Logbasierten Messwerten.
Abhängig von der Menge der Informationen können die Cloud Monitoring-Kosten erheblich sein. Bis die Nutzung des Dienstes und die damit verbundenen Kosten zu verstehen, <ph type="x-smartling-placeholder"></ph> Kostenoptimierung für Google Cloud Observability
Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Messwert erstellen
Rufen Sie in der Google Cloud Console die Seite Logbasierte Messwerte auf.
Klicken Sie auf Messwert erstellen.
Wählen Sie unter Messwerttyp die Option Zähler aus.
Unter Details:
- Legen Sie unter Name des Logmesswerts einen Namen fest.
- Fügen Sie eine Beschreibung hinzu.
- Legen Sie Einheiten auf 1 fest.
Kopieren Sie unter Filterauswahl den folgenden Text und fügen Sie ihn in das Filter erstellen und ersetzen Sie bei Bedarf den vorhandenen Text:
protoPayload.methodName="cloudsql.instances.update" OR protoPayload.methodName="cloudsql.instances.create" OR protoPayload.methodName="cloudsql.instances.delete"
Klicken Sie auf Messwert erstellen. Sie sehen eine Bestätigung.
Benachrichtigungsrichtlinie erstellen
-
Rufen Sie in der Google Cloud Console die Seite Logbasierte Messwerte auf:
Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.
- Wählen Sie im Bereich Benutzerdefinierte Messwerte den Messwert aus, den Sie im vorherigen Abschnitt erstellt haben.
-
Klicken Sie auf Mehr
und dann auf Benachrichtigung mit dem Messwert erstellen.Das Dialogfeld Neue Bedingung wird geöffnet. Die Optionen zur Messwert- und Datentransformation sind bereits ausgefüllt.
- Klicken Sie auf Next (Weiter).
- Prüfen Sie die vorkonfigurierten Einstellungen. Sie können den Schwellenwert ändern.
- Klicken Sie auf Bedingungsname und geben Sie einen Namen für die Bedingung ein.
- Klicken Sie auf Weiter.
Klicken Sie auf Benachrichtigungskanäle: Wählen Sie im Dialogfeld einen oder mehrere Benachrichtigungskanäle aus dem Menü aus und klicken Sie dann auf OK.
Um benachrichtigt zu werden, wenn Vorfälle geöffnet und geschlossen werden, aktivieren Sie Bei Schließung des Vorfalls benachrichtigen Standardmäßig werden Benachrichtigungen nur gesendet, werden geöffnet.
- Optional: Aktualisieren Sie die Dauer bis zur automatischen Schließung von Vorfällen. Dieses Feld bestimmt, wann Monitoring Vorfälle ohne Messwertdaten schließt.
- Optional: Klicken Sie auf Dokumentation und geben Sie alle Informationen ein, die in einer Benachrichtigung angezeigt werden sollen.
- Klicken Sie auf Name der Benachrichtigung und geben Sie einen Namen für die Benachrichtigungsrichtlinie ein.
- Klicken Sie auf Richtlinie erstellen.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denSQL local infile
Kategoriename in der API: SQL_LOCAL_INFILE
Bei einer Datenbankinstanz von Cloud SQL for MySQL ist das Datenbank-Flag local_infile nicht auf Aus gesetzt. Aufgrund von Sicherheitsproblemen in Verbindung mit dem Flag local_infile sollte es deaktiviert werden. Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf edit Bearbeiten.
Legen Sie im Bereich Datenbank-Flags das Datenbank-Flag local_infile auf den Wert Aus fest.
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denSQL log checkpoints disabled
Kategoriename in der API: SQL_LOG_CHECKPOINTS_DISABLED
Bei einer Datenbankinstanz von Cloud SQL for PostgreSQL ist das Datenbank-Flag log_checkpoints nicht auf On gesetzt.
Wenn log_checkpoints aktiviert ist, werden Prüfpunkte und Neustartpunkte im Serverlog protokolliert. Einige Statistiken sind in den Logeinträgen enthalten, einschließlich der Anzahl der geschriebenen Zwischenspeicher und der Zeit, die zum Schreiben benötigt wurde.
Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf edit Bearbeiten.
Legen Sie im Bereich Datenbank-Flags für das Datenbank-Flag log_checkpoints den Wert Ein fest.
