Résultats de failles

Les détecteurs Security Health Analytics et Web Security Scanner génèrent des résultats de failles disponibles dans Security Command Center. Lorsqu'ils sont activés dans Security Command Center, les services intégrés, comme VM Manager, génèrent également des résultats de failles.

Votre capacité à afficher et à modifier les résultats est déterminée par les rôles et autorisations IAM (Identity and Access Management) qui vous sont attribués. Pour en savoir plus sur les rôles IAM dans Security Command Center, consultez la page Contrôle des accès.

Détecteurs et conformité

Security Command Center surveille votre conformité à l'aide de détecteurs mappés aux contrôles d'une grande variété de normes de sécurité.

Pour chaque norme de sécurité compatible, Security Command Center vérifie un sous-ensemble de contrôles. Pour les contrôles cochés, Security Command Center indique le nombre de contrôles réussis. Pour les contrôles qui ne sont pas conformes, Security Command Center affiche une liste de résultats décrivant les échecs de contrôle.

Le CIS examine et certifie les mises en correspondance des détecteurs Security Command Center avec chaque version compatible du benchmark CIS Google Cloud Foundations. Des mises en correspondance supplémentaires pour la conformité sont incluses à titre de référence uniquement.

Security Command Center ajoute régulièrement la compatibilité avec de nouvelles versions de benchmarks et de normes. Les anciennes versions restent compatibles, mais sont finalement abandonnées. Nous vous recommandons d'utiliser le dernier benchmark ou la dernière norme compatible disponible.

Le service de stratégie de sécurité vous permet de mapper les règles d'administration et les détecteurs Security Health Analytics aux normes et contrôles qui s'appliquent à votre entreprise. Une fois que vous avez créé une posture de sécurité, vous pouvez surveiller les modifications apportées à l'environnement qui pourraient affecter la conformité de votre entreprise.

Avec le Gestionnaire de conformité (aperçu), vous pouvez déployer des frameworks qui mappent les contrôles réglementaires aux contrôles cloud. Une fois que vous avez créé un framework, vous pouvez surveiller les modifications apportées à l'environnement qui pourraient affecter la conformité de votre entreprise et auditer votre environnement.

Pour en savoir plus sur la gestion de la conformité, consultez Évaluer et signaler la conformité aux normes de sécurité.

Normes de sécurité acceptées

Google Cloud

Security Command Center mappe les détecteurs pour Google Cloud avec une ou plusieurs des normes de conformité suivantes :

AWS

Security Command Center mappe les détecteurs pour Amazon Web Services (AWS) à une ou plusieurs des normes de conformité suivantes :

Pour savoir comment afficher et exporter des rapports de conformité, consultez Évaluer la conformité aux normes de sécurité et générer des rapports.

Constat de désactivation après résolution

Une fois que vous avez corrigé une faille ou une erreur de configuration, le service Security Command Center qui a détecté le résultat définit automatiquement l'état du résultat sur INACTIVE la prochaine fois que le service de détection analysera le résultat. Le temps nécessaire à Security Command Center pour définir un résultat corrigé sur INACTIVE dépend de la programmation de l'analyse qui a détecté le résultat.

Les services Security Command Center définissent également l'état d'un résultat de faille ou d'erreur de configuration sur INACTIVE lorsqu'une analyse détecte que la ressource concernée par le résultat a été supprimée.

Pour en savoir plus sur les intervalles d'analyse, consultez les rubriques suivantes :

Résultats de l'analyse de l'état de la sécurité

Les détecteurs de Security Health Analytics surveillent un sous-ensemble de ressources de l'inventaire des éléments cloud (CAI) et reçoivent des notifications concernant les modifications apportées aux règles de gestion des ressources et de gestion de l'authentification et des accès (IAM). Certains détecteurs récupèrent les données en appelant directement les API Google Cloud , comme indiqué dans les tableaux plus loin sur cette page.

Pour en savoir plus sur Security Health Analytics, les plannings d'analyse et la compatibilité de Security Health Analytics avec les détecteurs de modules intégrés et personnalisés, consultez Présentation de Security Health Analytics.

Les tableaux suivants décrivent les détecteurs de Security Health Analytics, les éléments et les normes de conformité qu'ils acceptent, les paramètres qu'ils utilisent pour les analyses et les types de résultats qu'ils génèrent. Vous pouvez filtrer les résultats par différents attributs sur les pages suivantes de la console Google Cloud  :

  • Sur les niveaux Standard et Premium, la page Failles.
  • Sur la page Risque > Vue d'ensemble du niveau Enterprise. Sélectionnez la vue Failles CVE.

Pour obtenir des instructions sur la résolution des problèmes et la protection de vos ressources, consultez Corriger les résultats de Security Health Analytics.

Résultats de failles de clé API

Le détecteur API_KEY_SCANNER identifie les failles liées aux clés API utilisées dans votre déploiement cloud.

Détecteur Résumé Paramètres d'analyse des éléments

Nom de la catégorie dans l'API : API_KEY_APIS_UNRESTRICTED

Description du résultat : Certaines clés API sont utilisées de manière trop large. Pour résoudre ce problème, limitez l'utilisation des clés API afin de n'autoriser que les API nécessaires à l'application.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.0: 1.12
  • CIS GCP Foundation 1.1: 1.14
  • CIS GCP Foundation 1.2: 1.14
  • CIS GCP Foundation 1.3: 1.14
  • CIS GCP Foundation 2.0: 1.14
  • CIS GCP Foundation 3.0: 1.14
  • NIST 800-53 R5: PL-8, SA-8
  • PCI-DSS v4.0: 2.2.2, 6.2.1
  • ISO-27001 v2022: A.8.27
  • Cloud Controls Matrix 4: DSP-07
  • NIST Cybersecurity Framework 1.0: PR-IP-2
  • CIS Controls 8.0: 16.10

Récupère la propriété restrictions de toutes les clés API d'un projet, en vérifiant si l'une d'entre elles est définie sur cloudapis.googleapis.com.

  • Analyses en temps réel : Non

Nom de la catégorie dans l'API : API_KEY_APPS_UNRESTRICTED

Description du résultat : certaines clés API sont utilisées de manière illimitée, ce qui permet leur utilisation par toute application non approuvée.

Niveau de tarification : Premium

Composants acceptés
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.0: 1.11
  • CIS GCP Foundation 1.1: 1.13
  • CIS GCP Foundation 1.2: 1.13
  • CIS GCP Foundation 1.3: 1.13
  • CIS GCP Foundation 2.0: 1.13
  • CIS GCP Foundation 3.0: 1.13

Récupère la propriété restrictions de toutes les clés API d'un projet, en vérifiant si browserKeyRestrictions, serverKeyRestrictions, androidKeyRestrictions ou iosKeyRestrictions est défini.

  • Analyses en temps réel : Non

Nom de la catégorie dans l'API : API_KEY_EXISTS

Description du résultat : un projet utilise des clés API au lieu de l'authentification standard.

Niveau de tarification : Premium

Composants acceptés
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.0: 1.10
  • CIS GCP Foundation 1.1: 1.12
  • CIS GCP Foundation 1.2: 1.12
  • CIS GCP Foundation 1.3: 1.12
  • CIS GCP Foundation 2.0: 1.12
  • CIS GCP Foundation 3.0: 1.12
  • NIST 800-53 R5: PL-8, SA-8
  • PCI-DSS v4.0: 2.2.2, 6.2.1
  • ISO-27001 v2022: A.8.27
  • Cloud Controls Matrix 4: DSP-07
  • NIST Cybersecurity Framework 1.0: PR-IP-2
  • CIS Controls 8.0: 16.10

Récupère toutes les clés API appartenant à un projet.

  • Analyses en temps réel : Non

Nom de la catégorie dans l'API : API_KEY_NOT_ROTATED

Description du résultat : La clé API n'a pas été alternée depuis plus de 90 jours.

