Como corrigir as descobertas da análise de integridade de segurança

Esta página fornece uma lista de guias de referência e técnicas para corrigir descobertas do Security Health Analytics usando o Security Command Center.

Você precisa de papéis adequados de gerenciamento de identidade e acesso (IAM, na sigla em inglês) para visualizar ou editar as descobertas e acessar ou modificar recursos do Google Cloud. Se você encontrar erros de permissão ao acessar o Security Command Center no console do Google Cloud, peça ajuda ao administrador e, para saber mais sobre papéis, consulte Controle de acesso. Para resolver erros de recursos, leia a documentação dos produtos afetados.

Reversão do Security Health Analytics

Esta seção inclui instruções de correção para todas as descobertas do Security Health Analytics.

Desativação das descobertas após a correção

Depois de corrigir uma vulnerabilidade ou uma configuração incorreta, o Security Health Analytics define automaticamente o estado da descoberta como INACTIVE na próxima vez que ela for verificada. O tempo que o Security Health Analytics leva para definir uma descoberta corrigida como INACTIVE depende quando a descoberta é corrigida e a programação da verificação que detecta a descoberta.

O Security Health Analytics também define o estado de uma descoberta como INACTIVE quando uma verificação detecta que o recurso afetado pela descoberta é excluído. Se você quiser remover a descoberta de um recurso excluído da sua tela enquanto aguarda a análise de integridade da segurança detectar que o recurso foi excluído, silencie a descoberta. Para silenciar uma descoberta, consulte Silenciar descobertas no Security Command Center.

Não use o recurso de silenciar para ocultar as descobertas corrigidas para os recursos existentes. Se o problema se repetir e a Análise de integridade da segurança restaurar o estado ACTIVE da descoberta, talvez você não a veja reativada, porque as descobertas silenciadas são excluídas de qualquer consulta que especifique NOT mute="MUTED", como a consulta de descoberta padrão.

Para informações sobre intervalos de verificação, consulte Tipos de verificação do Security Health Analytics.

Access Transparency disabled

Nome da categoria na API: ACCESS_TRANSPARENCY_DISABLED

Registros de Transparência no acesso quando funcionários do Google Cloud acessam os projetos da sua organização para fornecer suporte. Ative a Transparência no acesso para registrar quem do Google Cloud está acessando suas informações, quando e por quê. Para mais informações, consulte Transparência no acesso.

Para ativar a Transparência no acesso em um projeto, ele precisa estar associado a uma conta de faturamento.

Funções exigidas

Para receber as permissões necessárias para executar essa tarefa, peça ao administrador para conceder a você o papel do IAM Administrador da Transparência no acesso (roles/axt.admin) no nível da organização. Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.

Esse papel predefinido contém as permissões axt.labels.get e axt.labels.set, que são necessárias para executar essa tarefa. Também é possível conseguir essas permissões com um papel personalizado ou outros papéis predefinidos.

Etapas de correção

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Verifique suas permissões no nível da organização:

   1. Acesse a página Identity and Access Management no console do Google Cloud.

      Acessar o Identity and Access Management

   2. Se for solicitado, selecione a organização do Google Cloud no menu seletor.

2. Selecione qualquer projeto do Google Cloud na organização usando o menu seletor.

   A transparência no acesso é configurada em uma página de projeto do Google Cloud, mas a transparência está ativada para toda a organização.

3. Acesse a página IAM e Administrador > Configurações.

4. Clique em Ativar Transparência no acesso.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

AlloyDB auto backup disabled

Nome da categoria na API: ALLOYDB_AUTO_BACKUP_DISABLED

Um cluster do AlloyDB para PostgreSQL não tem backups automáticos ativados.

Para evitar a perda de dados, ative os backups automáticos do cluster. Para mais informações, consulte Configurar backups automatizados adicionais.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página de clusters do AlloyDB para PostgreSQL no console do Google Cloud.

   Acessar clusters do AlloyDB para PostgreSQL

2. Clique em um cluster na coluna Nome do recurso.

3. Clique em Proteção de dados.

4. Na seção Política de backup automatizada, clique em Editar na linha Backups automatizados.

5. Marque a caixa de seleção Automatizar backups.

6. Clique em Atualizar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

AlloyDB log min error statement severity

Nome da categoria na API: ALLOYDB_LOG_MIN_ERROR_STATEMENT_SEVERITY

Uma instância do AlloyDB para PostgreSQL não tem a flag log_min_error_statement do banco de dados definida como error ou outro valor recomendado.

A sinalização log_min_error_statement controla se as instruções SQL que causam condições de erro são gravadas nos registros do servidor. As instruções SQL sobre a gravidade especificada ou superior são registradas. Quanto maior a gravidade, menos mensagens são registradas. Se definida como um nível de gravidade muito alto, as mensagens de erro poderão não ser registradas.

Para mais informações, consulte Como configurar sinalizações de banco de dados.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página de clusters do AlloyDB para PostgreSQL no console do Google Cloud.

   Acessar clusters do AlloyDB para PostgreSQL

2. Clique no cluster na coluna Nome do recurso.

3. Na seção Instâncias no cluster, clique em Editar na instância.

4. Clique em Opções de configuração avançadas.

5. Na seção Flags, defina a flag log_min_error_statement do banco de dados com um dos seguintes valores recomendados, de acordo com a política de geração de registros da organização.

   • debug5
   • debug4
   • debug3
   • debug2
   • debug1
   • info
   • notice
   • warning
   • error

6. Clique em Atualizar instância.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

AlloyDB log min messages

Nome da categoria na API: ALLOYDB_LOG_MIN_MESSAGES

Uma instância do AlloyDB para PostgreSQL não tem a flag de banco de dados log_min_messages definida como no mínimo warning.

A flag log_min_messages controla quais níveis de mensagem são gravados nos registros do servidor. Quanto maior a gravidade, menos mensagens são registradas. Definir o limite muito baixo pode resultar em aumento do tamanho e do comprimento do armazenamento de registros, dificultando a localização de erros reais.

Para mais informações, consulte Como configurar sinalizações de banco de dados.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página de clusters do AlloyDB para PostgreSQL no console do Google Cloud.

   Acessar clusters do AlloyDB para PostgreSQL

2. Clique no cluster na coluna Nome do recurso.

3. Na seção Instâncias no cluster, clique em Editar na instância.

4. Clique em Opções de configuração avançadas.

5. Na seção Flags, defina a flag log_min_messages do banco de dados com um dos seguintes valores recomendados, de acordo com a política de geração de registros da organização.

   • debug5
   • debug4
   • debug3
   • debug2
   • debug1
   • info
   • notice
   • warning

6. Clique em Atualizar instância.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

AlloyDB log error verbosity

Nome da categoria na API: ALLOYDB_LOG_ERROR_VERBOSITY

Uma instância do AlloyDB para PostgreSQL não tem a flag do banco de dados log_error_verbosity definida como default ou outro valor menos restritivo.

A sinalização log_error_verbosity controla a quantidade de detalhes nas mensagens registradas. Quanto maior o nível de detalhes, mais informações são gravadas nas mensagens. Recomendamos definir essa flag como default ou outro valor menos restritivo.

Para mais informações, consulte Como configurar sinalizações de banco de dados.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página de clusters do AlloyDB para PostgreSQL no console do Google Cloud.

   Acessar clusters do AlloyDB para PostgreSQL

2. Clique no cluster na coluna Nome do recurso.

3. Na seção Instâncias no cluster, clique em Editar na instância.

4. Clique em Opções de configuração avançadas.

5. Na seção Flags, defina a flag log_error_verbosity do banco de dados com um dos seguintes valores recomendados, de acordo com a política de geração de registros da organização.

   • default
   • verbose

6. Clique em Atualizar instância.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Admin service account

Nome da categoria na API: ADMIN_SERVICE_ACCOUNT

Uma conta de serviço da organização ou projeto tem privilégios de administrador, proprietário ou editor. Esses papéis têm várias permissões e não devem ser atribuídos a contas de serviço. Para saber mais sobre contas de serviço e os papéis disponíveis, consulte Contas de serviço.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página de políticas do IAM no console do Google Cloud.

   Acesse a política de IAM

2. Para cada membro identificado na descoberta:

   1. Clique em Editar edit ao lado do membro.
   2. Para remover permissões, clique em Excluir delete ao lado do papel incorreto.
   3. Clique em Salvar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Alpha cluster enabled

Nome da categoria na API: ALPHA_CLUSTER_ENABLED

Os recursos do cluster Alfa estão ativados para um cluster do Google Kubernetes Engine (GKE).

Com os clusters Alfa, os usuários iniciais testam cargas de trabalho que usam novos recursos antes de serem lançados para o público em geral. Os clusters Alfa têm todos os recursos da API do GKE ativados, mas não são cobertos peloSLA do GKE. Eles não recebem atualizações de segurança, têm reparação e upgrade automáticos de nós desativados e não podem receber upgrades. Eles também são excluídos automaticamente após 30 dias.

Para corrigir essa descoberta, conclua as etapas a seguir:

Não é possível desativar clusters Alfa. É preciso criar um novo cluster com os recursos Alfa desativados.

1. Acesse a página Clusters do Kubernetes no console do Google Cloud.

   Acessar clusters do Kubernetes

2. Clique em Criar.

3. Selecione Configurar ao lado do tipo de cluster que você quer criar.

4. Na guia Recursos, verifique se a opção Ativar recursos Alfa do Kubernetes neste cluster está desativada.

5. Clique em Criar.

6. Para mover cargas de trabalho para o novo cluster, consulte Como migrar cargas de trabalho para diferentes tipos de máquina.

7. Para excluir o cluster original, consulte Como excluir um cluster.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

API key APIs unrestricted

Nome da categoria na API: API_KEY_APIS_UNRESTRICTED

Há chaves de API muito usadas.

As chaves de API irrestritas são inseguras porque é possível recuperá-las nos dispositivos em que a chave está armazenada ou vê-las publicamente, por exemplo, em um navegador. De acordo com o princípio de privilégio mínimo, configure chaves de API para chamar apenas as APIs exigidas pelo aplicativo. Para mais informações, consulte Aplicar restrições de chave de API.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Chaves de API no console do Google Cloud.

   Acesse as chaves de API

2. Para cada chave de API:s

   1. Na seção Chaves de API, na linha de cada chave de API em que você precisa restringir APIs, exiba o menu Ações clicando no more_vert.
   2. No menu Ações, clique em Excluir chave de API. A página Editar chave de API é aberta.
   3. Na seção Restrições de API, selecione Restringir APIs. O menu suspenso Selecionar APIs será exibido.
   4. Na lista suspensa Selecionar APIs, escolha as APIs que terão permissão.
   5. Clique em Salvar. Pode levar até cinco minutos para que as configurações entrem em vigor.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

API key apps unrestricted

Nome da categoria na API: API_KEY_APPS_UNRESTRICTED

Há chaves de API sendo usadas de maneira irrestrita, permitindo o uso por qualquer aplicativo não confiável.

Chaves de API irrestritas são inseguras porque é possível recuperá-las nos dispositivos em que a chave está armazenada ou vê-las publicamente, como de dentro de um navegador, por exemplo. De acordo com o princípio de privilégio mínimo, restrinja o uso da chave de API a hosts confiáveis, referenciadores HTTP e aplicativos. Para mais informações, consulte Aplicar restrições de chave de API.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Chaves de API no console do Google Cloud.

   Acesse as chaves de API

2. Para cada chave de API:

   1. NaChaves de API na linha de cada chave de API para a qual você precisa restringir aplicativos, exiba aAções clicando no botãomore_vert.
   2. No menu Ações, clique em Excluir chave de API. A página Editar chave de API é aberta.
   3. Na página Editar chave de API, em Restrições de aplicativo, selecione uma categoria de restrição. É possível definir apenas uma restrição de aplicativo por chave.
   4. No campo Adicionar um item que é exibido quando você seleciona uma restrição, clique em Adicionar um item para adicionar restrições com base nas necessidades do aplicativo.
   5. Quando terminar de adicionar itens, clique em Concluído.
   6. Clique em Salvar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

API key exists

Nome da categoria na API: API_KEY_EXISTS

Um projeto está usando chaves de API em vez da autenticação padrão.

As chaves de API são menos seguras do que outros métodos de autenticação, porque são strings criptografadas simples e fáceis de descobrir e usar. É possível recuperá-las nos dispositivos em que a chave está armazenada ou vê-las publicamente, como de dentro de um navegador. Além disso, as chaves de API não identificam exclusivamente os usuários ou aplicativos que fazem solicitações. Como alternativa, é possível usar um fluxo de autenticação padrão com contas de serviço ou contas de usuário.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Certifique-se de que os aplicativos estejam configurados com uma forma alternativa de autenticação.

2. Acesse a página Credenciais da API no console do Google Cloud.

   Acesse as credenciais da API

3. Na seção Chaves de API da linha de cada chave que precisa ser excluída, exiba o menu Ações clicando no ícone more_vert.

4. No menu Ações, clique em Excluir chave de API.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

API key not rotated

Nome da categoria na API: API_KEY_NOT_ROTATED

A chave de API não é rotacionada há mais de 90 dias.

As chaves de API não expiram. Portanto, se uma for roubada, é possível que seja usada indefinidamente a menos que o proprietário do projeto a revogue ou a rotacione. Regenerar chaves de API com frequência reduz por quanto tempo uma chave de API roubada poderá ser usada para acessar dados em uma conta comprometida ou encerrada. Faça a rotação das chaves de API pelo menos a cada 90 dias. Para mais informações, consulte Proteger uma chave de API.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Chaves de API no console do Google Cloud.

   Acesse as chaves de API

2. Para cada chave de API:

   1. Na seção Chaves de API da linha de cada chave que precisa ser excluída, exiba o menu Ações clicando no ícone more_vert.
   2. No menu Ações, clique em Excluir chave de API. A página Editar chave de API é aberta.
   3. Na página Editar chave de API, se a data no campo Data de criação for anterior a 90 dias, clique em refresh para substituir a chave. Gerar chave novamente na parte superior da página. Uma nova chave de substituição é gerada.
   4. Clique em Salvar.
   5. Para garantir que os aplicativos continuem funcionando sem interrupções, atualize-os para usar a nova chave de API. A chave de API antiga funciona por 24 horas antes de ser desativada permanentemente.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Audit config not monitored

Nome da categoria na API: AUDIT_CONFIG_NOT_MONITORED

As métricas e os alertas de registros não estão configurados para monitorar as alterações de configuração de auditoria.

O Cloud Audit Logging produz registros de atividades do administrador e de acesso a dados que permitem a análise de segurança, o rastreamento de alterações de recursos e a auditoria de conformidade. Ao monitorar as alterações na configuração de auditoria, você garante que todas as atividades no projeto possam ser auditadas a qualquer momento. Para mais informações, consulte Visão geral das métricas com base em registros.

Dependendo da quantidade de informações, os custos do Cloud Monitoring podem ser significativos. Para entender o uso do serviço e os custos dele, consulte Otimização de custos para observabilidade do Google Cloud.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Para corrigir essa descoberta, crie métricas, se necessário, e políticas de alerta:

Criar métrica

1. Acesse a página Métricas com base em registros no console do Google Cloud.

   Acessar métricas com base em registros

2. Clique em Criar métrica.

3. Em Tipo de Métrica, selecione Contador.

4. Em Detalhes:

   1. Defina um Nome da métrica de registro.
   2. Adicione uma descrição.
   3. Definir Unidades para 1.

5. Em Seleção de filtro, copie e cole o texto a seguir na caixa Criar filtro, substituindo o texto atual, se necessário:

     protoPayload.methodName="SetIamPolicy"
     AND protoPayload.serviceData.policyDelta.auditConfigDeltas:*
   

6. Clique em Criar métrica. Você verá uma confirmação.

Criar política de alertas

1. No painel de navegação do console do Google Cloud, selecione Logging e, em seguida, Métricas com base em registros:

   Acessar Métricas com base em registros

2. Na seção Métricas definidas pelo usuário, selecione a métrica que você criou na seção anterior.

3. Clique em Mais more_vert e depois em Criar alerta com base na métrica.

   A caixa de diálogo Nova condição é aberta com as opções de transformação de dados e métricas pré-preenchidas.

4. Clique em Próxima.
   1. Revise as configurações pré-preenchidas. Convém modificar o Valor do limite.
   2. Clique em Nome da condição e digite um nome para ela.
5. Clique em Próxima.

6. Para adicionar notificações à sua política de alertas, clique em Canais de notificação. Na caixa de diálogo, selecione um ou mais canais de notificação no menu e clique em OK.

   Para receber uma notificação quando os incidentes forem abertos ou fechados, marque Notificar sobre o fechamento de incidentes. Por padrão, as notificações são enviadas apenas quando incidentes são abertos.

7. Opcional: Atualize a Duração do fechamento automático do incidente. Este campo determina quando o Monitoring fecha incidentes na ausência de dados de métrica.
8. Opcional: clique em Documentação e adicione as informações que quer incluir em uma mensagem de notificação.
9. Clique em Nome e digite um nome para a política de alertas.
10. Clique em Criar política.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Audit logging disabled

Nome da categoria na API: AUDIT_LOGGING_DISABLED

Essa descoberta não está disponível para ativações no nível do projeto.

A geração de registros de auditoria está desativada para um ou mais serviços do Google Cloud ou um ou mais principais estão isentos da geração de registros de auditoria de acesso a dados.

Ative o Cloud Logging para todos os serviços para rastrear todas as atividades administrativas, o acesso de leitura e o acesso de gravação aos dados dos usuários. Dependendo da quantidade de informações, os custos do Cloud Logging podem ser significativos. Para entender o uso do serviço e os custos dele, consulte Otimização de custos para observabilidade do Google Cloud.

Se os principais estiverem isentos da geração de registros de auditoria de acesso a dados na configuração padrão ou de qualquer serviço individual, remova a isenção.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Configuração padrão dos registros de auditoria de acesso a dados no Console do Google Cloud.

   Acessar a configuração padrão

2. Na guia Tipos de registro, ative a geração de registros de auditoria de acesso a dados na configuração padrão:

   1. Selecione Leitura de administradores, Leitura de dados e Gravação de dados.
   2. Clique em Salvar.

3. Na guia Participantes isentos, remova todos os usuários isentos da configuração padrão:

   1. Remova cada principal listado clicando em Excluir delete ao lado de cada nome.
   2. Clique em Salvar.

4. Acesse a página Registros de auditoria.

   Ir para Registros de auditoria

5. Remova os principais isentos das configurações do registro de auditoria de acesso a dados de serviços individuais.

   1. Em Configuração dos registros de auditoria de acesso a dados, clique no serviço nos serviços que mostram um principal isento. Um painel de configuração de registro de auditoria será aberto para o serviço.
   2. Na guia Participantes isentos, remova todos os principais isentos clicando em Excluir delete ao lado de cada nome.
   3. Clique em Salvar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Auto backup disabled

Nome da categoria na API: AUTO_BACKUP_DISABLED

Um banco de dados do Cloud SQL não tem backups automáticos ativados.

Para evitar a perda de dados, ative os backups automatizados para as instâncias do SQL. Para mais informações, consulte Como criar e gerenciar backups automáticos e sob demanda.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página backups de instâncias do SQL no console do Google Cloud.

   Acesse backups de instâncias do SQL

2. Ao lado de Configurações, clique em Editar edit.

3. Marque a caixa Automatizar backups.

4. No menu suspenso, escolha uma janela de tempo para que o backup automático dos dados seja feito.

5. Clique em Salvar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Auto repair disabled

Nome da categoria na API: AUTO_REPAIR_DISABLED

O recurso de reparo automático de um cluster do Google Kubernetes Engine (GKE), que mantém os nós em um estado íntegro e em execução, está desativado.

Quando ativado, o GKE verifica periodicamente o estado de integridade de cada nó no cluster. Se um nó falhar em verificações de integridade consecutivas durante um período prolongado, o GKE iniciará um processo de reparo para esse nó. Para mais informações, consulte Como fazer o reparo automático de nós.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Clusters do Kubernetes no console do Google Cloud.

   Acessar clusters do Kubernetes

2. Clique na guia Nós.

3. Para cada pool de nós:

   1. Clique no nome do pool de nós para acessar a página de detalhes.
   2. Clique em Editar edit.
   3. Em Gerenciamento, selecione Ativar reparo automático.
   4. Clique em Salvar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Auto upgrade disabled

Nome da categoria na API: AUTO_UPGRADE_DISABLED

O recurso de upgrade automático de um cluster do GKE, que mantém clusters e o pools de nós na versão estável mais recente do Kubernetes, está desativado.

Para mais informações, consulte Como fazer o upgrade automático de nós.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Clusters do Kubernetes no console do Google Cloud.

   Acessar clusters do Kubernetes

2. Na lista de clusters, clique no nome do cluster.

3. Clique na guia Nós.

4. Para cada pool de nós:

   1. Clique no nome do pool de nós para acessar a página de detalhes.
   2. Clique em Editar edit.
   3. Em Gerenciamento, selecione Ativar upgrade automático.
   4. Clique em Salvar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

BigQuery table CMEK disabled

Nome da categoria na API: BIGQUERY_TABLE_CMEK_DISABLED

Uma tabela do BigQuery não está configurada para usar uma chave de criptografia gerenciada pelo cliente (CMEK).

Com a CMEK, as chaves que você cria e gerencia no Cloud KMS encapsulam as chaves que o Google Cloud usa para criptografar seus dados, oferecendo mais controle sobre o acesso a eles. Para mais informações, consulte Como proteger dados com chaves do Cloud KMS.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Crie uma tabela protegida pelo Cloud Key Management Service.
2. Copie sua tabela para a nova tabela ativada para CMEK.
3. Exclua a tabela original.

Para definir uma chave CMEK padrão que criptografa todas as novas tabelas em um conjunto de dados, consulte Definir uma chave padrão do conjunto de dados.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Binary authorization disabled

Nome da categoria na API: BINARY_AUTHORIZATION_DISABLED

A autorização binária está desativada em um cluster do GKE.

A autorização binária inclui um recurso opcional que protege a segurança da cadeia de suprimentos, permitindo que apenas imagens de contêiner assinadas por autoridades confiáveis durante o processo de desenvolvimento sejam implantadas no cluster. Ao aplicar a implantação baseada em assinatura, você tem mais controle do ambiente do contêiner e garante que apenas imagens verificadas tenham permissão para serem implantadas.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Clusters do Kubernetes no console do Google Cloud.

   Acessar clusters do Kubernetes

2. Na seção Segurança, clique no ícone de edição (edit) na linha Autorização binária.

   Se a configuração do cluster tiver sido alterada recentemente, o botão de edição poderá ser desativado. Se você não conseguir editar as configurações do cluster, aguarde alguns minutos e tente novamente.

3. Na caixa de diálogo, selecione Ativar autorização binária.

4. Clique em Save changes.

5. Acesse a página de configuração da autorização binária.

   Acessar a autorização binária

6. Verifique se uma política que exige atestadores está configurada e se a regra padrão do projeto não está configurada para Permitir todas as imagens. Para mais informações, consulte Configurar para o GKE.

   Para garantir que as imagens que violam a política tenham permissão para serem implantadas e as violações sejam registradas nos registros de auditoria do Cloud, ative o modo de teste.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Bucket CMEK disabled

Nome da categoria na API: BUCKET_CMEK_DISABLED

Um bucket não é criptografado com chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês).

Definir uma CMEK padrão em um bucket oferece mais controle sobre o acesso aos dados. Para mais informações, consulte Chaves de criptografia gerenciadas pelo cliente.

Para corrigir essa descoberta, use a CMEK com um bucket seguindo Como usar chaves de criptografia gerenciadas pelo cliente. A CMEK gera custos adicionais relacionados ao Cloud KMS.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Bucket IAM not monitored

Nome da categoria na API: BUCKET_IAM_NOT_MONITORED

As métricas e os alertas de registros não estão configurados para monitorar as alterações de permissão do IAM do Cloud Storage.

Monitorar alterações nas permissões de bucket do Cloud Storage ajuda a identificar usuários com privilégios em excesso ou atividades suspeitas. Para mais informações, consulte Visão geral das métricas com base em registros.

Dependendo da quantidade de informações, os custos do Cloud Monitoring podem ser significativos. Para entender o uso do serviço e os custos dele, consulte Otimização de custos para observabilidade do Google Cloud.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Para corrigir essa descoberta, conclua as etapas a seguir:

Criar métrica

1. Acesse a página Métricas com base em registros no console do Google Cloud.

   Acessar métricas com base em registros

2. Clique em Criar métrica.

3. Em Tipo de Métrica, selecione Contador.

4. Em Detalhes:

   1. Defina um Nome da métrica de registro.
   2. Adicione uma descrição.
   3. Definir Unidades para 1.

5. Em Seleção de filtro, copie e cole o texto a seguir na caixa Criar filtro, substituindo o texto atual, se necessário:

     resource.type=gcs_bucket
     AND protoPayload.methodName="storage.setIamPermissions"
   

6. Clique em Criar métrica. Você verá uma confirmação.

Criar política de alertas

1. No painel de navegação do console do Google Cloud, selecione Logging e, em seguida, Métricas com base em registros:

   Acessar Métricas com base em registros

2. Na seção Métricas definidas pelo usuário, selecione a métrica que você criou na seção anterior.

3. Clique em Mais more_vert e depois em Criar alerta com base na métrica.

   A caixa de diálogo Nova condição é aberta com as opções de transformação de dados e métricas pré-preenchidas.

4. Clique em Próxima.
   1. Revise as configurações pré-preenchidas. Convém modificar o Valor do limite.
   2. Clique em Nome da condição e digite um nome para ela.
5. Clique em Próxima.

6. Para adicionar notificações à sua política de alertas, clique em Canais de notificação. Na caixa de diálogo, selecione um ou mais canais de notificação no menu e clique em OK.

   Para receber uma notificação quando os incidentes forem abertos ou fechados, marque Notificar sobre o fechamento de incidentes. Por padrão, as notificações são enviadas apenas quando incidentes são abertos.

7. Opcional: Atualize a Duração do fechamento automático do incidente. Este campo determina quando o Monitoring fecha incidentes na ausência de dados de métrica.
8. Opcional: clique em Documentação e adicione as informações que quer incluir em uma mensagem de notificação.
9. Clique em Nome e digite um nome para a política de alertas.
10. Clique em Criar política.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Bucket logging disabled

Nome da categoria na API: BUCKET_LOGGING_DISABLED

Há um bucket de armazenamento sem a geração de registros ativada.

Para ajudar a investigar problemas de segurança e monitorar o consumo de armazenamento, ative os registros de acesso e informação de armazenamento nos seus buckets do Cloud Storage. Os registros de acesso fornecem informações sobre todas as solicitações feitas em um bucket específico, e os registros de armazenamento fornecem informações sobre o consumo de armazenamento desse bucket.

Para corrigir essa descoberta, configure o registro para o bucket indicado pela descoberta do Security Health Analytics completando o guia de registros de uso e de armazenamento.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Bucket policy only disabled

Nome da categoria na API: BUCKET_POLICY_ONLY_DISABLED

O acesso uniforme no nível do bucket, anteriormente chamado de Somente política do bucket, não está configurado.

O acesso uniforme no nível do bucket simplifica o controle de acesso do bucket ao desativar permissões no nível do objeto (ACLs, na sigla em inglês). Quando ativadas, somente as permissões do IAM no nível do bucket concederão acesso ao bucket e aos objetos contidos nele. Para mais informações, consulte Acesso uniforme no nível do bucket.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página do navegador do Cloud Storageno console do Google Cloud.

   Ir para o Navegador do Cloud Storage

2. Na lista de buckets, clique no nome do bucket pretendido.

3. Clique na guia Configuration.

4. Em Permissões, na linha do Controle de acesso, clique no ícone Editar (edit).

5. Na caixa de diálogo, selecione Uniforme.

6. Clique em Salvar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Cloud Asset API disabled

Nome da categoria na API: CLOUD_ASSET_API_DISABLED

O serviço de Inventário de recursos do Cloud não está ativado no projeto.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Biblioteca de APIs no console do Google Cloud.

   Acessar a Biblioteca de APIs

2. Pesquise Cloud Asset Inventory.

3. Selecione o resultado do serviço API Cloud Asset.

4. Verifique se está exibindo API ativada.

Cluster logging disabled

Nome da categoria na API: CLUSTER_LOGGING_DISABLED

A geração de registros não está ativada para um cluster do GKE.

Para ajudar a investigar problemas de segurança e monitorar o uso, ative o Cloud Logging nos clusters.

Dependendo da quantidade de informações, os custos do Cloud Logging podem ser significativos. Para entender o uso do serviço e os custos dele, consulte Otimização de custos para observabilidade do Google Cloud.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Clusters do Kubernetes no console do Google Cloud.

   Acessar clusters do Kubernetes

2. Selecione o cluster listado na descoberta do Security Health Analytics.

3. Clique em edit Editar.

   Se a configuração do cluster tiver sido alterada recentemente, o botão de edição poderá ser desativado. Se você não conseguir editar as configurações do cluster, aguarde alguns minutos e tente novamente.

4. Na lista suspensa do Stackdriver Logging legado ou do Stackdriver Kubernetes Engine Monitoring, selecione Ativado.

   Essas opções não são compatíveis. Assegure-se de usar o Stackdriver Kubernetes Engine Monitoring apenas, ou Stackdriver Logging legado com Stackdriver Monitoring legado.

5. Clique em Salvar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Cluster monitoring disabled

Nome da categoria na API: CLUSTER_MONITORING_DISABLED

O monitoramento está desativado nos clusters do GKE.

Para ajudar a investigar problemas de segurança e monitorar o uso, ative o Cloud Monitoring nos clusters.

Dependendo da quantidade de informações, os custos do Cloud Monitoring podem ser significativos. Para entender o uso do serviço e os custos dele, consulte Otimização de custos para observabilidade do Google Cloud.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Clusters do Kubernetes no console do Google Cloud.

   Acessar clusters do Kubernetes

2. Selecione o cluster listado na descoberta do Security Health Analytics.

3. Clique em edit Editar.

   Se a configuração do cluster tiver sido alterada recentemente, o botão de edição poderá ser desativado. Se você não conseguir editar as configurações do cluster, aguarde alguns minutos e tente novamente.

4. Na lista suspensa do Stackdriver Monitoring legado ou do Stackdriver Kubernetes Engine Monitoring, selecione Ativado.

   Essas opções não são compatíveis. Assegure-se de usar o Stackdriver Kubernetes Engine Monitoring apenas, ou Stackdriver Monitoring legado com o Stackdriver Logging legado.