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denSQL log connections disabled
Kategoriename in der API: SQL_LOG_CONNECTIONS_DISABLED
Bei einer Datenbankinstanz von Cloud SQL for PostgreSQL ist das Datenbank-Flag log_connections nicht auf Ein gesetzt.
Wenn log_connections aktiviert ist, werden Verbindungsversuche zum Server zusammen mit der erfolgreichen Clientauthentifizierung protokolliert. Die Logs können bei der Fehlerbehebung und Bestätigung von ungewöhnlichen Verbindungsversuchen zum Server hilfreich sein.
Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf edit Bearbeiten.
Legen Sie im Bereich Datenbank-Flags für das Datenbank-Flag log_connections den Wert Ein fest.
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denSQL log disconnections disabled
Kategoriename in der API: SQL_LOG_DISCONNECTIONS_DISABLED
Bei einer Datenbankinstanz von Cloud SQL for PostgreSQL ist das Datenbank-Flag log_disconnections nicht auf Ein gesetzt.
Wenn Sie die Einstellung log_disconnections aktivieren, werden Logeinträge am Ende jeder Sitzung erstellt. Die Logs sind bei der Fehlerbehebung und Bestätigung von ungewöhnlichen Aktivitäten in einem bestimmten Zeitraum hilfreich. Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf edit Bearbeiten.
Legen Sie im Bereich Datenbank-Flags für das Datenbank-Flag log_disconnections den Wert Ein fest.
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denSQL log duration disabled
Kategoriename in der API: SQL_LOG_DURATION_DISABLED
Bei einer Datenbankinstanz von Cloud SQL for PostgreSQL ist das Datenbank-Flag log_duration nicht auf Ein gesetzt.
Wenn die Option log_duration aktiviert ist, bewirkt diese Einstellung, dass die Ausführungszeit und die Dauer jeder abgeschlossenen Anweisung geloggt werden. Das Monitoring der Zeit, die für die Ausführung von Abfragen benötigt wird, kann entscheidend sein, um langsame Abfragen zu erkennen und Datenbankprobleme zu beheben.
Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf edit Bearbeiten.
Legen Sie im Bereich Datenbank-Flags das Datenbank-Flag log_duration auf Ein fest.
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denSQL log error verbosity
Kategoriename in der API: SQL_LOG_ERROR_VERBOSITY
Eine Cloud SQL for PostgreSQL-Datenbankinstanz hat nicht den Das Datenbank-Flag log_error_verbosity ist auf Standard oder ausführlich festgelegt.
Das Flag log_error_verbosity steuert die Detailgenauigkeit von Meldungen, die in Logs geschrieben werden. Je höher der Ausführlichkeitsgrad, desto mehr Details werden in den Meldungen aufgezeichnet. Wir empfehlen, dieses Flag auf Standard oder ausführlich festzulegen.
Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf edit Bearbeiten.
Legen Sie im Bereich Datenbank-Flags den Wert log_error_verbosity fest. Datenbank-Flag auf default oder ausführlich.
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denSQL log lock waits disabled
Kategoriename in der API: SQL_LOG_LOCK_WAITS_DISABLED
Bei einer Datenbankinstanz von Cloud SQL for PostgreSQL ist das Datenbank-Flag log_lock_waits nicht auf An gesetzt.
Wenn Sie die Einstellung log_lock_waits aktivieren, werden Logeinträge erstellt, wenn Sitzungswartezeiten länger als die deadlock_timeout-Zeit zum Abrufen einer Sperre dauern. Die Logs sind hilfreich, wenn Sie feststellen möchten, ob Wartezeiten auf Sperren zu Leistungseinbußen führen.
Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf edit Bearbeiten.
Legen Sie im Bereich Datenbank-Flags für das Datenbank-Flag log_lock_waits den Wert Ein fest.
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denSQL log min duration statement enabled
Kategoriename in der API: SQL_LOG_MIN_DURATION_STATEMENT_ENABLED
Bei einer Cloud SQL for PostgreSQL-Datenbankinstanz ist das Datenbank-Flag log_min_Duration_statement nicht auf -1 festgelegt.
Das Flag log_min_duration_statement bewirkt, dass SQL-Anweisungen, die länger als eine angegebene Zeit ausgeführt werden, in Logs aufgezeichnet werden. Sie sollten diese Einstellung deaktivieren, da SQL-Anweisungen sensible Informationen enthalten, die nicht protokolliert werden sollen. Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf edit Bearbeiten.