Niveau de tarification : Premium

Composants acceptés
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.0: 1.13
  • CIS GCP Foundation 1.1: 1.15
  • CIS GCP Foundation 1.2: 1.15
  • CIS GCP Foundation 1.3: 1.15
  • CIS GCP Foundation 2.0: 1.15
  • CIS GCP Foundation 3.0: 1.15
  • NIST 800-53 R5: PL-8, SA-8
  • PCI-DSS v4.0: 2.2.2, 6.2.1
  • ISO-27001 v2022: A.8.27
  • Cloud Controls Matrix 4: DSP-07
  • NIST Cybersecurity Framework 1.0: PR-IP-2
  • CIS Controls 8.0: 16.10

Récupère l'horodatage contenu dans la propriété createTime de toutes les clés API, en vérifiant si 90 jours se sont écoulés.

  • Analyses en temps réel : Non

Résultats de faille inventaire des éléments cloud

Les failles de ce type de détecteur sont toutes liées aux configurations inventaire des éléments cloud et appartiennent au type CLOUD_ASSET_SCANNER.

Détecteur Résumé Paramètres d'analyse des éléments

Nom de la catégorie dans l'API : CLOUD_ASSET_API_DISABLED

Description du résultat : l'enregistrement des ressources Google Cloud et des règles IAM par l'inventaire des éléments cloud permet d'effectuer des analyses de sécurité, le suivi des modifications des ressources et des audits de conformité. Nous vous recommandons d'activer le service inventaire des éléments cloud pour tous les projets. Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs.

Niveau de tarification : Premium

Éléments compatibles
pubsub.googleapis.com/Project

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.3: 2.13
  • CIS GCP Foundation 2.0: 2.13
  • CIS GCP Foundation 3.0: 2.13
  • NIST 800-53 R5: CM-8, PM-5
  • PCI-DSS v4.0: 11.2.1, 11.2.2, 12.5.1, 9.5.1, 9.5.1.1
  • ISO-27001 v2022: A.5.9, A.8.8
  • Cloud Controls Matrix 4: UEM-04
  • NIST Cybersecurity Framework 1.0: ID-AM-1, PR-DS-3
  • SOC2 v2017: CC3.2.6, CC6.1.1
  • HIPAA: 164.310(d)(2)(iii)
  • CIS Controls 8.0: 1.1, 6.6

Vérifie si le service inventaire des éléments cloud est activé.

  • Analyses en temps réel : Oui

Résultats de failles de stockage

Les failles de ce type de détecteur sont toutes liées aux configurations de buckets Cloud Storage et appartiennent au typeSTORAGE_SCANNER.

Détecteur Résumé Paramètres d'analyse des éléments

Nom de la catégorie dans l'API : BUCKET_CMEK_DISABLED

Description du résultat : un bucket n'est pas chiffré avec des clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver les détecteurs.

Niveau de tarification : Premium

Éléments compatibles
storage.googleapis.com/Bucket

Corriger ce résultat 

Normes de conformité :

Cette catégorie de résultats n'est associée à aucun contrôle de norme de conformité.

Vérifie le champ encryption dans les métadonnées du bucket pour trouver le nom de ressource de votre clé CMEK.

  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : BUCKET_POLICY_ONLY_DISABLED

Description du résultat : l'accès uniforme au niveau du bucket, précédemment appelé "Stratégie du bucket seulement", n'est pas configuré.

Niveau de tarification : Premium

Éléments compatibles
storage.googleapis.com/Bucket

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.2: 5.2
  • CIS GCP Foundation 1.3: 5.2
  • CIS GCP Foundation 2.0: 5.2
  • CIS GCP Foundation 3.0: 5.2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Vérifie si la propriété uniformBucketLevelAccess d'un bucket est définie sur "enabled":false.

  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : PUBLIC_BUCKET_ACL

Description du résultat : un bucket Cloud Storage est accessible au public.

Niveau de tarification : Premium ou Standard

Éléments compatibles
storage.googleapis.com/Bucket

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.0: 5.1
  • CIS GCP Foundation 1.1: 5.1
  • CIS GCP Foundation 1.2: 5.1
  • CIS GCP Foundation 1.3: 5.1
  • CIS GCP Foundation 2.0: 5.1
  • CIS GCP Foundation 3.0: 5.1
  • NIST 800-53 R4: AC-2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 7.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.14.1.3, A.8.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Vérifie la stratégie d'autorisation IAM d'un bucket pour les rôles publics, allUsers ou allAuthenticatedUsers.

  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : PUBLIC_LOG_BUCKET

Description du résultat : un bucket de stockage utilisé comme récepteur de journaux est accessible au public.

Ce résultat n'est pas disponible pour les activations au niveau du projet.

Niveau de tarification : Premium ou Standard

Éléments compatibles
storage.googleapis.com/Bucket

Corriger ce résultat 

Normes de conformité :

  • NIST 800-53 R4: AU-9
  • PCI-DSS v3.2.1: 10.5
  • ISO-27001 v2013: A.12.4.2, A.18.1.3, A.8.2.3

Vérifie la stratégie d'autorisation IAM d'un bucket pour les comptes principaux allUsers ou allAuthenticatedUsers, qui accordent un accès public.

  • Entrées supplémentaires : lit le récepteur de journaux (le filtre et la destination du journal) d'un bucket pour déterminer s'il s'agit d'un bucket de journaux.
  • Analyses en temps réel : oui, mais uniquement si la stratégie IAM sur le bucket change et pas si le récepteur de journaux est modifié.

Résultats de failles d'images Compute

Le détecteur COMPUTE_IMAGE_SCANNER identifie les failles liées aux configurations d'imageGoogle Cloud .

Détecteur Résumé Paramètres d'analyse des éléments

Nom de la catégorie dans l'API : PUBLIC_COMPUTE_IMAGE

Description du résultat : une image Compute Engine est accessible au public.

Niveau de tarification : Premium ou Standard

Composants acceptés
compute.googleapis.com/Image

Corriger ce résultat 

Normes de conformité :

Cette catégorie de résultats n'est associée à aucun contrôle de norme de conformité.

Vérifie la stratégie d'autorisation IAM des métadonnées de ressource pour les comptes principaux allUsers ou allAuthenticatedUsers, qui accordent un accès public.

  • Analyses en temps réel : Oui

Résultats de failles d'instance Compute

Le détecteur COMPUTE_INSTANCE_SCANNER identifie les failles liées aux configurations d'instance Compute Engine.

Les détecteurs COMPUTE_INSTANCE_SCANNER ne signalent pas les résultats sur les instances Compute Engine créées par GKE. Les noms de ces instances commencent par "gke-", et les utilisateurs ne peuvent pas modifier cette convention. Pour sécuriser ces instances, reportez-vous à la section "Résultats de failles de conteneur".

Détecteur Résumé Paramètres d'analyse des éléments

Nom de la catégorie dans l'API : CONFIDENTIAL_COMPUTING_DISABLED

Description du résultat : l'informatique confidentielle est désactivée sur une instance Compute Engine.

Niveau de tarification : Premium

Composants acceptés
compute.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.2: 4.11
  • CIS GCP Foundation 1.3: 4.11
  • CIS GCP Foundation 2.0: 4.11
  • CIS GCP Foundation 3.0: 4.11
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Vérifie la propriété confidentialInstanceConfig des métadonnées d'instance pour détecter la paire clé-valeur "enableConfidentialCompute":true.

  • Éléments exclus des analyses :
    • Instances GKE
    • Accès au VPC sans serveur
    • Instances liées aux jobs Dataflow
    • Instances Compute Engine qui ne sont pas de type N2D
  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

Description du résultat : les clés SSH au niveau du projet sont utilisées. Elles permettent de se connecter à toutes les instances du projet.