5. Clique em Salvar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Cluster private Google access disabled

Nome da categoria na API: CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED

Os hosts de cluster não estão configurados para usar apenas endereços IP internos particulares para acessar as APIs do Google.

O Acesso privado do Google permite que instâncias de máquina virtual (VM, na sigla em inglês) com apenas endereços IP internos privados acessem os endereços IP públicos das APIs e serviços do Google. Para mais informações, consulte Como configurar o Acesso privado do Google.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Redes de nuvem privada virtual no console do Google Cloud.

   Acessar Redes VPC

2. Na lista de redes, clique no nome da rede desejada.

3. Na página Detalhes da rede VPC, clique na guia Sub-redes.

4. Na lista de sub-redes, clique no nome da sub-rede associada ao cluster do Kubernetes na descoberta.

5. Na página de detalhes da sub-rede, clique em Editar edit.

6. Em Acesso privado do Google, selecione Ativado.

7. Clique em Salvar.

8. Para remover IPs públicos (externos) das instâncias de VM cujo tráfego externo é apenas para APIs do Google, consulte Como cancelar a atribuição de um endereço IP externo estático.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Cluster secrets encryption disabled

Nome da categoria na API: CLUSTER_SECRETS_ENCRYPTION_DISABLED

A criptografia de secrets da camada de aplicativo está desativada em um cluster do GKE.

A criptografia de secrets da camada de aplicativo garante que os secrets do GKE sejam criptografados usando chaves do Cloud KMS. O recurso fornece uma camada extra de segurança para dados confidenciais, como secrets definidos pelo usuário e secrets necessários para a operação do cluster, como chaves de conta de serviço, armazenadas em etcd.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Chaves do Cloud KMS no console do Google Cloud.

   Acesse as chaves do Cloud KMS

2. Revise as chaves do aplicativo ou crie uma chave de criptografia de banco de dados (DEK). Para mais informações, consulte Como criar uma chave do Cloud KMS.

3. Acesse a página Clusters do Kubernetes.

   Acessar clusters do Kubernetes

4. Selecione o cluster na descoberta.

5. Em Segurança, no campo Criptografia de secrets da camada de aplicativos, clique em edit Editar criptografia de secrets da camada de aplicativos.

6. Marque a caixa de seleção Ativar a criptografia de secrets da camada de aplicativos e então escolha a DEK que você criou.

7. Clique em Salvar alterações.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Cluster shielded nodes disabled

Nome da categoria na API: CLUSTER_SHIELDED_NODES_DISABLED

Os nós protegidos do GKE não estão ativados em um cluster.

Sem os nós protegidos do GKE, invasores podem se aproveitar de uma vulnerabilidade em um pod para roubar credenciais de bootstrap e falsificar nós no cluster. A vulnerabilidade pode permitir que invasores acessem secrets do cluster.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Clusters do Kubernetes no console do Google Cloud.

   Acessar clusters do Kubernetes

2. Selecione o cluster na descoberta.

3. Em Segurança, no campo Nós protegidos do GKE, clique em edit Editar nós protegidos do GKE.

4. Marque a caixa de seleção Ativar os nós protegidos do GKE.

5. Clique em Salvar alterações.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Compute project wide SSH keys allowed

Nome da categoria na API: COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

As chaves SSH do projeto são usadas, o que permite o login em todas as instâncias no projeto.

O uso de chaves SSH em todo o projeto facilita o gerenciamento de chaves SSH, mas, se comprometidas, representam um risco de segurança que pode afetar todas as instâncias de um projeto. Use chaves SSH específicas à instância, que limitam a superfície de ataque se as chaves SSH estiverem comprometidas. Para mais informações, consulte Como gerenciar chaves SSH em metadados.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Instâncias de VMs no Console do Google Cloud.

   Acessar instâncias de VM

2. Na lista de instâncias, clique no nome da instância na descoberta.

3. Na página Detalhes da instância de VM, clique em edit Editar.

4. Em Chaves SSH, selecione Bloquear chaves SSH do projeto.

5. Clique em Salvar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Compute Secure Boot disabled

Nome da categoria na API: COMPUTE_SECURE_BOOT_DISABLED

Uma VM protegida não tem está com a Inicialização segura ativada.

O uso da Inicialização segura ajuda a proteger as máquinas virtuais contra rootkits e bootkits. O Compute Engine não ativa a Inicialização segura por padrão porque alguns drivers não assinados e softwares de baixo nível não são compatíveis. Se a VM não usa um software incompatível e é inicializada com a Inicialização segura ativada, o Google recomenda o uso da Inicialização segura. Se você estiver usando módulos de terceiros com drivers NVIDIA, verifique se eles são compatíveis com a Inicialização segura antes de ativá-la.

Para mais informações, consulte Inicialização segura.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Instâncias de VMs no Console do Google Cloud.

   Acessar instâncias de VM

2. Na lista de instâncias, clique no nome da instância na descoberta.

3. Na página Detalhes da instância de VM, clique em stop Interromper.

4. Depois que a instância for interrompida, clique em editEditar.

5. Em VM protegida, selecione Ativar a Inicialização segura.

6. Clique em Salvar.

7. Clique em play_arrow Iniciar para iniciar a instância.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Compute serial ports enabled

Nome da categoria na API: COMPUTE_SERIAL_PORTS_ENABLED

As portas seriais de uma instância estão ativadas, o que permite conexões com o console serial da instância.

Se você ativar o console serial interativo em uma instância, os clientes poderão tentar se conectar a essa instância de qualquer endereço IP. Por isso, o suporte ao console serial interativo precisa estar desativado. Para mais informações, consulte Como ativar o acesso de um projeto.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Instâncias de VMs no Console do Google Cloud.

   Acessar instâncias de VM

2. Na lista de instâncias, clique no nome da instância na descoberta.

3. Na página Detalhes da instância de VM, clique em edit Editar.

4. Em Acesso remoto, desmarque Ativar a conexão com as portas seriais.

5. Clique em Salvar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Confidential Computing disabled

Nome da categoria na API: CONFIDENTIAL_COMPUTING_DISABLED

Uma instância do Compute Engine não tem Computação confidencial ativada.

A Computação confidencial adiciona um terceiro pilar à história de criptografia de ponta a ponta ao criptografar dados durante o uso. Com os ambientes de execução confidenciais fornecidos pela Computação confidencial e a virtualização criptografada segura (SEV, na sigla em inglês) da AMD, o Google Cloud mantém códigos confidenciais e outros dados criptografados na memória durante o processamento.

A Computação confidencial só pode ser ativada quando uma instância é criada. Por isso, você precisa excluir a instância atual e criar uma nova.

Para mais informações, consulte VM confidencial e o Compute Engine.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Instâncias de VMs no Console do Google Cloud.

   Acessar instâncias de VM

2. Na lista de instâncias, clique no nome da instância na descoberta.

3. Na página Detalhes da instância de VM, clique em delete Excluir.

4. Crie uma VM confidencial usando o console do Google Cloud.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

COS not used

Nome da categoria na API: COS_NOT_USED

As VMs do Compute Engine não estão usando o sistema operacional Container-Optimized, que foi projetado para executar contêineres do Docker no Google Cloud com segurança.

O Google recomenda o sistema operacional Container-Optimized para hospedar e executar contêineres no Google Cloud. A pouca ocupação de espaço do sistema operacional diminui a exposição de segurança, enquanto as atualizações automáticas corrigem as vulnerabilidades de segurança no momento certo. Para mais informações, consulte Visão geral do sistema operacional Container-Optimized.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Clusters do Kubernetes no console do Google Cloud.

   Acessar clusters do Kubernetes

2. Na lista de clusters, clique no nome do cluster na descoberta.

3. Clique na guia Nós.

4. Para cada pool de nós:

   1. Clique no nome do pool de nós para acessar a página de detalhes.
   2. Clique em Editar edit.
   3. Em Nós -> Tipo de imagem, clique em Alterar.
   4. Selecione Container-Optimized OS e clique em Alterar.
   5. Clique em Salvar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Custom role not monitored

Nome da categoria na API: CUSTOM_ROLE_NOT_MONITORED

As métricas e os alertas de registro não estão configurados para monitorar as alterações de papéis personalizados.

O IAM fornece papéis predefinidos e personalizados que concedem acesso a recursos específicos do Google Cloud. Ao monitorar as atividades de criação, exclusão e atualização de papéis, é possível identificar papéis com privilégios em excesso nos estágios iniciais. Para mais informações, consulte Visão geral de métricas com base em registros.

Dependendo da quantidade de informações, os custos do Cloud Monitoring podem ser significativos. Para entender o uso do serviço e os custos dele, consulte Otimização de custos para observabilidade do Google Cloud.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Para corrigir essa descoberta, conclua as etapas a seguir:

Criar métrica

1. Acesse a página Métricas com base em registros no console do Google Cloud.

   Acessar métricas com base em registros

2. Clique em Criar métrica.

3. Em Tipo de Métrica, selecione Contador.

4. Em Detalhes:

   1. Defina um Nome da métrica de registro.
   2. Adicione uma descrição.
   3. Definir Unidades para 1.

5. Em Seleção de filtro, copie e cole o texto a seguir na caixa Criar filtro, substituindo o texto atual, se necessário:

     resource.type="iam_role"
     AND (protoPayload.methodName="google.iam.admin.v1.CreateRole"
     OR protoPayload.methodName="google.iam.admin.v1.DeleteRole"
     OR protoPayload.methodName="google.iam.admin.v1.UpdateRole")
   

6. Clique em Criar métrica. Você verá uma confirmação.

Criar política de alertas

1. No painel de navegação do console do Google Cloud, selecione Logging e, em seguida, Métricas com base em registros:

   Acessar Métricas com base em registros

2. Na seção Métricas definidas pelo usuário, selecione a métrica que você criou na seção anterior.

3. Clique em Mais more_vert e depois em Criar alerta com base na métrica.

   A caixa de diálogo Nova condição é aberta com as opções de transformação de dados e métricas pré-preenchidas.

4. Clique em Próxima.
   1. Revise as configurações pré-preenchidas. Convém modificar o Valor do limite.
   2. Clique em Nome da condição e digite um nome para ela.
5. Clique em Próxima.

6. Para adicionar notificações à sua política de alertas, clique em Canais de notificação. Na caixa de diálogo, selecione um ou mais canais de notificação no menu e clique em OK.

   Para receber uma notificação quando os incidentes forem abertos ou fechados, marque Notificar sobre o fechamento de incidentes. Por padrão, as notificações são enviadas apenas quando incidentes são abertos.

7. Opcional: Atualize a Duração do fechamento automático do incidente. Este campo determina quando o Monitoring fecha incidentes na ausência de dados de métrica.
8. Opcional: clique em Documentação e adicione as informações que quer incluir em uma mensagem de notificação.
9. Clique em Nome e digite um nome para a política de alertas.
10. Clique em Criar política.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Dataproc CMEK disabled

Nome da categoria na API: DATAPROC_CMEK_DISABLED

Um cluster do Dataproc foi criado sem uma CMEK de configuração de criptografia. Com a CMEK, as chaves que você cria e gerencia no Cloud Key Management Service encapsulam as chaves que o Google Cloud usa para criptografar seus dados, oferecendo mais controle sobre o acesso a eles.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Cluster do Dataproc no console do Google Cloud.

   Acessar clusters do Dataproc

2. Selecione o projeto e clique em Criar cluster.

3. Na seção Gerenciar segurança, clique em Criptografia e selecione Chave gerenciada pelo cliente.

4. Selecione uma chave gerenciada pelo cliente na lista.

   Se você não tiver uma chave gerenciada pelo cliente para usar, crie uma. Para mais informações, consulte Chaves de criptografia gerenciadas pelo cliente.

5. Verifique se a chave KMS selecionada tem o papel de criptografador/descriptografador do CryptoKey do Cloud KMS atribuído à conta de serviço do cluster do Dataproc ("serviceAccount:service-project_number@compute-system.iam.gserviceaccount.com").

6. Depois de criar o cluster, migre todas as cargas de trabalho do antigo para o novo cluster.

7. Acesse os clusters do Dataproc e selecione seu projeto.

8. Selecione o cluster antigo e clique em delete Excluir cluster.

9. Repita todas as etapas acima para outros clusters do Dataproc disponíveis no projeto selecionado.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Dataproc image outdated

Nome da categoria na API: DATAPROC_IMAGE_OUTDATED

Um cluster do Dataproc foi criado usando uma versão da imagem do Dataproc afetada pelas vulnerabilidades de segurança no utilitário do Apache Log4j 2 (CVE-2021-44228 e CVE-2021-45046).

Esse detector encontra vulnerabilidades verificando se o campo softwareConfig.imageVersion na propriedade config de um Cluster tem uma das seguintes versões afetadas:

• Versões de imagem anteriores à 1.3.95.
• Versões de imagem menores que 1.4.77, 1.5.53 e 2.0.27.

O número da versão de uma imagem personalizada do Dataproc pode ser modificado manualmente. Considere os cenários a seguir.

• É possível modificar a versão de uma imagem personalizada afetada para que ela não seja afetada. Nesse caso, esse detector não emite uma descoberta.
• É possível substituir a versão de uma imagem personalizada não afetada por uma que tenha a vulnerabilidade conhecida. Nesse caso, esse detector emite uma descoberta falsa positiva. Para suprimir essas descobertas de falsos positivos, você pode ignorá-las.

Para corrigir essa descoberta, recrie e atualize o cluster afetado.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Dataset CMEK disabled

Nome da categoria na API: DATASET_CMEK_DISABLED

Um conjunto de dados do BigQuery não está configurado para usar uma chave de criptografia gerenciada pelo cliente (CMEK, na sigla em inglês) padrão.

Com a CMEK, as chaves que você cria e gerencia no Cloud KMS encapsulam as chaves que o Google Cloud usa para criptografar seus dados, oferecendo mais controle sobre o acesso a eles. Para mais informações, consulte Como proteger dados com chaves do Cloud KMS.

Para corrigir essa descoberta, conclua as etapas a seguir:

Não é possível alternar uma tabela no local entre as criptografias padrão e a criptografia CMEK. Para definir uma chave padrão de CMEK com a qual criptografar todas as novas tabelas no conjunto de dados, siga as instruções para Definir uma chave padrão de conjunto de dados.

Definir uma chave padrão não recriptografará retroativamente tabelas atualmente no conjunto de dados com uma nova chave. Para usar a CMEK para dados atuais:

1. Crie um novo conjunto de dados.
2. Defina uma chave de CMEK padrão no conjunto de dados que você criou.
3. Para copiar tabelas para o conjunto de dados ativado da CMEK, siga as instruções em Como copiar uma tabela.
4. Depois de copiar os dados, exclua os conjuntos de dados originais.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Default network

Nome da categoria na API: DEFAULT_NETWORK

A rede padrão existe em um projeto.

As redes padrão criaram automaticamente regras de firewall e configurações de rede que talvez não sejam seguras. Para mais informações, consulte Rede padrão.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Redes VPC no Console do Google Cloud.

   Acessar redes VPC

2. Na lista de redes, clique no nome da rede padrão.

3. Na página Detalhes da rede VPC, clique em delete Excluir rede VPC.

4. Para criar uma nova rede com regras de firewall personalizadas, consulte Como criar redes.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Default service account used

Nome da categoria na API: DEFAULT_SERVICE_ACCOUNT_USED

Uma instância do Compute Engine está configurada para usar a conta de serviço padrão.

A conta de serviço padrão do Compute Engine tem o papel Editor no projeto, o que permite acesso de leitura e gravação à maioria dos serviços do Google Cloud. Para se proteger contra escalonamentos de privilégios e acesso não autorizado, não use a conta de serviço padrão do Compute Engine. Em vez disso, crie uma nova conta de serviço e atribua apenas as permissões necessárias à instância. Leia Controle de acesso para ver informações sobre papéis e permissões do IAM.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Instâncias de VMs no Console do Google Cloud.

   Acessar instâncias de VM

2. Selecione a instância relacionada à descoberta do Security Health Analytics.

3. Na página Detalhes da instância carregada, clique em stop Interromper.

4. Depois que a instância for interrompida, clique em edit Editar.

5. Na seção Conta de serviço, selecione uma conta de serviço que não seja a padrão do Compute Engine. Talvez seja necessário criar primeiro uma conta de serviço. Leia Controle de acessopara ver informações sobre papéis e permissões do IAM.

6. Clique em Salvar. A nova configuração aparecerá na página Detalhes da instância.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Disk CMEK disabled

Nome da categoria na API: DISK_CMEK_DISABLED

Os discos nesta VM não são criptografados com chaves de criptografia gerenciadas pelo cliente.

Com a CMEK, as chaves que você cria e gerencia no Cloud KMS encapsulam as chaves que o Google Cloud usa para criptografar seus dados, oferecendo mais controle sobre o acesso a eles. Para mais informações, consulte Como proteger recursos com as chaves do Cloud KMS.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Discos do Compute Engine no console do Google Cloud.

   Acesse discos do Compute Engine

2. Na lista de discos, clique no nome do disco indicado na descoberta.

3. Na página Gerenciar disco, clique em delete Excluir.

4. Para criar um novo disco com a CMEK ativada, consulte Criptografar um novo disco permanente com suas próprias chaves. As CMEK geram custos adicionais relacionados ao Cloud KMS.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Disk CSEK disabled

Nome da categoria na API: DISK_CSEK_DISABLED

Os discos nesta VM não são criptografados com chaves de criptografia fornecidas pelo cliente (CSEK, na sigla em inglês). Os discos de VMs essenciais devem ser criptografados com CSEK.

Se você fornecer as próprias chaves de criptografia que você tem, o Compute Engine as usará para proteger aquelas geradas pelo Google e usadas para criptografar e descriptografar os dados. Para mais informações, consulte Chaves de criptografia fornecidas pelo cliente. A CSEK gera custos adicionais relacionados ao Cloud KMS.

Para corrigir essa descoberta, conclua as etapas a seguir:

Excluir e criar disco

Você só pode criptografar novos discos permanentes com sua própria chave. Não é possível criptografar os discos permanentes atuais com ela.

1. Acesse a página Discos do Compute Engine no console do Google Cloud.

   Acesse discos do Compute Engine

2. Na lista de discos, clique no nome do disco indicado na descoberta.

3. Na página Gerenciar disco, clique em delete Excluir.

4. Para criar um novo disco com a CSEK ativada, consulte Criptografar discos com chaves de criptografia fornecidas pelo cliente.

5. Conclua as etapas restantes para ativar o detector.

Ativar o detector

1. Acesse a página Recursos do Security Command Center no Console do Google Cloud.

   Acesse Recursos

2. Na seção Tipo de recurso do painel Filtros rápidos, selecione compute.disk.

   Se compute.Disk não aparecer, clique em compute.Disk, insira Disk no campo de pesquisa e clique em compute.Disk.

   O painel Resultados é atualizado para mostrar apenas instâncias do tipo de recurso compute.Disk.

3. Na coluna Nome de exibição, selecione a caixa ao lado do nome do disco que você quer usar com CSEK e clique em Definir marcas de segurança.

4. Na caixa de diálogo, clique em Adicionar marcação.

5. No campo chave, digite enforce_customer_supplied_disk_encryption_keys e, no campo valor, digite true.

6. Clique em Salvar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

DNS logging disabled

Nome da categoria na API: DNS_LOGGING_DISABLED

O monitoramento de registros do Cloud DNS fornece nomes de DNS solicitados pelos clientes na rede VPC. Nesses registros, podem ser monitorados nomes de domínios anômalos e avaliados em relação à inteligência contra ameaças. Recomendamos ativar a geração de registros de DNS para redes VPC.

Dependendo da quantidade de informações, os custos do Cloud DNS Logging podem ser significativos. Para entender o uso do serviço e o custo dele, consulte Preços de observabilidade do Google Cloud: Cloud Logging.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Redes VPC no console do Google Cloud.

   Acessar redes VPC

2. Na lista de redes, clique no nome da rede VPC.

3. Crie uma nova política de servidor (se não houver uma) ou edite uma política atual:

   • Se a rede não tiver uma política de servidor DNS, siga estas etapas:

     1. Clique em edit Editar.
     2. No campo Política de servidor DNS, clique em Criar uma nova política de servidor.
     3. Digite um nome para a nova política de servidor.
     4. Defina Registros como Ativado.
     5. Clique em Salvar.

   • Se a rede tiver uma política de servidor DNS, siga estas etapas:

     1. No campo DNS server policy, clique no nome da política DNS.
     2. Clique em editEditar política.
     3. Defina Registros como Ativado.
     4. Clique em Salvar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

DNSSEC disabled

Nome da categoria na API: DNSSEC_DISABLED

As extensões de segurança do Sistema de Nome de Domínio (DNSSEC, na sigla em inglês) estão desativadas para zonas do Cloud DNS.

As DNSSEC validam as respostas de DNS e reduzem os riscos, como de invasão de DNS e ataques de person-in-the-middle assinando criptograficamente os registros de DNS. Ative as DNSSEC. Para mais informações, consulte a Visão geral das extensões de segurança do DNS (DNSSEC).

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Vá para a página Cloud DNS no console do Google Cloud.

   Acesse as redes do Cloud DNS

2. Localize a linha com a zona DNS indicada na descoberta.

3. Clique na configuração de DNSSEC na linha e, em DNSSEC, selecione Ativar.

4. Leia a caixa de diálogo que aparece. Se estiver tudo certo, clique em Ativar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Egress deny rule not set

Nome da categoria na API: EGRESS_DENY_RULE_NOT_SET

Uma regra de negação de saída não é definida em um firewall.

Um firewall que nega todo o tráfego de rede de saída impede conexões de rede de saída indesejadas, exceto as conexões explicitamente autorizadas por outros firewalls. Para mais informações, consulte Casos de saída.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Firewall no Console do Google Cloud.

   Ir até o Firewall

2. Clique em Criar regra de firewall.

3. Dê um nome ao firewall e, opcionalmente, adicione uma descrição.

4. Em Direção do tráfego, selecione Saída.

5. Em Ação se houver correspondência, selecione Negar.

6. No menu suspenso Objetivos, selecione Todas as instâncias na rede.

7. No menu suspenso Filtro de destino, selecione Intervalos de IP e digite 0.0.0.0/0 na caixa Intervalos de IP de destino.

8. Em Protocolos e portas, selecione Negar tudo.

9. Clique em Desativar regra e, em Aplicação, selecione Ativado.

10. Clique em Criar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Essential contacts not configured

Nome da categoria na API: ESSENTIAL_CONTACTS_NOT_CONFIGURED

Sua organização não designou uma pessoa ou um grupo para receber notificações do Google Cloud sobre eventos importantes, como ataques, vulnerabilidades e incidentes de dados na organização do Google Cloud. Recomendamos designar como contato essencial uma ou mais pessoas ou grupos na sua organização de negócios.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Contatos essenciais no console do Google Cloud.

   Acessar Contatos essenciais.

2. Verifique se a organização aparece no seletor de recursos na parte de cima da página. O seletor de recursos informa de qual projeto, pasta ou organização você está gerenciando contatos no momento.

3. Clique em +Adicionar contato. O painel Adicionar um contato é aberto.

4. Nos campos E-mail e Confirmar e-mail, insira o endereço de e-mail do contato.

5. Na seção Categorias de notificação, selecione as categorias de notificação sobre as quais você quer que o contato receba comunicações. Verifique se os endereços de e-mail apropriados estão configurados para cada uma das categorias de notificação a seguir:

   1. Ofício
   2. Segurança
   3. Suspensão
   4. Benefícios técnicos

6. Clique em Save. read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Firewall not monitored

Nome da categoria na API: FIREWALL_NOT_MONITORED

As métricas e os alertas de registro não estão configurados para monitorar alterações de regras do Firewall da rede VPC.

O monitoramento de eventos de criação e atualização de regras de firewall oferece insights sobre alterações no acesso à rede, além de ajudar a detectar rapidamente atividades suspeitas. Para mais informações, consulte Visão geral de métricas com base em registros.

Dependendo da quantidade de informações, os custos do Cloud Monitoring podem ser significativos. Para entender o uso do serviço e os custos dele, consulte Otimização de custos para observabilidade do Google Cloud.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Para corrigir essa descoberta, conclua as etapas a seguir:

Criar métrica

1. Acesse a página Métricas com base em registros no console do Google Cloud.

   Acessar métricas com base em registros

2. Clique em Criar métrica.

3. Em Tipo de Métrica, selecione Contador.

4. Em Detalhes:

   1. Defina um Nome da métrica de registro.
   2. Adicione uma descrição.
   3. Definir Unidades para 1.

5. Em Seleção de filtro, copie e cole o texto a seguir na caixa Criar filtro, substituindo o texto atual, se necessário:

     resource.type="gce_firewall_rule"
     AND (protoPayload.methodName:"compute.firewalls.insert"
     OR protoPayload.methodName:"compute.firewalls.patch"
     OR protoPayload.methodName:"compute.firewalls.delete")
   

6. Clique em Criar métrica. Você verá uma confirmação.

Criar política de alertas

1. No painel de navegação do console do Google Cloud, selecione Logging e, em seguida, Métricas com base em registros:

   Acessar Métricas com base em registros

2. Na seção Métricas definidas pelo usuário, selecione a métrica que você criou na seção anterior.

3. Clique em Mais more_vert e depois em Criar alerta com base na métrica.

   A caixa de diálogo Nova condição é aberta com as opções de transformação de dados e métricas pré-preenchidas.

4. Clique em Próxima.
   1. Revise as configurações pré-preenchidas. Convém modificar o Valor do limite.
   2. Clique em Nome da condição e digite um nome para ela.
5. Clique em Próxima.

6. Para adicionar notificações à sua política de alertas, clique em Canais de notificação. Na caixa de diálogo, selecione um ou mais canais de notificação no menu e clique em OK.

   Para receber uma notificação quando os incidentes forem abertos ou fechados, marque Notificar sobre o fechamento de incidentes. Por padrão, as notificações são enviadas apenas quando incidentes são abertos.

7. Opcional: Atualize a Duração do fechamento automático do incidente. Este campo determina quando o Monitoring fecha incidentes na ausência de dados de métrica.
8. Opcional: clique em Documentação e adicione as informações que quer incluir em uma mensagem de notificação.
9. Clique em Nome e digite um nome para a política de alertas.
10. Clique em Criar política.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Firewall rule logging disabled

Nome da categoria na API: FIREWALL_RULE_LOGGING_DISABLED

A geração de registros de regras de firewall está desativada.

A geração de registros de regras de firewall permite auditar, verificar e analisar os efeitos das regras de firewall. Isso pode ser útil para auditar o acesso à rede ou fornecer aviso antecipado de que a rede está sendo usada de maneira não aprovada. O custo dos registros pode ser significativo. Para mais informações sobre a geração de registros de regras de firewall e o respectivo custo, consulte Como usar o registro de regras de firewall.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Firewall no Console do Google Cloud.

   Acessar o Firewall

2. Na lista de regras de firewall, clique no nome da regra desejada.

3. Clique em edit Editar.

4. Em Registros, selecione Ativado.

5. Clique em Salvar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Flow logs disabled

Nome da categoria na API: FLOW_LOGS_DISABLED

Há uma sub-rede VPC com registros de fluxo desativados.

Os registros de fluxo de VPC registram uma amostra de fluxos de rede enviados e recebidos por instâncias de VM. Esses registros podem ser usados para monitoramento de rede, perícia forense, análise de segurança em tempo real e otimização de despesas. Para mais informações sobre registros de fluxo e o custo deles, consulte Como usar registros de fluxo da VPC.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Redes VPC no Console do Google Cloud.

   Acessar redes VPC

2. Na lista de redes, clique no nome da rede desejada.

3. Na página Detalhes da rede VPC, clique na guia Sub-redes.

4. Na lista de sub-redes, clique no nome da sub-rede indicada na descoberta.

5. Na página Detalhes da sub-rede, clique em edit Editar.

6. Em Registros de fluxo, selecione Ativar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Flow logs settings not recommended

Nome da categoria na API: VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Na configuração de uma sub-rede em uma rede VPC, o serviço de registros de fluxo de VPC está desativado ou não está configurado de acordo com as recomendações do CIS Benchmark 1.3. Os registros de fluxo de VPC salvam uma amostra dos fluxos de rede enviados e recebidos por instâncias de VM que pode ser usada para detectar ameaças.

Para mais informações sobre registros de fluxo de VPC e seu custo, consulte Como usar registros de fluxo de VPC.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Redes VPC no Console do Google Cloud.

   Acessar redes VPC

2. Na lista de redes, clique no nome da rede.

3. Na página Detalhes da rede VPC, clique na guia Sub-redes.

4. Na lista de sub-redes, clique no nome da sub-rede indicada na descoberta.

5. Na página Detalhes da sub-rede, clique em edit Editar.

6. Em Registros de fluxo, selecione Ativar.

   1. É possível modificar a configuração dos registros clicando no botão Configurar registros para expandir a guia. O CIS Benchmarks recomenda as seguintes configurações:
      1. Defina o Intervalo de agregação como 5 SEG.
      2. Na caixa de seleção Outros campos, selecione a opção Incluir metadados.
      3. Defina a Taxa de amostragem para 100%.
      4. Clique no botão SALVAR.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Full API access

Nome da categoria na API: FULL_API_ACCESS

Uma instância do Compute Engine está configurada para usar a conta de serviço padrão com acesso total a todas as APIs do Google Cloud.

Uma instância configurada com o escopo da conta de serviço padrão, Permitir acesso total a todas as APIs do Cloud, pode permitir que os usuários executem operações ou chamadas de API para as quais eles não têm permissões do IAM. Para mais informações, consulte Conta do serviço padrão do Compute Engine.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Instâncias de VMs no Console do Google Cloud.

   Acessar instâncias de VM

2. Na lista de instâncias, clique no nome da instância na descoberta.

3. Clique em stopInterromper se a instância já estiver iniciada.

4. Depois que a instância for interrompida, clique em editEditar.

5. Em Conta de serviço, no menu suspenso, selecione Conta de serviço padrão do Compute Engine.

6. Na seção Escopos de acesso, verifique se a opção Permitir acesso total a todas as APIs do Cloud não está selecionada.

7. Clique em Salvar.

8. Clique em play_arrow Iniciar para iniciar a instância.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

HTTP load balancer

Nome da categoria na API: HTTP_LOAD_BALANCER

Uma instância do Compute Engine usa um balanceador de carga configurado para usar um proxy HTTP de destino em vez de um proxy HTTPS de destino.