Legen Sie im Bereich Datenbank-Flags für das Datenbank-Flag log_min_duration_statement den Wert -1 fest.
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denSQL log min error statement
Kategoriename in der API: SQL_LOG_MIN_ERROR_STATEMENT
Bei einer Datenbankinstanz von Cloud SQL for PostgreSQL ist das Datenbank-Flag log_min_error_statement nicht entsprechend festgelegt.
Das Flag log_min_error_statement steuert, ob SQL-Anweisungen, die Fehlerbedingungen verursachen, in Serverlogs aufgezeichnet werden. SQL-Anweisungen mit dem angegebenen Schweregrad oder höher werden mit Meldungen für die fehlerhaften Anweisungen in Logs geschrieben. Je höher der Schweregrad, desto weniger Meldungen werden aufgezeichnet.
Wenn log_min_error_statement nicht auf den gewünschten Wert festgelegt ist, werden Meldungen möglicherweise nicht als Fehlermeldungen klassifiziert. Ein zu niedrig eingestellter Schweregrad würde die Anzahl der Meldungen erhöhen und das Auffinden tatsächlicher Fehler erschweren. Ein zu hoch eingestellter Schweregrad kann dazu führen, dass Fehlermeldungen für tatsächliche Fehler nicht in Logs geschrieben werden.
Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf edit Bearbeiten.
Legen Sie im Bereich Datenbank-Flags für das Datenbank-Flag log_min_error_statement einen der folgenden empfohlenen Werte fest, entsprechend der Logging-Richtlinie Ihrer Organisation.
debug5
debug4
debug3
debug2
debug1
info
notice
warning
error
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denSQL log min error statement severity
Kategoriename in der API: SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY
Bei einer Datenbankinstanz von Cloud SQL for PostgreSQL ist das Datenbank-Flag log_min_error_statement nicht entsprechend festgelegt.
Das Flag log_min_error_statement steuert, ob SQL-Anweisungen, die Fehlerbedingungen verursachen, in Serverlogs aufgezeichnet werden. SQL-Anweisungen mit dem angegebenen oder einem strikteren Schweregrad werden mit Meldungen für die fehlerhaften Anweisungen in Logs geschrieben. Je strikter der Schweregrad, desto weniger Meldungen werden aufgezeichnet.
Wenn log_min_error_statement nicht auf den gewünschten Wert festgelegt ist, werden Meldungen möglicherweise nicht als Fehlermeldungen klassifiziert. Ein zu niedrig eingestellter Schweregrad würde die Anzahl der Meldungen erhöhen und das Auffinden tatsächlicher Fehler erschweren. Ein zu hoher bzw. strikter Schweregrad kann dazu führen, dass Fehlermeldungen für tatsächliche Fehler nicht geloggt werden.
Wir empfehlen, dieses Flag auf Fehler oder strikter zu setzen.
Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf edit Bearbeiten.
Legen Sie im Bereich Datenbank-Flags für das Datenbank-Flag log_min_error_statement einen der folgenden empfohlenen Werte fest, entsprechend der Logging-Richtlinie Ihrer Organisation.
error
log
fatal
panic
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denSQL log min messages
Kategoriename in der API: SQL_LOG_MIN_MESSAGES
Eine Cloud SQL for PostgreSQL-Datenbankinstanz hat nicht den Das Datenbank-Flag log_min_messages wurde auf mindestens warning festgelegt.
Das Flag log_min_messages steuert, welche Meldungsebenen in Serverprotokolle. Je höher der Schweregrad, desto weniger Meldungen werden aufgezeichnet. Einstellung wenn der Schwellenwert zu niedrig ist, kann die Größe und Länge des Logspeichers wodurch es schwierig wird, tatsächliche Fehler zu finden.
Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf edit Bearbeiten.
Legen Sie im Bereich Datenbank-Flags Datenbank-Flag log_min_messages mit einem der folgenden Werte: empfohlene Werte gemäß der Logging-Richtlinie Ihrer Organisation.
debug5
debug4
debug3
debug2
debug1
info
notice
warning
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denSQL log executor stats enabled
Kategoriename in der API: SQL_LOG_EXECUTOR_STATS_ENABLED
Eine Cloud SQL for PostgreSQL-Datenbankinstanz hat nicht den Das Datenbank-Flag log_executor_stats ist auf Aus festgelegt.