Niveau de tarification : Premium

Composants acceptés
compute.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.0: 4.2
  • CIS GCP Foundation 1.1: 4.3
  • CIS GCP Foundation 1.2: 4.3
  • CIS GCP Foundation 1.3: 4.3
  • CIS GCP Foundation 2.0: 4.3
  • CIS GCP Foundation 3.0: 4.3
  • NIST 800-53 R5: AC-17, IA-5, SC-8
  • PCI-DSS v4.0: 2.2.7, 4.1.1, 4.2.1, 4.2.1.2, 4.2.2, 8.3.2
  • ISO-27001 v2022: A.5.14
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-2
  • SOC2 v2017: CC6.1.11, CC6.1.3, CC6.1.8, CC6.7.2
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(1), 164.312(e)(2)(i), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.10, 5.2

Vérifie l'objet metadata.items[] dans les métadonnées d'instance pour la paire clé-valeur "key": "block-project-ssh-keys", "value": TRUE.

  • Éléments exclus des analyses : instances GKE, tâche Dataflow, instance Windows
  • Autorisations IAM supplémentaires : roles/compute.Viewer
  • Entrées supplémentaires : lit les métadonnées de Compute Engine.
  • Analyses en temps réel : Non

Nom de la catégorie dans l'API : COMPUTE_SECURE_BOOT_DISABLED

Description du résultat : Le démarrage sécurisé n'est pas activé sur cette VM protégée. L'utilisation du démarrage sécurisé permet de protéger les instances de machines virtuelles contre les menaces avancées, telles que les rootkits et les bootkits.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité :

Cette catégorie de résultats n'est associée à aucun contrôle de norme de conformité.

Vérifie la propriété shieldedInstanceConfig sur les instances Compute Engine pour déterminer si enableSecureBoot est défini sur true. Ce détecteur vérifie si les disques associés sont compatibles avec le démarrage sécurisé et si le démarrage sécurisé est activé.

  • Éléments exclus des analyses : instances GKE, disques Compute Engine disposant d'accélérateurs GPU mais n'utilisant pas Container-Optimized OS, accès au VPC sans serveur
  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : COMPUTE_SERIAL_PORTS_ENABLED

Description du résultat : les ports série sont activés pour une instance, ce qui permet de se connecter à la console série de l'instance.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.0: 4.4
  • CIS GCP Foundation 1.1: 4.5
  • CIS GCP Foundation 1.2: 4.5
  • CIS GCP Foundation 1.3: 4.5
  • CIS GCP Foundation 2.0: 4.5
  • CIS GCP Foundation 3.0: 4.5
  • NIST 800-53 R5: CM-6, CM-7
  • PCI-DSS v4.0: 1.2.5, 2.2.4, 6.4.1
  • ISO-27001 v2022: A.8.9
  • SOC2 v2017: CC6.6.1, CC6.6.3, CC6.6.4
  • CIS Controls 8.0: 4.8

Vérifie l'objet metadata.items[] dans les métadonnées d'instance pour la paire clé-valeur "key": "serial-port-enable", "value": TRUE.

  • Éléments exclus des analyses : instances GKE
  • Autorisations IAM supplémentaires : roles/compute.Viewer
  • Entrées supplémentaires : lit les métadonnées de Compute Engine.
  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : DEFAULT_SERVICE_ACCOUNT_USED

Description du résultat : une instance est configurée pour utiliser le compte de service par défaut.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.1: 4.1
  • CIS GCP Foundation 1.2: 4.1
  • CIS GCP Foundation 1.3: 4.1
  • CIS GCP Foundation 2.0: 4.1
  • CIS GCP Foundation 3.0: 4.1
  • NIST 800-53 R5: IA-5
  • PCI-DSS v4.0: 2.2.2, 2.3.1
  • ISO-27001 v2022: A.8.2, A.8.9
  • NIST Cybersecurity Framework 1.0: PR-AC-1
  • SOC2 v2017: CC6.3.1, CC6.3.2, CC6.3.3
  • CIS Controls 8.0: 4.7

Vérifie la propriété serviceAccounts dans les métadonnées de l'instance pour rechercher les adresses e-mail du compte de service avec le préfixe PROJECT_NUMBER[email protected], qui indique le compte de service par défaut créé par Google.

  • Éléments exclus des analyses : instances GKE, tâches Dataflow
  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : DISK_CMEK_DISABLED

Description du résultat : les disques de cette VM ne sont pas chiffrés avec les clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Disk

Corriger ce résultat 

Normes de conformité :

Cette catégorie de résultats n'est associée à aucun contrôle de norme de conformité.

Vérifie le champ kmsKeyName dans l'objet diskEncryptionKey, dans les métadonnées du disque, pour le nom de ressource de votre CMEK.

  • Éléments exclus des analyses : disques associés aux environnements Cloud Composer, aux jobs Dataflow et aux instances GKE
  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : DISK_CSEK_DISABLED

Description du résultat : Les disques de cette VM ne sont pas chiffrés avec les clés de chiffrement fournies par le client (CSEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la section Détecteur de cas particuliers.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Disk

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.0: 4.6
  • CIS GCP Foundation 1.1: 4.7
  • CIS GCP Foundation 1.2: 4.7
  • CIS GCP Foundation 1.3: 4.7
  • CIS GCP Foundation 2.0: 4.7
  • CIS GCP Foundation 3.0: 4.7
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Vérifie le champ sha256 dans l'objet diskEncryptionKey pour connaître le nom de ressource de votre CSEK.

  • Éléments exclus des analyses :
    disques Compute Engine sans marque de sécurité enforce_customer_supplied_disk_encryption_keys définie sur true.
  • Autorisations IAM supplémentaires : roles/compute.Viewer
  • Entrées supplémentaires : lit les métadonnées depuis Compute Engine.
  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : FULL_API_ACCESS

Description du résultat : une instance est configurée pour utiliser le compte de service par défaut avec un accès complet à toutes les API Google Cloud.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.0: 4.1
  • CIS GCP Foundation 1.1: 4.2
  • CIS GCP Foundation 1.2: 4.2
  • CIS GCP Foundation 1.3: 4.2
  • CIS GCP Foundation 2.0: 4.2
  • CIS GCP Foundation 3.0: 4.2
  • NIST 800-53 R4: AC-6
  • NIST 800-53 R5: IA-5
  • PCI-DSS v3.2.1: 7.1.2
  • PCI-DSS v4.0: 2.2.2, 2.3.1
  • ISO-27001 v2013: A.9.2.3
  • ISO-27001 v2022: A.8.2, A.8.9
  • NIST Cybersecurity Framework 1.0: PR-AC-1
  • SOC2 v2017: CC6.3.1, CC6.3.2, CC6.3.3
  • CIS Controls 8.0: 4.7

Récupère le champ scopes de la propriété serviceAccounts pour vérifier si un compte de service par défaut est utilisé et si le champ d'application cloud-platform lui est attribué.

  • Éléments exclus des analyses : instances GKE, tâches Dataflow
  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : HTTP_LOAD_BALANCER

Description du résultat : une instance utilise un équilibreur de charge configuré pour utiliser un proxy HTTP cible au lieu d'un proxy HTTPS cible.

Pour les activations du niveau Premium de Security Command Center au niveau du projet, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/TargetHttpProxy

Corriger ce résultat 

Normes de conformité :

  • PCI-DSS v3.2.1: 2.3

Détermine si la propriété selfLink de la ressource targetHttpProxy correspond à l'attribut target de la règle de transfert et si la règle de transfert contient un champ loadBalancingScheme défini sur External.

  • Autorisations IAM supplémentaires : roles/compute.Viewer
  • Entrées supplémentaires : lit les règles de transfert d'un proxy HTTP cible depuis Compute Engine, en recherchant les règles externes.
  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : INSTANCE_OS_LOGIN_DISABLED

Description du résultat : OS Login est désactivé sur cette instance.