Para proteger a integridade dos dados e impedir que invasores adulterem as comunicações, configure os balanceadores de carga HTTP(S) para permitir somente tráfego HTTPS. Para mais informações, consulte Visão geral do balanceamento de carga HTTP(S) externo.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Proxies de destino no console do Google Cloud.

   Acesse proxies de destino

2. Na lista de proxies de destino, clique no nome do proxy de destino na descoberta.

3. Clique no link em Mapa de URL.

4. Clique em edit Editar.

5. Clique em Configuração de front-end.

6. Exclua todas as configurações de IP de front-end e de porta que permitem o tráfego HTTP e crie novas configurações que permitam tráfego HTTPS.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Instance OS login disabled

Nome da categoria na API: INSTANCE_OS_LOGIN_DISABLED

O login do SO está desativado nesta instância do Compute Engine.

O login de SO ativa o gerenciamento centralizado de chave SSH com IAM e desativa a configuração de chave SSH baseada em metadados em todas as instâncias de um projeto. Saiba como instalar e configurar o login do SO.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Instâncias de VMs no Console do Google Cloud.

   Acessar instâncias de VM

2. Na lista de instâncias, clique no nome da instância na descoberta.

3. Na página Detalhes da instância carregada, clique em stop Parar.

4. Depois que a instância for interrompida, clique em edit Editar.

5. Na seção Metadados personalizados, verifique se o item com a chave enable-oslogin tem o valor TRUE.

6. Clique em Salvar.

7. Clique em play_arrow Iniciar para iniciar a instância.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Integrity monitoring disabled

Nome da categoria na API: INTEGRITY_MONITORING_DISABLED

O monitoramento de integridade está desativado em um cluster do GKE.

O Monitoramento de integridade permite monitorar e verificar a integridade da inicialização do ambiente de execução dos seus nós protegidos usando o Monitoring. Isso permite que você responda a falhas de integridade e impeça a implantação de nós comprometidos no cluster.

Para corrigir essa descoberta, conclua as etapas a seguir:

Depois que um nó é provisionado, não é possível atualizá-lo para ativar o monitoramento de integridade. Crie um novo pool de nós com o monitoramento de integridade ativado.

1. Acesse a página Clusters do Kubernetes no console do Google Cloud.

   Acessar clusters do Kubernetes

2. Clique no nome do cluster na descoberta.

3. Clique em Adicionar pool de nós.

4. Na guia Segurança, verifique se Ativar monitoramento de integridade está ativado.

5. Clique em Criar.

6. Para migrar as cargas de trabalho dos pools de nós não compatíveis existentes para os novos pools de nós, consulte Como migrar cargas de trabalho para diferentes tipos de máquina.

7. Depois que suas cargas de trabalho forem movidas, exclua o pool de nós original não conforme.

   1. Na página de Clusters do Kubernetes, no menu Pools de nós, clique no nome do pool de nós que você quer excluir.
   2. Clique em Remover pool de nós.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Intranode visibility disabled

Nome da categoria na API: INTRANODE_VISIBILITY_DISABLED

A visibilidade intranós é desativada para um cluster do GKE.

Ativar a visibilidade intranós torna o tráfego intranós entre pods visível para os recursos de infraestrutura da rede. Com esse recurso, é possível usar a geração de registros de fluxo ou outros recursos da VPC para monitorar ou controlar o tráfego intranós. Para acessar registros, você precisa ativar os registros de fluxo de VPC na sub-rede selecionada. Para ver mais informações, consulte como usar registros de fluxo de VPC.

Para corrigir essa descoberta, conclua as etapas a seguir:

Depois que um nó é provisionado, não é possível atualizá-lo para ativar o monitoramento de integridade. Crie um novo pool de nós com o monitoramento de integridade ativado.

1. Acesse a página Clusters do Kubernetes no console do Google Cloud.

   Acessar clusters do Kubernetes

2. Na seção Rede, clique no ícone de edição (edit) na linha Visibilidade intranós.

   Se a configuração do cluster tiver sido alterada recentemente, o botão de edição poderá ser desativado. Se você não conseguir editar as configurações do cluster, aguarde alguns minutos e tente novamente.

3. Na caixa de diálogo, selecione Ativar visibilidade intranós.

4. Clique em Salvar alterações.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

IP alias disabled

Nome da categoria na API: IP_ALIAS_DISABLED

Um cluster do GKE foi criado com intervalos de IP de alias desativados.

Quando você ativa intervalos de IP de alias, os clusters do GKE alocam endereços IP de um bloco CIDR conhecido. Assim, o cluster é escalonável e interage melhor com produtos e entidades do Google Cloud. Para mais informações, consulte Visão geral sobre intervalos de IP de alias.

Para corrigir essa descoberta, conclua as etapas a seguir:

Não é possível migrar um cluster para usar IPs de alias. Para criar um novo cluster com IPs de alias ativados, faça o seguinte:

1. Acesse a página Clusters do Kubernetes no console do Google Cloud.

   Acessar clusters do Kubernetes

2. Clique em Criar.

3. No painel de navegação, em Cluster, clique em Rede.

4. Em Opções avançadas de rede, selecione Ativar roteamento de tráfego nativo de VPC (usa IP do alias).

5. Clique em Criar.

   .

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

IP forwarding enabled

Nome da categoria na API: IP_FORWARDING_ENABLED

O encaminhamento de IP está ativado nas instâncias do Compute Engine.

Evite a perda de dados e a divulgação de informações desativando o encaminhamento do IP de pacotes de dados das VMs.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Instâncias de VMs no Console do Google Cloud.

   Acessar instâncias de VM

2. Na lista de instâncias, marque a caixa ao lado do nome da instância na descoberta.

3. Clique em deleteExcluir

4. Selecione Criar instância para criar uma nova instância e substituir a que você excluiu.

5. Para garantir que o encaminhamento de IP esteja desativado, clique em Gerenciamento, discos, rede, chaves SSH e depois em Rede.

6. Em Interfaces de rede, clique em edit Editar.

7. Em Encaminhamento de IP, no menu suspenso, verifique se Desativado está selecionado.

8. Especifique quaisquer outros parâmetros da instância e clique em Criar. Para mais informações, consulte Como criar e iniciar uma instância de VM.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

KMS key not rotated

Nome da categoria na API: KMS_KEY_NOT_ROTATED

A rotação não está configurada em uma chave de criptografia do Cloud KMS.

A rotação regular das chaves de criptografia oferece proteção caso uma chave fique comprometida e limita o número de mensagens criptografadas disponíveis para criptoanálise de uma versão de chave específica. Para mais informações, consulte Rotação de chaves.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Chaves do Cloud KMS no console do Google Cloud.

   Acesse as chaves do Cloud KMS

2. Clique no nome do keyring indicado na descoberta.

3. Clique no nome da chave indicada na descoberta.

4. Clique em Editar período de rotação.

5. Defina o período de rotação até o máximo de 90 dias.

6. Clique em Salvar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

KMS project has owner

Nome da categoria na API: KMS_PROJECT_HAS_OWNER

Um usuário tem permissões roles/Owner em um projeto que tem chaves criptográficas. Para mais informações, consulte Permissões e papéis.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página "IAM" no Console do Google Cloud.

   Acesse a página do IAM

2. Se necessário, selecione o projeto na descoberta.

3. Para cada membro atribuído ao papel de Proprietário:

   1. Clique em edit Editar.
   2. No painel Editar permissões, ao lado do papel Proprietário, clique em delete Excluir.
   3. Clique em Salvar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

KMS public key

Nome da categoria na API: KMS_PUBLIC_KEY

Uma cryptokey ou um keyring do Cloud KMS são públicos e acessíveis a qualquer pessoa na Internet. Para mais informações, consulte Como usar o IAM com o Cloud KMS.

Para corrigir essa descoberta, se ela estiver relacionada a uma cryptokey:

1. Acesse a página Chaves criptográficas no console do Google Cloud.

   Chaves criptográficas

2. Em Nome, selecione o keyring que contém a chave criptográfica relacionada à descoberta do Security Health Analytics.

3. Na página Detalhes do keyring carregada, marque a caixa de seleção ao lado da chave criptográfica.

4. Se o PAINEL DE INFORMAÇÕES não for exibido, clique no botão MOSTRAR PAINEL DE INFORMAÇÕES.

5. Use a caixa de filtro anterior a Papel/Membro para pesquisar membros de allUsers e allAuthenticatedUsers, e clique em Excluir delete para remover o acesso desses membros.

Para corrigir essa descoberta, se ela estiver relacionada a um keyring:

1. Acesse a página Chaves criptográficas no console do Google Cloud.

   Chaves criptográficas

2. Encontre a linha com o keyring na descoberta e marque a caixa de seleção.

3. Se o PAINEL DE INFORMAÇÕES não for exibido, clique no botão MOSTRAR PAINEL DE INFORMAÇÕES.

4. Use a caixa de filtro anterior a Papel/Membro para pesquisar membros de allUsers e allAuthenticatedUsers, e clique em Excluir delete para remover o acesso desses membros.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

KMS role separation

Nome da categoria na API: KMS_ROLE_SEPARATION

Essa descoberta não está disponível para ativações no nível do projeto.

Um ou mais principais têm várias permissões do Cloud KMS atribuídas. É recomendável que nenhuma conta tenha o administrador do Cloud KMS simultaneamente com outras permissões do Cloud KMS. Para mais informações, consulte Permissões e papéis.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página "IAM" no Console do Google Cloud.

   Acessar IAM

2. Para cada membro listado na descoberta, faça o seguinte:

   1. Verifique se o papel foi herdado de um recurso ou pasta da organização checando a coluna Herança. Se a coluna contiver um link para um recurso pai, clique no link para acessar a página do IAM do recurso pai.
   2. Clique em Editar edit ao lado de um membro.
   3. Para remover as permissões, clique em Excluir delete ao lado deAdministrador do Cloud KMS. Se você quiser remover todas as permissões do membro, clique em Excluir ao lado de todas as outras permissões.

3. Clique em Salvar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Legacy authorization enabled

Nome da categoria na API: LEGACY_AUTHORIZATION_ENABLED

A autorização legada está ativada em clusters do GKE.

No Kubernetes, o controle de acesso baseado no papel (RBAC, na sigla em inglês) permite definir papéis com regras que contêm um conjunto de permissões e conceder permissões nos níveis do cluster e do namespace. Isso oferece maior segurança ao garantir que os usuários tenham acesso somente a recursos específicos. Considere desativar o controle de acesso baseado em atributo (ABAC, na sigla em inglês) legado.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Clusters do Kubernetes no console do Google Cloud.

   Acessar clusters do Kubernetes

2. Selecione o cluster listado na descoberta do Security Health Analytics.

3. Clique em edit Editar.

   Se a configuração do cluster tiver sido alterada recentemente, o botão de edição poderá ser desativado. Se você não conseguir editar as configurações do cluster, aguarde alguns minutos e tente novamente.

4. Na lista suspensa Autorização herdada, selecione Desativada.

5. Clique em Salvar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Legacy metadata enabled

Nome da categoria na API: LEGACY_METADATA_ENABLED

Os metadados legados são ativados nos clusters do GKE.

O servidor de metadados da instância do Compute Engine expõe endpoints /0.1/ e /v1beta1/ herdados, que não impõem cabeçalhos de consulta de metadados. Esse é um recurso nas APIs /v1/ que dificulta que um invasor em potencial recupere metadados de instância. A menos que seja necessário, recomendamos desativar as APIs legadas /0.1/ e /v1beta1/.

Para mais informações, consulte Como desativar e fazer a transição a partir de APIs de metadados legados.

Para corrigir essa descoberta, conclua as etapas a seguir:

Só é possível desativar as APIs de metadados legados ao criar um novo cluster ou ao adicionar um novo pool de nós a um cluster existente. Para atualizar um cluster atual e desativar as APIs de metadados legados, consulte Como migrar cargas de trabalho para diferentes tipos de máquina.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Legacy network

Nome da categoria na API: LEGACY_NETWORK

Existe uma rede legada em um projeto.

As redes legadas não são recomendadas porque muitos dos novos recursos de segurança do Google Cloud não são compatíveis com elas. Use redes VPC. Para mais informações, consulte Redes legadas.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Redes VPC no Console do Google Cloud.

   Acessar redes VPC

2. Para criar uma nova rede não legada, clique em Criar rede.

3. Volte para a página Redes VPC.

4. Na lista de redes, clique em legacy_network.

5. Na página Detalhes da rede VPC, clique em delete Excluir rede VPC.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Load balancer logging disabled

Nome da categoria na API: LOAD_BALANCER_LOGGING_DISABLED

A geração de registros está desativada para o serviço de back-end em um balanceador de carga.

Ativar a geração de registros para um balanceador de carga permite que você confira o tráfego de rede HTTP(S) dos seus aplicativos da Web. Saiba mais em Balanceador de carga.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Balanceamento de carga do Cloud no Console do Google Cloud.

   Acessar o Cloud Load Balancing

2. Clique no nome do balanceador de carga.

3. Clique em Editar edit.

4. Clique em Configuração de back-end.

5. Na página Configuração de back-end, clique em edit.

6. Na seção Logging, selecione Ativar geração de registros e escolha a melhor taxa de amostragem para seu projeto.

7. Para concluir a edição do serviço de back-end, clique em Atualizar.

8. Para concluir a edição do balanceador de carga, clique em Atualizar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Locked retention policy not set

Nome da categoria na API: LOCKED_RETENTION_POLICY_NOT_SET

Uma política de retenção bloqueada não está definida para os registros.

Uma política de retenção bloqueada impede que os registros sejam substituídos e que o bucket de registros seja excluído. Para mais informações, consulte Bloqueio de bucket.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Navegador do Storage no console do Google Cloud.

   Acessar o navegador do Storage

2. Selecione o bucket listado na descoberta do Security Health Analytics.

3. Na página Detalhes do bucket, clique na guia Retenção.

4. Se uma política de retenção não tiver sido definida, clique em Definir política de retenção.

5. Insira um período de armazenamento.

6. Clique em Salvar. A política de retenção é mostrada na guia Retenção.

7. Clique em Bloquear para garantir que o período de retenção não seja encurtado ou removido.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Log not exported

Nome da categoria na API: LOG_NOT_EXPORTED

Há um recurso que não tem um coletor de registros apropriado configurado.

O Cloud Logging ajuda você a encontrar rapidamente a causa de problemas no sistema e nos aplicativos. No entanto, por padrão, a maioria dos registros é mantida por 30 dias. Exporte cópias de todas as entradas de registro para estender o período de armazenamento. Para mais informações, consulte Visão geral das exportações de registros.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Roteador de registros no console do Google Cloud.

   Acessar o roteador de registros

2. Clique em Criar coletor.

3. Para garantir que todos os registros sejam exportados, deixe os filtros de inclusão e exclusão vazios.

4. Clique em Criar coletor.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Master authorized networks disabled

Nome da categoria na API: MASTER_AUTHORIZED_NETWORKS_DISABLED

As redes autorizadas do plano de controle não estão ativadas nos clusters do GKE.

Redes autorizadas do plano de controle melhoram a segurança do cluster de contêiner bloqueando o acesso de endereços IP especificados ao plano de controle do cluster. Para mais informações, consulte Como adicionar redes autorizadas para acesso ao plano de controle.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Clusters do Kubernetes no console do Google Cloud.

   Acessar clusters do Kubernetes

2. Selecione o cluster listado na descoberta do Security Health Analytics.

3. Clique em edit Editar.

   Se a configuração do cluster tiver sido alterada recentemente, o botão de edição poderá ser desativado. Se você não conseguir editar as configurações do cluster, aguarde alguns minutos e tente novamente.

4. Na lista suspensa Redes autorizadas do plano de controle, selecione Ativada.

5. Clique em Adicionar rede autorizada.

6. Especifique as redes autorizadas que você quer usar.

7. Clique em Salvar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

MFA not enforced

Nome da categoria na API: MFA_NOT_ENFORCED

Essa descoberta não está disponível para ativações no nível do projeto.

A autenticação multifator, especificamente a verificação em duas etapas (2SV), está desativada para alguns usuários na organização.

A autenticação multifator pode ser usada para evitar acessos não autorizados a contas e é a ferramenta mais importante para proteger a organização contra credenciais de login comprometidas. Para mais informações, consulte Proteger a empresa com a verificação em duas etapas.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Admin Console no console do Google Cloud.

   Acessar o Admin Console

2. Aplique a verificação em duas etapas em todas as unidades organizacionais.

Suprimir descobertas deste tipo

Para suprimir a descoberta desse tipo, defina uma regra de silenciamento que silencia automaticamente as descobertas futuras desse tipo. Para mais informações, consulte Desativar descobertas no Security Command Center.

Embora não seja uma maneira recomendada de suprimir descobertas, também é possível adicionar marcações de segurança dedicadas aos recursos para que os detectores da Análise de integridade da segurança não criem descobertas de segurança para esses recursos.

• Para evitar que essa descoberta seja ativada novamente, adicione a marcação de segurança allow_mfa_not_enforced com um valor de true ao recurso.
• Para ignorar possíveis violações em unidades organizacionais específicas, adicione a marcação de segurança excluded_orgunits ao recurso com uma lista separada por vírgulas de caminhos de unidades organizacionais no campo valor. Por exemplo, excluded_orgunits:/people/vendors/vendorA,/people/contractors/contractorA.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Network not monitored

Nome da categoria na API: NETWORK_NOT_MONITORED

As métricas e os alertas de registro não estão configurados para monitorar alterações de rede VPC.

Para detectar alterações incorretas ou não autorizadas na configuração de rede, monitore as alterações da rede VPC. Para mais informações, consulte Visão geral de métricas com base em registros.

Dependendo da quantidade de informações, os custos do Cloud Monitoring podem ser significativos. Para entender o uso do serviço e os custos dele, consulte Otimização de custos para observabilidade do Google Cloud.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Para corrigir essa descoberta, conclua as etapas a seguir:

Criar métrica

1. Acesse a página Métricas com base em registros no console do Google Cloud.

   Acessar métricas com base em registros

2. Clique em Criar métrica.

3. Em Tipo de Métrica, selecione Contador.

4. Em Detalhes:

   1. Defina um Nome da métrica de registro.
   2. Adicione uma descrição.
   3. Definir Unidades para 1.

5. Em Seleção de filtro, copie e cole o texto a seguir na caixa Criar filtro, substituindo o texto atual, se necessário:

     resource.type="gce_network"
     AND (protoPayload.methodName:"compute.networks.insert"
     OR protoPayload.methodName:"compute.networks.patch"
     OR protoPayload.methodName:"compute.networks.delete"
     OR protoPayload.methodName:"compute.networks.removePeering"
     OR protoPayload.methodName:"compute.networks.addPeering")
   

6. Clique em Criar métrica. Você verá uma confirmação.

Criar política de alertas

1. No painel de navegação do console do Google Cloud, selecione Logging e, em seguida, Métricas com base em registros:

   Acessar Métricas com base em registros

2. Na seção Métricas definidas pelo usuário, selecione a métrica que você criou na seção anterior.

3. Clique em Mais more_vert e depois em Criar alerta com base na métrica.

   A caixa de diálogo Nova condição é aberta com as opções de transformação de dados e métricas pré-preenchidas.

4. Clique em Próxima.
   1. Revise as configurações pré-preenchidas. Convém modificar o Valor do limite.
   2. Clique em Nome da condição e digite um nome para ela.
5. Clique em Próxima.

6. Para adicionar notificações à sua política de alertas, clique em Canais de notificação. Na caixa de diálogo, selecione um ou mais canais de notificação no menu e clique em OK.

   Para receber uma notificação quando os incidentes forem abertos ou fechados, marque Notificar sobre o fechamento de incidentes. Por padrão, as notificações são enviadas apenas quando incidentes são abertos.

7. Opcional: Atualize a Duração do fechamento automático do incidente. Este campo determina quando o Monitoring fecha incidentes na ausência de dados de métrica.
8. Opcional: clique em Documentação e adicione as informações que quer incluir em uma mensagem de notificação.
9. Clique em Nome e digite um nome para a política de alertas.
10. Clique em Criar política.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Network policy disabled

Nome da categoria na API: NETWORK_POLICY_DISABLED

A política de rede está desativada nos clusters do GKE.

Por padrão, a comunicação entre pods fica aberta. A comunicação aberta permite que os pods se conectem diretamente nos nós, com ou sem conversão de endereços de rede. Um recurso NetworkPolicy é como um firewall no nível do pod que restringe as conexões entre os pods, a menos que o recurso NetworkPolicy permita explicitamente a conexão. Aprenda a definir uma política de rede.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Clusters do Kubernetes no console do Google Cloud.

   Acessar clusters do Kubernetes

2. Clique no nome do cluster listado na descoberta do Security Health Analytics.

3. Em Rede, na linha da política de rede do Calico Kubernetes, clique em edit Editar.

   Se a configuração do cluster tiver sido alterada recentemente, o botão de edição poderá ser desativado. Se você não conseguir editar as configurações do cluster, aguarde alguns minutos e tente novamente.

4. Na caixa de diálogo, selecione Ativar a política de rede do Kubernetes no Kubernetes para o plano de controle e Ativar a política de rede do Kubernetes no Calico para nós.

5. Clique em Salvar alterações.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Nodepool boot CMEK disabled

Nome da categoria na API: NODEPOOL_BOOT_CMEK_DISABLED

Os discos de inicialização nesse pool de nós não são criptografados com chaves de criptografia gerenciadas pelo cliente. As CMEK permitem que o usuário configure as chaves de criptografia padrão para discos de inicialização em um pool de nós.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Clusters do Kubernetes no console do Google Cloud.

   Acessar clusters do Kubernetes

2. Na lista de clusters, clique no nome do cluster na descoberta.

3. Clique na guia Nós.

4. Para cada pool de nós default-pool, clique em Excluir delete.

5. Quando solicitado a confirmar, clique em Excluir.

6. Para criar novos pools de nós usando CMEK, consulte Como usar chaves de criptografia gerenciadas pelo cliente (CMEK). As CMEK geram custos adicionais relacionados ao Cloud KMS.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Nodepool secure boot disabled

Nome da categoria na API: NODEPOOL_SECURE_BOOT_DISABLED

A Inicialização segura está desativada para um cluster do GKE.

Ative a inicialização segura para os nós do GKE protegidos para verificar as assinaturas digitais dos componentes de inicialização do nó. Para mais informações, consulte Inicialização segura.

Para corrigir essa descoberta, conclua as etapas a seguir:

Depois que o pool de nós é provisionado, não é possível atualizá-lo para ativar a inicialização segura. Crie um novo pool de nós com a inicialização segura ativada.

1. Acesse a página Clusters do Kubernetes no console do Google Cloud.

   Acessar clusters do Kubernetes

2. Clique no nome do cluster na descoberta.

3. Clique em Adicionar pool de nós.

4. No menu Pools de nós, faça o seguinte:

   1. Clique no nome do novo pool de nós para expandir a guia.
   2. Selecione Segurança e, em Opções protegidas, selecione Ativar inicialização segura.
   3. Clique em Criar.
   4. Para migrar as cargas de trabalho dos pools de nós não compatíveis existentes para os novos pools de nós, consulte Como migrar cargas de trabalho para diferentes tipos de máquina.
   5. Depois que suas cargas de trabalho forem movidas, exclua o pool de nós original não conforme.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Non org IAM member

Nome da categoria na API: NON_ORG_IAM_MEMBER

Um usuário de fora da organização ou do projeto tem permissões de IAM em um projeto ou organização. Saiba mais sobre as permissões do IAM.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página "IAM" no Console do Google Cloud.

   Acessar IAM

2. Marque a caixa de seleção ao lado dos usuários de fora da organização ou do projeto.

3. Clique em Remover.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Object versioning disabled

Nome da categoria na API: OBJECT_VERSIONING_DISABLED

O controle de versão de objeto não está ativado em um bucket de armazenamento em que os coletores são configurados.

O Cloud Storage oferece o recurso de controle de versões de objetos para recuperar objetos que são excluídos ou substituídos. Ative o controle de versão de objetos para evitar que os dados do Cloud Storage sejam substituídos ou excluídos acidentalmente. Saiba como ativar o controle de versão de objetos.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Para corrigir essa descoberta, use o comando gsutil versioning set on com o valor apropriado:

    gsutil versioning set on gs://finding.assetDisplayName

Substitua finding.assetDisplayName pelo nome do bucket relevante.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Open Cassandra port

Nome da categoria na API: OPEN_CASSANDRA_PORT

Regras de firewall que permitem que qualquer endereço IP se conecte às portas do Cassandra podem expor os serviços do Cassandra a invasores. Para mais informações, consulte Visão geral das regras de firewall da VPC.

As portas de serviço do Cassandra são:

• TCP - 7000, 7001, 7199, 8888, 9042, 9160, 61620, 61621

Essa descoberta é gerada para regras de firewall vulneráveis, mesmo que você desative as regras intencionalmente. As descobertas ativas para regras de firewall desativadas alertam você sobre configurações não seguras que permitirão tráfego indesejado se ativadas.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Firewall no Console do Google Cloud.

   Acessar o Firewall

2. Na lista de regras de firewall, clique no nome da regra de firewall na descoberta.

3. Clique em edit Editar.

4. Em Intervalos de IP de origem, exclua 0.0.0.0/0.

5. Adicione endereços ou intervalos de IP específicos que você quer permitir que se conectem à instância.

6. Adicione protocolos e portas específicos que você quer abrir na instância.

7. Clique em Salvar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Open ciscosecure websm port

Nome da categoria na API: OPEN_CISCOSECURE_WEBSM_PORT

Regras de firewall que permitem que qualquer endereço IP se conecte às portas CiscoSecure/WebSM podem expor os serviços CiscoSecure/WebSM a invasores. Para mais informações, consulte Visão geral das regras de firewall da VPC.

As portas de serviço CiscoSecure/WebSM são:

• TCP - 9090

Essa descoberta é gerada para regras de firewall vulneráveis, mesmo que você desative as regras intencionalmente. As descobertas ativas para regras de firewall desativadas alertam você sobre configurações não seguras que permitirão tráfego indesejado se ativadas.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Firewall no Console do Google Cloud.

   Acessar o Firewall

2. Na lista de regras de firewall, clique no nome da regra de firewall na descoberta.

3. Clique em edit Editar.

4. Em Intervalos de IP de origem, exclua 0.0.0.0/0.

5. Adicione endereços ou intervalos de IP específicos que você quer permitir que se conectem à instância.

6. Adicione protocolos e portas específicos que você quer abrir na instância.

7. Clique em Salvar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Open directory services port

Nome da categoria na API: OPEN_DIRECTORY_SERVICES_PORT

Regras de firewall que permitem que qualquer endereço IP se conecte a portas do Directory podem expor os serviços do Directory a invasores. Para mais informações, consulte Visão geral das regras de firewall da VPC.

As portas de serviço do Directory são:

• TCP - 445
• UDP - 445

Essa descoberta é gerada para regras de firewall vulneráveis, mesmo que você desative as regras intencionalmente. As descobertas ativas para regras de firewall desativadas alertam você sobre configurações não seguras que permitirão tráfego indesejado se ativadas.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Firewall no Console do Google Cloud.

   Acessar o Firewall

2. Na lista de regras de firewall, clique no nome da regra de firewall na descoberta.

3. Clique em edit Editar.

4. Em Intervalos de IP de origem, exclua 0.0.0.0/0.

5. Adicione endereços ou intervalos de IP específicos que você quer permitir que se conectem à instância.

6. Adicione protocolos e portas específicos que você quer abrir na instância.

7. Clique em Salvar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Open DNS port

Nome da categoria na API: OPEN_DNS_PORT

Regras de firewall que permitem que qualquer endereço IP se conecte a portas DNS podem expor os serviços DNS a invasores. Para mais informações, consulte Visão geral das regras de firewall da VPC.

As portas de serviço DNS são:

• TCP - 53
• UDP - 53

Essa descoberta é gerada para regras de firewall vulneráveis, mesmo que você desative as regras intencionalmente. As descobertas ativas para regras de firewall desativadas alertam você sobre configurações não seguras que permitirão tráfego indesejado se ativadas.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Firewall no Console do Google Cloud.

   Acessar o Firewall

2. Na lista de regras de firewall, clique no nome da regra de firewall na descoberta.

3. Clique em edit Editar.

4. Em Intervalos de IP de origem, exclua 0.0.0.0/0.

5. Adicione endereços ou intervalos de IP específicos que você quer permitir que se conectem à instância.

6. Adicione protocolos e portas específicos que você quer abrir na instância.

7. Clique em Salvar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Open Elasticsearch port

Nome da categoria na API: OPEN_ELASTICSEARCH_PORT

Regras de firewall que permitem que qualquer endereço IP se conecte a portas do Elasticsearch podem expor os serviços do Elasticsearch a invasores. Para mais informações, consulte Visão geral das regras de firewall da VPC.

As portas de serviço do Elasticsearch são:

• TCP - 9200, 9300

Essa descoberta é gerada para regras de firewall vulneráveis, mesmo que você desative as regras intencionalmente. As descobertas ativas para regras de firewall desativadas alertam você sobre configurações não seguras que permitirão tráfego indesejado se ativadas.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Firewall no Console do Google Cloud.

   Acessar o Firewall

2. Na lista de regras de firewall, clique no nome da regra de firewall na descoberta.

3. Clique em edit Editar.

4. Em Intervalos de IP de origem, exclua 0.0.0.0/0.

5. Adicione endereços ou intervalos de IP específicos que você quer permitir que se conectem à instância.

6. Adicione protocolos e portas específicos que você quer abrir na instância.

7. Clique em Salvar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Open firewall

Nome da categoria na API: OPEN_FIREWALL

Regras de firewall que permitem conexões de todos os endereços IP, como 0.0.0.0/0, ou de todas as portas podem expor os recursos a ataques de fontes indesejadas desnecessariamente. Remova essas regras ou determine explicitamente o escopo delas para os intervalos ou portas de IP de origem pretendidos. Por exemplo, em aplicativos destinados a ser públicos, considere restringir as portas permitidas às necessárias para o aplicativo, como a 80 e 443. Caso o aplicativo precise permitir conexões de todos os endereços IP ou portas, considere adicionar o recurso a uma lista de permissões. Saiba mais sobre Como atualizar regras de firewall.

Essa descoberta é gerada para regras de firewall vulneráveis, mesmo que você desative as regras intencionalmente. As descobertas ativas para regras de firewall desativadas alertam você sobre configurações não seguras que permitirão tráfego indesejado se ativadas.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Regras de firewall no console do Google Cloud.