Wenn das Flag log_executor_stats aktiviert ist, wird die Executor-Leistung Statistiken sind für jede Abfrage in den PostgreSQL-Logs enthalten. Diese Einstellung kann bei der Fehlerbehebung hilfreich sein, gleichzeitig aber die Anzahl der Logs und den Leistungsaufwand erheblich erhöhen.
Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf edit Bearbeiten.
Legen Sie im Bereich Datenbank-Flags die Datenbank log_executor_stats fest. Flag auf Aus.
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denSQL log hostname enabled
Kategoriename in der API: `SQL_LOG_HOSTNAME_ENABLED
Bei einer Datenbankinstanz von Cloud SQL for PostgreSQL ist das Datenbank-Flag log_hostname nicht auf Aus gesetzt.
Wenn das Flag log_hostname aktiviert ist, wird der Hostname des verbindenden Hosts geloggt. Standardmäßig wird in Verbindungslogeinträgen nur die IP-Adresse angezeigt. Diese Einstellung kann bei der Fehlerbehebung hilfreich sein. Allerdings kann sie die Serverleistung beeinträchtigen, da der DNS-Auflösungsprozess für jede geloggte Anweisung eine IP-Adresse in einen Hostnamen umwandeln muss.
Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf edit Bearbeiten.
Legen Sie im Bereich Datenbank-Flags das Datenbank-Flag log_hostname auf Aus fest.
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denSQL log parser stats enabled
Kategoriename in der API: SQL_LOG_PARSER_STATS_ENABLED
Bei einer Datenbankinstanz von Cloud SQL for PostgreSQL ist das Datenbank-Flag log_parser_stats nicht auf Aus gesetzt.
Wenn das Flag log_parser_stats aktiviert ist, werden die Parser-Leistungsstatistiken für jede Abfrage in die PostgreSQL-Logs eingefügt. Diese Einstellung kann bei der Fehlerbehebung hilfreich sein, gleichzeitig aber die Anzahl der Logs und den Leistungsaufwand erheblich erhöhen.
Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf edit Bearbeiten.
Legen Sie im Bereich Datenbank-Flags das Datenbank-Flag log_parser_stats auf Aus fest.
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denSQL log planner stats enabled
Kategoriename in der API: SQL_LOG_PLANNER_STATS_ENABLED
Bei einer Datenbankinstanz von Cloud SQL for PostgreSQL ist das Datenbank-Flag log_planner_stats nicht auf Aus gesetzt.
Wenn das Flag log_planner_stats aktiviert ist, wird eine grobe Profilerstellungsmethode zum Logging der Leistungsstatistiken des PostgreSQL-Planers verwendet. Diese Einstellung kann bei der Fehlerbehebung hilfreich sein, gleichzeitig aber die Anzahl der Logs und den Leistungsaufwand erheblich erhöhen.
Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf edit Bearbeiten.
Legen Sie im Bereich Datenbank-Flags das Datenbank-Flag log_planner_stats auf Aus fest.
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denSQL log statement
Kategoriename in der API: SQL_LOG_STATEMENT
Eine Cloud SQL for PostgreSQL-Datenbankinstanz hat nicht den
Datenbank-Flag log_statement wurde auf ddl
festgelegt.
Der Wert dieses Flags bestimmt, welche SQL-Anweisungen in Logs geschrieben werden. Logging hilft beim Beheben von operativen Problemen und ermöglicht forensische Analysen. Wenn dieses Flag nicht auf den richtigen Wert festgelegt ist, können relevante Informationen übersprungen werden oder in zu vielen Meldungen versteckt sein. Der Wert ddl
(alle Datendefinitionsanweisungen) wird empfohlen, sofern in der Logging-Richtlinie Ihrer Organisation nicht anders vorgegeben.
Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf edit Bearbeiten.
Legen Sie im Bereich Datenbank-Flags die Datenbank log_statement fest. Flag in
ddl
setzen.Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denSQL log statement stats enabled
Kategoriename in der API: SQL_LOG_STATEMENT_STATS_ENABLED
Bei einer Datenbankinstanz von Cloud SQL for PostgreSQL ist das Datenbank-Flag log_statement_stats nicht auf Aus gesetzt.