Pour les activations du niveau Premium de Security Command Center au niveau du projet, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.0: 4.3
  • CIS GCP Foundation 1.1: 4.4
  • CIS GCP Foundation 1.2: 4.4
  • CIS GCP Foundation 1.3: 4.4
  • CIS GCP Foundation 2.0: 4.4
  • NIST 800-53 R5: AC-2
  • ISO-27001 v2022: A.5.15
  • SOC2 v2017: CC6.1.4, CC6.1.6, CC6.1.8, CC6.1.9
  • CIS Controls 8.0: 5.6, 6.7

Vérifie si la propriété enable-oslogin de Custom metadata de l'instance est définie sur TRUE.

  • Éléments exclus des analyses : instances GKE, instances liées aux jobs Dataflow, accès au VPC sans serveur
  • Autorisations IAM supplémentaires : roles/compute.Viewer
  • Entrées supplémentaires : lit les métadonnées depuis Compute Engine.
  • Analyses en temps réel : Non

Nom de la catégorie dans l'API : IP_FORWARDING_ENABLED

Description du résultat : Le transfert IP est activé sur les instances.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.0: 4.5
  • CIS GCP Foundation 1.1: 4.6
  • CIS GCP Foundation 1.2: 4.6
  • CIS GCP Foundation 1.3: 4.6
  • CIS GCP Foundation 2.0: 4.6
  • CIS GCP Foundation 3.0: 4.6
  • NIST 800-53 R5: CA-9, SC-7
  • PCI-DSS v4.0: 1.2.1, 1.4.1
  • SOC2 v2017: CC6.6.1, CC6.6.4
  • CIS Controls 8.0: 4.4, 4.5

Vérifie si la propriété canIpForward de l'instance est définie sur true.

  • Éléments exclus des analyses : instances GKE, accès au VPC sans serveur
  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : OS_LOGIN_DISABLED

Description du résultat : OS Login est désactivé sur ce projet.

Pour les activations du niveau Premium de Security Command Center au niveau du projet, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Project

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.0: 4.3
  • CIS GCP Foundation 1.1: 4.4
  • CIS GCP Foundation 1.2: 4.4
  • CIS GCP Foundation 1.3: 4.4
  • CIS GCP Foundation 2.0: 4.4
  • NIST 800-53 R5: AC-2
  • ISO-27001 v2022: A.5.15
  • SOC2 v2017: CC6.1.4, CC6.1.6, CC6.1.8, CC6.1.9
  • CIS Controls 8.0: 5.6, 6.7

Vérifie l'objet commonInstanceMetadata.items[] dans les métadonnées du projet pour la paire clé/valeur, "key" : "enable-oslogin", "value" : TRUE. Le détecteur vérifie également toutes les instances d'un projet Compute Engine pour déterminer si OS Login est désactivé pour des instances individuelles.

  • Éléments exclus des analyses : instances GKE, instances liées aux jobs Dataflow
  • Autorisations IAM supplémentaires : roles/compute.Viewer
  • Entrées supplémentaires : lit les métadonnées depuis Compute Engine. Le détecteur examine également les instances Compute Engine dans le projet.
  • Analyses en temps réel : Non

Nom de la catégorie dans l'API : PUBLIC_IP_ADDRESS

Description du résultat : une instance possède une adresse IP publique.

Niveau de tarification : Premium ou Standard

Éléments compatibles
compute.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.1: 4.9
  • CIS GCP Foundation 1.2: 4.9
  • CIS GCP Foundation 1.3: 4.9
  • CIS GCP Foundation 2.0: 4.9
  • CIS GCP Foundation 3.0: 4.9
  • NIST 800-53 R4: CA-3, SC-7
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Vérifie si la propriété networkInterfaces contient un champ accessConfigs, ce qui indique qu'elle est configurée pour utiliser une adresse IP publique.

  • Éléments exclus des analyses : instances GKE, instances liées aux jobs Dataflow
  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : SHIELDED_VM_DISABLED

Description du résultat : La VM protégée est désactivée sur cette instance.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.1: 4.8
  • CIS GCP Foundation 1.2: 4.8
  • CIS GCP Foundation 1.3: 4.8
  • CIS GCP Foundation 2.0: 4.8
  • CIS GCP Foundation 3.0: 4.8

Vérifie la propriété shieldedInstanceConfig dans les instances Compute Engine pour déterminer si les champs enableIntegrityMonitoring et enableVtpm sont définis sur true. Les champs indiquent si la VM protégée est activée.

  • Éléments exclus des analyses : instances GKE et accès au VPC sans serveur
  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : WEAK_SSL_POLICY

Description du résultat : une instance a une règle SSL faible.

Pour les activations du niveau Premium de Security Command Center au niveau du projet, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/TargetHttpsProxy
compute.googleapis.com/TargetSslProxy

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.1: 3.9
  • CIS GCP Foundation 1.2: 3.9
  • CIS GCP Foundation 1.3: 3.9
  • CIS GCP Foundation 2.0: 3.9
  • CIS GCP Foundation 3.0: 3.9
  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 4.1
  • ISO-27001 v2013: A.14.1.3

Vérifie si sslPolicy dans les métadonnées de l'asset est vide ou utilise la stratégie par défaut Google Cloud , et, pour la ressource sslPolicies associée, si profile est défini sur Restricted ou Modern, si minTlsVersion est défini sur TLS 1.2 et si customFeatures est vide ou ne contient pas les codes suivants : TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_3DES_EDE_CBC_SHA.

  • Autorisations IAM supplémentaires : roles/compute.Viewer
  • Entrées supplémentaires : lit les règles SSL pour le stockage des proxys cibles et recherche les règles faibles.
  • Analyses en temps réel : oui, mais uniquement lorsque le TargetHttpsProxy du TargetSslProxy est mis à jour, et non lorsque la règle SSL est mise à jour.

Résultats de failles de conteneur

Ces types de résultats sont tous liés aux configurations de conteneurs GKE et appartiennent au type de détecteur CONTAINER_SCANNER.

Détecteur Résumé Paramètres d'analyse des éléments

Nom de la catégorie dans l'API : ALPHA_CLUSTER_ENABLED

Description du résultat : les fonctionnalités du cluster alpha sont activées pour un cluster GKE.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité :

  • CIS GKE 1.0: 6.10.2

Vérifie si la propriété enableKubernetesAlpha d'un cluster est définie sur true.

  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : AUTO_REPAIR_DISABLED

Description du résultat : la fonctionnalité de réparation automatique d'un cluster GKE, qui maintient les nœuds en bon état de fonctionnement, est désactivée.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.0: 7.7
  • CIS GKE 1.0: 6.5.2
  • PCI-DSS v3.2.1: 2.2

Vérifie la propriété management d'un pool de nœuds pour détecter la paire clé/valeur, "key":, "autoRepair", "value": true.

  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : AUTO_UPGRADE_DISABLED

Description du résultat : La fonctionnalité de mise à niveau automatique des clusters GKE, qui conserve les clusters et les pools de nœuds sur la dernière version stable de Kubernetes, est désactivée.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.0: 7.8
  • CIS GKE 1.0: 6.5.3
  • PCI-DSS v3.2.1: 2.2

Vérifie la propriété management d'un pool de nœuds pour détecter la paire clé/valeur, "key":, "autoUpgrade", "value": true.

  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : BINARY_AUTHORIZATION_DISABLED

Description du résultat : l'autorisation binaire est désactivée sur le cluster GKE ou la stratégie d'autorisation binaire est configurée pour autoriser le déploiement de toutes les images.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité :

Cette catégorie de résultats n'est associée à aucun contrôle de norme de conformité.

Vérifie les éléments suivants :

  • Vérifie si la propriété binaryAuthorization contient l'une des paires clé/valeur suivantes :
    • "evaluationMode": "PROJECT_SINGLETON_POLICY_ENFORCE"
    • "evaluationMode": "POLICY_BINDINGS"
    • "evaluationMode": "POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE"
  • Vérifie si la propriété de règle defaultAdmissionRule ne contient pas la paire clé-valeur evaluationMode: ALWAYS_ALLOW.