   Acessar as regras de firewall

2. Clique na regra de firewall listada na descoberta do Security Health Analytics e depois em edit Editar.

3. Em Intervalos de IP de origem, edite os valores de IP para restringir o intervalo de IPs permitido.

4. Em Protocolos e portas, selecione Protocolos e portas especificados, selecione os protocolos permitidos e insira as portas permitidas.

5. Clique em Salvar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Open FTP port

Nome da categoria na API: OPEN_FTP_PORT

Regras de firewall que permitem que qualquer endereço IP se conecte a portas do FTP podem expor os serviços do FTP a invasores. Para mais informações, consulte Visão geral das regras de firewall da VPC.

As portas de serviço do FTP são:

• TCP - 21

Essa descoberta é gerada para regras de firewall vulneráveis, mesmo que você desative as regras intencionalmente. As descobertas ativas para regras de firewall desativadas alertam você sobre configurações não seguras que permitirão tráfego indesejado se ativadas.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Firewall no Console do Google Cloud.

   Acessar o Firewall

2. Na lista de regras de firewall, clique no nome da regra de firewall na descoberta.

3. Clique em edit Editar.

4. Em Intervalos de IP de origem, exclua 0.0.0.0/0.

5. Adicione endereços ou intervalos de IP específicos que você quer permitir que se conectem à instância.

6. Adicione protocolos e portas específicos que você quer abrir na instância.

7. Clique em Salvar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Open group IAM member

Nome da categoria na API: OPEN_GROUP_IAM_MEMBER

Um ou mais principais que têm acesso a uma organização, projeto ou pasta são contas do Grupos do Google que podem ser mescladas sem aprovação.

Os clientes do Google Cloud podem usar os Grupos do Google para gerenciar papéis e permissões para membros das organizações ou aplicar políticas de acesso a coleções de usuários. Em vez de conceder papéis diretamente aos membros, os administradores podem conceder papéis e permissões aos Grupos do Google e, em seguida, adicionar membros a grupos específicos. Os membros do grupo herdam todos os papéis e permissões de um grupo, o que permite que os membros acessem recursos e serviços específicos.

Se uma conta aberta do Grupos do Google for usada como principal em uma vinculação do IAM, qualquer pessoa poderá herdar o papel associado apenas participando do grupo direta ou indiretamente (por meio de um subgrupo). Recomendamos revogar as funções dos grupos abertos ou restringir o acesso a eles.

Para corrigir essa descoberta, execute um dos procedimentos a seguir.

Remover o grupo da política do IAM

1. Acesse a página "IAM" no Console do Google Cloud.

   Acesse o IAM

2. Se necessário, selecione o projeto, a pasta ou a organização na descoberta.

3. Revogue a função de cada grupo aberto identificado na descoberta.

Restringir o acesso aos grupos abertos

1. Faça login no Grupos do Google.
2. Atualize as configurações de cada grupo aberto e dos respectivos subgrupos para especificar quem pode participar do grupo e quem precisa aprová-lo.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Open HTTP port

Nome da categoria na API: OPEN_HTTP_PORT

Regras de firewall que permitem que qualquer endereço IP se conecte a portas HTTP podem expor os serviços HTTP a invasores. Para mais informações, consulte Visão geral das regras de firewall da VPC.

As portas de serviço HTTP são:

• TCP - 80

Essa descoberta é gerada para regras de firewall vulneráveis, mesmo que você desative as regras intencionalmente. As descobertas ativas para regras de firewall desativadas alertam você sobre configurações não seguras que permitirão tráfego indesejado se ativadas.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Firewall no Console do Google Cloud.

   Acessar o Firewall

2. Na lista de regras de firewall, clique no nome da regra de firewall na descoberta.

3. Clique em edit Editar.

4. Em Intervalos de IP de origem, exclua 0.0.0.0/0.

5. Adicione endereços ou intervalos de IP específicos que você quer permitir que se conectem à instância.

6. Adicione protocolos e portas específicos que você quer abrir na instância.

7. Clique em Salvar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Open LDAP port

Nome da categoria na API: OPEN_LDAP_PORT

Regras de firewall que permitem que qualquer endereço IP se conecte a portas LDAP podem expor os serviços LDAP a invasores. Para mais informações, consulte Visão geral das regras de firewall da VPC.

As portas de serviço LDAP são:

• TCP - 389, 636
• UDP - 389

Essa descoberta é gerada para regras de firewall vulneráveis, mesmo que você desative as regras intencionalmente. As descobertas ativas para regras de firewall desativadas alertam você sobre configurações não seguras que permitirão tráfego indesejado se ativadas.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Firewall no Console do Google Cloud.

   Acessar o Firewall

2. Na lista de regras de firewall, clique no nome da regra de firewall na descoberta.

3. Clique em edit Editar.

4. Em Intervalos de IP de origem, exclua 0.0.0.0/0.

5. Adicione endereços ou intervalos de IP específicos que você quer permitir que se conectem à instância.

6. Adicione protocolos e portas específicos que você quer abrir na instância.

7. Clique em Salvar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Open Memcached port

Nome da categoria na API: OPEN_MEMCACHED_PORT

Regras de firewall que permitem que qualquer endereço IP se conecte a portas do Memcached podem expor os serviços do Memcached a invasores. Para mais informações, consulte Visão geral das regras de firewall da VPC.

As portas de serviço do Memcached são:

• TCP - 11211, 11214, 11215
• UDP - 11211, 11214, 11215

Essa descoberta é gerada para regras de firewall vulneráveis, mesmo que você desative as regras intencionalmente. As descobertas ativas para regras de firewall desativadas alertam você sobre configurações não seguras que permitirão tráfego indesejado se ativadas.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Firewall no Console do Google Cloud.

   Acessar o Firewall

2. Na lista de regras de firewall, clique no nome da regra de firewall na descoberta.

3. Clique em edit Editar.

4. Em Intervalos de IP de origem, exclua 0.0.0.0/0.

5. Adicione endereços ou intervalos de IP específicos que você quer permitir que se conectem à instância.

6. Adicione protocolos e portas específicos que você quer abrir na instância.

7. Clique em Salvar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Open MongoDB port

Nome da categoria na API: OPEN_MONGODB_PORT

Regras de firewall que permitem que qualquer endereço IP se conecte a portas do MongoDB podem expor os serviços do MongoDB a invasores. Para mais informações, consulte Visão geral das regras de firewall da VPC.

As portas de serviço do MongoDB são:

• TCP - 27017, 27018, 27019

Essa descoberta é gerada para regras de firewall vulneráveis, mesmo que você desative as regras intencionalmente. As descobertas ativas para regras de firewall desativadas alertam você sobre configurações não seguras que permitirão tráfego indesejado se ativadas.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Firewall no Console do Google Cloud.

   Acessar o Firewall

2. Na lista de regras de firewall, clique no nome da regra de firewall na descoberta.

3. Clique em edit Editar.

4. Em Intervalos de IP de origem, exclua 0.0.0.0/0.

5. Adicione endereços ou intervalos de IP específicos que você quer permitir que se conectem à instância.

6. Adicione protocolos e portas específicos que você quer abrir na instância.

7. Clique em Salvar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Open MySQL port

Nome da categoria na API: OPEN_MYSQL_PORT

Regras de firewall que permitem que qualquer endereço IP se conecte a portas do MySQL podem expor os serviços do MySQL a invasores. Para mais informações, consulte Visão geral das regras de firewall da VPC.

As portas de serviço do MySQL são:

• TCP - 3306

Essa descoberta é gerada para regras de firewall vulneráveis, mesmo que você desative as regras intencionalmente. As descobertas ativas para regras de firewall desativadas alertam você sobre configurações não seguras que permitirão tráfego indesejado se ativadas.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Firewall no Console do Google Cloud.

   Acessar o Firewall

2. Na lista de regras de firewall, clique no nome da regra de firewall na descoberta.

3. Clique em edit Editar.

4. Em Intervalos de IP de origem, exclua 0.0.0.0/0.

5. Adicione endereços ou intervalos de IP específicos que você quer permitir que se conectem à instância.

6. Adicione protocolos e portas específicos que você quer abrir na instância.

7. Clique em Salvar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Open NetBIOS port

Nome da categoria na API: `OPEN_NETBIOS_PORT

Regras de firewall que permitem que qualquer endereço IP se conecte a portas do NetBIOS podem expor os serviços do NetBIOS a invasores. Para mais informações, consulte Visão geral das regras de firewall da VPC.

As portas de serviço do NetBIOS são:

• TCP - 137, 138, 139
• UDP - 137, 138, 139

Essa descoberta é gerada para regras de firewall vulneráveis, mesmo que você desative as regras intencionalmente. As descobertas ativas para regras de firewall desativadas alertam você sobre configurações não seguras que permitirão tráfego indesejado se ativadas.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Firewall no Console do Google Cloud.

   Acessar o Firewall

2. Na lista de regras de firewall, clique no nome da regra de firewall na descoberta.

3. Clique em edit Editar.

4. Em Intervalos de IP de origem, exclua 0.0.0.0/0.

5. Adicione endereços ou intervalos de IP específicos que você quer permitir que se conectem à instância.

6. Adicione protocolos e portas específicos que você quer abrir na instância.

7. Clique em Salvar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Open OracleDB port

Nome da categoria na API: OPEN_ORACLEDB_PORT

Regras de firewall que permitem que qualquer endereço IP se conecte a portas do OracleDB podem expor os serviços do OracleDB a invasores. Para mais informações, consulte Visão geral das regras de firewall da VPC.

As portas de serviço do OracleDB são:

• TCP - 1521, 2483, 2484
• UDP - 2483, 2484

Essa descoberta é gerada para regras de firewall vulneráveis, mesmo que você desative as regras intencionalmente. As descobertas ativas para regras de firewall desativadas alertam você sobre configurações não seguras que permitirão tráfego indesejado se ativadas.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Firewall no Console do Google Cloud.

   Acessar o Firewall

2. Na lista de regras de firewall, clique no nome da regra de firewall na descoberta.

3. Clique em edit Editar.

4. Em Intervalos de IP de origem, exclua 0.0.0.0/0.

5. Adicione endereços ou intervalos de IP específicos que você quer permitir que se conectem à instância.

6. Adicione protocolos e portas específicos que você quer abrir na instância.

7. Clique em Salvar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Open POP3 port

Nome da categoria na API: OPEN_POP3_PORT

Regras de firewall que permitem que qualquer endereço IP se conecte a portas POP3 podem expor os serviços POP3 a invasores. Para mais informações, consulte Visão geral das regras de firewall da VPC.

As portas de serviço POP3 são:

• TCP - 110

Essa descoberta é gerada para regras de firewall vulneráveis, mesmo que você desative as regras intencionalmente. As descobertas ativas para regras de firewall desativadas alertam você sobre configurações não seguras que permitirão tráfego indesejado se ativadas.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Firewall no Console do Google Cloud.

   Acessar o Firewall

2. Na lista de regras de firewall, clique no nome da regra de firewall na descoberta.

3. Clique em edit Editar.

4. Em Intervalos de IP de origem, exclua 0.0.0.0/0.

5. Adicione endereços ou intervalos de IP específicos que você quer permitir que se conectem à instância.

6. Adicione protocolos e portas específicos que você quer abrir na instância.

7. Clique em Salvar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Open PostgreSQL port

Nome da categoria na API: OPEN_POSTGRESQL_PORT

Regras de firewall que permitem que qualquer endereço IP se conecte a portas do PostgreSQL podem expor os serviços do PostgreSQL a invasores. Para mais informações, consulte Visão geral das regras de firewall da VPC.

As portas de serviço do PostgreSQL são:

• TCP - 5432
• UDP - 5432

Essa descoberta é gerada para regras de firewall vulneráveis, mesmo que você desative as regras intencionalmente. As descobertas ativas para regras de firewall desativadas alertam você sobre configurações não seguras que permitirão tráfego indesejado se ativadas.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Firewall no Console do Google Cloud.

   Acessar o Firewall

2. Na lista de regras de firewall, clique no nome da regra de firewall na descoberta.

3. Clique em edit Editar.

4. Em Intervalos de IP de origem, exclua 0.0.0.0/0.

5. Adicione endereços ou intervalos de IP específicos que você quer permitir que se conectem à instância.

6. Adicione protocolos e portas específicos que você quer abrir na instância.

7. Clique em Salvar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Open RDP port

Nome da categoria na API: OPEN_RDP_PORT

Regras de firewall que permitem que qualquer endereço IP se conecte a portas RDP podem expor os serviços RDP a invasores. Para mais informações, consulte Visão geral das regras de firewall da VPC.

As portas de serviço RDP são:

• TCP - 3389
• UDP - 3389

Essa descoberta é gerada para regras de firewall vulneráveis, mesmo que você desative as regras intencionalmente. As descobertas ativas para regras de firewall desativadas alertam você sobre configurações não seguras que permitirão tráfego indesejado se ativadas.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Firewall no Console do Google Cloud.

   Acessar o Firewall

2. Na lista de regras de firewall, clique no nome da regra de firewall na descoberta.

3. Clique em edit Editar.

4. Em Intervalos de IP de origem, exclua 0.0.0.0/0.

5. Adicione endereços ou intervalos de IP específicos que você quer permitir que se conectem à instância.

6. Adicione protocolos e portas específicos que você quer abrir na instância.

7. Clique em Salvar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Open Redis port

Nome da categoria na API: OPEN_REDIS_PORT

Regras de firewall que permitem que qualquer endereço IP se conecte a portas do Redis podem expor os serviços do Redis a invasores. Para mais informações, consulte Visão geral das regras de firewall da VPC.

As portas de serviço do Redis são:

• TCP - 6379

Essa descoberta é gerada para regras de firewall vulneráveis, mesmo que você desative as regras intencionalmente. As descobertas ativas para regras de firewall desativadas alertam você sobre configurações não seguras que permitirão tráfego indesejado se ativadas.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Firewall no Console do Google Cloud.

   Acessar o Firewall

2. Na lista de regras de firewall, clique no nome da regra de firewall na descoberta.

3. Clique em edit Editar.

4. Em Intervalos de IP de origem, exclua 0.0.0.0/0.

5. Adicione endereços ou intervalos de IP específicos que você quer permitir que se conectem à instância.

6. Adicione protocolos e portas específicos que você quer abrir na instância.

7. Clique em Salvar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Open SMTP port

Nome da categoria na API: OPEN_SMTP_PORT

Regras de firewall que permitem que qualquer endereço IP se conecte a portas SMTP podem expor os serviços SMTP a invasores. Para mais informações, consulte Visão geral das regras de firewall da VPC.

As portas de serviço SMTP são:

• TCP - 25

Essa descoberta é gerada para regras de firewall vulneráveis, mesmo que você desative as regras intencionalmente. As descobertas ativas para regras de firewall desativadas alertam você sobre configurações não seguras que permitirão tráfego indesejado se ativadas.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Firewall no Console do Google Cloud.

   Acessar o Firewall

2. Na lista de regras de firewall, clique no nome da regra de firewall na descoberta.

3. Clique em edit Editar.

4. Em Intervalos de IP de origem, exclua 0.0.0.0/0.

5. Adicione endereços ou intervalos de IP específicos que você quer permitir que se conectem à instância.

6. Adicione protocolos e portas específicos que você quer abrir na instância.

7. Clique em Salvar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Open SSH port

Nome da categoria na API: OPEN_SSH_PORT

Regras de firewall que permitem que qualquer endereço IP se conecte a portas SSH podem expor os serviços SSH a invasores. Para mais informações, consulte Visão geral das regras de firewall da VPC.

As portas de serviço SSH são:

• SCTP - 22
• TCP - 22

Essa descoberta é gerada para regras de firewall vulneráveis, mesmo que você desative as regras intencionalmente. As descobertas ativas para regras de firewall desativadas alertam você sobre configurações não seguras que permitirão tráfego indesejado se ativadas.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Firewall no Console do Google Cloud.

   Acessar o Firewall

2. Na lista de regras de firewall, clique no nome da regra de firewall na descoberta.

3. Clique em edit Editar.

4. Em Intervalos de IP de origem, exclua 0.0.0.0/0.

5. Adicione endereços ou intervalos de IP específicos que você quer permitir que se conectem à instância.

6. Adicione protocolos e portas específicos que você quer abrir na instância.

7. Clique em Salvar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Open Telnet port

Nome da categoria na API: OPEN_TELNET_PORT

Regras de firewall que permitem que qualquer endereço IP se conecte a portas Telnet podem expor os serviços Telnet a invasores. Para mais informações, consulte Visão geral das regras de firewall da VPC.

As portas de serviço Telnet são:

• TCP - 23

Essa descoberta é gerada para regras de firewall vulneráveis, mesmo que você desative as regras intencionalmente. As descobertas ativas para regras de firewall desativadas alertam você sobre configurações não seguras que permitirão tráfego indesejado se ativadas.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Firewall no Console do Google Cloud.

   Acessar o Firewall

2. Na lista de regras de firewall, clique no nome da regra de firewall na descoberta.

3. Clique em edit Editar.

4. Em Intervalos de IP de origem, exclua 0.0.0.0/0.

5. Adicione endereços ou intervalos de IP específicos que você quer permitir que se conectem à instância.

6. Adicione protocolos e portas específicos que você quer abrir na instância.

7. Clique em Salvar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Org policy Confidential VM policy

Nome da categoria na API: ORG_POLICY_CONFIDENTIAL_VM_POLICY

Um recurso do Compute Engine não está em conformidade com a política da organização constraints/compute.restrictNonConfidentialComputing. Para mais informações sobre essa restrição da política da organização, consulte Como aplicar restrições de política da organização.

A organização exige que o serviço de VM confidencial da VM esteja ativado. As VMs que não têm esse serviço ativado não usarão criptografia de memória em tempo de execução, expondo-as a ataques de memória durante o tempo de execução.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Instâncias de VMs no Console do Google Cloud.

   Acessar instâncias de VM

2. Na lista de instâncias, clique no nome da instância na descoberta.

3. Se a VM não exigir o serviço de VM confidencial, mova-a para uma nova pasta ou projeto.

4. Se a VM exigir a VM confidencial, clique em delete Excluir.

5. Para criar uma nova instância com a VM confidencial ativada, consulte Guia de início rápido: como criar uma instância de VM confidencial.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Org policy location restriction

Nome da categoria na API: ORG_POLICY_LOCATION_RESTRICTION

A restrição da Política da Organização gcp.resourceLocations permite restringir a criação de novos recursos às Regiões do Cloud selecionadas. Para mais informações, consulte Como restringir locais de recursos.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Para corrigir essa descoberta, conclua as etapas a seguir:

O detector ORG_POLICY_LOCATION_RESTRICTION abrange muitos tipos de recursos, e as instruções de correção são diferentes para cada recurso. A abordagem geral para corrigir violações de local inclui o seguinte:

1. Copiar, migrar ou fazer backup do recurso fora da região ou os dados dele em um recurso que está na região. Leia a documentação de serviços individuais para receber instruções sobre como migrar recursos.
2. Excluir o recurso original fora da região ou dados dele.

Essa abordagem não é possível para todos os tipos de recursos. Para orientação, consulte as recomendações personalizadas fornecidas na descoberta.

Outras considerações

Ao corrigir essa descoberta, considere o seguinte.

Recursos gerenciados

Às vezes, os ciclos de vida dos recursos são gerenciados e controlados por outros recursos. Por exemplo, um grupo gerenciado de instâncias do Compute Engine cria e destrói instâncias do Compute Engine de acordo com a política de escalonamento automático do grupo de instâncias. Se os recursos gerenciados e de gerenciamento estiverem no escopo da aplicação do local, ambos poderão ser sinalizados como violações da Política da organização. A correção das descobertas dos recursos gerenciados deve ser feita no recurso de gerenciamento para garantir a estabilidade operacional.

Recursos em uso

Alguns recursos são usados por outros recursos. Por exemplo, um disco do Compute Engine anexado a uma instância do Compute Engine em execução é considerado em uso pela instância. Se o recurso em uso violar a Política de organização do local, você precisará garantir que ele não esteja em uso antes de resolver a violação do local.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

OS login disabled

Nome da categoria na API: OS_LOGIN_DISABLED

O login do SO está desativado nesta instância do Compute Engine.

O login de SO ativa o gerenciamento centralizado de chave SSH com IAM e desativa a configuração de chave SSH baseada em metadados em todas as instâncias de um projeto. Saiba como instalar e configurar o login do SO.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Metadados no console do Google Cloud.

   Acessar a página "Metadados"

2. Clique em Editar e depois clique em Adicionar item.

3. Adicione um item com a chave enable-oslogin e o valor TRUE.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Over privileged account

Nome da categoria na API: OVER_PRIVILEGED_ACCOUNT

Um nó do GKE está usando o nó de serviço padrão do Compute Engine, que tem acesso amplo por padrão e pode ter privilégios em excesso para executar o cluster do GKE.

Para corrigir essa descoberta, conclua as etapas a seguir:

Siga as instruções para Usar contas de serviço do Google com privilégios mínimos.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Over privileged scopes

Nome da categoria na API: OVER_PRIVILEGED_SCOPES

Uma conta de serviço do nó tem escopos de acesso amplos.

Escopos de acesso são o método legado de especificação das permissões da sua instância. Para reduzir a possibilidade de um escalonamento de privilégios em um ataque, crie e use uma conta de serviço com privilégios mínimos para executar o cluster do GKE.

Para corrigir essa descoberta, siga as instruções em Usar contas de serviço do Google com privilégio mínimo.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Over privileged service account user

Nome da categoria na API: OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Um usuário tem os papéis iam.serviceAccountUser ou iam.serviceAccountTokenCreator no nível do projeto, da pasta ou da organização, e não para uma conta de serviço específica.

Conceder esses papéis a um usuário de um projeto, uma pasta ou uma organização fornece a ele acesso a todas as contas de serviço atuais e futuras nesse escopo. Isso pode resultar em escalonamento não intencional de privilégios. Para mais informações, consulte Permissões de contas de serviço.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página "IAM" no Console do Google Cloud.

   Acesse a página do IAM

2. Se necessário, selecione o projeto, a pasta ou a organização na descoberta.

3. Para cada membro atribuído roles/iam.serviceAccountUser ou roles/iam.serviceAccountTokenCreator, faça o seguinte:

   1. Clique em edit Editar.
   2. No painel Editar permissões, ao lado de papéis, clique em delete Excluir.
   3. Clique em Salvar.

4. Siga este guia para conceder a usuários individuais permissão para personificar uma única conta de serviço. Você precisará seguir o guia para cada conta de serviço à qual pretende conceder a permissão de personificação.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Owner not monitored

Nome da categoria na API: OWNER_NOT_MONITORED

Métricas e alertas de registros não são configurados para monitorar atribuições ou alterações de propriedade do projeto.

O papel de Proprietário do IAM tem o nível mais alto de privilégio em um projeto. Para proteger seus recursos, configure alertas para receber notificações quando novos proprietários forem adicionados ou removidos. Para mais informações, consulte Visão geral de métricas com base em registros.

Dependendo da quantidade de informações, os custos do Cloud Monitoring podem ser significativos. Para entender o uso do serviço e os custos dele, consulte Otimização de custos para observabilidade do Google Cloud.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Para corrigir essa descoberta, conclua as etapas a seguir:

Criar métrica

1. Acesse a página Métricas com base em registros no console do Google Cloud.

   Acessar métricas com base em registros

2. Clique em Criar métrica.

3. Em Tipo de Métrica, selecione Contador.

4. Em Detalhes:

   1. Defina um Nome da métrica de registro.
   2. Adicione uma descrição.
   3. Definir Unidades para 1.

5. Em Seleção de filtro, copie e cole o texto a seguir na caixa Criar filtro, substituindo o texto atual, se necessário:

     (protoPayload.serviceName="cloudresourcemanager.googleapis.com")
     AND (ProjectOwnership OR projectOwnerInvitee)
     OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE"
     AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")
     OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD"
     AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")
   

6. Clique em Criar métrica. Você verá uma confirmação.

Criar política de alertas

1. No painel de navegação do console do Google Cloud, selecione Logging e, em seguida, Métricas com base em registros:

   Acessar Métricas com base em registros

2. Na seção Métricas definidas pelo usuário, selecione a métrica que você criou na seção anterior.

3. Clique em Mais more_vert e depois em Criar alerta com base na métrica.

   A caixa de diálogo Nova condição é aberta com as opções de transformação de dados e métricas pré-preenchidas.

4. Clique em Próxima.
   1. Revise as configurações pré-preenchidas. Convém modificar o Valor do limite.
   2. Clique em Nome da condição e digite um nome para ela.
5. Clique em Próxima.

6. Para adicionar notificações à sua política de alertas, clique em Canais de notificação. Na caixa de diálogo, selecione um ou mais canais de notificação no menu e clique em OK.

   Para receber uma notificação quando os incidentes forem abertos ou fechados, marque Notificar sobre o fechamento de incidentes. Por padrão, as notificações são enviadas apenas quando incidentes são abertos.

7. Opcional: Atualize a Duração do fechamento automático do incidente. Este campo determina quando o Monitoring fecha incidentes na ausência de dados de métrica.
8. Opcional: clique em Documentação e adicione as informações que quer incluir em uma mensagem de notificação.
9. Clique em Nome e digite um nome para a política de alertas.
10. Clique em Criar política.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Pod security policy disabled

Nome da categoria na API: POD_SECURITY_POLICY_DISABLED

Este PodSecurityPolicy está desativado em um cluster do GKE.

Um PodSecurityPolicy é um recurso controlador de admissão que valida solicitações para criar e atualizar pods em um cluster. Os clusters não aceitarão pods que não atenderem às condições definidas no PodSecurityPolicy.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Para corrigir essa descoberta, defina e autorize PodSecurityPolicies e ative o controlador PodSecurityPolicy. Para instruções, consulte Como usar PodSecurityPolicies.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Primitive roles used

Nome da categoria na API: PRIMITIVE_ROLES_USED

Um usuário tem um dos seguintes papéis básicos do IAM: roles/owner, roles/editor ou roles/viewer. Esses papéis são muito permissivos e não devem ser usados. Eles devem ser atribuídos somente por projeto.

Saiba mais em Noções básicas sobre papéis.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página de políticas do IAM no console do Google Cloud.

   Acesse a política de IAM

2. Para cada usuário com um papel primário, considere usar papéis mais granulares.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Private cluster disabled

Nome da categoria na API: PRIVATE_CLUSTER_DISABLED

Um cluster do GKE tem um cluster particular desativado.

Clusters particulares só permitem que os nós tenham endereços IP internos. Esse recurso limita o acesso à Internet de saída para nós. Se um nó de cluster não tiver um endereço IP público, ele não poderá ser descoberto nem exposto à Internet pública. Ainda é possível rotear o tráfego para um nó usando um balanceador de carga interno. Para mais informações, consulte Clusters particulares.

Não é possível tornar privado um cluster atual. Para corrigir essa descoberta, crie um novo cluster privado:

1. Acesse a página Clusters do Kubernetes no console do Google Cloud.

   Acessar clusters do Kubernetes

2. Clique em Criar cluster.

3. No menu de navegação, em Cluster, selecione Rede.

4. Selecione o botão de opção Cluster particular.

5. Em Opções de rede avançadas, marque a caixa de seleção Ativar roteamento de tráfego nativo de VPC (usa IP do alias).

6. Clique em Criar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Private Google access disabled

Nome da categoria na API: PRIVATE_GOOGLE_ACCESS_DISABLED

Há sub-redes privadas sem acesso às APIs públicas do Google.

O acesso privado do Google permite que instâncias de VM apenas com endereços IP internos (particulares) acessem os endereços IP públicos das APIs e dos serviços do Google.

Para mais informações, consulte Como configurar o Acesso privado do Google.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Redes VPC no Console do Google Cloud.

   Acessar redes VPC

2. Na lista de redes, clique no nome da rede desejada.

3. Na página Detalhes da rede VPC, clique na guia Sub-redes.

4. Na lista de sub-redes, clique no nome da sub-rede associada ao cluster do Kubernetes na descoberta.

5. Na página de detalhes da sub-rede, clique em Editar edit.

6. Em Acesso privado do Google, selecione Ativado.

7. Clique em Salvar.

8. Para remover IPs públicos (externos) das instâncias de VM cujo tráfego externo é apenas para APIs do Google, consulte Como cancelar a atribuição de um endereço IP externo estático.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Public bucket ACL

Nome da categoria na API: PUBLIC_BUCKET_ACL

Um bucket é público e qualquer pessoa na Internet pode acessá-lo.

Para mais informações, consulte Visão geral do controle de acesso.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Navegador do Storage no console do Google Cloud.

   Acessar o navegador do Storage

2. Selecione o bucket listado na descoberta do Security Health Analytics.

3. Na página Detalhes do bucket, clique na guia Permissões.

4. Ao lado de Visualizar por, clique em Papéis.

5. Na caixa Filtro, pesquise allUsers e allAuthenticatedUsers.

6. Clique em Excluir delete para remover todas as permissões do IAM concedidas a allUsers e allAuthenticatedUsers.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Public Compute image

Nome da categoria na API: PUBLIC_COMPUTE_IMAGE

Uma imagem do Compute Engine é pública e qualquer pessoa na Internet pode acessá-la. allUsers representa qualquer pessoa na Internet e allAuthenticatedUsers representa qualquer pessoa com a autenticação da conta do Google; nenhum deles está restrito aos usuários dentro da organização.

As imagens do Compute Engine podem conter informações confidenciais, como chaves de criptografia ou software licenciado. Essas informações não devem ser acessadas publicamente. Se você pretende tornar pública esta imagem do Compute, verifique se ela não contém informações confidenciais.

Para mais informações, consulte Visão geral do controle de acesso.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página de imagens do Compute Engine no console do Google Cloud.

   Acesse imagens do Compute Engine

2. Selecione a caixa ao lado da imagem public-image e clique em Mostrar painel de informações.

3. Na caixa Filtro, pesquise os membros de allUsers e allAuthenticatedUsers.

4. Expanda o papel de que você quer remover usuários.

5. Clique em delete Excluir para remover um usuário desse papel.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Public dataset

Nome da categoria na API: PUBLIC_DATASET

Um conjunto de dados do BigQuery é público e acessível a qualquer pessoa na Internet. O membro do IAM allUsers representa qualquer pessoa na Internet, e allAuthenticatedUsers representa qualquer pessoa conectada a um serviço do Google. Nenhum deles se limita a usuários dentro da organização.