Wenn das Flag log_statement_stats aktiviert ist, werden für jede Abfrage End-to-End-Leistungsstatistiken in die PostgreSQL-Logs eingefügt. Diese Einstellung kann bei der Fehlerbehebung hilfreich sein, gleichzeitig aber die Anzahl der Logs und den Leistungsaufwand erheblich erhöhen.
Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf edit Bearbeiten.
Legen Sie im Bereich Datenbank-Flags das Datenbank-Flag log_statement_stats auf Aus fest.
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denSQL log temp files
Kategoriename in der API: SQL_LOG_TEMP_FILES
Bei einer Cloud SQL for PostgreSQL-Datenbankinstanz ist das Datenbank-Flag log_temp_files nicht auf 0 gesetzt.
Temporäre Dateien können für Sortiervorgänge, Hashes und temporäre Abfrageergebnisse erstellt werden. Wenn Sie das Flag log_temp_files auf 0 setzen, werden alle temporären Dateidaten protokolliert. Das Logging aller temporären Dateien ist hilfreich, um potenzielle Leistungsprobleme zu erkennen. Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf edit Bearbeiten.
Legen Sie im Abschnitt Datenbank-Flags für das Datenbank-Flag log_temp_files den Wert 0 fest.
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denSQL no root password
Kategoriename in der API: SQL_NO_ROOT_PASSWORD
Eine MySQL-Datenbankinstanz hat kein Passwort für das Root-Konto. Fügen Sie der MySQL-Datenbankinstanz ein Passwort hinzu. Weitere Informationen finden Sie unter MySQL-Nutzer.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Wählen Sie auf der Seite Instanzdetails den Tab Nutzer aus.
Klicken Sie neben dem
root
-Nutzer auf Mehr und wählen Sie Passwort ändern aus.Geben Sie ein neues, starkes Passwort ein und klicken Sie auf OK.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denSQL public IP
Kategoriename in der API: SQL_PUBLIC_IP
Eine Cloud SQL-Datenbank hat eine öffentliche IP-Adresse.
Um die Angriffsfläche Ihres Unternehmens zu reduzieren, sollten Cloud SQL-Datenbanken keine öffentlichen IP-Adressen haben. Private IP-Adressen bieten eine höhere Netzwerksicherheit und eine geringere Latenz für Ihre Anwendung.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie im Menü auf der linken Seite auf Connections (Verbindungen).
Klicken Sie auf den Tab Netzwerk und entfernen Sie das Häkchen aus dem Kästchen Öffentliche IP-Adresse.
Wenn die Instanz nicht bereits für die Verwendung einer privaten IP-Adresse konfiguriert ist, finden Sie weitere Informationen unter Private IP-Adresse für eine vorhandene Instanz konfigurieren.
Klicken Sie auf Speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denSQL remote access enabled
Kategoriename in der API: SQL_REMOTE_ACCESS_ENABLED
Bei einer Cloud SQL for SQL Server-Datenbankinstanz ist das Datenbank-Flag Remotezugriff nicht auf Aus gesetzt.
Wenn diese Einstellung aktiviert ist, gewährt sie die Berechtigung, lokal gespeicherte Prozeduren von Remoteservern oder remote gespeicherte Prozeduren vom lokalen Server auszuführen. Diese Funktion kann missbraucht werden, um einen DoS-Angriff (Denial of Service) auf Remote-Servern zu starten, indem die Abfrageverarbeitung auf ein Ziel verlagert wird. Wir empfehlen, diese Einstellung zu deaktivieren, um Missbrauch zu verhindern.
Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf edit Bearbeiten.
Setzen Sie im Bereich Flags die Option Remotezugriff auf Aus.
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denSQL skip show database disabled
Kategoriename in der API: SQL_SKIP_SHOW_DATABASE_DISABLED
Bei einer Cloud SQL for MySQL-Datenbankinstanz ist das Datenbank-Flag skip_show_database nicht auf Ein gesetzt.
Durch Aktivieren dieses Flags wird verhindert, dass Nutzer die Anweisung SHOW DATABASES verwenden, wenn sie nicht die Berechtigung SHOW DATABASES haben. Mit dieser Einstellung können sich Nutzer ohne ausdrückliche Berechtigung keine Datenbanken ansehen, die anderen Nutzern gehören. Wir empfehlen, dieses Flag zu aktivieren.
Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf edit Bearbeiten.
Setzen Sie im Bereich Flags die Option skip_show_database auf Ein.
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denSQL trace flag 3625
Kategoriename in der API: SQL_TRACE_FLAG_3625
Bei einer Cloud SQL for SQL Server-Datenbankinstanz ist das Datenbank-Flag 3625 (Trace-Flag) nicht auf Ein gesetzt.
Mit diesem Flag wird die Menge der Informationen begrenzt, die an Nutzer zurückgegeben werden, die keine Mitglieder der festen Serverrolle "sysadmin" sind. Dazu werden die Parameter einiger Fehlermeldungen mithilfe von Sternchen (******
) maskiert. Um die Offenlegung vertraulicher Informationen zu verhindern, empfehlen wir die Aktivierung dieses Flags.
Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf edit Bearbeiten.
Legen Sie im Bereich Datenbank-Flags die Option 3625 auf Ein fest.
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denSQL user connections configured
Kategoriename in der API: SQL_USER_CONNECTIONS_CONFIGURED
Bei einer Datenbankinstanz von Cloud SQL for SQL Server ist das Datenbank-Flag Nutzerverbindungen konfiguriert.
Die Option Nutzerverbindungen gibt die maximale Anzahl gleichzeitiger Nutzerverbindungen an, die auf einer SQL Server-Instanz zulässig sind. Da es sich um eine dynamische (selbst konfigurierende) Option handelt, passt SQL Server die maximale Anzahl an Nutzerverbindungen nach Bedarf automatisch bis zum maximal zulässigen Wert an. Der Standardwert ist 0, d. h., bis zu 32.767 Nutzerverbindungen sind zulässig. Daher sollte das Datenbank-Flag Nutzeroptionen nicht konfiguriert werden.
Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf edit Bearbeiten.
Klicken Sie im Bereich Datenbank-Flags neben Nutzerverbindungen auf delete Löschen.
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denSQL user options configured
Kategoriename in der API: SQL_USER_OPTIONS_CONFIGURED
Bei einer Cloud SQL for SQL Server-Datenbankinstanz ist das Datenbank-Flag Nutzeroptionen konfiguriert.
Diese Einstellung überschreibt globale Standardwerte der SET-Optionen für alle Nutzer. Da Nutzer und Anwendungen möglicherweise davon ausgehen, dass die SET-Standardoptionen der Datenbank verwendet werden, kann das Festlegen der Nutzeroptionen zu unerwarteten Ergebnissen führen. Daher sollte das Datenbank-Flag Nutzeroptionen nicht konfiguriert werden.
Weitere Informationen finden Sie unter Datenbank-Flags konfigurieren.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf edit Bearbeiten.
Klicken Sie im Bereich Datenbank-Flags neben Nutzeroptionen auf delete Löschen.
Klicken Sie auf Speichern. Die neue Konfiguration wird auf der Seite Instanzübersicht angezeigt.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denSQL weak root password
Kategoriename in der API: SQL_WEAK_ROOT_PASSWORD
Eine MySQL-Datenbankinstanz hat ein schwaches Passwort für das Root-Konto festgelegt. Sie sollten ein starkes Passwort für die Instanz festlegen. Weitere Informationen finden Sie unter MySQL-Nutzer.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Wählen Sie auf der Seite Instanzdetails den Tab Nutzer aus.
Klicken Sie neben dem
root
-Nutzer auf Mehr und wählen Sie Passwort ändern aus.Geben Sie ein neues, starkes Passwort ein und klicken Sie auf OK.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denSSL not enforced
Kategoriename in der API: SSL_NOT_ENFORCED
Eine Cloud SQL-Datenbankinstanz benötigt nicht alle eingehenden Verbindungen zur Verwendung von SSL.
Damit bei sensiblen Daten bei der Übertragung durch unverschlüsselte Kommunikation keine Datenlecks entstehen, sollten alle bei Ihrer SQL-Datenbank eingehenden Verbindungen SSL verwenden. SSL/TLS konfigurieren.
Sie können dieses Ergebnis beheben, indem Sie für Ihre SQL-Instanzen nur SSL-Verbindungen zulassen:
Rufen Sie in der Google Cloud Console die Seite Cloud SQL-Instanzen auf.
Wählen Sie die Instanz aus, die im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf dem Tab Verbindungen entweder auf Nur SSL-Verbindungen zulassen oder Vertrauenswürdige Clientzertifikate erforderlich. Weitere Informationen finden Sie unter SSL/TLS-Verschlüsselung erzwingen
Wenn Sie Vertrauenswürdige Clientzertifikate erforderlich auswählen, müssen Sie einen neuen Client erstellen. Zertifikat. Weitere Informationen finden Sie unter Erstellen Sie ein neues Clientzertifikat.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denToo many KMS users
Kategoriename in der API: TOO_MANY_KMS_USERS
Beschränken Sie die Anzahl der Hauptnutzer, die kryptografische Schlüssel verwenden können, auf drei. Die im Folgenden aufgeführten vordefinierten Rollen gewähren Berechtigungen zum Verschlüsseln, Entschlüsseln oder Signieren von Daten mit kryptografischen Schlüsseln:
roles/owner
roles/cloudkms.cryptoKeyEncrypterDecrypter
roles/cloudkms.cryptoKeyEncrypter
roles/cloudkms.cryptoKeyDecrypter
roles/cloudkms.signer
roles/cloudkms.signerVerifier
Weitere Informationen finden Sie unter Berechtigungen und Rollen.
Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Cloud KMS-Schlüssel auf.
Klicken Sie auf den Namen des Schlüsselbunds, der in dem Ergebnis angegeben ist.
Klicken Sie auf den Namen des im Ergebnis angegebenen Schlüssels.
Klicken Sie auf das Kästchen neben der primären Version und dann auf Show Info Panel (Infofeld ansehen).
Reduzieren Sie die Anzahl der Hauptkonten mit Berechtigungen zum Verschlüsseln, Entschlüsseln oder Signieren von Daten auf maximal 3. Wenn Sie Berechtigungen widerrufen möchten, klicken Sie neben jedem Hauptkonto auf Löschen delete.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denUser managed service account key
Kategoriename in der API: USER_MANAGED_SERVICE_ACCOUNT_KEY
Ein Nutzer verwaltet einen Dienstkontoschlüssel. Dienstkontoschlüssel stellen ein Sicherheitsrisiko dar, wenn sie nicht ordnungsgemäß verwaltet werden. Sie sollten nach Möglichkeit eine sicherere Alternative zu Dienstkontoschlüsseln auswählen. Wenn Sie sich mit einem Dienstkontoschlüssel authentifizieren müssen, sind Sie für die Sicherheit des privaten Schlüssels und für andere durch <ph type="x-smartling-placeholder"></ph> Best Practices für die Verwaltung von Dienstkontoschlüsseln Wenn Sie keinen Dienstkontoschlüssel erstellen können, ist das Erstellen von Dienstkontoschlüsseln für Ihre Organisation möglicherweise deaktiviert. Weitere Informationen finden Sie unter <ph type="x-smartling-placeholder"></ph> Standardmäßig sichere Organisationsressourcen verwalten.
Führen Sie folgende Schritte aus, um dieses Ergebnis zu korrigieren:
Rufen Sie in der Google Cloud Console die Seite Dienstkonten auf.
Wählen Sie bei Bedarf das im Ergebnis angegebene Projekt aus.
Löschen Sie vom Nutzer verwaltete Dienstkontoschlüssel, die im Ergebnis angegeben sind, wenn sie von keiner Anwendung verwendet werden.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denWeak SSL policy
Kategoriename in der API: WEAK_SSL_POLICY
Eine Compute Engine-Instanz hat eine schwache SSL-Richtlinie oder verwendet die Google Cloud Standard-SSL-Richtlinie mit TLS-Version unter 1.2.
HTTPS- und SSL-Proxy-Load-Balancer verwenden SSL-Richtlinien, um die Protokoll- und Chiffresammlungen für die TLS-Verbindungen zwischen Nutzern und dem Internet festzulegen. Durch diese Verbindungen werden sensible Daten verschlüsselt, damit Unbefugte keinen Zugriff auf diese Daten erhalten. Eine schwache SSL-Richtlinie ermöglicht es Clients, die veraltete TLS-Versionen verwenden, eine Verbindung mit einer weniger sicheren Chiffrensammlung oder einem weniger sicheren Protokoll herzustellen. Eine Liste empfohlener und veralteter Cipher Suites finden Sie unter iana.org TLS Parameterseite.
Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation.
Die Abhilfemaßnahmen für dieses Ergebnis hängen davon ab, ob dieses Ergebnis wurde durch die Verwendung einer standardmäßigen Google Cloud-SSL-Richtlinie oder eines SSL ausgelöst Richtlinie, die eine schwache Cipher Suite oder eine TLS-Mindestversion unter 1.2 zulässt. Folgen Sie der Anleitung unten, die dem Auslöser des Ergebnisses entspricht.
Standardkorrektur für Google Cloud-SSL-Richtlinien
Rufen Sie in der Google Cloud Console die Seite Zielproxys auf.
Suchen Sie den Zielproxy, der in den Ergebnissen und den Weiterleitungsregeln in der Spalte Verwendet von angegeben ist.
Informationen zum Erstellen einer neuen SSL-Richtlinie finden Sie unter SSL verwenden Richtlinien. Die Richtlinie sollte eine Mindest-TLS-Version von 1.2 und ein modernes oder eingeschränktes Profil haben.
Wenn Sie ein benutzerdefiniertes Profil verwenden möchten , müssen die folgenden Chiffresammlungen deaktiviert sein:
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
Wenden Sie die SSL-Richtlinie auf alle zuvor angegebenen Weiterleitungsregeln an.
Behebung durch eine schwache Cipher Suite oder eine niedrigere TLS-Version möglich
Rufen Sie in der Google Cloud Console die Seite SSL-Richtlinien auf .
Suchen Sie den Load-Balancer, der in der Spalte Verwendet von angegeben ist.
Klicken Sie auf den Namen der Richtlinie.
Klicken Sie auf edit Bearbeiten.
Ändern TLS-Mindestversion auf TLS 1.2 und Profil auf „Modern“ oder „Eingeschränkt“
Wenn Sie ein benutzerdefiniertes Profil verwenden möchten, achten Sie darauf, dass die folgenden Cipher Suites Deaktiviert:
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
Klicken Sie auf Speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denWeb UI enabled
Kategoriename in der API: WEB_UI_ENABLED
Die GKE-Web-UI (Dashboard) ist aktiviert.
Ein Kubernetes-Dienstkonto mit privilegierten Back-Ends ermöglicht die Kubernetes-Weboberfläche. Wenn er manipuliert wurde, kann das Dienstkonto missbraucht werden. Wenn Sie die Google Cloud Console bereits verwenden, erweitert die Kubernetes-Weboberfläche die Angriffsfläche unnötig. Kubernetes-Weboberfläche deaktivieren
Deaktivieren Sie die Kubernetes-Weboberfläche, um dieses Ergebnis zu beheben:
Rufen Sie in der Google Cloud Console die GKE-Seite Kubernetes Cluster auf.
Klicken Sie auf den Namen des Clusters, der im Security Health Analytics-Ergebnis aufgeführt ist.
Klicken Sie auf edit Bearbeiten.
Wenn die Clusterkonfiguration kürzlich geändert wurde, ist die Schaltfläche "Bearbeiten" möglicherweise deaktiviert. Wenn Sie die Clustereinstellungen nicht bearbeiten können, warten Sie einige Minuten und versuchen Sie es dann noch einmal.
Klicken Sie auf Add-ons. Der Abschnitt wird erweitert, damit Sie alle verfügbaren Add-ons sehen.
Wählen Sie in der Drop-down-Liste Kubernetes-Dashboard die Option Deaktiviert aus.
Klicken Sie auf Speichern.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu denWorkload Identity disabled
Kategoriename in der API: WORKLOAD_IDENTITY_DISABLED
Workload Identity ist auf einem GKE-Cluster deaktiviert.
Für das Aufrufen von Google Cloud-Diensten aus GKE wird Workload Identity empfohlen, weil es bessere Sicherheitsmerkmale bietet und leichter zu verwalten ist. Wenn diese Funktion aktiviert wird, schützt sie einige potenziell vertrauliche Systemmetadaten vor Nutzerarbeitslasten, die in Ihrem Cluster ausgeführt werden. Lesen Sie die Informationen zur Metadatenverbergung.
Um dieses Ergebnis zu beheben, folgen Sie der Anleitung unter Workload Identity in einem Cluster aktivieren.
unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
Weitere Informationen zu den