  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : CLUSTER_LOGGING_DISABLED

Description du résultat : La journalisation n'est pas activée pour un cluster GKE.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.0: 7.1
  • CIS GKE 1.0: 6.7.1
  • PCI-DSS v3.2.1: 10.2.2, 10.2.7

Vérifie si la propriété loggingService d'un cluster contient l'emplacement que Cloud Logging doit utiliser pour écrire des journaux.

  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : CLUSTER_MONITORING_DISABLED

Description du résultat : Monitoring est désactivé sur les clusters GKE.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.0: 7.2
  • CIS GKE 1.0: 6.7.1
  • PCI-DSS v3.2.1: 10.1, 10.2

Vérifie si la propriété monitoringService d'un cluster contient l'emplacement que Cloud Monitoring doit utiliser pour écrire des métriques.

  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED

Description du résultat : les hôtes de cluster ne sont pas configurés pour utiliser uniquement des adresses IP internes privées pour accéder aux API Google.

Pour les activations du niveau Premium de Security Command Center au niveau du projet, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.0: 7.16
  • PCI-DSS v3.2.1: 1.3

Vérifie si la propriété privateIpGoogleAccess d'un sous-réseau est définie sur false.

  • Entrées supplémentaires : lit les sous-réseaux à partir de l'espace de stockage et ne renvoie des résultats que pour les clusters avec sous-réseaux.
  • Analyses en temps réel : oui, mais uniquement si le cluster est mis à jour et pas pour les mises à jour du sous-réseau.

Nom de la catégorie dans l'API : CLUSTER_SECRETS_ENCRYPTION_DISABLED

Description du résultat : le chiffrement des secrets au niveau de la couche d'application est désactivé sur un cluster GKE.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité :

  • CIS GKE 1.0: 6.3.1

Vérifie la propriété keyName de l'objet databaseEncryption pour la paire clé-valeur "state": ENCRYPTED.

  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : CLUSTER_SHIELDED_NODES_DISABLED

Description du résultat : les nœuds GKE protégés ne sont pas activés pour un cluster.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité :

  • CIS GKE 1.0: 6.5.5

Vérifie la propriété shieldedNodes pour la paire clé-valeur "enabled": true.

  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : COS_NOT_USED

Description du résultat : Les VM Compute Engine n'utilisent pas la version de Container-Optimized OS conçue pour exécuter des conteneurs Docker sur Google Cloud en toute sécurité.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.0: 7.9
  • CIS GKE 1.0: 6.5.1
  • PCI-DSS v3.2.1: 2.2

Vérifie la propriété config d'un pool de nœuds pour détecter la paire clé/valeur, "imageType": "COS".

  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : INTEGRITY_MONITORING_DISABLED

Description du résultat : la surveillance de l'intégrité est désactivée pour un cluster GKE.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité :

  • CIS GKE 1.0: 6.5.6

Vérifie la propriété shieldedInstanceConfig de l'objet nodeConfig pour la paire clé-valeur "enableIntegrityMonitoring": true.

  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : INTRANODE_VISIBILITY_DISABLED

Description du résultat : la visibilité intranœud est désactivée pour un cluster GKE.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité :

  • CIS GKE 1.0: 6.6.1

Vérifie la propriété networkConfig pour la paire clé-valeur "enableIntraNodeVisibility": true.

  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : IP_ALIAS_DISABLED

Description du résultat : un cluster GKE a été créé avec des plages d'adresses IP d'alias désactivées.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.0: 7.13
  • CIS GKE 1.0: 6.6.2
  • PCI-DSS v3.2.1: 1.3.4, 1.3.7

Vérifie si le champ useIPAliases de ipAllocationPolicy dans un cluster est défini sur false.

  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : LEGACY_AUTHORIZATION_ENABLED

Description du résultat : l'ancienne autorisation est activée sur les clusters GKE.

Niveau de tarification : Premium ou Standard

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.0: 7.3
  • CIS GKE 1.0: 6.8.3
  • PCI-DSS v3.2.1: 4.1

Vérifie la propriété legacyAbac d'un pool de nœuds pour détecter la paire clé/valeur, "enabled" : true.

  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : LEGACY_METADATA_ENABLED

Description du résultat  Les anciennes métadonnées sont activées sur les clusters GKE.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité :

  • CIS GKE 1.0: 6.4.1

Vérifie la propriété config d'un pool de nœuds pour détecter la paire clé/valeur, "disable-legacy-endpoints" : "false".

  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : MASTER_AUTHORIZED_NETWORKS_DISABLED

Description du résultat : Les réseaux autorisés du plan de contrôle ne sont pas activés sur les clusters GKE.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.0: 7.4
  • CIS GKE 1.0: 6.6.3
  • PCI-DSS v3.2.1: 1.2.1, 1.3.2

Vérifie la propriété masterAuthorizedNetworksConfig d'un pool de nœuds pour détecter la paire clé/valeur, "enabled" : false.

  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : NETWORK_POLICY_DISABLED

Description du résultat : La règle de réseau est désactivée sur les clusters GKE.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.0: 7.11
  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.3
  • ISO-27001 v2013: A.13.1.1

Vérifie le champ networkPolicy de la propriété addonsConfig pour détecter la paire clé/valeur "disabled" : true.

  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : NODEPOOL_BOOT_CMEK_DISABLED

Description du résultat : Les disques de démarrage de ce pool de nœuds ne sont pas chiffrés avec les clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité :

Cette catégorie de résultats n'est associée à aucun contrôle de norme de conformité.

Vérifie la propriété bootDiskKmsKey des pools de nœuds pour identifier le nom de ressource de votre CMEK.

  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : NODEPOOL_SECURE_BOOT_DISABLED

Description du résultat : le démarrage sécurisé est désactivé pour un cluster GKE.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité :

  • CIS GKE 1.0: 6.5.7

Vérifie la propriété shieldedInstanceConfig de l'objet nodeConfig pour la paire clé-valeur "enableSecureBoot": true.

  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : OVER_PRIVILEGED_ACCOUNT

Description du résultat : Un compte de service bénéficie d'un accès aux projets trop étendu dans un cluster.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.0: 7.17
  • NIST 800-53 R4: AC-6, SC-7
  • CIS GKE 1.0: 6.2.1
  • PCI-DSS v3.2.1: 2.1, 7.1.2
  • ISO-27001 v2013: A.9.2.3

Évalue la propriété config d'un pool de nœuds pour vérifier si aucun compte de service n'est spécifié ou si le compte de service par défaut est utilisé.

  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : OVER_PRIVILEGED_SCOPES

Description du résultat : un compte de service de nœud possède des champs d'application d'accès étendus.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.0: 7.18
  • CIS GKE 1.0: 6.2.1
 Vérifie si le niveau d'accès répertorié dans la propriété config.oauthScopes d'un pool de nœuds est un niveau d'accès limité au compte de service : https://www.googleapis.com/auth/devstorage.read_only, https://www.googleapis.com/auth/logging.write, ou https://www.googleapis.com/auth/monitoring.
  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : POD_SECURITY_POLICY_DISABLED

Description du résultat : PodSecurityPolicy est désactivé sur un cluster GKE.

Pour les activations du niveau Premium de Security Command Center au niveau du projet, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.0: 7.14
  • CIS GKE 1.0: 6.10.3

Vérifie la propriété podSecurityPolicyConfig d'un cluster pour détecter la paire clé-valeur "enabled" : false.

  • Autorisations IAM supplémentaires : roles/container.clusterViewer
  • Entrées supplémentaires : lit les informations de cluster à partir de GKE car les règles de sécurité des pods sont une fonctionnalité bêta. PodSecurityPolicy de Kubernetes est officiellement obsolète dans la version 1.21. PodSecurityPolicy sera arrêté dans la version 1.25. Pour en savoir plus sur les alternatives, consultez la page Obsolescence de PodSecurityPolicy.
  • Analyses en temps réel : Non

Nom de la catégorie dans l'API : PRIVATE_CLUSTER_DISABLED

Description du résultat : Un cluster GKE possède un cluster privé désactivé.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.0: 7.15
  • CIS GKE 1.0: 6.6.5
  • PCI-DSS v3.2.1: 1.3.2

Vérifie si le champ enablePrivateNodes de la propriété privateClusterConfig est défini sur false.

  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : RELEASE_CHANNEL_DISABLED

Description du résultat : un cluster GKE n'est pas abonné à un canal de publication.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité :

  • CIS GKE 1.0: 6.5.4

Vérifie la propriété releaseChannel pour la paire clé-valeur "channel": UNSPECIFIED.

  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : WEB_UI_ENABLED

Description du résultat : L'UI Web (tableau de bord) de GKE est activée.

Niveau de tarification : Premium ou Standard

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.0: 7.6
  • CIS GKE 1.0: 6.10.1
  • PCI-DSS v3.2.1: 6.6

Vérifie le champ kubernetesDashboard de la propriété addonsConfig pour détecter la paire clé/valeur "disabled": false.

  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : WORKLOAD_IDENTITY_DISABLED

Description du résultat : Workload Identity est désactivé sur un cluster GKE.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité :

  • CIS GKE 1.0: 6.2.2

Vérifie si la propriété workloadIdentityConfig d'un cluster est définie. Le détecteur vérifie également si la propriété workloadMetadataConfig d'un pool de nœuds est définie sur GKE_METADATA.

  • Autorisations IAM supplémentaires : roles/container.clusterViewer
  • Analyses en temps réel : Oui

Résultats de failles Dataproc

Les failles de ce type de détecteur sont toutes liées à Dataproc et appartiennent au type de détecteur DATAPROC_SCANNER.

Détecteur Résumé Paramètres d'analyse des éléments

Nom de la catégorie dans l'API : DATAPROC_CMEK_DISABLED

Description du résultat : un cluster Dataproc a été créé sans configuration de chiffrement CMEK. Avec CMEK, les clés que vous créez et gérez dans Cloud Key Management Service encapsulent les clés utilisées par Google Cloud pour chiffrer vos données, ce qui vous permet de mieux contrôler l'accès à vos données. Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs.

Niveau de tarification : Premium

Éléments compatibles
dataproc.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.3: 1.17
  • CIS GCP Foundation 2.0: 1.17
  • CIS GCP Foundation 3.0: 8.1
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Vérifie si le champ kmsKeyName de la propriété encryptionConfiguration est vide.

  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : DATAPROC_IMAGE_OUTDATED

Description du résultat : Un cluster Dataproc a été créé avec une version d'image Dataproc affectée par les failles de sécurité dans l'utilitaire Apache Log4j 2 (CVE-2021-44228). et CVE-2021-45046.

Niveau de tarification : Premium ou Standard

Éléments compatibles
dataproc.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité :

Cette catégorie de résultats n'est associée à aucun contrôle de norme de conformité.

Vérifie si le champ softwareConfig.imageVersion de la propriété config d'un objet Cluster est antérieur à la version 1.3.95. ou est une version de correction des images antérieure à 1.4.77, 1.5.53 ou 2.0.27.

  • Analyses en temps réel : Oui

Résultats de failles d'ensemble de données

Les failles de ce type de détecteur sont toutes liées aux configurations de l'ensemble de données BigQuery et appartiennent au type de détecteur DATASET_SCANNER.

Détecteur Résumé Paramètres d'analyse des éléments

Nom de la catégorie dans l'API : BIGQUERY_TABLE_CMEK_DISABLED

Description du résultat : une table BigQuery n'est pas configurée pour utiliser une clé de chiffrement gérée par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs.

Niveau de tarification : Premium

Éléments compatibles
bigquery.googleapis.com/Table

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.2: 7.2
  • CIS GCP Foundation 1.3: 7.2
  • CIS GCP Foundation 2.0: 7.2
  • CIS GCP Foundation 3.0: 7.2
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Vérifie si le champ kmsKeyName de la propriété encryptionConfiguration est vide.

  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : DATASET_CMEK_DISABLED

Description du résultat : un ensemble de données BigQuery n'est pas configuré pour utiliser une clé CMEK par défaut. Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs.

Niveau de tarification : Premium

Éléments compatibles
bigquery.googleapis.com/Dataset

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.2: 7.3
  • CIS GCP Foundation 1.3: 7.3
  • CIS GCP Foundation 2.0: 7.3
  • CIS GCP Foundation 3.0: 7.3
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Vérifie si le champ kmsKeyName de la propriété defaultEncryptionConfiguration est vide.

  • Analyses en temps réel : Non

Nom de la catégorie dans l'API : PUBLIC_DATASET

Description du résultat : Un ensemble de données est configuré pour être accessible au public.

Niveau de tarification : Premium ou Standard

Éléments compatibles
bigquery.googleapis.com/Dataset

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.1: 7.1
  • CIS GCP Foundation 1.2: 7.1
  • CIS GCP Foundation 1.3: 7.1
  • CIS GCP Foundation 2.0: 7.1
  • CIS GCP Foundation 3.0: 7.1
  • NIST 800-53 R4: AC-2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 7.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.14.1.3, A.8.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Vérifie la stratégie d'autorisation IAM des métadonnées de ressource pour les comptes principaux allUsers ou allAuthenticatedUsers, qui accordent un accès public.

  • Analyses en temps réel : Oui

Résultats de failles DNS

Les failles de ce type de détecteur sont toutes liées aux configurations Cloud DNS et appartiennent au type de détecteur DNS_SCANNER.

Détecteur Résumé Paramètres d'analyse des éléments

Nom de la catégorie dans l'API : DNSSEC_DISABLED

Description du résultat : DNSSEC est désactivé pour les zones Cloud DNS.

Niveau de tarification : Premium

Éléments compatibles
dns.googleapis.com/ManagedZone

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.0: 3.3
  • CIS GCP Foundation 1.1: 3.3
  • CIS GCP Foundation 1.2: 3.3
  • CIS GCP Foundation 1.3: 3.3
  • CIS GCP Foundation 2.0: 3.3
  • CIS GCP Foundation 3.0: 3.3
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2013: A.8.2.3
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

Vérifie si le champ state de la propriété dnssecConfig est défini sur off.

  • Éléments exclus des analyses : zones Cloud DNS qui ne sont pas publiques
  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : RSASHA1_FOR_SIGNING

Description du résultat : RSASHA1 est utilisé pour la signature de clé dans les zones Cloud DNS.

Niveau de tarification : Premium

Éléments compatibles
dns.googleapis.com/ManagedZone

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.0: 3.4, 3.5
  • CIS GCP Foundation 1.1: 3.4, 3.5
  • CIS GCP Foundation 1.2: 3.4, 3.5
  • CIS GCP Foundation 1.3: 3.4, 3.5
  • CIS GCP Foundation 2.0: 3.4, 3.5
  • CIS GCP Foundation 3.0: 3.4, 3.5
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

Vérifie si l'objet defaultKeySpecs.algorithm de la propriété dnssecConfig est défini sur rsasha1.

  • Analyses en temps réel : Oui

Résultats de failles de pare-feu

Les failles de ce type de détecteur sont toutes liées aux configurations de pare-feu et appartiennent au type de détecteur FIREWALL_SCANNER.

Détecteur Résumé Paramètres d'analyse des éléments

Nom de la catégorie dans l'API : EGRESS_DENY_RULE_NOT_SET

Description du résultat : Une règle de refus du trafic sortant n'est pas définie sur un pare-feu. Vous devez définir des règles de refus du trafic sortant pour bloquer le trafic sortant indésirable.

Pour les activations du niveau Premium de Security Command Center au niveau du projet, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat 

Normes de conformité :

  • PCI-DSS v3.2.1: 7.2

Vérifie si la propriété destinationRanges du pare-feu est définie sur 0.0.0.0/0 et si la propriété denied contient la paire clé/valeur "IPProtocol" : "all".

  • Entrées supplémentaires : lit les pare-feu de sortie pour un projet à partir de l'espace de stockage.
  • Analyses en temps réel : oui, mais uniquement lors des modifications de projet et pas lors des modifications de règles de pare-feu.

Nom de la catégorie dans l'API : FIREWALL_RULE_LOGGING_DISABLED

Description du résultat : la journalisation des règles de pare-feu est désactivée. Activez la journalisation des règles de pare-feu pour pouvoir auditer les accès au réseau.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat 

Normes de conformité :

  • NIST 800-53 R4: SI-4
  • PCI-DSS v3.2.1: 10.1, 10.2
  • ISO-27001 v2013: A.13.1.1

Vérifie la propriété logConfig dans les métadonnées de pare-feu pour voir si elle est vide ou si elle contient la paire clé/valeur "enable" : false.

Nom de la catégorie dans l'API : OPEN_CASSANDRA_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port CASSANDRA ouvert qui autorise un accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat 

Normes de conformité :

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Il vérifie la propriété allowed dans les métadonnées du pare-feu pour détecter les protocoles et les ports suivants : TCP:7000-7001, 7199, 8888, 9042, 9160, 61620-61621.

  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : OPEN_CISCOSECURE_WEBSM_PORT

Description du résultat : un pare-feu est configuré de manière à disposer d'un port CISCOSECURE_WEBSM ouvert qui autorise l'accès générique.

Niveau de tarification : Premium ou Standard

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat 

Normes de conformité :

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Il vérifie la propriété allowed dans les métadonnées du pare-feu pour détecter le protocole et le port suivants : TCP:9090.

  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : OPEN_DIRECTORY_SERVICES_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port ouvert DIRECTORY_SERVICES permettant un accès générique.

Niveau de tarification : Premium ou Standard

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat 

Normes de conformité :

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Vérifie la propriété allowed dans les métadonnées de pare-feu pour détecter les protocoles et ports suivants : TCP:445 et UDP:445.

  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : OPEN_DNS_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port DNS ouvert autorisant les accès génériques.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat 

Normes de conformité :

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Vérifie la propriété allowed dans les métadonnées de pare-feu pour détecter les protocoles et ports suivants : TCP:53 et UDP:53.

  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : OPEN_ELASTICSEARCH_PORT

Description du résultat : un pare-feu est configuré de manière à disposer d'un port ELASTICSEARCH ouvert qui autorise l'accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat 

Normes de conformité :

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Il vérifie la propriété allowed dans les métadonnées du pare-feu pour détecter les protocoles et les ports suivants : TCP:9200, 9300.

  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : OPEN_FIREWALL

Description du résultat : un pare-feu est configuré pour être accessible au public.

Niveau de tarification : Premium ou Standard

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat 

Normes de conformité :

  • PCI-DSS v3.2.1: 1.2.1

Vérifie les propriétés sourceRanges et allowed de l'une des deux configurations :

  • La propriété sourceRanges contient 0.0.0.0/0 et la propriété allowed contient une combinaison de règles incluant tous les éléments protocol ou protocol:port, à l'exception des suivants :
    • icmp
    • tcp:22
    • tcp:443
    • tcp:3389
    • udp:3389
    • sctp:22
  • La propriété sourceRanges contient une combinaison de plages d'adresses IP qui inclut toutes les adresses IP non privées, et la propriété allowed contient une combinaison de règles qui autorisent tous les ports TCP ou UDP.

Nom de la catégorie dans l'API : OPEN_FTP_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port FTP ouvert autorisant l'accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat 

Normes de conformité :

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Il vérifie la propriété allowed dans les métadonnées du pare-feu pour détecter le protocole et le port suivants : TCP:21.

  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : OPEN_HTTP_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port HTTP ouvert qui autorise l'accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat 

Normes de conformité :

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Il vérifie la propriété allowed dans les métadonnées du pare-feu pour détecter les protocoles et les ports suivants : TCP:80.

  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : OPEN_LDAP_PORT

Description du résultat : un pare-feu est configuré de manière à disposer d'un port LDAP ouvert qui autorise l'accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat 

Normes de conformité :

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Vérifie la propriété allowed dans les métadonnées de pare-feu pour détecter les protocoles et ports suivants : TCP:389, 636 et UDP:389.

  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : OPEN_MEMCACHED_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port MEMCACHED ouvert qui autorise un accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat 

Normes de conformité :

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Vérifie la propriété allowed dans les métadonnées de pare-feu pour détecter les protocoles et ports suivants : TCP:11211, 11214-11215 et UDP:11211, 11214-11215.

  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : OPEN_MONGODB_PORT

Description du résultat : un pare-feu est configuré de manière à disposer d'un port MONGODB ouvert qui autorise l'accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat 

Normes de conformité :

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Il vérifie la propriété allowed dans les métadonnées du pare-feu pour détecter les protocoles et les ports suivants : TCP:27017-27019.

  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : OPEN_MYSQL_PORT

Description du résultat : un pare-feu est configuré de manière à disposer d'un port MYSQL ouvert qui autorise l'accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat 

Normes de conformité :

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Il vérifie la propriété allowed dans les métadonnées du pare-feu pour détecter le protocole et le port suivants : TCP:3306.

  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : OPEN_NETBIOS_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port NETBIOS ouvert autorisant un accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat 

Normes de conformité :

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Vérifie la propriété allowed dans les métadonnées de pare-feu pour détecter les protocoles et ports suivants : TCP:137-139 et UDP:137-139.

  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : OPEN_ORACLEDB_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port ORACLEDB ouvert qui autorise un accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat 

Normes de conformité :

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Vérifie la propriété allowed dans les métadonnées de pare-feu pour détecter les protocoles et ports suivants : TCP:1521, 2483-2484 et UDP:2483-2484.

  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : OPEN_POP3_PORT

Description du résultat : un pare-feu est configuré de manière à disposer d'un port POP3 ouvert qui autorise l'accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat 

Normes de conformité :

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Il vérifie la propriété allowed dans les métadonnées du pare-feu pour détecter le protocole et le port suivants : TCP:110.

  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : OPEN_POSTGRESQL_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port PostgreSQL ouvert qui autorise l'accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat 

Normes de conformité :

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Vérifie la propriété allowed dans les métadonnées de pare-feu pour détecter les protocoles et ports suivants : TCP:5432 et UDP:5432.

  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : OPEN_RDP_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port RDP ouvert autorisant l'accès générique.

Niveau de tarification : Premium ou Standard

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.0: 3.7
  • CIS GCP Foundation 1.1: 3.7
  • CIS GCP Foundation 1.2: 3.7
  • CIS GCP Foundation 1.3: 3.7
  • CIS GCP Foundation 2.0: 3.7
  • CIS GCP Foundation 3.0: 3.7
  • NIST 800-53 R4: SC-7
  • NIST 800-53 R5: CA-9, SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.2.1, 1.4.1
  • ISO-27001 v2013: A.13.1.1
  • SOC2 v2017: CC6.6.1, CC6.6.4
  • CIS Controls 8.0: 4.4, 4.5

Vérifie la propriété allowed dans les métadonnées de pare-feu pour détecter les protocoles et ports suivants : TCP:3389 et UDP:3389.

  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : OPEN_REDIS_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port REDIS ouvert autorisant l'accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat 

Normes de conformité :

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Vérifie si la propriété allowed dans les métadonnées de pare-feu contient le protocole et le port suivants : TCP:6379.

  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : OPEN_SMTP_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port SMTP ouvert autorisant l'accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat 

Normes de conformité :

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Vérifie si la propriété allowed dans les métadonnées de pare-feu contient le protocole et le port suivants : TCP:25.

  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : OPEN_SSH_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port SSH ouvert permettant un accès générique.

Niveau de tarification : Premium ou Standard

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.0: 3.6
  • CIS GCP Foundation 1.1: 3.6
  • CIS GCP Foundation 1.2: 3.6
  • CIS GCP Foundation 1.3: 3.6
  • CIS GCP Foundation 2.0: 3.6
  • CIS GCP Foundation 3.0: 3.6
  • NIST 800-53 R4: SC-7
  • NIST 800-53 R5: CA-9, SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.2.1, 1.4.1
  • ISO-27001 v2013: A.13.1.1
  • SOC2 v2017: CC6.6.1, CC6.6.4
  • CIS Controls 8.0: 4.4, 4.5

Vérifie si la propriété allowed dans les métadonnées de pare-feu contient les protocoles et ports suivants : TCP:22 et SCTP:22.

  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : OPEN_TELNET_PORT

Description du résultat : un pare-feu est configuré de manière à disposer d'un port TELNET ouvert qui autorise l'accès générique.

Niveau de tarification : Premium ou Standard

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat 

Normes de conformité :

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Vérifie si la propriété allowed dans les métadonnées de pare-feu contient le protocole et le port suivants : TCP:23.

  • Analyses en temps réel : Oui

Résultats de failles IAM

Les failles de ce type de détecteur sont toutes liées à la configuration de la gestion de l'authentification et des accès (IAM) et appartiennent au type de détecteur IAM_SCANNER.

Détecteur Résumé Paramètres d'analyse des éléments

Nom de la catégorie dans l'API : ACCESS_TRANSPARENCY_DISABLED

Description du résultat : Google Cloud Access Transparency est désactivé pour votre organisation. Les journaux Access Transparency enregistrent les accès des employés Google Cloud aux projets de votre organisation pour vous fournir une assistance. Activez Access Transparency pour enregistrer qui, dans Google Cloud , accède à vos informations, quand et pourquoi.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Organization

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.3: 2.14
  • CIS GCP Foundation 2.0: 2.14
  • CIS GCP Foundation 3.0: 2.14

Vérifie si Access Transparency est activé pour votre organisation.

  • Analyses en temps réel : Non

Nom de la catégorie dans l'API : ADMIN_SERVICE_ACCOUNT

Description du résultat : un compte de service dispose des droits d'administrateur, de propriétaire ou d'éditeur. Ces rôles ne doivent pas être attribués à des comptes de service créés par l'utilisateur.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.0: 1.4
  • CIS GCP Foundation 1.1: 1.5
  • CIS GCP Foundation 1.2: 1.5
  • CIS GCP Foundation 1.3: 1.5
  • CIS GCP Foundation 2.0: 1.5
  • CIS GCP Foundation 3.0: 1.5
  • NIST 800-53 R5: AC-6
  • ISO-27001 v2022: A.5.15, A.8.2
  • Cloud Controls Matrix 4: IAM-09
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC6.1.3, CC6.1.4, CC6.1.7, CC6.1.8, CC6.3.1, CC6.3.2, CC6.3.3
  • CIS Controls 8.0: 5.4

Vérifie la stratégie d'autorisation IAM dans les métadonnées de ressource de tous les comptes de service créés par l'utilisateur (indiqués par le préfixe iam.gserviceaccount.com) qui se voient attribuer roles/Owner ou roles/Editor, ou un ID de rôle contenant admin.

  • Éléments exclus des analyses : compte de service Container Registry (containerregistry.iam.gserviceaccount.com) et compte de service Security Command Center (security-center-api.iam.gserviceaccount.com)
  • Analyses en temps réel : oui, sauf si la mise à jour IAM est effectuée sur un dossier.

Nom de la catégorie dans l'API : ESSENTIAL_CONTACTS_NOT_CONFIGURED

Description de la découverte : Votre organisation n'a pas désigné de personne ni de groupe pour recevoir les notifications de Google Cloud concernant les événements importants tels que les attaques, les failles et les incidents de données au sein de votre organisation Google Cloud . Nous vous recommandons de désigner un ou plusieurs contacts ou groupes essentiels dans votre organisation.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Organization

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.3: 1.16
  • CIS GCP Foundation 2.0: 1.16
  • CIS GCP Foundation 3.0: 1.16
  • NIST 800-53 R5: IR-6
  • ISO-27001 v2022: A.5.20, A.5.24, A.5.5, A.5.6
  • Cloud Controls Matrix 4: SEF-08
  • NIST Cybersecurity Framework 1.0: RS-CO-1
  • SOC2 v2017: CC2.3.1
  • CIS Controls 8.0: 17.2

Vérifie qu'un contact est spécifié pour les catégories de contacts essentiels suivantes :

  • Juridique
  • Sécurité
  • Suspension
  • Technique

  • Analyses en temps réel : Non

Nom de la catégorie dans l'API : KMS_ROLE_SEPARATION

Description du résultat : la séparation des tâches n'est pas appliquée et il existe un utilisateur disposant simultanément de l'un des rôles Cloud Key Management Service (Cloud KMS) : Chiffreur/Déchiffreur de clés cryptographiques, Chiffreur ou Déchiffreur.

Ce résultat n'est pas disponible pour les activations au niveau du projet.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.0: 1.9
  • CIS GCP Foundation 1.1: 1.11
  • CIS GCP Foundation 2.0: 1.11
  • NIST 800-53 R4: AC-5
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.10.1.2, A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3
 Vérifie les stratégies d'autorisation IAM dans les métadonnées de ressource et récupère en même temps les comptes principaux auxquels l'un des rôles suivants est attribué : roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter, roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer, roles/cloudkms.signerVerifier, roles/cloudkms.publicKeyViewer.
  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : NON_ORG_IAM_MEMBER

Description du résultat : un utilisateur n'utilise pas d'identifiants d'organisation. Conformément aux règles CIS GCP Foundations 1.0, seules les identités disposant d'adresses e-mail @gmail.com déclenchent actuellement ce détecteur.

Niveau de tarification : Premium ou Standard

Éléments compatibles
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.0: 1.1
  • CIS GCP Foundation 1.1: 1.1
  • CIS GCP Foundation 1.2: 1.1
  • CIS GCP Foundation 1.3: 1.1
  • CIS GCP Foundation 2.0: 1.1
  • CIS GCP Foundation 3.0: 1.1
  • NIST 800-53 R4: AC-3
  • PCI-DSS v3.2.1: 7.1.2
  • ISO-27001 v2013: A.9.2.3

Compare les adresses e-mail @gmail.com dans le champ user des métadonnées d'une stratégie d'autorisation IAM à une liste d'identités approuvées pour votre organisation.

  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : OPEN_GROUP_IAM_MEMBER

Description du résultat : Un compte Google Groupes pouvant être associé sans approbation est utilisé comme compte principal de stratégie d'autorisation IAM.

Niveau de tarification : Premium ou Standard

Éléments compatibles
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat 

Normes de conformité :

Cette catégorie de résultats n'est associée à aucun contrôle de norme de conformité.

 Vérifie la stratégie IAM dans les métadonnées de ressource pour toutes les liaisons contenant un membre (entité principale) préfixé par group. Si le groupe est un groupe ouvert, Security Health Analytics génère ce résultat.
  • Entrées supplémentaires : lit les métadonnées Google Groupes pour vérifier si le groupe identifié est un groupe ouvert.
  • Analyses en temps réel : Non

Nom de la catégorie dans l'API : OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Description du résultat : un utilisateur possède le rôle Utilisateur du compte de service ou Créateur de jetons du compte de service au niveau du projet, plutôt que pour un compte de service spécifique.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.0: 1.5
  • CIS GCP Foundation 1.1: 1.6
  • CIS GCP Foundation 1.2: 1.6
  • CIS GCP Foundation 1.3: 1.6
  • CIS GCP Foundation 2.0: 1.6
  • CIS GCP Foundation 3.0: 1.6
  • NIST 800-53 R4: AC-6
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 7.1.2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3
 Vérifie la stratégie d'autorisation IAM dans les métadonnées de ressource pour tous les comptes principaux auxquels roles/iam.serviceAccountUser ou roles/iam.serviceAccountTokenCreator est attribué au niveau du projet.
  • