Security Health Analytics- und Web Security Scanner-Detektoren generieren Ergebnisse zu Sicherheitslücken, die in Security Command Center verfügbar sind. Wenn sie in Security Command Center aktiviert sind, generieren integrierte Dienste wie VM Manager auch Ergebnisse zu Sicherheitslücken.
Ob Sie Ergebnisse aufrufen und bearbeiten können, hängt von den IAM-Rollen (Identity and Access Management) und Berechtigungen ab, die Ihnen zugewiesen wurden. Weitere Informationen zu IAM-Rollen in Security Command Center finden Sie unter Zugriffssteuerung.
Detektoren und Compliance
Security Command Center überwacht Ihre Compliance mit Detektoren, die den Steuerelementen einer Vielzahl von Sicherheitsstandards zugeordnet sind.
Für jeden unterstützten Sicherheitsstandard prüft Security Command Center eine Teilmenge der Kontrollen. Für die geprüften Steuerelemente zeigt Security Command Center an, wie viele bestanden wurden. Für die Kontrollen, die nicht bestanden wurden, zeigt Security Command Center eine Liste von Ergebnissen an, in denen die Fehler beschrieben werden.
CIS prüft und zertifiziert die Zuordnungen von Security Command Center-Detektoren zu jeder unterstützten Version des CIS Google Cloud Foundations Benchmark. Zusätzliche Compliance-Zuordnungen sind nur zu Referenzzwecken enthalten.
Security Command Center unterstützt regelmäßig neue Benchmark-Versionen und ‑Standards. Ältere Versionen werden weiterhin unterstützt, aber irgendwann eingestellt. Wir empfehlen, die neueste unterstützte Benchmark oder den neuesten unterstützten Standard zu verwenden.
Mit dem Dienst für den Sicherheitsstatus können Sie Organisationsrichtlinien und Security Health Analytics-Detektoren den Standards und Kontrollen zuordnen, die für Ihr Unternehmen gelten. Nachdem Sie eine Sicherheitskonfiguration erstellt haben, können Sie die Umgebung auf Änderungen überwachen, die sich auf die Compliance Ihres Unternehmens auswirken könnten.
Mit Compliance Manager (Vorschau) können Sie Frameworks bereitstellen, die regulatorische Kontrollen Cloud-Kontrollen zuordnen. Nachdem Sie ein Framework erstellt haben, können Sie die Umgebung auf Änderungen überwachen, die sich auf die Compliance Ihres Unternehmens auswirken könnten, und Ihre Umgebung prüfen.
Weitere Informationen zum Verwalten der Compliance finden Sie unter Compliance mit Sicherheitsstandards bewerten und melden.
Unterstützte Sicherheitsstandards
Google Cloud
Security Command Center ordnet Detektoren für Google Cloud einem oder mehreren der folgenden Compliancestandards zu:
- Center for Information Security (CIS) Controls 8.0
- CIS Google Cloud Computing Foundations Benchmark v2.0.0, v1.3.0, v1.2.0, v1.1.0 und v1.0.0
- CIS Kubernetes Benchmark v1.5.1
- Cloud Controls Matrix (CCM) 4
- US-Gesetz zur Übertragbarkeit von Krankenversicherungen und Verantwortlichkeit von Versicherern (Health Insurance Portability and Accountability Act, HIPAA)
- ISO 27001 (International Organization for Standardization), 2022 und 2013
- National Institute of Standards and Technology (NIST) 800-53 R5 und R4
- National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF) 1.0
- Open Web Application Security Project (OWASP) Top Ten, 2021 und 2017
- Payment Card Industry Data Security Standard (PCI DSS) 4.0 und 3.2.1
- System and Organization Controls (SOC) 2 Trust Services Criteria (TSC) von 2017
AWS
Security Command Center ordnet Detektoren für Amazon Web Services (AWS) einem oder mehreren der folgenden Compliancestandards zu:
- CIS Amazon Web Services Foundations 2.0.0
- CIS Critical Security Controls, Version 8.0
- Cloud Controls Matrix (CCM) 4
- US-Gesetz zur Übertragbarkeit von Krankenversicherungen und Verantwortlichkeit von Versicherern (Health Insurance Portability and Accountability Act, HIPAA)
- ISO 27001, 2022
- National Institute of Standards and Technology (NIST) 800-53 R5
- National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF) 1.0
- Payment Card Industry Data Security Standard (PCI DSS) 4.0 und 3.2.1
- System and Organization Controls (SOC) 2 Trusted Services Criteria (TSC) von 2017
Eine Anleitung zum Aufrufen und Exportieren von Complianceberichten finden Sie unter Compliance mit Sicherheitsstandards bewerten und melden.
Deaktivierung nach Behebung des Problems
Nachdem Sie ein Ergebnis zu einer Sicherheitslücke oder Fehlkonfiguration behoben haben, legt der Security Command Center-Dienst, der das Ergebnis erkannt hat, den Status des Ergebnisses beim nächsten Scan automatisch auf INACTIVE fest. Wie lange es dauert, bis Security Command Center ein behobenes Ergebnis auf INACTIVE setzt, hängt vom Zeitplan des Scans ab, der das Ergebnis erkennt.
Die Security Command Center-Dienste setzen den Status eines Ergebnisses zu einer Sicherheitslücke oder Fehlkonfiguration auch auf INACTIVE, wenn bei einem Scan festgestellt wird, dass die vom Ergebnis betroffene Ressource gelöscht wurde.
Weitere Informationen zu Scanintervallen finden Sie in den folgenden Themen:
Ergebnisse von Security Health Analytics
Detektoren von Security Health Analytics überwachen einen Teil der Ressourcen aus Cloud Asset Inventory (CAI), wobei sie Benachrichtigungen über Ressourcenänderungen und Richtlinienänderungen der Identitäts- und Zugriffsverwaltung (IAM) erhalten. Einige Detektoren rufen Daten ab, indem sie Google Cloud APIs direkt aufrufen, wie in Tabellen weiter unten auf dieser Seite angegeben.
Weitere Informationen zu Security Health Analytics, Scanplänen und der Unterstützung von Security Health Analytics für integrierte und benutzerdefinierte Moduldetektoren finden Sie unter Übersicht über Security Health Analytics.
In den folgenden Tabellen werden die Detektoren von Security Health Analytics, die unterstützten Assets und Compliance-Standards, die für Scans verwendeten Einstellungen und die generierten Ergebnistypen beschrieben. Sie können Ergebnisse auf den folgenden Seiten in der Google Cloud Konsole nach verschiedenen Attributen filtern:
- Auf der Seite Sicherheitslücken in der Standard- und Premium-Stufe.
- In der Enterprise-Stufe auf der Seite Risiko > Übersicht. Wählen Sie die Ansicht CVE-Sicherheitslücken aus.
Eine Anleitung zum Beheben von Ergebnissen und zum Schutz Ihrer Ressourcen finden Sie unter Ergebnisse von Security Health Analytics beheben.
Ergebnisse zu Sicherheitslücken beim API-Schlüssel
Der Detektor API_KEY_SCANNER identifiziert Sicherheitslücken in Verbindung mit API-Schlüsseln, die in Ihrer Cloud-Bereitstellung verwendet werden.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
|
Ergebnisbeschreibung: API-Schlüssel werden zu häufig verwendet. Zur Behebung dieses Problems beschränken Sie die Nutzung der API-Schlüssel so, dass nur die von der Anwendung benötigten APIs zugelassen werden. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Ruft das Attribut
|
|
Ergebnisbeschreibung: API-Schlüssel werden uneingeschränkt verwendet und ermöglichen die Nutzung durch nicht vertrauenswürdige Anwendungen. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Ruft des Attribut
|
|
Ergebnisbeschreibung: Ein Projekt nutzt API-Schlüssel anstelle der Standardauthentifizierung. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Ruft alle API-Schlüssel ab, die zu einem Projekt gehören.
|
|
Ergebnisbeschreibung: Der API-Schlüssel wurde seit mehr als 90 Tagen nicht rotiert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Ruft den im Attribut
|
Ergebnisse zu Sicherheitslücken in Cloud Asset Inventory
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud Asset Inventory-Konfigurationen und gehören zum Typ CLOUD_ASSET_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
|
Ergebnisbeschreibung:Die Erfassung von Google Cloud Ressourcen und IAM-Richtlinien durch Cloud Asset Inventory ermöglicht Sicherheitsanalysen, das Tracking von Ressourcenänderungen und die Complianceprüfung. Wir empfehlen, den Cloud Asset Inventory-Dienst für alle Projekte zu aktivieren. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob der Cloud Asset Inventory-Dienst aktiviert ist.
|
Ergebnisse zu Speichersicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud Storage-Bucket-Konfigurationen und gehören zum Typ STORAGE_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
|
Ergebnisbeschreibung: Ein Bucket ist nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEKs) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung dazu finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Compliance-Standardkontrollen zugeordnet. |
Prüft das Feld
|
|
Ergebnisbeschreibung: Der einheitliche Zugriff auf Bucket-Ebene, zuvor "Nur Bucket-Richtlinie" genannt, ist nicht konfiguriert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
|
Ergebnisbeschreibung: Ein Cloud Storage-Bucket ist öffentlich zugänglich. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft die IAM-Zulassungsrichtlinie eines Buckets auf öffentliche Rollen,
|
|
Ergebnisbeschreibung: Ein als Logsenke verwendeter Storage-Bucket ist öffentlich zugänglich. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft die IAM-Zulassungsrichtlinie eines Buckets für die Hauptkonten
|
Ergebnisse zu Sicherheitslücken bei Compute-Images
Der Detektor COMPUTE_IMAGE_SCANNER identifiziert Sicherheitslücken im Zusammenhang mitGoogle Cloud -Imagekonfigurationen.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
|
Ergebnisbeschreibung: Ein Compute Engine-Image ist öffentlich zugänglich. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Compliance-Standardkontrollen zugeordnet. |
Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf die Hauptkonten
|
Ergebnisse zu Sicherheitslücken bei Compute-Instanzen
Der COMPUTE_INSTANCE_SCANNER-Detektor identifiziert Sicherheitslücken in Verbindung mit Compute Engine-Instanzkonfigurationen.
COMPUTE_INSTANCE_SCANNER-Detektoren melden keine Ergebnisse zu Compute Engine-Instanzen, die von GKE erstellt wurden. Der Name solcher Instanzen beginnt mit "gke-" und kann von Nutzern nicht bearbeitet werden. Weitere Informationen zum Schutz dieser Instanzen finden Sie im Abschnitt mit den Ergebnissen zu Container-Sicherheitslücken.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
|
Ergebnisbeschreibung: Confidential Computing ist auf Compute Engine-Instanzen deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Es werden projektweite SSH-Schlüssel verwendet, sodass eine Anmeldung bei allen Instanzen im Projekt möglich ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Objekt
|
|
Ergebnisbeschreibung: Für diese Shielded VM ist Secure Boot nicht aktiviert. Mit Secure Boot können Sie VM-Instanzen vor erweiterten Bedrohungen wie Rootkits und Bootkits schützen. Preisstufe: Premium Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Compliance-Standardkontrollen zugeordnet. |
Prüft das Attribut
|
|
Ergebnisbeschreibung: Serielle Ports sind für eine Instanz aktiviert und ermöglichen Verbindungen zur seriellen Konsole der Instanz. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Objekt
|
|
Ergebnisbeschreibung: Eine Instanz ist für die Verwendung des Standarddienstkontos konfiguriert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Laufwerke auf dieser VM werden nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEKs) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Compliance-Standardkontrollen zugeordnet. |
Prüft das Feld
|
|
Ergebnisbeschreibung: Laufwerke auf dieser VM werden nicht mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln (Customer-Supplied Encryption Keys, CSEKs) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Sonderfalldetektor. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Feld
|
|
Ergebnisbeschreibung: Eine Instanz ist so konfiguriert, dass sie das Standarddienstkonto mit uneingeschränktem Zugriff auf alle Google Cloud-APIs verwendet. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Ruft das Feld
|
|
Ergebnisbeschreibung: Eine Instanz verwendet einen Load-Balancer, der für die Verwendung eines Ziel-HTTP-Proxys anstelle eines Ziel-HTTPS-Proxys konfiguriert ist. Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Bestimmt, ob das Attribut
|
|
Ergebnisbeschreibung: OS Login ist für diese Instanz deaktiviert. Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets
Compliance standards:
|
Prüft, ob das Attribut
|
|
Ergebnisbeschreibung: Die IP-Weiterleitung ist für Instanzen aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
|
Ergebnisbeschreibung: OS Login ist für dieses Projekt deaktiviert. Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Objekt
|
|
Ergebnisbeschreibung: Eine Instanz hat eine öffentliche IP-Adresse. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
|
Ergebnisbeschreibung: Auf dieser Instanz ist Shielded VM deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Eine Instanz hat eine schwache SSL-Richtlinie. Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob
|
Ergebnisse zu Container-Sicherheitslücken
Diese Ergebnistypen beziehen sich alle auf GKE-Containerkonfigurationen und gehören zum Detektortyp CONTAINER_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
|
Ergebnisbeschreibung: Alphacluster-Features sind für einen GKE-Cluster aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
|
Ergebnisbeschreibung: Das automatische Reparaturfeature eines GKE-Clusters, das Knoten in einem fehlerfreien, laufenden Zustand hält, ist deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Das Feature für automatische Upgrades eines GKE-Clusters, das Cluster und Knotenpools auf die neueste stabile Version von Kubernetes aktualisiert, ist deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Die Binärautorisierung ist entweder im GKE-Cluster deaktiviert oder die Richtlinie für die Binärautorisierung ist so konfiguriert, dass alle Images bereitgestellt werden können. Preisstufe: Premium
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Compliance-Standardkontrollen zugeordnet. |
Dabei wird Folgendes geprüft:
|
|
Ergebnisbeschreibung: Logging ist für einen GKE-Cluster nicht aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
|
Ergebnisbeschreibung: Monitoring ist in GKE-Clustern deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
|
Ergebnisbeschreibung: Clusterhosts sind nicht so konfiguriert, dass nur private interne IP-Adressen für den Zugriff auf Google APIs verwendet werden. Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
|
Ergebnisbeschreibung: Die Verschlüsselung von Secrets auf Anwendungsebene ist in einem GKE-Cluster deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Shielded GKE-Knoten sind für einen Cluster nicht aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Compute Engine-VMs nutzen nicht Container-Optimized OS, das für das sichere Ausführen von Docker-Containern in Google Cloud entwickelt wurde. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Integritätsmonitoring ist für einen GKE-Cluster deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Die knoteninterne Sichtbarkeit ist für einen GKE-Cluster deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Ein GKE-Cluster wurde mit deaktivierten Alias-IP-Bereichen erstellt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Feld
|
|
Ergebnisbeschreibung: Die Legacy-Autorisierung ist in GKE-Clustern aktiviert. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Legacy-Metadaten sind für GKE-Cluster aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Autorisierte Control Plane Authorized Networks ist in GKE-Clustern nicht aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Die Netzwerkrichtlinie ist in GKE-Clustern deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Feld
|
|
Beschreibung: Bootlaufwerke in diesem Knotenpool werden nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Compliance-Standardkontrollen zugeordnet. |
Prüft das Attribut
|
|
Ergebnisbeschreibung: Secure Boot ist für einen GKE-Cluster deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Ein Dienstkonto hat in einem Cluster übermäßig Zugriff auf das Projekt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Wertet das Attribut
|
|
Ergebnisbeschreibung: Ein Knotendienstkonto hat große Zugriffsbereiche. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob der im Attribut config.oauthScopes eines Knotenpools aufgeführte Zugriffsbereich ein eingeschränkter Zugriffsbereich des Dienstkontos ist: https://www.googleapis.com/auth/devstorage.read_only, https://www.googleapis.com/auth/logging.write oder https://www.googleapis.com/auth/monitoring.
|
|
Ergebnisbeschreibung: PodSecurityPolicy ist in einem GKE-Cluster deaktiviert. Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Für einen GKE-Cluster ist ein privater Cluster deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Feld
|
|
Ergebnisbeschreibung: Ein GKE-Cluster ist nicht auf eine Release-Version abonniert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Die GKE-Web-UI (Dashboard) ist aktiviert. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft das Feld
|
|
Ergebnisbeschreibung: Workload Identity ist in einem GKE-Cluster deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Ergebnisse zu Dataproc-Sicherheitslücken
Alle Sicherheitslücken dieses Detektortyps beziehen sich auf Dataproc und gehören zum Detektortyp DATAPROC_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
|
Ergebnisbeschreibung: Ein Dataproc-Cluster wurde ohne CMEK für die Verschlüsselung erstellt. Mit CMEK werden die von Ihnen im Cloud Key Management Service erstellten und verwalteten Schlüssel mit den Schlüsseln umschlossen, die Google Cloud zum Verschlüsseln Ihrer Daten verwendet. Dadurch haben Sie mehr Kontrolle über den Zugriff auf Ihre Daten. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Feld
|
|
Ergebnis-Beschreibung: Ein Dataproc-Cluster wurde mit einer Dataproc-Image-Version erstellt, die von Sicherheitslücken im Apache Log4j 2-Dienstprogramm betroffen ist (CVE-2021-44228) und CVE-2021-45046). Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Compliance-Standardkontrollen zugeordnet. |
Prüft, ob das Feld
|
Ergebnisse zu Dataset-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf BigQuery-Dataset-Konfigurationen und gehören zum Detektortyp DATASET_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
|
Ergebnisbeschreibung: Eine BigQuery-Tabelle ist nicht für die Verwendung eines vom Kunden verwalteten Verschlüsselungsschlüssels (CMEK) konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Feld
|
|
Ergebnisbeschreibung: Ein BigQuery-Dataset ist nicht für die Verwendung eines standardmäßigen CMEK konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Feld
|
|
Ergebnisbeschreibung: Ein Dataset ist für den öffentlichen Zugriff konfiguriert. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf die Hauptkonten
|
Ergebnisse zu DNS-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich auf Cloud DNS-Konfigurationen und gehören zum Detektortyp DNS_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
|
Ergebnisbeschreibung: DNSSEC ist für Cloud DNS-Zonen deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Feld
|
|
Ergebnisbeschreibung: RSASHA1 wird für die Schlüsselsignierung in Cloud DNS-Zonen verwendet. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Objekt
|
Ergebnisse zu Firewall-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Firewall-Konfigurationen und gehören zum Detektortyp FIREWALL_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
|
Ergebnisbeschreibung: Für eine Firewall wurde keine Regel für ausgehenden Traffic festgelegt. Regeln zum Ablehnen von ausgehendem Traffic sollten eingerichtet werden, um unerwünschten ausgehenden Traffic zu blockieren. Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
|
Ergebnisbeschreibung: Das Logging von Firewallregeln ist deaktiviert. Firewallregel-Logging sollte aktiviert sein, damit Sie Netzwerkzugriffe prüfen können. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Eine Firewall ist für einen offenen CASSANDRA-Port mit generischem Zugriff konfiguriert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Eine Firewall ist für einen offenen CISCOSECURE_WEBSM-Port mit generischem Zugriff konfiguriert. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Eine Firewall ist mit einem offenen DIRECTORY_SERVICE-Port konfiguriert, der generischen Zugriff zulässt. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Eine Firewall ist mit einem offenen DNS-Port konfiguriert, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen ELASTICSEARCH-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie öffentlich zugänglich ist. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft die Attribute
|
|
Ergebnisbeschreibung: Eine Firewall ist mit einem offenen FTP-Port konfiguriert, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen HTTP-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen LDAP-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Eine Firewall ist für einen offenen MEMCACHED-Port mit generischem Zugriff konfiguriert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Eine Firewall ist für einen offenen MONGODB-Port mit generischem Zugriff konfiguriert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen MySQL-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen NETBIOS-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen ORACLEDB-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Eine Firewall ist für einen offenen POP3-Port mit generischem Zugriff konfiguriert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen PostgreSQL-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen RDP-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen REDIS-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
|
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen SMTP-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
|
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen SSH-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
|
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen TELNET-Port hat, über den generischer Zugriff möglich ist. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Ergebnisse zu IAM-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf die IAM-Konfiguration (Identity and Access Management) und gehören zum Detektortyp IAM_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
|
Ergebnisbeschreibung: Google Cloud Access Transparency ist für Ihre Organisation deaktiviert. Access Transparency-Logs werden erstellt, wenn Google Cloud Mitarbeiter auf die Projekte in Ihrer Organisation zugreifen, um Support zu leisten. Aktivieren Sie Access Transparency, um zu protokollieren, wer von Google Cloud auf Ihre Informationen zugreift, wann und warum. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob Access Transparency für Ihre Organisation aktiviert ist.
|
|
Ergebnisbeschreibung: Ein Dienstkonto hat die Berechtigung Administrator, Inhaber oder Bearbeiter. Diese Rollen sollten nicht von Nutzern erstellten Dienstkonten zugewiesen werden. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft die IAM-Zulassungsrichtlinie in Ressourcenmetadaten auf alle vom Nutzer erstellten Dienstkonten (angegeben durch das Präfix iam.gserviceaccount.com), denen
|
|
Beschreibung des Problems:Ihre Organisation hat keine Person oder Gruppe festgelegt, die Benachrichtigungen von Google Cloud über wichtige Ereignisse wie Angriffe, Sicherheitslücken und Datenvorfälle in Ihrer Google Cloud Organisation erhält. Wir empfehlen, eine oder mehrere Personen oder Gruppen in Ihrem Unternehmen als wichtige Kontakte festzulegen. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob für die folgenden wichtigen Kontaktkategorien ein Kontakt angegeben ist:
|
|
Ergebnisbeschreibung: Die Aufgabentrennung wird nicht erzwungen und ein Nutzer ist vorhanden, der eine der folgenden Cloud Key Management Service-Rollen (Cloud KMS) hat: CryptoKey-Verschlüsseler/Entschlüsseler, Entschlüsseler oder Verschlüsseler. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft IAM-Zulassungsrichtlinien in Ressourcenmetadaten und ruft Hauptkonten ab, denen gleichzeitig eine der folgenden Rollen zugewiesen ist: roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter und roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer, roles/cloudkms.signerVerifier, roles/cloudkms.publicKeyViewer.
|
|
Ergebnisbeschreibung: Ein Nutzer verwendet keine organisationsgebundenen Anmeldedaten. Gemäß CIS GCP Foundations 1.0 lösen derzeit nur Identitäten mit @gmail.com-E-Mail-Adressen diesen Detektor aus. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Vergleicht @gmail.com-E-Mail-Adressen im Feld
|
|
Ergebnisbeschreibung: Ein Google Groups-Konto, das ohne Genehmigung verknüpft werden kann, wird als Hauptkonto auf einer IAM-Zulassungsrichtlinie verwendet. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Compliance-Standardkontrollen zugeordnet. |
Prüft die IAM-Richtlinie in Ressourcenmetadaten auf alle Bindungen, die ein Mitglied (Hauptkonto) mit dem Präfix group enthalten. Wenn die Gruppe eine offene Gruppe ist, generiert Security Health Analytics dieses Ergebnis.
|
|
Ergebnisbeschreibung: Ein Nutzer hat die Rolle Dienstkontonutzer oder Ersteller von Dienstkonto-Tokens auf Projektebene, statt für ein bestimmtes Dienstkonto. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf alle Hauptkonten, denen roles/iam.serviceAccountUser oder roles/iam.serviceAccountTokenCreator auf Projektebene zugewiesen ist.
|
|
Ergebnisbeschreibung:Ein Nutzer hat eine der folgenden einfachen Rollen:
Diese Rollen sind zu weit gefasst und sollten nicht verwendet werden. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft die IAM-Zulassungsrichtlinie in Ressourcenmetadaten auf alle Hauptkonten, denen die Rolle
|
|
Ergebnisbeschreibung: Eine Redis-IAM-Rolle wird auf Organisations- oder Ordnerebene zugewiesen. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Preisstufe: Premium
Unterstützte Assets
Compliance standards:
|
Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf Hauptkonten, denen
|
|
Ergebnisbeschreibung: Einem Nutzer wurden die Rollen Dienstkontoadministrator und Dienstkontonutzer zugewiesen. Dies verstößt gegen das Prinzip der "Aufgabentrennung". Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft die IAM-Zulassungrichtlinie in Ressourcenmetadaten auf alle Hauptkonten, denen sowohl roles/iam.serviceAccountUser als auch roles/iam.serviceAccountAdmin zugewiesen ist.
|
|
Ergebnisbeschreibung: Ein Dienstkontoschlüssel wurde seit mehr als 90 Tagen nicht rotiert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Wertet den Zeitstempel der Schlüsselerstellung aus, der im Attribut
|
|
Ergebnisbeschreibung: Ein Nutzer verwaltet einen Dienstkontoschlüssel. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Ergebnisse zu KMS-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud KMS-Konfigurationen und gehören zum Detektortyp KMS_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
|
Ergebnisbeschreibung: Für einen Cloud KMS-Verschlüsselungsschlüssel ist keine Rotation konfiguriert. Verschlüsselungsschlüssel sollten innerhalb eines Zeitraums von 90 Tagen rotiert werden. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft Ressourcenmetadaten auf das Vorhandensein von
|
|
Ergebnisbeschreibung: Ein Nutzer hat Inhaber-Berechtigungen für ein Projekt mit kryptografischen Schlüsseln. Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft die IAM-Zulassungsrichtlinie in Projektmetadaten auf Hauptkonten, denen
|
|
Ergebnisbeschreibung: Ein kryptografischer Cloud KMS-Schlüssel ist öffentlich zugänglich. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf die Hauptkonten
|
|
Ergebnisbeschreibung: Es gibt mehr als drei Nutzer kryptografischer Schlüssel. Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft IAM-Zulassungsrichtlinien auf Schlüsselbunde, Projekte und Organisationen und ruft Hauptkonten mit Rollen ab, mit denen sie Daten mithilfe von Cloud KMS-Schlüsseln verschlüsseln, entschlüsseln oder signieren können: roles/owner, roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter, roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer und roles/cloudkms.signerVerifier.
|
Ergebnisse zu Logging-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Logging-Konfigurationen und gehören zum Detektortyp LOGGING_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
|
Ergebnisbeschreibung: Audit-Logging wurde für diese Ressource deaktiviert. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft die IAM-Zulassungsrichtlinie in Ressourcenmetadaten auf das Vorhandensein eines
|
|
Ergebnisbeschreibung: Es gibt einen Storage-Bucket ohne aktiviertes Logging. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Feld
|
|
Ergebnisbeschreibung: Für Logs ist keine gesperrte Aufbewahrungsrichtlinie festgelegt. Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Feld
|
|
Ergebnisbeschreibung: Für eine Ressource ist keine geeignete Logsenke konfiguriert. Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets
Compliance standards:
|
Ruft ein
|
|
Ergebnisbeschreibung: Die Objektversionsverwaltung ist für einen Storage-Bucket, in dem Senken konfiguriert sind, nicht aktiviert. Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Feld
|
Ergebnisse zu Monitoring-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Monitoring-Konfigurationen und gehören zum Typ MONITORING_SCANNER. Alle Ergebnisattribute des Monitoring-Detektors enthalten Folgendes:
- Den
RecommendedLogFilter, der beim Erstellen der Logmesswerte verwendet werden soll. - Die
QualifiedLogMetricNames, die die im empfohlenen Logfilter aufgeführten Bedingungen abdecken. - Die
AlertPolicyFailureReasons, die angeben, ob für das Projekt keine Benachrichtigungsrichtlinien für einen der qualifizierten Logmesswerte erstellt wurden oder ob die vorhandenen Benachrichtigungsrichtlinien nicht die empfohlenen Einstellungen haben.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
|
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Audit-Konfigurationsänderungen konfiguriert. Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.auditConfigDeltas:* festgelegt ist und ob, wenn resource.type angegeben ist, der Wert global ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
|
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen der Cloud Storage-IAM-Berechtigungen konfiguriert. Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf resource.type=gcs_bucket AND
protoPayload.methodName="storage.setIamPermissions" gesetzt ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
|
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen benutzerdefinierter Rollen konfiguriert. Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf resource.type="iam_role" AND
(protoPayload.methodName="google.iam.admin.v1.CreateRole"
OR
protoPayload.methodName="google.iam.admin.v1.DeleteRole"
OR
protoPayload.methodName="google.iam.admin.v1.UpdateRole") gesetzt ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
|
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an VPC-Netzwerk-Firewallregeln konfiguriert. Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf
resource.type="gce_firewall_rule"
AND (protoPayload.methodName:"compute.firewalls.insert"
OR protoPayload.methodName:"compute.firewalls.patch"
OR protoPayload.methodName:"compute.firewalls.delete") gesetzt ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
|
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen am VPC-Netzwerk konfiguriert. Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf
resource.type="gce_network"
AND (protoPayload.methodName:"compute.networks.insert"
OR protoPayload.methodName:"compute.networks.patch"
OR protoPayload.methodName:"compute.networks.delete"
OR protoPayload.methodName:"compute.networks.removePeering"
OR protoPayload.methodName:"compute.networks.addPeering") gesetzt ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
|
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Zuweisungen oder Änderungen an der Projektinhaberschaft konfiguriert. Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf (protoPayload.serviceName="cloudresourcemanager.googleapis.com")
AND (ProjectOwnership OR projectOwnerInvitee) OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")
OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") festgelegt ist und ob, wenn resource.type angegeben ist, der Wert global ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
|
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an der VPC-Netzwerkroute konfiguriert. Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf
resource.type="gce_route"
AND (protoPayload.methodName:"compute.routes.delete"
OR protoPayload.methodName:"compute.routes.insert") gesetzt ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
|
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an Cloud SQL-Instanzen konfiguriert. Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf
protoPayload.methodName="cloudsql.instances.update"
OR protoPayload.methodName="cloudsql.instances.create"
OR protoPayload.methodName="cloudsql.instances.delete" festgelegt ist und ob, wenn resource.type angegeben ist, der Wert global ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
Ergebnisse zur Multi-Faktor-Authentifizierung
Der MFA_SCANNER-Detektor erkennt Sicherheitslücken bei der Multi-Faktor-Authentifizierung für Nutzer.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
|
Es gibt Nutzer, die die 2‑Faktor-Authentifizierung nicht verwenden. In Google Workspace können Sie eine Registrierungsfrist für neue Nutzer festlegen, in der sie sich für die Bestätigung in zwei Schritten registrieren müssen. Dieser Detektor generiert auch während des Kulanzzeitraums für die Registrierung Ergebnisse für Nutzer. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Wertet Richtlinien zur Identitätsverwaltung in Organisationen und Nutzereinstellungen für verwaltete Konten in Cloud Identity aus.
|
Ergebnisse zu Netzwerk-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf die Netzwerkkonfigurationen einer Organisation und gehören zum Typ NETWORK_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
|
Ergebnisbeschreibung: Das Standardnetzwerk ist in einem Projekt vorhanden. Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
|
Ergebnisbeschreibung: Das DNS-Logging in einem VPC-Netzwerk ist nicht aktiviert. Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft alle
|
|
Ergebnisbeschreibung: Ein Legacy-Netzwerk ist in einem Projekt vorhanden. Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft die Netzwerkmetadaten auf das Vorhandensein des Attributs
|
|
Ergebnisbeschreibung: Das Logging ist für den Load Balancer deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Ergebnisse zu Sicherheitslücken in Organisationsrichtlinien
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Konfigurationen von Einschränkungen für Organisationsrichtlinien und gehören zum Typ ORG_POLICY.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
|
Ergebnisbeschreibung: Eine Compute Engine-Ressource verstößt gegen die Organisationsrichtlinie constraints/compute.restrictNonConfidentialComputing. Weitere Informationen zu dieser Einschränkung der Organisationsrichtlinie finden Sie unter Einschränkungen für Organisationsrichtlinien in Confidential VM durchsetzen.
Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Compliance-Standardkontrollen zugeordnet. |
Prüft, ob das Attribut
|
|
Ergebnisbeschreibung: Eine Compute Engine-Ressource verstößt gegen die Einschränkung constraints/gcp.resourceLocations. Weitere Informationen zu dieser Einschränkung der Organisationsrichtlinie finden Sie unter Einschränkungen für Organisationsrichtlinien durchsetzen.
Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Compliance-Standardkontrollen zugeordnet. |
Prüft das Attribut
|
|
Unterstützte Assets für ORG_POLICY_LOCATION_RESTRICTION
Compute Engine
GKE
Cloud Storage
Cloud KMS
Dataproc
BigQuery
Dataflow
Cloud SQL
Cloud Composer
Logging
Pub/Sub
Vertex AI
Artifact Registry 1 Da Cloud KMS-Assets nicht gelöscht werden können, gilt das Asset nicht als außerhalb der Region, wenn die Daten des Assets zerstört wurden. 2 Da Cloud KMS-Importjobs einen gesteuerten Lebenszyklus haben und nicht vorzeitig beendet werden können, gilt ein ImportJob nicht als außerhalb der Region, wenn er abgelaufen ist und nicht mehr verwendet werden kann, um Schlüssel zu importieren. 3 Da der Lebenszyklus von Dataflow-Jobs nicht verwaltet werden kann, gilt ein Job nicht als außerhalb der Region, wenn er einen Endstatus (beendet oder per Drain beendet) erreicht hat, in dem er nicht mehr zur Verarbeitung von Daten verwendet werden kann. |
||
Pub/Sub-Sicherheitslücken
Alle Sicherheitslücken dieses Detektortyps beziehen sich auf Pub/Sub-Konfigurationen und gehören zum Typ PUBSUB_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
|
Ergebnisbeschreibung: Ein Pub/Sub-Thema wird nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Compliance-Standardkontrollen zugeordnet. |
Prüft das Feld
|
Ergebnisse zu SQL-Sicherheitslücken
In den folgenden Abschnitten werden die Ergebnisse von Sicherheitslücken für AlloyDB for PostgreSQL und Cloud SQL beschrieben.
AlloyDB for PostgreSQL-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf AlloyDB for PostgreSQL-Konfigurationen und gehören zum Typ SQL_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
|
Ergebnisbeschreibung: Für einen AlloyDB for PostgreSQL-Cluster sind keine automatischen Sicherungen aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
|
Ergebnisbeschreibung:Für einen AlloyDB for PostgreSQL-Cluster sind keine Sicherungen aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob die Attribute
|
|
Ergebnisbeschreibung: Ein AlloyDB-Cluster wird nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEKs) verschlüsselt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Feld
|
|
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Um eine angemessene Abdeckung von Nachrichtentypen in den Logs zu gewährleisten, wird ein Problem generiert, wenn das Feld
|
|
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Um eine angemessene Abdeckung von Nachrichtentypen in den Logs zu gewährleisten, wird ein Problem generiert, wenn das Feld
|
|
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Um eine angemessene Abdeckung von Nachrichtentypen in den Logs zu gewährleisten, wird ein Ergebnis generiert, wenn das Feld
|
|
Ergebnisbeschreibung:Eine AlloyDB for PostgreSQL-Datenbankinstanz hat eine öffentliche IP-Adresse. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Feld
|
|
Ergebnisbeschreibung:Für eine AlloyDB for PostgreSQL-Datenbankinstanz müssen nicht alle eingehenden Verbindungen SSL verwenden. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Ergebnisse zu Cloud SQL-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud SQL-Konfigurationen und gehören zum Typ SQL_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
|
Ergebnisbeschreibung: In einer Cloud SQL-Datenbank sind keine automatischen Sicherungen aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
|
Ergebnisbeschreibung: Eine Cloud SQL-Datenbankinstanz akzeptiert Verbindungen von allen IP-Adressen. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft, ob für das Attribut
|
|
Ergebnisbeschreibung: Für eine Cloud SQL-Datenbankinstanz müssen nicht alle eingehenden Verbindungen SSL verwenden. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
|
Ergebnisbeschreibung: Eine SQL-Datenbankinstanz wird nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEKs) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Compliance-Standardkontrollen zugeordnet. |
Prüft das Feld
|
|
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets
|