Para mais informações, consulte Como controlar o acesso a conjuntos de dados.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Conjunto de dados do BigQuery no console do Google Cloud.

   Ir para o conjunto de dados do BigQuery

2. Na lista de conjuntos de dados, clique no nome do conjunto de dados identificado na descoberta. O painel Informações do conjunto de dados é aberto.

3. Próximo à parte superior do painel Informações do conjunto de dados, clique em COMPARTILHAMENTO.

4. No menu suspenso, clique em Permissões.

5. No painel Permissões do conjunto de dados, insira allUsers e allAuthenticatedUsers e remova o acesso desses participantes.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Public IP address

Nome da categoria na API: PUBLIC_IP_ADDRESS

Uma instância do Compute Engine tem um endereço IP público.

Para reduzir a superfície de ataque das organizações, evite atribuir endereços IP públicos às VMs. As instâncias interrompidas ainda podem ser sinalizadas com uma descoberta de IP público, por exemplo, se as interfaces de rede estiverem configuradas para atribuir um IP público temporário no início. Certifique-se de que as configurações de rede de instâncias interrompidas não incluem acesso externo.

Para mais informações, consulte Como conectar-se de maneira segura às instâncias de VM.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Instâncias de VMs no Console do Google Cloud.

   Acessar Instâncias de VM

2. Na lista de instâncias, marque a caixa ao lado do nome da instância na descoberta.

3. Clique em edit Editar.

4. Para cada interface em Interfaces de rede, clique em edit Editar e defina IP externo como Nenhum.

5. Clique em Concluído e depois em Salvar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Public log bucket

Nome da categoria na API: PUBLIC_LOG_BUCKET

Essa descoberta não está disponível para ativações no nível do projeto.

Um bucket de armazenamento é público e usado como um coletor de registros, o que significa que qualquer pessoa na Internet pode acessar os registros armazenados nesse bucket. allUsers representa qualquer pessoa na Internet, e allAuthenticatedUsers representa qualquer pessoa que esteja conectada em um serviço do Google. Nenhum deles se limita a usuários dentro da organização.

Para mais informações, consulte Visão geral do controle de acesso.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página do navegador do Cloud Storageno console do Google Cloud.

   Ir para o Navegador do Cloud Storage

2. Na lista de buckets, clique no nome do bucket indicado na descoberta.

3. Clique na guia Permissões..

4. Remova allUsers e allAuthenticatedUsers da lista de membros.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Public SQL instance

Nome da categoria na API: PUBLIC_SQL_INSTANCE

A instância do SQL tem 0.0.0.0/0 como uma rede permitida. Isso significa que qualquer cliente IPv4 é capaz de passar pelo firewall de rede e tentar fazer login na instância, inclusive clientes que você não queria permitir. Os clientes ainda precisarão de credenciais válidas para fazerem login na instância.

Para mais informações, consulte Como autorizar com redes autorizadas.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Instâncias do Cloud SQL no console do Google Cloud.

   Acesse "Instâncias do Cloud SQL"

2. Selecione a instância listada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. No painel de navegação, clique em Conexões.

5. Em Redes autorizadas, exclua 0.0.0.0/0 e adicione endereços ou intervalos de IP específicos que você quer permitir que se conectem à instância.

6. Clique em Concluído e depois em Salvar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Pubsub CMEK disabled

Nome da categoria na API: PUBSUB_CMEK_DISABLED

Um tópico do Pub/Sub não está criptografado com chaves de criptografia gerenciadas pelo cliente (CMEK).

Com a CMEK, as chaves que você cria e gerencia no Cloud KMS encapsulam as chaves que o Google usa para criptografar seus dados, oferecendo mais controle sobre o acesso a eles.

Para corrigir essa descoberta, exclua o tópico existente e crie um novo:

1. Acesse a página Tópicos do Pub/Sub no console do Google Cloud.

   Acesse Tópicos

2. Se necessário, selecione o projeto que contém o tópico do Pub/Sub.

3. Marque a caixa de seleção ao lado do tópico listado na descoberta e clique em delete Excluir.

4. Para criar um novo tópico do Pub/Sub com a CMEK ativada, consulte Como usar chaves de criptografia gerenciadas pelo cliente. As CMEK geram custos adicionais relacionados ao Cloud KMS.

5. Publique descobertas ou outros dados no tópico do Pub/Sub ativado para CMEK.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Route not monitored

Nome da categoria na API: ROUTE_NOT_MONITORED

As métricas e os alertas de registros não estão configurados para monitorar as alterações na rota da rede VPC.

As rotas do Google Cloud são destinos e saltos que definem o caminho que o tráfego de rede percorre de uma instância de VM a um IP de destino. Ao monitorar alterações nas tabelas de rotas, você ajuda a garantir que todo o tráfego VPC passe por um caminho esperado.

Para mais informações, consulte Visão geral de métricas com base em registros.

Dependendo da quantidade de informações, os custos do Cloud Monitoring podem ser significativos. Para entender o uso do serviço e os custos dele, consulte Otimização de custos para observabilidade do Google Cloud.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Para corrigir essa descoberta, conclua as etapas a seguir:

Criar métrica

1. Acesse a página Métricas com base em registros no console do Google Cloud.

   Acessar métricas com base em registros

2. Clique em Criar métrica.

3. Em Tipo de Métrica, selecione Contador.

4. Em Detalhes:

   1. Defina um Nome da métrica de registro.
   2. Adicione uma descrição.
   3. Definir Unidades para 1.

5. Em Seleção de filtro, copie e cole o texto a seguir na caixa Criar filtro, substituindo o texto atual, se necessário:

     resource.type="gce_route"
     AND (protoPayload.methodName:"compute.routes.delete"
     OR protoPayload.methodName:"compute.routes.insert")
   

6. Clique em Criar métrica. Você verá uma confirmação.

Criar política de alertas

1. No painel de navegação do console do Google Cloud, selecione Logging e, em seguida, Métricas com base em registros:

   Acessar Métricas com base em registros

2. Na seção Métricas definidas pelo usuário, selecione a métrica que você criou na seção anterior.

3. Clique em Mais more_vert e depois em Criar alerta com base na métrica.

   A caixa de diálogo Nova condição é aberta com as opções de transformação de dados e métricas pré-preenchidas.

4. Clique em Próxima.
   1. Revise as configurações pré-preenchidas. Convém modificar o Valor do limite.
   2. Clique em Nome da condição e digite um nome para ela.
5. Clique em Próxima.

6. Para adicionar notificações à sua política de alertas, clique em Canais de notificação. Na caixa de diálogo, selecione um ou mais canais de notificação no menu e clique em OK.

   Para receber uma notificação quando os incidentes forem abertos ou fechados, marque Notificar sobre o fechamento de incidentes. Por padrão, as notificações são enviadas apenas quando incidentes são abertos.

7. Opcional: Atualize a Duração do fechamento automático do incidente. Este campo determina quando o Monitoring fecha incidentes na ausência de dados de métrica.
8. Opcional: clique em Documentação e adicione as informações que quer incluir em uma mensagem de notificação.
9. Clique em Nome e digite um nome para a política de alertas.
10. Clique em Criar política.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Redis role used on org

Nome da categoria na API: REDIS_ROLE_USED_ON_ORG

Essa descoberta não está disponível para ativações no nível do projeto.

Um papel do Redis IAM é atribuído no nível da organização ou da pasta.

Os papéis do Redis IAM a seguir podem ser atribuídos apenas por projeto, não nos níveis da organização da pasta:

• roles/redis.admin
• roles/redis.viewer
• roles/redis.editor

Para mais informações, consulte Controle de acesso e permissões.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página de políticas do IAM no console do Google Cloud.

   Acesse a política de IAM

2. Remova os papéis do Redis IAM indicados na descoberta e adicione-os aos projetos individuais.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Release channel disabled

Nome da categoria na API: RELEASE_CHANNEL_DISABLED

Um cluster do GKE não está inscrito em um canal de lançamento.

Inscreva-se em um canal de lançamento para automatizar os upgrades de versão do cluster do GKE. Eles também reduzem a complexidade do gerenciador de versões ao número de recursos e ao nível de estabilidade necessários. Para mais informações, consulte Canais de lançamento.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Clusters do Kubernetes no console do Google Cloud.

   Acessar clusters do Kubernetes

2. Na seção Princípios básicos do cluster, clique no ícone de edição (edit) na linha Canal de lançamento.

   Se a configuração do cluster tiver sido alterada recentemente, o botão de edição poderá ser desativado. Se você não conseguir editar as configurações do cluster, aguarde alguns minutos e tente novamente.

3. Na caixa de diálogo, selecione Canal de lançamento e escolha o canal de lançamento que você quer inscrever-se.

   Se a versão do plano de controle do cluster não puder ser atualizada para um canal de lançamento, esse canal poderá ser desativado como opção.

4. Clique em Salvar alterações.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

RSASHA1 for signing

Nome da categoria na API: RSASHA1_FOR_SIGNING

RSASHA1 é usado para assinatura de chaves em zonas do Cloud DNS. O algoritmo usado para a assinatura de chaves não pode ser fraco.

Para corrigir essa descoberta, substitua o algoritmo por um recomendado seguindo o guia Como usar opções avançadas de assinatura.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Service account key not rotated

Nome da categoria na API: SERVICE_ACCOUNT_KEY_NOT_ROTATED

Essa descoberta não está disponível para ativações no nível do projeto.

Uma chave de conta de serviço gerenciada pelo usuário não é rotacionada há mais de 90 dias.

Em geral, as chaves de conta de serviço gerenciadas pelo usuário precisam ser trocadas pelo menos a cada 90 dias para garantir que os dados não possam ser acessados com uma chave antiga que pode ter sido perdida, comprometida ou roubada. Para saber mais, consulte Girar chaves de conta de serviço para reduzir o risco de segurança causado por vazamentos de chaves.

Se você gerou o par de chaves pública/privada, armazenou a chave privada em um módulo de segurança de hardware (HSM) e fez o upload da chave pública para o Google, talvez não seja necessário. de alternar a chave a cada 90 dias. Em vez disso, você pode girar a chave se acreditar que ela pode ter sido comprometida.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Contas de serviço no console do Google Cloud.

   Acessar a página "Contas de serviço"

2. Se necessário, selecione o projeto indicado na descoberta.

3. Na lista de contas de serviço, encontre a conta de serviço listada na descoberta e clique em delete Excluir. Antes de continuar, considere o impacto que a remoção de uma conta de serviço pode ter nos recursos de produção.

4. Crie uma nova chave de conta de serviço para substituir a antiga. Para mais informações, consulte Como criar chaves de conta de serviço.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Service account role separation

Nome da categoria na API: SERVICE_ACCOUNT_ROLE_SEPARATION

Essa descoberta não está disponível para ativações no nível do projeto.

Um ou mais membros de sua organização têm múltiplas permissões de conta de serviço atribuídas. Nenhuma conta deve ter permissão de Administrador da conta de serviço simultaneamente com outras permissões da conta de serviço. Para saber mais sobre contas de serviço e os papéis disponíveis, consulte Contas de serviço.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página IAM no Console do Google Cloud.

   Acessar IAM

2. Para cada membro listado na descoberta, faça o seguinte:

   1. Verifique se o papel foi herdado de um recurso ou pasta da organização checando a coluna Herança. Se a coluna contiver um link para um recurso pai, clique no link para acessar a página do IAM do recurso pai.
   2. Clique em Editar edit ao lado de um membro.
   3. Para remover permissões, clique em Excluir delete ao lado deAdministrador de conta de serviço. Se você quiser remover todas as permissões da conta de serviço, clique em Excluir ao lado de todas as outras permissões.

3. Clique em Salvar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Shielded VM disabled

Nome da categoria na API: SHIELDED_VM_DISABLED

A VM protegida está desativada nesta instância do Compute Engine.

As VMs protegidas são máquinas virtuais (VMs) no Google Cloud que têm a proteção aumentada por um conjunto de controles de segurança que ajudam a proteger contra rootkits e bootkits. As VMs protegidas ajudam a garantir que o carregador de inicialização e o firmware sejam assinados e verificados. Saiba mais sobre VM protegida.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Instâncias de VMs no Console do Google Cloud.

   Acessar instâncias de VM

2. Selecione a instância relacionada à descoberta do Security Health Analytics.

3. Na página Detalhes da instância carregada, clique em stop Interromper.

4. Depois que a instância for interrompida, clique em edit Editar.

5. Na seção VM protegida, alterne entre Ativar vTPM e Ativar o monitoramento de integridade para ativar a VM protegida.

6. Como opção, se você não usar drivers personalizados ou não assinados, ative também a Inicialização segura.

7. Clique em Salvar. A nova configuração aparecerá na página Detalhes da instância.

8. Clique em play_arrow Iniciar para iniciar a instância.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

SQL CMEK disabled

Nome da categoria na API: SQL_CMEK_DISABLED

Uma instância de banco de dados SQL não está usando chaves de criptografia gerenciadas pelo cliente (CMEK).

Com a CMEK, as chaves que você cria e gerencia no Cloud KMS encapsulam as chaves que o Google usa para criptografar seus dados, oferecendo mais controle sobre o acesso a eles. Para mais informações, consulte as visões gerais da CMEK para o produto: Cloud SQL para MySQL, Cloud SQL para PostgreSQL ou Cloud SQL para SQL Server. As CMEK geram custos adicionais relacionados ao Cloud KMS.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Instâncias do Cloud SQL no console do Google Cloud.

   Acesse "Instâncias do Cloud SQL"

2. Selecione a instância listada na descoberta do Security Health Analytics.

3. Clique em deleteExcluir

4. Para criar uma nova instância com a CMEK ativada, siga as instruções para configurar a CMEK para o produto:

   1. Cloud SQL para MySQL
   2. Cloud SQL para PostgreSQL
   3. Cloud SQL para SQL Server

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

SQL contained database authentication

Nome da categoria na API: SQL_CONTAINED_DATABASE_AUTHENTICATION

Uma instância de banco de dados Cloud SQL para SQL Server não tem a sinalização de banco de dados autenticação de banco de dados contido definida como Desativada.

A sinalização de autenticação de banco de dados contidos controla se é possível criar ou anexar bancos de dados contidos ao Database Engine. Um banco de dados contido inclui todas as configurações e metadados de banco de dados necessários para definir o banco de dados. Ele não tem dependências de configuração na instância do Database Engine em que o banco de dados está instalado.

Não é recomendável ativar essa sinalização porque:

• Os usuários podem se conectar ao banco de dados sem autenticação no nível do mecanismo de banco de dados.
• Isolar o banco de dados do Database Engine possibilita migrar o banco de dados para outra instância do SQL Server.

Os bancos de dados contidos enfrentam ameaças únicas que precisam ser compreendidas e atenuadas pelos administradores do SQL Server Database Engine. A maioria das ameaças é decorrente do processo de autenticação USUÁRIO COM SENHA, que transfere o limite de autenticação do nível do Database Engine para o nível do banco de dados.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Instâncias do Cloud SQL no console do Google Cloud.

   Acesse "Instâncias do Cloud SQL"

2. Selecione a instância listada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na seção Sinalizações do Database, defina a sinalização de autenticação do banco de dados contidocom o valor Desativado.

5. Clique em Salvar. A nova configuração aparecerá na página Visão geral da instância.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

SQL cross DB ownership chaining

Nome da categoria na API: SQL_CROSS_DB_OWNERSHIP_CHAINING

Uma instância de banco de dados do Cloud SQL para SQL Server não tem a sinalização de banco de dados encadeamento de propriedade entre bancos de dados definida como Desativado.

A sinalização de encadeamento de propriedade entre bancos de dados permite controlar o encadeamento de propriedade entre bancos de dados no nível do banco de dados ou permite o encadeamento de propriedades de bancos de dados de todas as instruções do banco de dados.

A ativação dessa sinalização não é recomendada, a menos que todos os bancos de dados hospedados pela instância do SQL Server participem do encadeamento de propriedade entre bancos de dados e você esteja ciente das implicações de segurança dessa configuração.

Para mais informações, consulte Como configurar sinalizações do banco de dados.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Instâncias do Cloud SQL no console do Google Cloud.

   Acesse "Instâncias do Cloud SQL"

2. Selecione a instância listada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na seção Sinalizações do banco de dados, defina a sinalização da cadeia de propriedade entre bancos de dados com o valor Desativado.

5. Clique em Salvar. A nova configuração aparecerá na página Visão geral da instância.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

SQL external scripts enabled

Nome da categoria na API: SQL_EXTERNAL_SCRIPTS_ENABLED

Uma instância de banco de dados do Cloud SQL para SQL Server não tem a sinalização do banco de dados scripts externos ativados definida como Desativada.

Quando ativada, essa configuração permite a execução de scripts com determinadas extensões de linguagem remota. Como esse recurso pode afetar negativamente a segurança do sistema, recomendamos desativá-lo.

Para mais informações, consulte Como configurar sinalizações de banco de dados.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Instâncias do Cloud SQL no console do Google Cloud.

   Acesse "Instâncias do Cloud SQL"

2. Selecione a instância listada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na seção Sinalizações do banco de dados, defina a sinalização dos scripts externos ativados com o valor Desativado.

5. Clique em Salvar. A nova configuração aparecerá na página Visão geral da instância.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

SQL instance not monitored

Nome da categoria na API: SQL_INSTANCE_NOT_MONITORED

Essa descoberta não está disponível para ativações no nível do projeto.

As métricas e os alertas de registro não estão configurados para monitorar alterações na configuração da instância do Cloud SQL.

A configuração incorreta das opções de instâncias do SQL pode causar riscos de segurança. Desativar as opções de backup automático e alta disponibilidade pode afetar a continuidade dos negócios e deixar de restringir as redes autorizadas pode aumentar a exposição a redes não confiáveis. O monitoramento de alterações na configuração da instância do SQL ajuda a reduzir o tempo necessário para detectar e corrigir configurações incorretas.

Para mais informações, consulte Visão geral de métricas com base em registros.

Dependendo da quantidade de informações, os custos do Cloud Monitoring podem ser significativos. Para entender o uso do serviço e os custos dele, consulte Otimização de custos para observabilidade do Google Cloud.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Para corrigir essa descoberta, conclua as etapas a seguir:

Criar métrica

1. Acesse a página Métricas com base em registros no console do Google Cloud.

   Acessar métricas com base em registros

2. Clique em Criar métrica.

3. Em Tipo de Métrica, selecione Contador.

4. Em Detalhes:

   1. Defina um Nome da métrica de registro.
   2. Adicione uma descrição.
   3. Definir Unidades para 1.

5. Em Seleção de filtro, copie e cole o texto a seguir na caixa Criar filtro, substituindo o texto atual, se necessário:

     protoPayload.methodName="cloudsql.instances.update"
     OR protoPayload.methodName="cloudsql.instances.create"
     OR protoPayload.methodName="cloudsql.instances.delete"
   

6. Clique em Criar métrica. Você verá uma confirmação.

Criar política de alertas

1. No painel de navegação do console do Google Cloud, selecione Logging e, em seguida, Métricas com base em registros:

   Acessar Métricas com base em registros

2. Na seção Métricas definidas pelo usuário, selecione a métrica que você criou na seção anterior.

3. Clique em Mais more_vert e depois em Criar alerta com base na métrica.

   A caixa de diálogo Nova condição é aberta com as opções de transformação de dados e métricas pré-preenchidas.

4. Clique em Próxima.
   1. Revise as configurações pré-preenchidas. Convém modificar o Valor do limite.
   2. Clique em Nome da condição e digite um nome para ela.
5. Clique em Próxima.

6. Para adicionar notificações à sua política de alertas, clique em Canais de notificação. Na caixa de diálogo, selecione um ou mais canais de notificação no menu e clique em OK.

   Para receber uma notificação quando os incidentes forem abertos ou fechados, marque Notificar sobre o fechamento de incidentes. Por padrão, as notificações são enviadas apenas quando incidentes são abertos.

7. Opcional: Atualize a Duração do fechamento automático do incidente. Este campo determina quando o Monitoring fecha incidentes na ausência de dados de métrica.
8. Opcional: clique em Documentação e adicione as informações que quer incluir em uma mensagem de notificação.
9. Clique em Nome e digite um nome para a política de alertas.
10. Clique em Criar política.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

SQL local infile

Nome da categoria na API: SQL_LOCAL_INFILE

Uma instância de banco de dados do Cloud SQL para MySQL não tem a sinalização de banco de dados local_infile definida como Desativada. Devido a problemas de segurança associados à sinalização local_infile, ela precisa ser desativada. Para mais informações, consulte Como configurar sinalizações do banco de dados.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Instâncias do Cloud SQL no console do Google Cloud.

   Acesse "Instâncias do Cloud SQL"

2. Selecione a instância listada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na seção Sinalizações do banco de dados, defina a sinalização do banco de dados local_infile com o valor Desativado.

5. Clique em Salvar. A nova configuração aparecerá na página Visão geral da instância.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

SQL log checkpoints disabled

Nome da categoria na API: SQL_LOG_CHECKPOINTS_DISABLED

Uma instância de banco de dados do Cloud SQL para PostgreSQL não tem a sinalização de banco de dados log_checkpoints definida como Ativada.

A ativação de log_checkpoints faz com que os pontos de verificação e os pontos de reinicialização sejam registrados no registro do servidor. Algumas estatísticas são incluídas nas mensagens de registro, incluindo o número de buffers gravados e o tempo gasto para gravá-los.

Para mais informações, consulte Como configurar sinalizações do banco de dados.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Instâncias do Cloud SQL no console do Google Cloud.

   Acesse "Instâncias do Cloud SQL"

2. Selecione a instância listada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na seção Sinalizações do banco de dados, defina a sinalização do banco de dados log_checkpoints database flag com o valor Ativado.

5. Clique em Salvar. A nova configuração aparecerá na página Visão geral da instância.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

SQL log connections disabled

Nome da categoria na API: SQL_LOG_CONNECTIONS_DISABLED

Uma instância de banco de dados do Cloud SQL para PostgreSQL não tem a sinalização de banco de dados log_connections definida como Ativada.

A ativação da configuração log_connections faz com que as tentativas de conexão ao servidor sejam registradas, com a conclusão bem-sucedida da autenticação do cliente. Os registros podem ser úteis para solucionar problemas e confirmar tentativas de conexão incomuns no servidor.

Para mais informações, consulte Como configurar sinalizações do banco de dados.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Instâncias do Cloud SQL no console do Google Cloud.

   Acesse "Instâncias do Cloud SQL"

2. Selecione a instância listada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na seção Sinalizações do banco de dados, defina a sinalização do banco de dados log_connections com o valor Ativado.

5. Clique em Salvar. A nova configuração aparecerá na página Visão geral da instância.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

SQL log disconnections disabled

Nome da categoria na API: SQL_LOG_DISCONNECTIONS_DISABLED

Uma instância de banco de dados do Cloud SQL para PostgreSQL não tem a sinalização de banco de dados log_disconnections definida como Ativado.

Ativar a configuração log_disconnections cria entradas de registro no final de cada sessão. Os registros são úteis para solucionar problemas e confirmar atividades incomuns em um período. Para mais informações, consulte Como configurar sinalizações de banco de dados.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Instâncias do Cloud SQL no console do Google Cloud.

   Acesse "Instâncias do Cloud SQL"

2. Selecione a instância listada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na seção Sinalizações do Database, defina a sinalização do banco de dados log_disconnections com o valor Ativado.

5. Clique em Salvar. A nova configuração aparecerá na página Visão geral da instância.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

SQL log duration disabled

Nome da categoria na API: SQL_LOG_DURATION_DISABLED

Uma instância de banco de dados do Cloud SQL para PostgreSQL não tem a sinalização de banco de dados log_duration definida como Ativado.

Quando log_duration está ativada, essa configuração faz com que o ambiente de execução e a duração de cada instrução concluída sejam registrados. Monitorar o tempo necessário para executar consultas pode ser essencial para identificar consultas lentas e resolver problemas no banco de dados.

Para mais informações, consulte Como configurar sinalizações do banco de dados.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Instâncias do Cloud SQL no console do Google Cloud.

   Acesse "Instâncias do Cloud SQL"

2. Selecione a instância listada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na seção Sinalizações do banco de dados, defina a sinalização do banco de dados log_duration como Ativada.

5. Clique em Salvar. A nova configuração aparecerá na página Visão geral da instância.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

SQL log error verbosity

Nome da categoria na API: SQL_LOG_ERROR_VERBOSITY

Uma instância de banco de dados do Cloud SQL para PostgreSQL não tem a flag do banco de dados log_error_verbosity definida como default ou Detalhes.

A flag log_error_verbosity controla a quantidade de detalhes nas mensagens registradas. Quanto maior o nível de detalhes, mais informações são gravadas nas mensagens. Recomendamos definir essa flag como default ou Details.

Para mais informações, consulte Como configurar sinalizações do banco de dados.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Instâncias do Cloud SQL no console do Google Cloud.

   Acesse "Instâncias do Cloud SQL"

2. Selecione a instância listada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na seção Flags do banco de dados, defina o flag do banco de dados log_error_verbosity como padrão ou detalhado.

5. Clique em Salvar. A nova configuração aparecerá na página Visão geral da instância.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

SQL log lock waits disabled

Nome da categoria na API: SQL_LOG_LOCK_WAITS_DISABLED

Uma instância de banco de dados do Cloud SQL para PostgreSQL não tem a sinalização de banco de dados log_lock_waits definida como Ativado.

A ativação da configuração log_lock_waits cria entradas de registro quando as sessões aguardam mais do que o tempo deadlock_timeout para adquirir um bloqueio. Os registros são úteis para determinar se as esperas de bloqueio estão causando um desempenho ruim.

Para mais informações, consulte Como configurar sinalizações do banco de dados.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Instâncias do Cloud SQL no console do Google Cloud.

   Acesse "Instâncias do Cloud SQL"

2. Selecione a instância listada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na seção Sinalizações do Database, defina a sinalização log_lock_waits do banco de dados com o valor Ativado.

5. Clique em Salvar. A nova configuração aparecerá na página Visão geral da instância.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

SQL log min duration statement enabled

Nome da categoria na API: SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

Uma instância de banco de dados do Cloud SQL para PostgreSQL não tem a sinalização log_min_duration_statement do banco de dados definida como -1.

A sinalização log_min_duration_statement faz com que as instruções SQL executadas por mais de um tempo especificado sejam registradas. Considere desativar essa configuração porque as instruções SQL podem conter informações confidenciais que não devem ser registradas. Para mais informações, consulte Como configurar sinalizações do banco de dados.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Instâncias do Cloud SQL no console do Google Cloud.

   Acesse "Instâncias do Cloud SQL"

2. Selecione a instância listada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na seção Sinalizações do banco de dados, defina a sinalização do banco de dados log_min_duration_statement com o valor -1.

5. Clique em Salvar. A nova configuração aparecerá na página Visão geral da instância.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

SQL log min error statement

Nome da categoria na API: SQL_LOG_MIN_ERROR_STATEMENT

Uma instância de banco de dados do Cloud SQL para PostgreSQL não tem a sinalização log_min_error_statement do banco de dados definida corretamente.

A sinalização log_min_error_statement controla se as instruções SQL que causam condições de erro são registradas nos registros do servidor. As instruções SQL da gravidade especificada ou superior são registradas com mensagens para as instruções de erro. Quanto maior a gravidade, menos mensagens são registradas.

Se log_min_error_statement não estiver definido como o valor pretendido, talvez as mensagens não sejam classificadas como mensagens de erro. Uma gravidade definida como baixa demais aumenta o número de mensagens e dificulta a localização de erros reais. Uma gravidade definida como muito alta pode fazer com que mensagens de erro reais não sejam registradas.

Para mais informações, consulte Como configurar sinalizações do banco de dados.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Instâncias do Cloud SQL no console do Google Cloud.

   Acesse "Instâncias do Cloud SQL"

2. Selecione a instância listada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na seção Sinalizações do banco de dados, defina a sinalização do banco de dados log_min_error_statement com um dos valores recomendados a seguir, de acordo com a política de geração de registros da organização.

   • debug5
   • debug4
   • debug3
   • debug2
   • debug1
   • info
   • notice
   • warning
   • error

5. Clique em Salvar. A nova configuração aparecerá na página Visão geral da instância.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

SQL log min error statement severity

Nome da categoria na API: SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

Uma instância de banco de dados do Cloud SQL para PostgreSQL não tem a sinalização log_min_error_statement do banco de dados definida corretamente.

A sinalização log_min_error_statement controla se as instruções SQL que causam condições de erro são registradas nos registros do servidor. As instruções SQL sobre a gravidade especificada ou superior são registradas com mensagens para as instruções de erro. Quanto mais rigorosa a gravidade, menos mensagens são registradas.

Se log_min_error_statement não estiver definido como o valor pretendido, talvez as mensagens não sejam classificadas como mensagens de erro. Um conjunto de gravidade muito baixa poderia aumentar o número de mensagens e dificultar a localização de erros reais. Um nível de gravidade muito alto (muito rígido) pode fazer com que as mensagens de erro reais não sejam registradas.

Recomendamos que você defina essa sinalização como error ou uma opção mais rigorosa.

Para mais informações, consulte Como configurar sinalizações do banco de dados.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Instâncias do Cloud SQL no console do Google Cloud.

   Acesse "Instâncias do Cloud SQL"

2. Selecione a instância listada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na seção Sinalizações do banco de dados, defina a sinalização do banco de dados log_min_error_statement com um dos valores recomendados a seguir, de acordo com a política de geração de registros da sua organização.

   • error
   • log
   • fatal
   • panic

5. Clique em Salvar. A nova configuração aparecerá na página Visão geral da instância.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

SQL log min messages

Nome da categoria na API: SQL_LOG_MIN_MESSAGES

Uma instância de banco de dados do Cloud SQL para PostgreSQL não tem a sinalização de banco de dados log_min_messages definida como o mínimo de warning.

A sinalização log_min_messages controla quais níveis de mensagem são gravados nos registros do servidor. Quanto maior a gravidade, menos mensagens são registradas. Definir o limite muito baixo pode resultar em aumento do tamanho e do comprimento do armazenamento de registros, dificultando a localização de erros reais.

Para mais informações, consulte Como configurar sinalizações de banco de dados.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Instâncias do Cloud SQL no console do Google Cloud.

   Acesse "Instâncias do Cloud SQL"

2. Selecione a instância listada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na seção Flags do banco de dados, defina a flag log_min_messages com um dos valores recomendados a seguir, de acordo com a política de geração de registros da organização.

   • debug5
   • debug4
   • debug3
   • debug2
   • debug1
   • info
   • notice
   • warning

5. Clique em Salvar. A nova configuração aparecerá na página Visão geral da instância.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

SQL log executor stats enabled

Nome da categoria na API: SQL_LOG_EXECUTOR_STATS_ENABLED

Uma instância de banco de dados do Cloud SQL para PostgreSQL não tem a flag de banco de dados log_executor_stats definida como Desativada.

Quando o flag log_executor_stats é ativado, as estatísticas de desempenho do executor são incluídas nos registros do PostgreSQL para cada consulta. Essa configuração pode ser útil para solucionar problemas, mas também pode aumentar significativamente a quantidade de registros e a sobrecarga de desempenho.

Para mais informações, consulte Como configurar sinalizações do banco de dados.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Instâncias do Cloud SQL no console do Google Cloud.

   Acesse "Instâncias do Cloud SQL"

2. Selecione a instância listada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na seção Flags do banco de dados, defina o flag log_executor_stats como Desativado.

5. Clique em Salvar. A nova configuração aparecerá na página Visão geral da instância.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

SQL log hostname enabled

Nome da categoria na API: SQL_LOG_HOSTNAME_ENABLED

Uma instância de banco de dados do Cloud SQL para PostgreSQL não tem a sinalização de banco de dados log_hostname definida como Desativada.

Quando a sinalização log_hostname está ativada, o nome do host de conexão é registrado. Por padrão, as mensagens do registro de conexão mostram apenas o endereço IP. Essa configuração pode ser útil para resolver problemas. No entanto, isso pode gerar sobrecarga no desempenho do servidor, porque, para cada instrução registrada, a resolução DNS é necessária para converter um endereço IP em um nome de host.

Para mais informações, consulte Como configurar sinalizações do banco de dados.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Instâncias do Cloud SQL no console do Google Cloud.

   Acesse "Instâncias do Cloud SQL"

2. Selecione a instância listada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na seção Sinalizações do banco de dados, defina a sinalização do banco de dados log_hostname como Desativado.

5. Clique em Salvar. A nova configuração aparecerá na página Visão geral da instância.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

SQL log parser stats enabled

Nome da categoria na API: SQL_LOG_PARSER_STATS_ENABLED

Uma instância de banco de dados do Cloud SQL para PostgreSQL não tem a sinalização de banco de dados log_parser_stats definida como log_parser_stats.

Quando a sinalização log_parser_stats é ativada, as estatísticas de desempenho do analisador são incluídas nos registros do PostgreSQL para cada consulta. Isso pode ser útil para solucionar problemas, mas também pode aumentar significativamente o número de registros e a sobrecarga de desempenho.

Para mais informações, consulte Como configurar sinalizações do banco de dados.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Instâncias do Cloud SQL no console do Google Cloud.

   Acesse "Instâncias do Cloud SQL"

2. Selecione a instância listada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na seção Sinalizações do banco de dados, defina a sinalização do banco de dados log_parser_stats como Desativada.

5. Clique em Salvar. A nova configuração aparecerá na página Visão geral da instância.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

SQL log planner stats enabled

Nome da categoria na API: SQL_LOG_PLANNER_STATS_ENABLED

Uma instância de banco de dados do Cloud SQL para PostgreSQL não tem a sinalização de banco de dados log_planner_stats definida como Desativada.

Quando a sinalização log_planner_stats é ativada, é usado um método bruto de criação de perfil para registrar as estatísticas de desempenho do planejador do PostgreSQL. Isso pode ser útil para solucionar problemas, mas também pode aumentar significativamente o número de registros e a sobrecarga de desempenho.

Para mais informações, consulte Como configurar sinalizações do banco de dados.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Instâncias do Cloud SQL no console do Google Cloud.

   Acesse "Instâncias do Cloud SQL"

2. Selecione a instância listada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na seção Sinalizações do banco de dados, defina a sinalização do banco de dados log_planner_stats como Desativada.

5. Clique em Salvar. A nova configuração aparecerá na página Visão geral da instância.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

SQL log statement

Nome da categoria na API: SQL_LOG_STATEMENT

Uma instância de banco de dados do Cloud SQL para PostgreSQL não tem a flag de banco de dados log_statement definida como ddl.

O valor dessa sinalização controla quais instruções SQL são registradas. A geração de registros ajuda a solucionar problemas operacionais e permite a análise forense. Se essa sinalização não estiver definida com o valor correto, as informações relevantes poderão ser ignoradas ou estar ocultas em muitas mensagens. Recomenda-se um valor de ddl (todas as instruções de definição de dados), a menos que você receba outras orientações da política de geração de registros da organização.

Para mais informações, consulte Como configurar sinalizações do banco de dados.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Instâncias do Cloud SQL no console do Google Cloud.

   Acesse "Instâncias do Cloud SQL"

2. Selecione a instância listada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na seção Flags de banco de dados, defina a flag de banco de dados log_statement como ddl.

5. Clique em Salvar. A nova configuração aparecerá na página Visão geral da instância.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

SQL log statement stats enabled

Nome da categoria na API: SQL_LOG_STATEMENT_STATS_ENABLED

Uma instância de banco de dados do Cloud SQL para PostgreSQL não tem a sinalização de banco de dados log_statement_stats definida como Desativada.

Quando a sinalização log_statement_stats é ativada, as estatísticas de desempenho completas são incluídas nos registros do PostgreSQL para cada consulta. Essa configuração pode ser útil para solucionar problemas, mas também pode aumentar significativamente a quantidade de registros e a sobrecarga de desempenho.

Para mais informações, consulte Como configurar sinalizações do banco de dados.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Instâncias do Cloud SQL no console do Google Cloud.

   Acesse "Instâncias do Cloud SQL"

2. Selecione a instância listada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na seção Sinalizações do banco de dados, defina a sinalização do banco de dados log_statement_stats como Desativada.

5. Clique em Salvar. A nova configuração aparecerá na página Visão geral da instância.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

SQL log temp files

Nome da categoria na API: SQL_LOG_TEMP_FILES

Uma instância de banco de dados do Cloud SQL para PostgreSQL não tem a sinalização de banco de dados log_temp_files definida como 0.

É possível criar arquivos temporários para classificações, hashes e resultados de consulta temporários. Definir a sinalização log_temp_files como 0 faz com que todas as informações dos arquivos temporários sejam registradas. Essa ação é útil para identificar possíveis problemas de desempenho. Para mais informações, consulte Como configurar sinalizações de banco de dados.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Instâncias do Cloud SQL no console do Google Cloud.

   Acesse "Instâncias do Cloud SQL"

2. Selecione a instância listada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na seção Sinalizações do banco de dados, defina a sinalização log_temp_files com o valor 0.

5. Clique em Salvar. A nova configuração aparecerá na página Visão geral da instância.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

SQL no root password

Nome da categoria na API: SQL_NO_ROOT_PASSWORD

Uma instância de banco de dados MySQL não tem uma senha definida para a conta raiz. Você precisa adicionar uma senha à instância do banco de dados MySQL. Para mais informações, consulte Usuários do MySQL.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Instâncias do Cloud SQL no console do Google Cloud.

   Acesse "Instâncias do Cloud SQL"

2. Selecione a instância listada na descoberta do Security Health Analytics.

3. Na página Detalhes da instância carregada, selecione a guia Usuários.

4. Ao lado do usuário root, clique em Mais e depois selecione Alterar senha.

5. Insira uma senha nova e forte e clique em OK.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

SQL public IP

Nome da categoria na API: SQL_PUBLIC_IP

Um banco de dados do Cloud SQL tem um endereço IP público.

Para reduzir a superfície de ataque da organização, os bancos de dados do Cloud SQL não podem ter endereços IP públicos. Endereços IP privados oferecem maior segurança de rede e menor latência para o aplicativo.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Instâncias do Cloud SQL no console do Google Cloud.

   Acesse "Instâncias do Cloud SQL"

2. Selecione a instância listada na descoberta do Security Health Analytics.

3. No menu à esquerda, clique em Conexões.

4. Clique na guia Rede e desmarque a caixa de seleção IP público.

5. Se a instância ainda não estiver configurada para usar um IP particular, consulte Como configurar o IP particular de uma instância atual.

6. Clique em Salvar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

SQL remote access enabled

Nome da categoria na API: SQL_REMOTE_ACCESS_ENABLED

Uma instância de banco de dados do Cloud SQL para SQL Server não tem a sinalização de banco de dados de acesso remoto definida como Desativada.

Quando ativada, essa configuração concede permissão para executar procedimentos armazenados no local a partir de servidores remotos ou procedimentos armazenados remotamente a partir do servidor local. Essa funcionalidade pode ser violada para lançar um ataque de negação de serviço (DoS) em servidores remotos ao descarregar o processamento de consultas em um destino. Para evitar abusos, recomendamos desativar essa configuração.

Para mais informações, consulte Como configurar sinalizações de banco de dados.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Instâncias do Cloud SQL no console do Google Cloud.

   Acesse "Instâncias do Cloud SQL"

2. Selecione a instância listada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na seção Sinalizações, defina acesso remoto como Desativado.

5. Clique em Salvar. A nova configuração aparecerá na página Visão geral da instância.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

SQL skip show database disabled

Nome da categoria na API: SQL_SKIP_SHOW_DATABASE_DISABLED

Uma instância de banco de dados do Cloud SQL para MySQL não tem a sinalização de banco de dados skip_show_database definida como Ativada.

Quando ativada, essa sinalização impede que os usuários usem a instrução SHOW DATABASES se não tiverem o privilégio SHOW DATABASES. Com essa configuração, os usuários sem permissão explícita não podem ver bancos de dados que pertencem a outros usuários. Recomendamos ativar essa sinalização.

Para mais informações, consulte Como configurar sinalizações de banco de dados.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Instâncias do Cloud SQL no console do Google Cloud.

   Acesse "Instâncias do Cloud SQL"

2. Selecione a instância listada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na seção Sinalizações, defina skip_show_database como Ativado.

5. Clique em Salvar. A nova configuração aparecerá na página Visão geral da instância.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

SQL trace flag 3625

Nome da categoria na API: SQL_TRACE_FLAG_3625

Uma instância de banco de dados do Cloud SQL para SQL Server não tem a sinalização do banco de dados 3625 (sinalizador de rastreamento) definida como Ativada.

Essa sinalização limita a quantidade de informações retornadas a usuários que não são membros do papel de servidor fixo do administrador, mascarando os parâmetros de algumas mensagens de erro usando asteriscos (******). Para ajudar a evitar a divulgação de informações confidenciais, recomendamos ativar essa sinalização.

Para mais informações, consulte Como configurar sinalizações de banco de dados.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Instâncias do Cloud SQL no console do Google Cloud.

   Acesse "Instâncias do Cloud SQL"

2. Selecione a instância listada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na seção Sinalizações do banco de dados, defina 3625 como Ativado.

5. Clique em Salvar. A nova configuração aparecerá na página Visão geral da instância.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

SQL user connections configured

Nome da categoria na API: SQL_USER_CONNECTIONS_CONFIGURED

Uma instância de banco de dados do Cloud SQL para SQL Server tem a sinalização do banco de dados conexões do usuário configurada.

A opção conexões do usuário especifica o número máximo de conexões simultâneas do usuário que são permitidas em uma instância do SQL Server. Como é uma opção dinâmica (de autoconfiguração), o SQL Server ajusta o número máximo de conexões de usuário automaticamente conforme necessário, até o valor máximo permitido. O valor padrão é 0, o que significa que até 32.767 conexões de usuários são permitidas. Por esse motivo, não recomendamos configurar a sinalização do banco de dados conexões do usuário.

Para mais informações, consulte Como configurar sinalizações de banco de dados.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Instâncias do Cloud SQL no console do Google Cloud.

   Acesse "Instâncias do Cloud SQL"

2. Selecione a instância listada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na seção Sinalizações do banco de dados, ao lado de Conexões do usuário, clique em delete Excluir.

5. Clique em Salvar. A nova configuração aparecerá na página Visão geral da instância.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

SQL user options configured

Nome da categoria na API: SQL_USER_OPTIONS_CONFIGURED

Uma instância de banco de dados do Cloud SQL para SQL Server tem a sinalização de banco de dados opções do usuário configurada.

Essa configuração substitui os valores padrão globais das opções SET para todos os usuários. Como os usuários e os aplicativos podem presumir que as opções SET do banco de dados padrão estão em uso, definir as opções do usuário pode causar resultados inesperados. Por esse motivo, não recomendamos configurar a sinalização do banco de dados opções do usuário.

Para mais informações, consulte Como configurar sinalizações de banco de dados.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Instâncias do Cloud SQL no console do Google Cloud.

   Acesse "Instâncias do Cloud SQL"

2. Selecione a instância listada na descoberta do Security Health Analytics.

3. Clique em edit Editar.

4. Na seção Sinalizações do banco de dados, ao lado de Opções do usuário, clique em delete Excluir.

5. Clique em Salvar. A nova configuração aparecerá na página Visão geral da instância.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

SQL weak root password

Nome da categoria na API: SQL_WEAK_ROOT_PASSWORD

Uma instância de banco de dados MySQL tem uma senha fraca definida para a conta raiz. Você precisa definir uma senha forte para a instância. Para mais informações, consulte Usuários do MySQL.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Instâncias do Cloud SQL no console do Google Cloud.

   Acesse "Instâncias do Cloud SQL"

2. Selecione a instância listada na descoberta do Security Health Analytics.

3. Na página Detalhes da instância carregada, selecione a guia Usuários.

4. Ao lado do usuário root, clique em Mais e depois selecione Alterar senha.

5. Insira uma senha nova e forte e clique em OK.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

SSL not enforced

Nome da categoria na API: SSL_NOT_ENFORCED

Uma instância de banco de dados do Cloud SQL não requer que todas as conexões de entrada usem SSL.

Para evitar o vazamento de dados confidenciais em trânsito durante comunicações não criptografadas, todas as conexões de entrada com sua instância do banco de dados do SQL precisam usar o SSL. Saiba mais sobre Como configurar SSL/TLS.

Para remediar essa descoberta, permita apenas conexões SSL para suas instâncias SQL:

1. Acesse a página Instâncias do Cloud SQL no console do Google Cloud.

   Acesse "Instâncias do Cloud SQL"

2. Selecione a instância listada na descoberta do Security Health Analytics.

3. Na guia Conexões, clique em Permitir apenas conexões SSL ou Exigir certificados do cliente confiáveis. Para mais informações, consulte Aplicar criptografia SSL/TLS.

4. Se você escolheu Exigir certificados do cliente confiáveis, crie um novo certificado do cliente. Para mais informações, consulte Criar um novo certificado do cliente.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Too many KMS users

Nome da categoria na API: TOO_MANY_KMS_USERS

Limite o número de usuários principais que podem usar chaves criptográficas a três. Os papéis predefinidos a seguir concedem permissões para criptografar, descriptografar ou assinar dados usando chaves criptográficas:

• roles/owner
• roles/cloudkms.cryptoKeyEncrypterDecrypter
• roles/cloudkms.cryptoKeyEncrypter
• roles/cloudkms.cryptoKeyDecrypter
• roles/cloudkms.signer
• roles/cloudkms.signerVerifier

Para mais informações, consulte Permissões e papéis.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Chaves do Cloud KMS no console do Google Cloud.

   Acesse Chaves do Cloud KMS

2. Clique no nome do keyring indicado na descoberta.

3. Clique no nome da chave indicada na descoberta.

4. Selecione a caixa ao lado da versão principal e clique em Mostrar painel de informações.

5. Reduza o número de principais com permissões para criptografar, descriptografar ou assinar dados para três ou menos. Para revogar permissões, clique em Excluir delete ao lado de cada membro.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

User managed service account key

Nome da categoria na API: USER_MANAGED_SERVICE_ACCOUNT_KEY

Um usuário gerencia uma chave de conta de serviço. As chaves da conta de serviço são um risco de segurança quando não são gerenciadas corretamente. Sempre que possível, escolha uma alternativa mais segura para as chaves de conta de serviço. Caso seja necessário autenticar com uma chave de conta de serviço, você será responsável pela segurança da chave privada e por outras operações descritas em Práticas recomendadas para gerenciar chaves de contas de serviço. Se não for possível criar uma chave de conta de serviço, a criação pode ser desativada para sua organização. Para mais informações, consulte Gerenciar recursos da organização com segurança por padrão.

Para corrigir essa descoberta, conclua as etapas a seguir:

1. Acesse a página Contas de serviço no console do Google Cloud.

   Acessar a página "Contas de serviço"

2. Se necessário, selecione o projeto indicado na descoberta.

3. Exclua as chaves da conta de serviço gerenciadas pelo usuário indicadas na descoberta se elas não forem usadas por nenhum aplicativo.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Weak SSL policy

Nome da categoria na API: WEAK_SSL_POLICY

Uma instância do Compute Engine tem uma política de SSL fraca ou usa a política de SSL padrão do Google Cloud com TLS versão inferior a 1.2.

Os balanceadores de carga HTTPS e de proxy SSL usam políticas de SSL para determinar o protocolo e os pacotes de criptografia usados nas conexões TLS estabelecidas entre os usuários e a Internet. Essas conexões criptografam dados confidenciais para impedir que invasores mal-intencionados acessem esses dados. Com uma política de SSL fraca, os clientes que usam versões desatualizadas do TLS podem se conectar a um pacote ou protocolo de criptografia menos seguro. Para ver uma lista de pacotes de criptografia recomendados e desatualizados, acesse a página de parâmetros TLS do iana.org.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

As etapas de correção para essa descoberta variam dependendo se essa descoberta foi acionada pelo uso de uma política de SSL padrão do Google Cloud ou de uma política de SSL que permite um pacote de criptografia fraco ou uma versão de TLS mínima inferior a 1.2. Siga o procedimento abaixo que corresponde ao gatilho da descoberta.

Correção da política de SSL padrão do Google Cloud

1. Acesse a página Proxies de destino no console do Google Cloud.

   Acesse proxies de destino

2. Encontre o proxy de destino indicado na descoberta e anote as regras de encaminhamento na coluna Em uso por.

3. Para criar uma nova política de SSL, consulte Como usar políticas de SSL. A política precisa ter uma versão mínima de TLS de 1.2 e um perfil moderno ou restrito.

4. Para usar um perfil Personalizado, verifique se os seguintes pacotes de criptografia estão desativados:

   • TLS_RSA_WITH_AES_128_GCM_SHA256
   • TLS_RSA_WITH_AES_256_GCM_SHA384
   • TLS_RSA_WITH_AES_128_CBC_SHA
   • TLS_RSA_WITH_AES_256_CBC_SHA
   • TLS_RSA_WITH_3DES_EDE_CBC_SHA

5. Aplique a política de SSL a cada regra de encaminhamento que você anotou.

Correção do pacote de criptografia fraco ou versão TLS de nível inferior

1. No console do Google Cloud, acesse a página Políticas de SSL.

   Acessar políticas de SSL

2. Encontre o balanceador de carga indicado na coluna Em uso por.

3. Clique no nome da política.

4. Clique em edit Editar.

5. Altere a Versão mínima do TLS para TLS 1.2 e Perfil para Moderno ou restrito.

6. Para usar um perfil Personalizado, verifique se os seguintes pacotes de criptografia estão desativados:

   • TLS_RSA_WITH_AES_128_GCM_SHA256
   • TLS_RSA_WITH_AES_256_GCM_SHA384
   • TLS_RSA_WITH_AES_128_CBC_SHA
   • TLS_RSA_WITH_AES_256_CBC_SHA
   • TLS_RSA_WITH_3DES_EDE_CBC_SHA

7. Clique em Salvar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Web UI enabled

Nome da categoria na API: WEB_UI_ENABLED

A IU da Web do GKE (painel) está ativada.

As contas de serviço do Kubernetes altamente privilegiadas apoiam a interface da Web do Kubernetes. Caso ela seja comprometida, a conta de serviço pode ser violada. Se você já estiver usando o console do Google Cloud, a interface da Web do Kubernetes estende a superfície de ataque desnecessariamente. Saiba mais sobre Como desativar a interface da Web do Kubernetes.

Para corrigir essa descoberta, desative a interface da Web do Kubernetes:

1. Acesse a página Clusters do Kubernetes no console do Google Cloud.

   Acessar clusters do Kubernetes

2. Clique no nome do cluster listado na descoberta do Security Health Analytics.

3. Clique em edit Editar.

   Se a configuração do cluster tiver sido alterada recentemente, o botão de edição poderá ser desativado. Se você não conseguir editar as configurações do cluster, aguarde alguns minutos e tente novamente.

4. Clique em Complementos. A seção se expande para exibir os complementos disponíveis.

5. Na lista suspensa Painel do Kubernetes, selecione Desativado.

6. Clique em Salvar.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Workload Identity disabled

Nome da categoria na API: WORKLOAD_IDENTITY_DISABLED

A Identidade da carga de trabalho está desativada em um cluster do GKE.

A identidade de carga de trabalho é a maneira recomendada de acessar os serviços do Google Cloud a partir do GKE porque oferece melhores propriedades de segurança e capacidade de gerenciamento. Sua ativação evita que metadados de sistema potencialmente confidenciais das cargas de trabalho do usuário sejam executados no seu cluster. Saiba mais sobre ocultação de metadados.

Para corrigir essa descoberta, siga o guia para Ativar a identidade da carga de trabalho em um cluster.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Corrigir configurações incorretas da AWS

AWS Cloud Shell Full Access Restricted

Nome da categoria na API: ACCESS_AWSCLOUDSHELLFULLACCESS_RESTRICTED

O AWS CloudShell é uma maneira conveniente de executar comandos da CLI nos serviços da AWS. Uma política gerenciada do IAM ("AWSCloudShellFullAccess") fornece acesso total ao CloudShell, que permite a capacidade de upload e download de arquivos entre o sistema local de um usuário e o ambiente do CloudShell. No ambiente do CloudShell, um usuário tem permissões sudo e pode acessar a Internet. Por isso, é viável instalar um software de transferência de arquivos, por exemplo, e mover os dados do CloudShell para servidores de Internet externos.

Recomendação: garanta que o acesso ao AWSCloudShellFullAccess seja restrito

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Access Keys Rotated Every 90 Days or Less

Nome da categoria na API: ACCESS_KEYS_ROTATED_90_DAYS_LESS

As chaves de acesso consistem em um ID de chave de acesso e uma chave de acesso secreta, que são usados para assinar as solicitações programáticas que você faz para a AWS. Os usuários da AWS precisam das próprias chaves de acesso para fazer chamadas programáticas usando a AWS Command Line Interface (AWS CLI), ferramentas para Windows PowerShell, os SDKs da AWS ou chamadas HTTP diretas usando as APIs para serviços individuais da AWS. É recomendável que todas as chaves de acesso sejam alternadas regularmente.

Recomendação: verifique se as chaves de acesso são alternadas a cada 90 dias ou menos.

Para corrigir essa descoberta, conclua as etapas a seguir:

aws iam create-access-key

aws iam get-access-key-last-used

aws iam update-access-key

aws iam delete-access-key

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

All Expired Ssl Tls Certificates Stored Aws Iam Removed

Nome da categoria na API: ALL_EXPIRED_SSL_TLS_CERTIFICATES_STORED_AWS_IAM_REMOVED

Para ativar conexões HTTPS com seu site ou aplicativo na AWS, você precisa de um certificado de servidor SSL/TLS. É possível usar o ACM ou o IAM para armazenar e implantar certificados do servidor. Use o IAM como um gerenciador de certificados somente quando precisar oferecer suporte a conexões HTTPS em uma região não aceita pelo ACM. O IAM criptografa suas chaves privadas com segurança e armazena a versão criptografada no armazenamento de certificados SSL do IAM. O IAM oferece suporte à implantação de certificados de servidor em todas as regiões, mas você precisa conseguir seu certificado de um provedor externo para usar com a AWS. Não é possível fazer o upload de um certificado ACM para o IAM. Além disso, não é possível gerenciar seus certificados no console do IAM.

Recomendação: verifique se todos os certificados SSL/TLS expirados armazenados no IAM da AWS foram removidos

Para corrigir essa descoberta, conclua as etapas a seguir:

aws iam delete-server-certificate --server-certificate-name <CERTIFICATE_NAME>

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Autoscaling Group Elb Healthcheck Required

Nome da categoria na API: AUTOSCALING_GROUP_ELB_HEALTHCHECK_REQUIRED

Ela verifica se os grupos de escalonamento automático associados a um balanceador de carga estão usando verificações de integridade do Elastic Load Balancing.

Isso garante que o grupo possa determinar a integridade de uma instância com base em testes adicionais fornecidos pelo balanceador de carga. O uso de verificações de integridade do Elastic Load Balancing pode ajudar na disponibilidade de aplicativos que usam grupos de escalonamento automático do EC2.

Recomendação: verifica se todos os grupos de escalonamento automático associados a um balanceador de carga usam verificações de integridade.

Para corrigir essa descoberta, conclua as etapas a seguir:

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Auto Minor Version Upgrade Feature Enabled Rds Instances

Nome da categoria na API: AUTO_MINOR_VERSION_UPGRADE_FEATURE_ENABLED_RDS_INSTANCES

Verifique se as instâncias de banco de dados do RDS têm a sinalização de Upgrade automático de versão secundária ativada para receber automaticamente upgrades secundários do mecanismo durante a janela de manutenção especificada. Assim, as instâncias de RDS podem receber os novos recursos, correções de bugs e patches de segurança para os mecanismos de banco de dados.

Recomendação: verifique se o recurso de atualização automática da versão secundária está ativado para instâncias de RDS

Para corrigir essa descoberta, conclua as etapas a seguir:

aws rds describe-db-instances --region <regionName> --query 'DBInstances[*].DBInstanceIdentifier'

aws rds modify-db-instance --region <regionName> --db-instance-identifier <dbInstanceIdentifier> --auto-minor-version-upgrade --apply-immediately

aws rds describe-db-instances --region <regionName> --db-instance-identifier <dbInstanceIdentifier> --query 'DBInstances[*].AutoMinorVersionUpgrade'

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Aws Config Enabled All Regions

Nome da categoria na API: AWS_CONFIG_ENABLED_ALL_REGIONS

O AWS Config é um serviço da Web que executa o gerenciamento de configurações de recursos compatíveis da AWS na sua conta e envia arquivos de registros para você. As informações registradas incluem o item de configuração (recurso da AWS), as relações entre os itens de configuração (recursos da AWS) e as mudanças de configuração entre os recursos. Recomenda-se ativar o AWS Config em todas as regiões.

Recomendação: verifique se o AWS Config está ativado em todas as regiões

Para corrigir essa descoberta, conclua as etapas a seguir:

aws configservice put-configuration-recorder --configuration-recorder name=default,roleARN=arn:aws:iam::012345678912:role/myConfigRole --recording-group allSupported=true,includeGlobalResourceTypes=true

{
 "name": "default",
 "s3BucketName": "my-config-bucket",
 "snsTopicARN": "arn:aws:sns:us-east-1:012345678912:my-config-notice",
 "configSnapshotDeliveryProperties": {
 "deliveryFrequency": "Twelve_Hours"
 }
}

aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json

aws configservice start-configuration-recorder --configuration-recorder-name default

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Aws Security Hub Enabled

Nome da categoria na API: AWS_SECURITY_HUB_ENABLED

A Central de segurança coleta dados de segurança em contas da AWS, serviços e produtos de parceiros terceirizados com suporte, além de ajudar você a analisar suas tendências e identificar os problemas de segurança de maior prioridade. Quando você ativa a Central de segurança, ela começa a consumir, agregar, organizar e priorizar as descobertas dos serviços da AWS ativados, como Amazon GuardDuty, Amazon Inspector e Amazon Macie. Também é possível ativar integrações com produtos de segurança de parceiros da AWS.

Recomendação: verifique se a Central de Segurança da AWS está ativada

Para corrigir essa descoberta, conclua as etapas a seguir:

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Cloudtrail Logs Encrypted Rest Using Kms Cmks

Nome da categoria na API: CLOUDTRAIL_LOGS_ENCRYPTED_REST_USING_KMS_CMKS

O AWS CloudTrail é um serviço da Web que registra chamadas de API da AWS para uma conta e disponibiliza esses registros para usuários e recursos de acordo com as políticas do IAM. O serviço de gerenciamento de chaves (KMS) da AWS é um serviço gerenciado que ajuda a criar e controlar as chaves de criptografia usadas para criptografar dados da conta e usa módulos de segurança de hardware (HSMs, na sigla em inglês) para proteger a segurança das chaves de criptografia. Os registros do CloudTrail podem ser configurados para usar criptografia do lado do servidor (SSE) e chaves mestras criadas pelo cliente (CMK) do KMS para proteger ainda mais os registros do CloudTrail. É recomendável configurar o CloudTrail para usar o SSE-KMS.

Recomendação: verifique se os registros do CloudTrail são criptografados em repouso usando CMKs do KMS

Para corrigir essa descoberta, conclua as etapas a seguir:

aws cloudtrail update-trail --name <trail_name> --kms-id <cloudtrail_kms_key>
aws kms put-key-policy --key-id <cloudtrail_kms_key> --policy <cloudtrail_kms_key_policy>

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Cloudtrail Log File Validation Enabled

Nome da categoria na API: CLOUDTRAIL_LOG_FILE_VALIDATION_ENABLED

A validação do arquivo de registro do CloudTrail cria um arquivo de resumo assinado digitalmente contendo um hash de cada registro gravado pelo CloudTrail no S3. Esses arquivos de resumo podem ser usados para determinar se um arquivo de registro foi alterado, excluído ou inalterado depois que o CloudTrail entregou o registro. É recomendável que a validação do arquivo esteja ativada em todos os CloudTrails.

Recomendação: verifique se a validação do arquivo de registros do CloudTrail está ativada

Para corrigir essa descoberta, conclua as etapas a seguir:

aws cloudtrail update-trail --name <trail_name> --enable-log-file-validation

aws cloudtrail validate-logs --trail-arn <trail_arn> --start-time <start_time> --end-time <end_time>

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Cloudtrail Trails Integrated Cloudwatch Logs

Nome da categoria na API: CLOUDTRAIL_TRAILS_INTEGRATED_CLOUDWATCH_LOGS

O AWS CloudTrail é um serviço da Web que registra chamadas de API da AWS feitas em uma determinada conta da AWS. As informações registradas incluem a identidade do autor da chamada da API, o horário da chamada da API, o endereço IP de origem do autor da chamada, os parâmetros da solicitação e os elementos de resposta retornados pelo serviço da AWS. O CloudTrail usa o Amazon S3 para armazenamento e entrega de arquivos de registro, o que faz com que esses arquivos sejam armazenados de maneira durável. Além de capturar registros do CloudTrail em um bucket S3 especificado para análise de longo prazo, é possível realizar análises em tempo real configurando o CloudTrail para enviar registros para os registros do CloudWatch. Para uma trilha ativada em todas as regiões de uma conta, o CloudTrail envia arquivos de registros de todas essas regiões para um grupo de registros do CloudWatch. É recomendado que os registros do CloudTrail sejam enviados para os registros do CloudWatch.

Recomendação: verifique se as trilhas do CloudTrail estão integradas aos registros do CloudWatch

Para corrigir essa descoberta, conclua as etapas a seguir:

aws cloudtrail update-trail --name <trail_name> --cloudwatch-logs-log-group-arn <cloudtrail_log_group_arn> --cloudwatch-logs-role-arn <cloudtrail_cloudwatchLogs_role_arn>

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Cloudwatch Alarm Action Check

Nome da categoria na API: CLOUDWATCH_ALARM_ACTION_CHECK

Isso verifica se o Amazon Cloudwatch tem ações definidas quando um alarme transita entre os estados "OK", "ALARM" e "INSUFFICIENT_DATA".

Configurar ações para o estado ALARM nos alarmes do Amazon CloudWatch é muito importante para acionar uma resposta imediata quando os limites de violação de métricas forem monitorados. Ele garante a resolução rápida de problemas, reduz a inatividade e permite a correção automatizada, mantendo a integridade do sistema e evitando interrupções.

Os alarmes têm pelo menos uma ação. Os alarmes têm pelo menos uma ação quando fazem a transição de qualquer outro estado para o estado "INSUFFICIENT_DATA". (Opcional) Os alarmes têm pelo menos uma ação quando fazem a transição de qualquer outro estado para um estado "OK".

Recomendação: verifica se os alarmes do CloudWatch têm pelo menos uma ação de alarme, uma ação INSUFFICIENT_DATA ou uma ação OK ativada.

Para corrigir essa descoberta, conclua as etapas a seguir:

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Cloudwatch Log Group Encrypted

Nome da categoria na API: CLOUDWATCH_LOG_GROUP_ENCRYPTED

Essa verificação garante que os registros do CloudWatch sejam configurados com o KMS.

Os dados do grupo de registros são sempre criptografados nos registros do CloudWatch. Por padrão, os registros do CloudWatch usam criptografia no servidor para os dados de registro em repouso. Como alternativa, você pode usar o AWS Key Management Service para essa criptografia. Se você fizer isso, a criptografia será feita com uma chave do AWS KMS. A criptografia com o AWS KMS é ativada no nível do grupo de registros, associando uma chave KMS a um grupo de registros, seja quando você criar o grupo de registros ou depois que ele existir.

Recomendação: verifica se todos os grupos de registros nos registros do Amazon CloudWatch estão criptografados com o KMS

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

CloudTrail CloudWatch Logs Enabled

Nome da categoria na API: CLOUD_TRAIL_CLOUD_WATCH_LOGS_ENABLED

Esse controle verifica se as trilhas do CloudTrail estão configuradas para enviar registros aos registros do CloudWatch. O controle falhará se a propriedade CloudWatchLogsLogGroupArn da trilha estiver vazia.

O CloudTrail registra as chamadas de API da AWS feitas em uma determinada conta. As informações registradas incluem o seguinte:

• A identidade do autor da chamada da API
• O horário da chamada de API
• O endereço IP de origem do autor da chamada da API
• Parâmetros de solicitação
• Os elementos de resposta retornados pelo serviço da AWS

O CloudTrail usa o Amazon S3 para armazenamento e entrega de arquivos de registro. É possível capturar os registros do CloudTrail em um bucket do S3 especificado para análise de longo prazo. Para realizar análises em tempo real, configure o CloudTrail para enviar registros aos registros do CloudWatch.

Para uma trilha ativada em todas as regiões de uma conta, o CloudTrail envia arquivos de registro de todas essas regiões para um grupo de registros do CloudWatch.

A Central de segurança recomenda que você envie registros do CloudTrail para os registros do CloudWatch. Essa recomendação tem o objetivo de garantir que as atividades da conta sejam capturadas, monitoradas e detectadas de forma adequada. Você pode usar os registros do CloudWatch para configurar isso com seus serviços da AWS. Essa recomendação não impede o uso de outra solução.

O envio de registros do CloudTrail para os registros do CloudWatch facilita a geração de registros de atividades em tempo real e histórica com base no usuário, API, recurso e endereço IP. Você pode usar essa abordagem para definir alarmes e notificações de atividades anômalas ou sensíveis na conta.

Recomendação: verifica se todas as trilhas do CloudTrail estão configuradas para enviar registros ao AWS CloudWatch

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

No AWS Credentials in CodeBuild Project Environment Variables

Nome da categoria na API: CODEBUILD_PROJECT_ENVVAR_AWSCRED_CHECK

Ela verifica se o projeto contém as variáveis de ambiente AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY.

As credenciais de autenticação AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY nunca devem ser armazenadas em texto não criptografado. Isso pode levar à exposição acidental de dados e ao acesso não autorizado.

Recomendação: verifica se todos os projetos que contêm as variáveis de ambiente AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY não estão em texto simples

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Codebuild Project Source Repo Url Check

Nome da categoria na API: CODEBUILD_PROJECT_SOURCE_REPO_URL_CHECK

Ela verifica se um URL do repositório de origem do Bitbucket do projeto do AWS CodeBuild contém tokens de acesso pessoal ou um nome de usuário e uma senha. O controle falhará se o URL do repositório de origem do Bitbucket contiver tokens de acesso pessoal ou um nome de usuário e uma senha.

As credenciais de login não devem ser armazenadas ou transmitidas em texto simples nem aparecer no URL do repositório de origem. Em vez de tokens de acesso pessoais ou credenciais de login, acesse o provedor de origem no CodeBuild e altere o URL do repositório de origem para conter apenas o caminho até o local do repositório do Bitbucket. O uso de tokens de acesso pessoal ou credenciais de login pode resultar em exposição não intencional de dados ou acesso não autorizado.

Recomendação: verifica se todos os projetos que usam o GitHub ou o bitbucket como a origem usam OAuth

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Credentials Unused 45 Days Greater Disabled

Nome da categoria na API: CREDENTIALS_UNUSED_45_DAYS_GREATER_DISABLED

Os usuários do AWS IAM podem acessar os recursos da AWS usando diferentes tipos de credenciais, como senhas ou chaves de acesso. É recomendável desativar ou remover todas as credenciais não utilizadas há mais de 45 dias.

Recomendação: verifique se as credenciais não utilizadas há 45 dias ou mais estão desativadas

Para corrigir essa descoberta, conclua as etapas a seguir:

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Default Security Group Vpc Restricts All Traffic

Nome da categoria na API: DEFAULT_SECURITY_GROUP_VPC_RESTRICTS_ALL_TRAFFIC

Uma VPC vem com um grupo de segurança padrão com configurações iniciais que negam todo o tráfego de entrada, permitem todo o tráfego de saída e permitem todo o tráfego entre instâncias atribuídas ao grupo de segurança. Se você não especificar um grupo de segurança ao iniciar uma instância, ela será atribuída automaticamente a esse grupo de segurança padrão. Os grupos de segurança oferecem filtragem com estado do tráfego de rede de entrada/saída para recursos da AWS. É recomendável que o grupo de segurança padrão restrinja todo o tráfego.

A VPC padrão em cada região precisa ter o grupo de segurança padrão atualizado para estar em conformidade. Todas as VPCs recém-criadas vão incluir automaticamente um grupo de segurança padrão que vai precisar de correções para cumprir essa recomendação.

OBSERVAÇÃO: ao implementar essa recomendação, a geração de registros de fluxos de VPC é inestimável para determinar o acesso à porta de privilégio mínimo exigido pelos sistemas para funcionar corretamente, porque pode registrar todas as aceitação e rejeições de pacotes que ocorrem nos grupos de segurança atuais. Isso reduz drasticamente a principal barreira para a engenharia de privilégio mínimo: descobrir as portas mínimas exigidas pelos sistemas no ambiente. Mesmo que a recomendação de geração de registros de fluxo de VPC neste comparativo de mercado não seja adotada como uma medida de segurança permanente, ela precisa ser usada durante qualquer período de descoberta e engenharia para grupos de segurança com menos privilégios.

Recomendação: garanta que o grupo de segurança padrão de cada VPC restrinja todo o tráfego

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Dms Replication Not Public

Nome da categoria na API: DMS_REPLICATION_NOT_PUBLIC

Verifica se as instâncias de replicação do AWS DMS são públicas. Para fazer isso, ele examina o valor do campo PubliclyAccessible.

Uma instância de replicação particular tem um endereço IP particular que não pode ser acessado fora da rede de replicação. Uma instância de replicação precisa ter um endereço IP particular quando os bancos de dados de origem e de destino estão na mesma rede. A rede também precisa estar conectada à VPC da instância de replicação usando uma VPN, o AWS Direct Connect ou o peering de VPC. Para saber mais sobre instâncias de replicação públicas e privadas, consulte Instâncias de replicação públicas e privadas no Guia do usuário do AWS Database Migration Service.

Você também deve garantir que o acesso à configuração da instância do AWS DMS seja limitado apenas a usuários autorizados. Para fazer isso, restrinja as permissões do IAM dos usuários para modificar as configurações e os recursos do AWS DMS.

Recomendação: verifica se as instâncias de replicação do AWS Database Migration Service são públicas

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Do Setup Access Keys During Initial User Setup All Iam Users Console

Nome da categoria na API: DO_SETUP_ACCESS_KEYS_DURING_INITIAL_USER_SETUP_ALL_IAM_USERS_CONSOLE

Por padrão, o console da AWS não tem caixas de seleção selecionadas ao criar um novo usuário do IAM. Ao criar as credenciais de usuário do IAM, você precisa determinar que tipo de acesso elas exigem.

Acesso programático: o usuário do IAM pode precisar fazer chamadas de API, usar a CLI da AWS ou usar as ferramentas para Windows PowerShell. Nesse caso, crie uma chave de acesso (ID da chave de acesso e uma chave de acesso secreta) para esse usuário.

Acesso ao Console de Gerenciamento da AWS: se o usuário precisar acessar o Console de Gerenciamento da AWS, crie uma senha para o usuário.

Recomendação: não configure chaves de acesso durante a configuração inicial do usuário para todos os usuários do IAM que tenham uma senha do console

Para corrigir essa descoberta, conclua as etapas a seguir:

aws iam delete-access-key --access-key-id <access-key-id-listed> --user-name <users-name>

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Dynamodb Autoscaling Enabled

Nome da categoria na API: DYNAMODB_AUTOSCALING_ENABLED

Isso verifica se uma tabela do Amazon DynamoDB pode escalonar sua capacidade de leitura e gravação conforme necessário. Esse controle será passado se a tabela usar o modo de capacidade sob demanda ou o modo provisionado com o escalonamento automático configurado. O escalonamento da capacidade com a demanda evita a limitação de exceções, o que ajuda a manter a disponibilidade dos seus aplicativos.

As tabelas do DynamoDB no modo de capacidade sob demanda são limitadas apenas pelas cotas da tabela padrão de capacidade do DynamoDB. Para aumentar essas cotas, abra um tíquete de suporte por meio do AWS.

As tabelas do DynamoDB no modo provisionado com escalonamento automático ajustam dinamicamente a capacidade de capacidade provisionada em resposta aos padrões de tráfego. Para mais informações sobre limitação de solicitações do DynamoDB, consulte limitação de solicitações e capacidade de burst no Guia do desenvolvedor do Amazon DynamoDB.

Recomendação: as tabelas do DynamoDB precisam escalonar automaticamente a capacidade com a demanda

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Dynamodb In Backup Plan

Nome da categoria na API: DYNAMODB_IN_BACKUP_PLAN

Esse controle avalia se uma tabela do DynamoDB está coberta por um plano de backup. O controle falhará se uma tabela do DynamoDB não for coberta por um plano de backup. Esse controle avalia apenas as tabelas do DynamoDB que estão no estado ACTIVE.

Os backups ajudam você a se recuperar mais rapidamente de um incidente de segurança. Eles também fortalecem a resiliência dos seus sistemas. A inclusão de tabelas do DynamoDB em um plano de backup ajuda a proteger seus dados contra perda ou exclusão não intencional.

Recomendação: as tabelas do DynamoDB precisam ser cobertas por um plano de backup

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Dynamodb Pitr Enabled

Nome da categoria na API: DYNAMODB_PITR_ENABLED

A recuperação pontual (PITR, na sigla em inglês) é um dos mecanismos disponíveis para fazer backup das tabelas do DynamoDB.

Um backup pontual é mantido por 35 dias. Caso você precise de uma retenção mais longa, consulte Configurar backups programados para o Amazon DynamoDB usando o backup da AWS na documentação da AWS.

Recomendação: verifica se a recuperação pontual (PITR, na sigla em inglês) está ativada para todas as tabelas do AWS DynamoDB

Para corrigir essa descoberta, conclua as etapas a seguir:

resource "aws_dynamodb_table" "example" {
  # ... other configuration ...
  point_in_time_recovery {
    enabled = true
  }
}

aws dynamodb update-continuous-backups \
  --table-name "GameScoresOnDemand" \
  --point-in-time-recovery-specification "PointInTimeRecoveryEnabled=true"

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Dynamodb Table Encrypted Kms

Nome da categoria na API: DYNAMODB_TABLE_ENCRYPTED_KMS

Verifica se todas as tabelas do DynamoDB estão criptografadas com uma chave KMS gerenciada pelo cliente (não padrão).

Recomendação: verifica se todas as tabelas do DynamoDB estão criptografadas com o serviço de gerenciamento de chaves (KMS) da AWS

Para corrigir essa descoberta, conclua as etapas a seguir:

resource "aws_kms_key" "dynamodb_encryption" {
  description         = "Used for DynamoDB encryption configuration"
  enable_key_rotation = true
}

resource "aws_dynamodb_table" "example" {
  # ... other configuration ...
  server_side_encryption {
    enabled     = true
    kms_key_arn = aws_kms_key.dynamodb_encryption.arn
  }
}

aws dynamodb update-table \
  --table-name <value> \
  --sse-specification "Enabled=true,SSEType=KMS,KMSMasterKeyId=<kms_key_arn>"

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Ebs Optimized Instance

Nome da categoria na API: EBS_OPTIMIZED_INSTANCE

Verifica se a otimização do EBS está ativada para as instâncias do EC2 que podem ser otimizadas para EBS

Recomendação: verifica se a otimização do EBS está ativada para todas as instâncias compatíveis com a otimização.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Ebs Snapshot Public Restorable Check

Nome da categoria na API: EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK

Verifica se os snapshots do Amazon Elastic Block Store não são públicos. O controle falhará se os snapshots do Amazon EBS forem restaurados por qualquer pessoa.

Os snapshots do EBS são usados para fazer backup dos dados nos volumes EBS para o Amazon S3 em um momento específico. É possível usar os snapshots para restaurar estados anteriores dos volumes EBS. Raramente é aceitável compartilhar um snapshot com o público. Normalmente, a decisão de compartilhar um snapshot publicamente foi tomada por engano ou sem uma compreensão completa das implicações. Essa verificação ajuda a garantir que todo esse compartilhamento foi totalmente planejado e intencional.

Recomendação: os snapshots do Amazon EBS não podem ser restaurados publicamente

Para corrigir essa descoberta, conclua as etapas a seguir:

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Ebs Volume Encryption Enabled All Regions

Nome da categoria na API: EBS_VOLUME_ENCRYPTION_ENABLED_ALL_REGIONS

O Elastic Compute Cloud (EC2) oferece suporte à criptografia em repouso ao usar o serviço Elastic Block Store (EBS). Se desativado por padrão, há suporte para a criptografia de força na criação de volume EBS.

Recomendação: verifique se a criptografia de volume EBS está ativada em todas as regiões

Para corrigir essa descoberta, conclua as etapas a seguir:

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Ec2 Instances In Vpc

Nome da categoria na API: EC2_INSTANCES_IN_VPC

A Amazon VPC oferece mais funcionalidades de segurança do que o EC2 Classic. Recomendamos que todos os nós pertençam a uma Amazon VPC.

Recomendação: garante que todas as instâncias pertençam a uma VPC

Para corrigir essa descoberta, conclua as etapas a seguir:

  resource "aws_vpc" "example_vpc" {
    cidr_block = "10.0.0.0/16"
  }

  resource "aws_subnet" "example_public_subnet" {
    vpc_id            = aws_vpc.example_vpc.id
    cidr_block        = "10.0.1.0/24"
    availability_zone = "1a"
  }

  resource "aws_internet_gateway" "example_igw" {
    vpc_id = aws_vpc.example_vpc.id
  }

  resource "aws_key_pair" "example_key" {
    key_name   = "web-instance-key"
    public_key = "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQD3F6tyPEFEzV0LX3X8BsXdMsQz1x2cEikKDEY0aIj41qgxMCP/iteneqXSIFZBp5vizPvaoIR3Um9xK7PGoW8giupGn+EPuxIA4cDM4vzOqOkiMPhz5XK0whEjkVzTo4+S0puvDZuwIsdiW9mxhJc7tgBNL0cYlWSYVkz4G/fslNfRPW5mYAM49f4fhtxPb5ok4Q2Lg9dPKVHO/Bgeu5woMc7RY0p1ej6D4CKFE6lymSDJpW0YHX/wqE9+cfEauh7xZcG0q9t2ta6F6fmX0agvpFyZo8aFbXeUBr7osSCJNgvavWbM/06niWrOvYX2xwWdhXmXSrbX8ZbabVohBK41 email@example.com"
  }

  resource "aws_security_group" "web_sg" {
    name   = "http and ssh"
    vpc_id = aws_vpc.some_custom_vpc.id

    ingress {
      from_port   = 80
      to_port     = 80
      protocol    = "tcp"
      cidr_blocks = ["0.0.0.0/0"]
    }

    ingress {
      from_port   = 22
      to_port     = 22
      protocol    = "tcp"
      cidr_blocks = ["0.0.0.0/0"]
    }

    egress {
      from_port   = 0
      to_port     = 0
      protocol    = -1
      cidr_blocks = ["0.0.0.0/0"]
    }
  }

  resource "aws_instance" "web" {
    ami                    = <ami_id>
    instance_type          = <instance_flavor>
    key_name               = aws_key_pair.example_key.name
    monitoring             = true
    subnet_id              = aws_subnet.example_public_subnet.id
    vpc_security_group_ids = [aws_security_group.web_sg.id]
    metadata_options {
      http_tokens = "required"
    }
  }

  aws ec2 create-vpc \
  --cidr-block 10.0.0.0/16

  aws ec2 create-subnet \
  --availability-zone 1a \
  --cidr-block 10.0.1.0/24 \
  --vpc-id <id_from_create-vpc_command>

  aws ec2 create-internet-gateway

  aws ec2 attach-internet-gateway \
  --internet-gateway-id <id_from_create-internet-gateway_command> \
  --vpc-id <id_from_create-vpc_command>

  aws ec2 create-key-pair \
  --key-name web-instance-key \
  --query "KeyMaterial" \
  --output text > ~/.ssh/web-instance-key.pem && \
  chmod 400 ~/.ssh/web-instance-key.pem

  aws ec2 create-security-group \
  --group-name "http and ssh" \
  --vpc-id <id_from_create-vpc_command>

  aws ec2 authorize-security-group-ingress \
  --group-id <id_from_create-security-group_command>
  --protocol tcp \
  --port 80 \
  --cidr 0.0.0.0/0

  aws ec2 authorize-security-group-ingress \
  --group-id <id_from_create-security-group_command>
  --protocol tcp \
  --port 22 \
  --cidr 0.0.0.0/0

  aws ec2 authorize-security-group-egress \
  --group-id <id_from_create-security-group_command>
  --protocol -1 \
  --port 0 \
  --cidr 0.0.0.0/0

  aws ec2 run-instances \
  --image-id <ami_id> \
  --instance-type <instance_flavor> \
  --metadata-options "HttpEndpoint=enabled,HttpTokens=required" \
  --monitoring true \
  --key-name web-instance-key \
  --subnet-id <id_from_create-subnet_command> \
  --security-group-ids <id_from_create-security-group_command>

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Ec2 Instance No Public Ip

Nome da categoria na API: EC2_INSTANCE_NO_PUBLIC_IP

As instâncias do EC2 que têm um endereço IP público correm um risco maior de comprometimento. Recomendamos que as instâncias do EC2 não sejam configuradas com um endereço IP público.

Recomendação: garante que nenhuma instância tenha um IP público

Para corrigir essa descoberta, conclua as etapas a seguir:

resource "aws_instance" "no_public_ip" {
  ...
  associate_public_ip_address = false
}

aws ec2 run-instances \
--image-id <ami_id> \
--instance-type <instance_flavor> \
--no-associate-public-ip-address \
--key-name MyKeyPair

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Ec2 Managedinstance Association Compliance Status Check

Nome da categoria na API: EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK

Uma associação de gerenciador de estado é uma configuração atribuída às suas instâncias gerenciadas. A configuração define o estado que você quer manter nas instâncias. Por exemplo, uma associação pode especificar que um software antivírus precisa estar instalado e em execução nas instâncias ou que certas portas precisam ser fechadas. As instâncias do EC2 associadas ao AWS Systems Manager estão sob gerenciamento do Systems Manager, o que facilita a aplicação de patches, a correção de configurações incorretas e a resposta a eventos de segurança.

Recomendação: verifica o status de conformidade da associação do gerente de sistemas da AWS

Para corrigir essa descoberta, conclua as etapas a seguir:

resource "aws_instance" "web" {
  ami           = "<iam_id>"
  instance_type = "<instance_flavor>"
}

resource "aws_ssm_document" "check_ip" {
  name          = "check-ip-config"
  document_type = "Command"

  content = <<DOC
  {
    "schemaVersion": "1.2",
    "description": "Check ip configuration of a Linux instance.",
    "parameters": {

    },
    "runtimeConfig": {
      "aws:runShellScript": {
        "properties": [
          {
            "id": "0.aws:runShellScript",
            "runCommand": ["ifconfig"]
          }
        ]
      }
    }
  }
DOC
}

resource "aws_ssm_association" "check_ip_association" {
  name = aws_ssm_document.check_ip.name

  targets {
    key    = "InstanceIds"
    values = [aws_instance.web.id]
  }
}

aws ssm create-document \
--name <document_name> \
--content  file://path/to-file/document.json \
--document-type "Command"

aws ssm create-association \
--name <association_name> \
--targets "Key=InstanceIds,Values=<instance-id-1>,<instance-id-2>"

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Ec2 Managedinstance Patch Compliance Status Check

Nome da categoria na API: EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK

Esse controle verifica se o status de conformidade da associação do AWS Systems Manager é COMPLIANT ou NON_COMPLIANT depois que a associação é executada em uma instância. O controle falhará se o status de conformidade da associação for NON_COMPLIANT.

Uma associação de gerenciador de estado é uma configuração atribuída às suas instâncias gerenciadas. A configuração define o estado que você quer manter nas instâncias. Por exemplo, uma associação pode especificar que um software antivírus precisa estar instalado e em execução nas instâncias ou que certas portas precisam ser fechadas.

Depois de criar uma ou mais associações de gerenciador de estado, as informações de status de conformidade ficam imediatamente disponíveis para você. É possível visualizar o status de conformidade no console ou em resposta aos comandos da CLI da AWS ou às ações correspondentes da API Systems Manager. Para associações, a opção "Compliance da configuração" mostra o status de compliance ("Em compliance" ou "Não está em conformidade"). Ele também mostra o nível de gravidade atribuído à associação, como "Crítico" ou "Médio".

Para saber mais sobre a conformidade da associação com o gerenciador de estado, consulte Sobre a conformidade da associação com o gerenciador de estado no Guia do usuário do gerenciador de sistemas da AWS.

Recomendação: verifica o status de conformidade com o patch do AWS Systems Manager

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Ec2 Metadata Service Allows Imdsv2

Nome da categoria na API: EC2_METADATA_SERVICE_ALLOWS_IMDSV2

Ao ativar o serviço de metadados em instâncias do AWS EC2, os usuários têm a opção de usar a versão 1 do serviço de metadados de instância (IMDSv1; um método de solicitação/resposta) ou a versão 2 do serviço de metadados de instância (IMDSv2, um método orientado a sessões).

Recomendação: certifique-se de que o serviço de metadados do EC2 permita somente IMDSv2

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Ec2 Volume Inuse Check

Nome da categoria na API: EC2_VOLUME_INUSE_CHECK

Identificar e remover volumes do Elastic Block Store (EBS) não anexados (não utilizados) na sua conta da AWS para reduzir o custo da fatura mensal da AWS. A exclusão de volumes EBS não utilizados também reduz o risco de saída de dados confidenciais/sensíveis. Além disso, esse controle também verifica se as instâncias do EC2 arquivadas estão configuradas para excluir volumes após o encerramento.

Por padrão, as instâncias do EC2 são configuradas para excluir os dados em qualquer volume EBS associado à instância e para excluir o volume EBS raiz da instância. No entanto, por padrão, todos os volumes EBS não raiz conectados à instância, na inicialização ou durante a execução, são mantidos após o encerramento.

Recomendação: verifica se os volumes EBS estão anexados às instâncias do EC2 e configurados para exclusão no encerramento da instância

Para corrigir essa descoberta, conclua as etapas a seguir:

resource "aws_instance" "web" {
    ami                    = <ami_id>
    instance_type          = <instance_flavor>
    ebs_block_device {
      delete_on_termination = true # Default
      device_name           = "/dev/sdh"
    }

aws ec2 delete-volume --volume-id vol-049df61146c4d7901

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Efs Encrypted Check

Nome da categoria na API: EFS_ENCRYPTED_CHECK

O Amazon EFS dá suporte a duas formas de criptografia para sistemas de arquivos: criptografia de dados em trânsito e criptografia em repouso. Isso verifica se todos os sistemas de arquivos EFS estão configurados com criptografia em repouso em todas as regiões ativadas na conta.

Recomendação: verifica se a EFS está configurada para criptografar dados de arquivos usando o KMS

Para corrigir essa descoberta, conclua as etapas a seguir:

resource "aws_efs_file_system" "encrypted-efs" {
  creation_token = "my-kms-encrypted-efs"
  encrypted      = true
  kms_key_id     = "arn:aws:kms:us-west-2:12344375555:key/16393ebd-3348-483f-b162-99b6648azz23"

  tags = {
    Name = "MyProduct"
  }
}

aws efs create-file-system \
--backup \
--encrypted \
--region us-east-1 \

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Efs In Backup Plan

Nome da categoria na API: EFS_IN_BACKUP_PLAN

As práticas recomendadas da Amazon recomendam configurar backups para seus Elastic File Systems (EFS). Isso verifica todo o EFS em cada região ativada em sua conta da AWS para backups ativados.

Recomendação: verifica se os sistemas de arquivos EFS estão incluídos nos planos de backup da AWS

Para corrigir essa descoberta, conclua as etapas a seguir:

resource "aws_efs_file_system" "encrypted-efs" {
  creation_token = "my-encrypted-efs"
  encrypted      = true

  tags = merge({
    Name = "${local.resource_prefix.value}-efs"
    }, {
    git_file             = "terraform/aws/efs.tf"
    git_org              = "your_git_org"
    git_repo             = "your_git_repo"
  })
}

resource "aws_efs_backup_policy" "policy" {
  file_system_id = aws_efs_file_system.encrypted-efs.id

  backup_policy {
    status = "ENABLED"
  }
}

arr=( $(aws efs describe-file-systems | jq -r '.FileSystems[].FileSystemId') )
for efs in "${arr[@]}"
do
  aws efs put-backup-policy \
  --file-system-id "${efs}" \
  --backup-policy "Status=ENABLED"
done

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Elb Acm Certificate Required

Nome da categoria na API: ELB_ACM_CERTIFICATE_REQUIRED

Verifica se o balanceador de carga clássico usa certificados HTTPS/SSL fornecidos pelo gerenciador de certificados da AWS (ACM). O controle falhará se o balanceador de carga clássico configurado com o listener HTTPS/SSL não usar um certificado fornecido pelo ACM.

Para criar um certificado, você pode usar o ACM ou uma ferramenta compatível com os protocolos SSL e TLS, como o OpenSSL. A Central de segurança recomenda que você use o ACM para criar ou importar certificados para seu balanceador de carga.

O ACM se integra aos balanceadores de carga clássicos para que você possa implantar o certificado no seu balanceador de carga. e renová-los automaticamente.

Recomendação: verifica se todos os balanceadores de carga clássicos usam certificados SSL fornecidos pelo gerenciador de certificados da AWS

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Elb Deletion Protection Enabled

Nome da categoria na API: ELB_DELETION_PROTECTION_ENABLED

Verifica se um balanceador de carga de aplicativo está com a proteção contra exclusão ativada. O controle vai falhar se a proteção contra exclusão não estiver configurada.

Ative a proteção contra exclusão para impedir que seu balanceador de carga de aplicativo seja excluído.

Recomendação: a proteção contra exclusão do balanceador de carga de aplicativo precisa estar ativada

Para corrigir essa descoberta, conclua as etapas a seguir:

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Elb Logging Enabled

Nome da categoria na API: ELB_LOGGING_ENABLED

Isso verifica se o balanceador de carga de aplicativo e o balanceador de carga clássico têm a geração de registros ativada. O controle falhará se access_logs.s3.enabled for falso.

O Elastic Load Balancing fornece registros de acesso que capturam informações detalhadas sobre solicitações enviadas ao seu balanceador de carga. Cada registro contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, as latências, os caminhos da solicitação e as respostas do servidor. É possível usar esses registros de acesso para analisar os padrões de tráfego e solucionar problemas.

Para saber mais, consulte Acessar registros do balanceador de carga clássico no Guia do usuário para balanceadores de carga clássicos.

Recomendação: verifica se os balanceadores de carga clássicos e de aplicativos têm a geração de registros ativada

Para corrigir essa descoberta, conclua as etapas a seguir:

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Elb Tls Https Listeners Only

Nome da categoria na API: ELB_TLS_HTTPS_LISTENERS_ONLY

Essa verificação garante que todos os balanceadores de carga clássicos estejam configurados para usar comunicação segura.

Um listener é um processo que verifica se há solicitações de conexão. Ele é configurado com um protocolo e uma porta para conexões de front-end (cliente para balanceador de carga) e um protocolo e uma porta para conexões de back-end (balanceador de carga para instância). Para mais informações sobre as portas, os protocolos e as configurações de listener compatíveis com o Elastic Load Balancing, consulte Listeners do seu balanceador de carga clássico.

Recomendação: verifica se todos os balanceadores de carga clássicos estão configurados com listeners SSL ou HTTPS.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Encrypted Volumes

Nome da categoria na API: ENCRYPTED_VOLUMES

Verifica se os volumes EBS que estão em um estado anexado estão criptografados. Para passar nessa verificação, os volumes EBS precisam estar em uso e criptografados. Se o volume EBS não estiver conectado, ele não estará sujeito a essa verificação.

Para uma camada adicional de segurança dos dados sensíveis nos volumes EBS, ative a criptografia EBS em repouso. A criptografia do Amazon EBS oferece uma solução de criptografia simples para seus recursos do EBS que não exige que você crie, mantenha e proteja sua própria infraestrutura de gerenciamento de chaves. Ele usa chaves do KMS ao criar volumes e snapshots criptografados.

Para saber mais sobre criptografia do Amazon EBS, consulte criptografia do Amazon EBS no Guia do usuário do Amazon EC2 para instâncias do Linux.

Recomendação: os volumes do Amazon EBS anexados precisam ser criptografados em repouso

Para corrigir essa descoberta, conclua as etapas a seguir:

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Encryption At Rest Enabled Rds Instances

Nome da categoria na API: ENCRYPTION_AT_REST_ENABLED_RDS_INSTANCES

As instâncias de banco de dados criptografados do Amazon RDS usam o algoritmo de criptografia AES-256, padrão do setor, para criptografar seus dados no servidor que hospeda suas instâncias de banco de dados do Amazon RDS. Depois que os dados são criptografados, o Amazon RDS processa a autenticação de acesso e a descriptografia de dados de maneira transparente, com um impacto mínimo no desempenho.

Recomendação: verifique se a criptografia em repouso está ativada para instâncias do RDS.

Para corrigir essa descoberta, conclua as etapas a seguir:

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Encryption Enabled Efs File Systems

Nome da categoria na API: ENCRYPTION_ENABLED_EFS_FILE_SYSTEMS

Os dados da EFS precisam ser criptografados em repouso com o serviço de gerenciamento de chaves (Key Management Service) da AWS.

Recomendação: verifique se a criptografia está ativada para sistemas de arquivos EFS

Para corrigir essa descoberta, conclua as etapas a seguir:

aws efs describe-file-systems --region <region> --file-system-id <file-system-id from audit section step 2 output>

aws efs create-mount-target --region <region> --file-system-id <file-system-id> --subnet-id <subnet-id>

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Iam Password Policy

Nome da categoria na API: IAM_PASSWORD_POLICY

A AWS permite políticas de senha personalizadas na conta da AWS para especificar requisitos de complexidade e períodos de rotação obrigatórios para as senhas dos usuários do IAM. Se você não definir uma política de senha personalizada, as senhas de usuário do IAM precisarão atender à política de senha padrão da AWS. As práticas recomendadas de segurança da AWS recomendam os seguintes requisitos de complexidade de senha:

• Exija pelo menos uma letra maiúscula na senha.
• Exija pelo menos uma letra minúscula nas senhas.
• Exigir pelo menos um símbolo nas senhas.
• Exija pelo menos um número nas senhas.
• A senha precisa ter no mínimo 14 caracteres.
• Exija pelo menos 24 senhas antes de permitir a reutilização.
• Exige pelo menos 90 antes da expiração da senha

Isso verifica todos os requisitos da política de senha especificados.

Recomendação: verifica se a política de senha da conta para usuários do IAM atende aos requisitos especificados.

Para corrigir essa descoberta, conclua as etapas a seguir:

resource "aws_iam_account_password_policy" "strict" {
  allow_users_to_change_password = true
  require_uppercase_characters   = true
  require_lowercase_characters   = true
  require_symbols                = true
  require_numbers                = true
  minimum_password_length        = 14
  password_reuse_prevention      = 24
  max_password_age               = 90
}

aws iam update-account-password-policy \
--allow-users-to-change-password \
--require-uppercase-characters \
--require-lowercase-characters \
--require-symbols \
--require-numbers \
--minimum-password-length 14 \
--password-reuse-prevention 24 \
--max-password-age 90

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Iam Password Policy Prevents Password Reuse

Nome da categoria na API: IAM_PASSWORD_POLICY_PREVENTS_PASSWORD_REUSE

As políticas de senha do IAM podem impedir a reutilização de uma determinada senha pelo mesmo usuário. Recomendamos que a política impeça a reutilização de senhas.

Recomendação: verifique se a política de senha do IAM impede a reutilização da senha

Para corrigir essa descoberta, conclua as etapas a seguir:

 aws iam update-account-password-policy --password-reuse-prevention 24

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Iam Password Policy Requires Minimum Length 14 Greater

Nome da categoria na API: IAM_PASSWORD_POLICY_REQUIRES_MINIMUM_LENGTH_14_GREATER

As políticas de senha são, em parte, usadas para impor requisitos de complexidade de senha. As políticas de senha do IAM podem ser usadas para garantir que a senha tenha pelo menos um determinado tamanho. É recomendável que a política exija um tamanho mínimo de senha 14.

Recomendação: verifique se a política de senha do IAM exige um tamanho mínimo de 14 ou mais

Para corrigir essa descoberta, conclua as etapas a seguir:

 aws iam update-account-password-policy --minimum-password-length 14

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Iam Policies Allow Full Administrative Privileges Attached

Nome da categoria na API: IAM_POLICIES_ALLOW_FULL_ADMINISTRATIVE_PRIVILEGES_ATTACHED

É por meio das políticas do IAM que são concedidos privilégios a usuários, grupos ou papéis. É recomendado e considerado uma recomendação de segurança padrão para conceder privilégio mínimo, ou seja, conceder apenas as permissões necessárias para executar uma tarefa. Determine o que os usuários precisam fazer e crie políticas que permitam que eles executem apenas essas tarefas, em vez de conceder privilégios administrativos completos.

Recomendação: verifique se as políticas do IAM que permitem privilégios de administrador ":" completos não estão anexadas

Para corrigir essa descoberta, conclua as etapas a seguir:

 aws iam list-entities-for-policy --policy-arn <policy_arn>

 aws iam detach-user-policy --user-name <iam_user> --policy-arn <policy_arn>

 aws iam detach-group-policy --group-name <iam_group> --policy-arn <policy_arn>

 aws iam detach-role-policy --role-name <iam_role> --policy-arn <policy_arn>

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Iam Users Receive Permissions Groups

Nome da categoria na API: IAM_USERS_RECEIVE_PERMISSIONS_GROUPS

Os usuários do IAM recebem acesso a serviços, funções e dados por meio das políticas do IAM. Existem quatro maneiras de definir políticas para um usuário: 1) editar a política do usuário diretamente, também conhecida como uma política inline ou do usuário; 2) anexar uma política diretamente a um usuário; 3) adicionar o usuário a um grupo do IAM que tenha uma política anexada; 4) adicionar o usuário a um grupo do IAM que tenha uma política inline.

Recomendamos apenas a terceira implementação.

Recomendação: garanta que os usuários do IAM recebam permissões somente pelos grupos

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Iam User Group Membership Check

Nome da categoria na API: IAM_USER_GROUP_MEMBERSHIP_CHECK

Os usuários do IAM sempre devem fazer parte de um grupo para seguir as práticas recomendadas de segurança.

Ao adicionar usuários a um grupo, é possível compartilhar políticas entre tipos de usuários.

Recomendação: verifica se os usuários do IAM são membros de pelo menos um grupo do IAM

Para corrigir essa descoberta, conclua as etapas a seguir:

resource "aws_iam_user" "example" {
  name = "test-iam-user"
  path = "/users/dev/"
}

resource "aws_iam_group" "example" {
  name = "Developers"
  path = "/users/dev/"
}

resource "aws_iam_user_group_membership" "example" {
  user   = aws_iam_user.example.name
  groups = [aws_iam_group.example.name]
}

aws iam delete-user \
  --user-name "test-user"

aws iam add-user-to-group \
  --group-name "test-group"
  --user-name "test-user"

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Iam User Mfa Enabled

Nome da categoria na API: IAM_USER_MFA_ENABLED

A autenticação multifator (MFA) é uma prática recomendada que adiciona uma camada extra de proteção aos nomes de usuário e senhas. Com o MFA, quando um usuário faz login no AWS Management Console, ele precisa fornecer um código de autenticação temporário, fornecido por um dispositivo virtual ou físico registrado.

Recomendação: verifica se os usuários do IAM da AWS têm a autenticação multifator (MFA) ativada

Para corrigir essa descoberta, conclua as etapas a seguir:

variable "users" {
  type = set(string)
  default = [
    "test@example.com",
    "test2@example.com"
  ]
}

resource "aws_iam_user" "test_users" {
  for_each = toset(var.users)
  name     = each.key
}

resource "aws_iam_user_login_profile" "test_users_profile" {
  for_each                = var.users
  user                    = each.key
  # Key pair created using GnuPG, this is the public key
  pgp_key = file("path/to/gpg_pub_key_base64.pem")
  password_reset_required = true
  lifecycle {
    ignore_changes = [
      password_length,
      password_reset_required,
      pgp_key,
    ]
  }
}

resource "aws_iam_virtual_mfa_device" "test_mfa" {
  for_each                = toset(var.users)
  virtual_mfa_device_name = each.key
}

resource "aws_iam_group" "enforce_mfa_group" {
  name = "EnforceMFAGroup"
}

resource "aws_iam_group_membership" "enforce_mfa_group_membership" {
  name  = "EnforceMFAGroupMembership"
  group = aws_iam_group.enforce_mfa_group.name
  users = [for k in aws_iam_user.test_users : k.name]
}

resource "aws_iam_group_policy" "enforce_mfa_policy" {
  name   = "EnforceMFAGroupPolicy"
  group  = aws_iam_group.enforce_mfa_group.id
  policy = <<POLICY
{
  "Version": "2012-10-17",
  "Statement": [
    {
        "Sid": "AllowViewAccountInfo",
        "Effect": "Allow",
        "Action": [
            "iam:GetAccountPasswordPolicy",
            "iam:ListVirtualMFADevices"
        ],
        "Resource": "*"
    },
    {
        "Sid": "AllowManageOwnPasswords",
        "Effect": "Allow",
        "Action": [
            "iam:ChangePassword",
            "iam:GetUser"
        ],
        "Resource": "arn:aws:iam::*:user/$${aws:username}"
    },
    {
        "Sid": "AllowManageOwnAccessKeys",
        "Effect": "Allow",
        "Action": [
            "iam:CreateAccessKey",
            "iam:DeleteAccessKey",
            "iam:ListAccessKeys",
            "iam:UpdateAccessKey"
        ],
        "Resource": "arn:aws:iam::*:user/$${aws:username}"
    },
    {
        "Sid": "AllowManageOwnSigningCertificates",
        "Effect": "Allow",
        "Action": [
            "iam:DeleteSigningCertificate",
            "iam:ListSigningCertificates",
            "iam:UpdateSigningCertificate",
            "iam:UploadSigningCertificate"
        ],
        "Resource": "arn:aws:iam::*:user/$${aws:username}"
    },
    {
        "Sid": "AllowManageOwnSSHPublicKeys",
        "Effect": "Allow",
        "Action": [
            "iam:DeleteSSHPublicKey",
            "iam:GetSSHPublicKey",
            "iam:ListSSHPublicKeys",
            "iam:UpdateSSHPublicKey",
            "iam:UploadSSHPublicKey"
        ],
        "Resource": "arn:aws:iam::*:user/$${aws:username}"
    },
    {
        "Sid": "AllowManageOwnGitCredentials",
        "Effect": "Allow",
        "Action": [
            "iam:CreateServiceSpecificCredential",
            "iam:DeleteServiceSpecificCredential",
            "iam:ListServiceSpecificCredentials",
            "iam:ResetServiceSpecificCredential",
            "iam:UpdateServiceSpecificCredential"
        ],
        "Resource": "arn:aws:iam::*:user/$${aws:username}"
    },
    {
        "Sid": "AllowManageOwnVirtualMFADevice",
        "Effect": "Allow",
        "Action": [
            "iam:CreateVirtualMFADevice",
            "iam:DeleteVirtualMFADevice"
        ],
        "Resource": "arn:aws:iam::*:mfa/$${aws:username}"
    },
    {
        "Sid": "AllowManageOwnUserMFA",
        "Effect": "Allow",
        "Action": [
            "iam:DeactivateMFADevice",
            "iam:EnableMFADevice",
            "iam:ListMFADevices",
            "iam:ResyncMFADevice"
        ],
        "Resource": "arn:aws:iam::*:user/$${aws:username}"
    },
    {
        "Sid": "DenyAllExceptListedIfNoMFA",
        "Effect": "Deny",
        "NotAction": [
            "iam:CreateVirtualMFADevice",
            "iam:EnableMFADevice",
            "iam:GetUser",
            "iam:ListMFADevices",
            "iam:ListVirtualMFADevices",
            "iam:ResyncMFADevice",
            "sts:GetSessionToken"
        ],
        "Resource": "*",
        "Condition": {
            "BoolIfExists": {
                "aws:MultiFactorAuthPresent": "false"
            }
        }
    }
  ]
}
POLICY
}

output "user_password_map" {
  # Outputs a map in the format {"test@example.com": <PGPEncryptedPassword>, "test2@example.com": <PGPEncryptedPassword>}
  value = { for k, v in aws_iam_user_login_profile.test_users_profile : k => v.password }
}

output "user_qr_map" {
  # Outputs a map in the format {"test@example.com": <QRCode>, "test2@example.com": <QRCode>}
  value = { for k, v in aws_iam_virtual_mfa_device.test_mfa : k => v.qr_code_png }
}

aws iam create-virtual-mfa-device \
  --virtual-mfa-device-name "test@example.com" \
  --outfile ./QRCode.png \
  --bootstrap-method QRCodePNG

aws iam enable-mfa-device \
  --user-name "test@example.com" \
  --serial-number "arn:aws:iam::123456976749:mfa/test@example.com" \
  --authentication-code1 123456 \
  --authentication-code2 654321

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Iam User Unused Credentials Check

Nome da categoria na API: IAM_USER_UNUSED_CREDENTIALS_CHECK

Isso verifica senhas do IAM ou chaves de acesso ativas que não foram usadas nos últimos 90 dias.

As práticas recomendadas recomendam que você remova, desative ou alterne todas as credenciais não utilizadas por 90 dias ou mais. Isso reduz a janela de oportunidade para o uso de credenciais associadas a uma conta comprometida ou abandonada.

Recomendação: verifica se todos os usuários do IAM da AWS têm senhas ou chaves de acesso ativas que não foram usadas nos dias maxCredentialUsageAge (padrão 90)

Para corrigir essa descoberta, conclua as etapas a seguir:

resource "aws_iam_user" "example" {
  name          = "test@example.com"
  path          = "/users/"
  force_destroy = true
}

resource "aws_iam_user_login_profile" "example" {
  user    = aws_iam_user.example.name
  pgp_key = "keybase:some_person_that_exists"
}

terraform apply -replace="aws_iam_user_login_profile.example"

aws iam update-access-key \
  --access-key-id <value> \
  --status "Inactive"

aws iam delete-access-key \
  --access-key-id <value>

aws iam update-login-profile \
  --user-name "test@example.com" \
  --password <temporary_password> \
  --password-reset-required

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Kms Cmk Not Scheduled For Deletion

Nome da categoria na API: KMS_CMK_NOT_SCHEDULED_FOR_DELETION

Esse controle verifica se as chaves KMS estão programadas para exclusão. O controle falhará se uma chave KMS estiver programada para exclusão.

Não é possível recuperar as chaves KMS após a exclusão. Os dados criptografados em uma chave do KMS também são permanentemente irrecuperáveis se a chave do KMS for excluída. Se dados significativos foram criptografados em uma chave KMS programada para exclusão, considere descriptografar os dados ou recriptografar os dados em uma nova chave KMS, a menos que você esteja realizando um apagamento criptográfico intencionalmente.

Quando uma chave KMS é programada para exclusão, um período de espera obrigatório é aplicado para que haja tempo para reverter a exclusão, caso ela tenha sido programada por engano. O período de espera padrão é de 30 dias, mas pode ser reduzido para apenas 7 dias quando a chave KMS é programada para exclusão. Durante o período de espera, a exclusão programada pode ser cancelada, e a chave KMS não será excluída.

Para mais informações sobre como excluir chaves KMS, consulte Como excluir chaves KMS no guia para desenvolvedores do serviço de gerenciamento de chaves da AWS.

Recomendação: verifica se nenhuma CMK está programada para exclusão

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Lambda Concurrency Check

Nome da categoria na API: LAMBDA_CONCURRENCY_CHECK

Verifica se a função Lambda está configurada com um limite de execução simultânea no nível da função. A regra será NON_COMPLIANT se a função Lambda não estiver configurada com um limite de execução simultânea no nível da função.

Recomendação: verifica se as funções Lambda estão configuradas com o limite de execução simultânea no nível da função.

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Lambda Dlq Check

Nome da categoria na API: LAMBDA_DLQ_CHECK

Verifica se uma função Lambda está configurada com uma fila de mensagens inativas. A regra será NON_COMPLIANT se a função Lambda não estiver configurada com uma fila de mensagens inativas.

Recomendação: verifica se as funções Lambda estão configuradas com uma fila de mensagens inativas

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Lambda Function Public Access Prohibited

Nome da categoria na API: LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED

As práticas recomendadas da AWS aconselham que a função Lambda não seja exposta publicamente. Esta política verifica todas as funções Lambda implantadas em todas as regiões ativadas na sua conta e vai falhar se elas forem configuradas para permitir o acesso público.

Recomendação: verifica se a política anexada à função Lambda proíbe o acesso público

Para corrigir essa descoberta, conclua as etapas a seguir:

resource "aws_iam_role" "iam_for_lambda" {
  name = "iam_for_lambda"

  assume_role_policy = <<EOF
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Principal": {
        "Service": "lambda.amazonaws.com"
      },
      "Effect": "Allow",
      "Sid": ""
    }
  ]
}
EOF
}

resource "aws_lambda_function" "test_lambda" {
  filename      = "lambda_function_payload.zip"
  function_name = "lambda_function_name"
  role          = aws_iam_role.iam_for_lambda.arn
  handler       = "index.test"

  source_code_hash = filebase64sha256("lambda_function_payload.zip")

  runtime = "nodejs12.x"

}

aws lambda remove-permission \
--function-name <value> \
--statement-id <value>

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Lambda Inside Vpc

Nome da categoria na API: LAMBDA_INSIDE_VPC

Verifica se uma função Lambda está em uma VPC. Talvez você veja descobertas com falha nos recursos do Lambda@Edge.

Ele não avalia a configuração de roteamento da sub-rede VPC para determinar a acessibilidade pública.

Recomendação: verifica se as funções Lambda existem em uma VPC

Para corrigir essa descoberta, conclua as etapas a seguir:

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Mfa Delete Enabled S3 Buckets

Nome da categoria na API: MFA_DELETE_ENABLED_S3_BUCKETS

Depois que a exclusão de autenticação multifator (MFA) é ativada no bucket confidencial e classificado do S3, o usuário precisa ter duas formas de autenticação.

Recomendação: verifique se a exclusão de MFA está ativada nos buckets S3

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Mfa Enabled Root User Account

Nome da categoria na API: MFA_ENABLED_ROOT_USER_ACCOUNT

A conta de usuário "raiz" é o usuário com mais privilégios em uma conta da AWS. A autenticação multifator (MFA) adiciona uma camada extra de proteção a um nome de usuário e uma senha. Com o MFA ativado, quando um usuário fizer login em um site da AWS, será solicitado um nome de usuário e senha, bem como um código de autenticação do dispositivo AWS MFA.

Observação:quando a autenticação multifator (MFA) virtual é usada para contas "raiz", é recomendável que o dispositivo usado NÃO seja um dispositivo pessoal, mas um dispositivo móvel dedicado (tablet ou smartphone) gerenciado para ser mantido carregado e protegido independentemente de dispositivos pessoais individuais. ("MFA virtual não pessoal") diminui os riscos de perder o acesso à MFA devido à perda ou troca de dispositivos ou quando o proprietário do dispositivo não está mais empregado na empresa.

Recomendação: verifique se a autenticação multifator (MFA) está ativada para a conta de usuário "raiz"

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Multi Factor Authentication Mfa Enabled All Iam Users Console

Nome da categoria na API: MULTI_FACTOR_AUTHENTICATION_MFA_ENABLED_ALL_IAM_USERS_CONSOLE

A autenticação multifator (MFA) adiciona uma camada extra de garantia de autenticação além das credenciais tradicionais. Com a MFA ativada, quando um usuário fizer login no console da AWS, será solicitado o nome de usuário e a senha, bem como um código de autenticação do token MFA físico ou virtual. Recomenda-se que a autenticação multifator (MFA) esteja ativada para todas as contas que tenham uma senha de console.

Recomendação: garanta que a autenticação multifator (MFA) esteja ativada para todos os usuários do IAM que tenham uma senha do console.

Para corrigir essa descoberta, conclua as etapas a seguir:

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

No Network Acls Allow Ingress 0 0 0 0 Remote Server Administration

Nome da categoria na API: NO_NETWORK_ACLS_ALLOW_INGRESS_0_0_0_0_REMOTE_SERVER_ADMINISTRATION

A função de lista de controle de acesso à rede (NACL, na sigla em inglês) oferece filtragem sem estado do tráfego de rede de entrada e saída para os recursos da AWS. É recomendável que nenhuma NACL permita acesso irrestrito de entrada às portas de administração de servidor remoto, como SSH para a porta 22 e RDP para a porta 3389, usando os protocolos TDP (6), UDP (17) ou TODOS (-1)

Recomendação: verifique se nenhuma ACL de rede permite a entrada de 0.0.0.0/0 para portas de administração de servidor remoto

Para corrigir essa descoberta, conclua as etapas a seguir:

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

No Root User Account Access Key Exists

Nome da categoria na API: NO_ROOT_USER_ACCOUNT_ACCESS_KEY_EXISTS

A conta de usuário "raiz" é o usuário com mais privilégios em uma conta da AWS. As chaves de acesso da AWS fornecem acesso programático a uma determinada conta da AWS. Recomenda-se que todas as chaves de acesso associadas à conta de usuário "raiz" sejam excluídas.

Recomendação: verifique se não há chave de acesso da conta de usuário "raiz"

Para corrigir essa descoberta, conclua as etapas a seguir:

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

No Security Groups Allow Ingress 0 0 0 0 Remote Server Administration

Nome da categoria na API: NO_SECURITY_GROUPS_ALLOW_INGRESS_0_0_0_0_REMOTE_SERVER_ADMINISTRATION

Os grupos de segurança oferecem filtragem com estado do tráfego de rede de entrada e saída para os recursos da AWS. É recomendável que nenhum grupo de segurança permita acesso irrestrito de entrada às portas de administração do servidor remoto, como SSH para a porta 22 e RDP para a porta 3389, usando os protocolos TDP (6), UDP (17) ou TODOS (-1)

Recomendação: verifique se nenhum grupo de segurança permite a entrada de 0.0.0.0/0 para portas de administração de servidor remoto

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

No Security Groups Allow Ingress 0 Remote Server Administration

Nome da categoria na API: NO_SECURITY_GROUPS_ALLOW_INGRESS_0_REMOTE_SERVER_ADMINISTRATION

Os grupos de segurança oferecem filtragem com estado do tráfego de rede de entrada e saída para os recursos da AWS. É recomendável que nenhum grupo de segurança permita acesso irrestrito de entrada para as portas de administração do servidor remoto, como SSH para a porta 22 e RDP para a porta 3389.

Recomendação: verifique se nenhum grupo de segurança permite a entrada de ::/0 para portas de administração remotas do servidor

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

One Active Access Key Available Any Single Iam User

Nome da categoria na API: ONE_ACTIVE_ACCESS_KEY_AVAILABLE_ANY_SINGLE_IAM_USER

As chaves de acesso são credenciais de longo prazo para um usuário do IAM ou o usuário "raiz" da conta da AWS. É possível usar as chaves de acesso para assinar solicitações programáticas na CLI da AWS ou na API da AWS (diretamente ou usando o SDK da AWS).

Recomendação: verifique se há apenas uma chave de acesso ativa disponível para cada usuário do IAM.

Para corrigir essa descoberta, conclua as etapas a seguir:

aws iam update-access-key --access-key-id <access-key-id> --status Inactive --user-name <user-name>

aws iam list-access-keys --user-name <user-name>

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Public Access Given Rds Instance

Nome da categoria na API: PUBLIC_ACCESS_GIVEN_RDS_INSTANCE

Confirme se as instâncias de banco de dados do RDS provisionadas na sua conta da AWS restringem o acesso não autorizado para minimizar os riscos de segurança. Para restringir o acesso a qualquer instância de banco de dados RDS acessível publicamente, é preciso desativar a sinalização do banco de dados de acesso público e atualizar o grupo de segurança VPC associado à instância.

Recomendação: garanta que o acesso público não seja dado à instância do RDS

Para corrigir essa descoberta, conclua as etapas a seguir:

aws rds describe-db-instances --region <region-name> --query 'DBInstances[*].DBInstanceIdentifier'

aws rds modify-db-instance --region <region-name> --db-instance-identifier <db-name> --no-publicly-accessible --apply-immediately

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Rds Enhanced Monitoring Enabled

Nome da categoria na API: RDS_ENHANCED_MONITORING_ENABLED

O monitoramento avançado fornece métricas em tempo real sobre o sistema operacional em que a instância do RDS é executada, usando um agente instalado na instância.

Para mais detalhes, consulte Como monitorar métricas do SO com o monitoramento avançado.

Recomendação: verifica se o monitoramento avançado está ativado para todas as instâncias de banco de dados do RDS.

Para corrigir essa descoberta, conclua as etapas a seguir:

resource "aws_iam_role" "rds_logging" {
  name = "CustomRoleForRDSMonitoring"
  assume_role_policy = jsonencode({
    Version = "2012-10-17"
    Statement = [
      {
        Action = "sts:AssumeRole"
        Effect = "Allow"
        Sid    = "CustomRoleForRDSLogging"
        Principal = {
          Service = "monitoring.rds.amazonaws.com"
        }
      },
    ]
  })
}

data "aws_iam_policy" "rds_logging" {
  name = "AmazonRDSEnhancedMonitoringRole"
}

resource "aws_iam_policy_attachment" "rds_logging" {
  name       = "AttachRdsLogging"
  roles      = [aws_iam_role.rds_logging.name]
  policy_arn = data.aws_iam_policy.rds_logging.arn
}

resource "aws_db_instance" "default" {
  identifier           = "test-rds"
  allocated_storage    = 10
  engine               = "mysql"
  engine_version       = "5.7"
  instance_class       = "db.t3.micro"
  db_name              = "mydb"
  username             = "foo"
  password             = "foobarbaz"
  parameter_group_name = "default.mysql5.7"
  skip_final_snapshot  = true
  monitoring_interval  = 60
  monitoring_role_arn  = aws_iam_role.rds_logging.arn
}

aws iam create-role \
  --role-name "CustomRoleForRDSMonitoring" \
  --assume-role-policy-document file://rds-assume-role.json

aws iam attach-role-policy \
  --role-name "CustomRoleForRDSMonitoring"\
  --policy-arn "arn:aws:iam::aws:policy/service-role/AmazonRDSEnhancedMonitoringRole"

aws rds modify-db-instance \
  --db-instance-identifier "test-rds" \
  --monitoring-interval 30 \
  --monitoring-role-arn "arn:aws:iam::<account_id>:role/CustomRoleForRDSMonitoring"

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Rds Instance Deletion Protection Enabled

Nome da categoria na API: RDS_INSTANCE_DELETION_PROTECTION_ENABLED

Ativar a proteção contra exclusão de instâncias é uma camada adicional de proteção contra exclusão ou exclusão acidental de banco de dados por uma entidade não autorizada.

Enquanto a proteção contra exclusão estiver ativada, não será possível excluir uma instância de banco de dados RDS. Antes que uma solicitação de exclusão seja bem-sucedida, a proteção contra exclusão precisa ser desativada.

Recomendação: verifica se todas as instâncias do RDS estão com a proteção contra exclusão ativada.

Para corrigir essa descoberta, conclua as etapas a seguir:

resource "aws_db_instance" "example" {
  # ... other configuration ...
  deletion_protection = true
}

aws rds modify-db-instance \
  --db-instance-identifier = "test-rds" \
  --deletion-protection

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Rds In Backup Plan

Nome da categoria na API: RDS_IN_BACKUP_PLAN

Esta verificação avalia se as instâncias de banco de dados do Amazon RDS são cobertas por um plano de backup. Esse controle falhará se uma instância de banco de dados RDS não for coberta por um plano de backup.

O AWS Backup é um serviço de backup totalmente gerenciado que centraliza e automatiza o backup de dados nos serviços da AWS. Com o AWS Backup, é possível criar políticas de backup, chamadas "planos de backup", que podem ser usados para definir os requisitos de backup, como a frequência e o tempo de retenção dos dados. Incluir instâncias de banco de dados RDS em um plano de backup ajuda a proteger seus dados contra perda ou exclusão não intencional.

Recomendação: as instâncias de banco de dados RDS precisam ser cobertas por um plano de backup

Para corrigir essa descoberta, conclua as etapas a seguir:

resource "aws_db_instance" "example" {
  # ... other Configuration ...
  backup_retention_period = 7
}

aws rds modify-db-instance --db-instance-identifier "test-rds" --backup-retention-period 7

read_more Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.

Rds Logging Enabled

Nome da categoria na API: RDS_LOGGING_ENABLED

Ela verifica se os seguintes registros do Amazon RDS estão ativados e enviados ao CloudWatch.

Os bancos de dados RDS precisam ter os registros relevantes ativados. A geração de registros do banco de dados fornece registros detalhados das solicitações feitas ao RDS. Os registros do banco de dados podem ajudar em auditorias de segurança e acesso, além de diagnosticar problemas de disponibilidade.

Recomendação: verifica se os registros exportados estão ativados para todas as instâncias de banco de dados do RDS

Para corrigir essa descoberta, conclua as etapas a seguir: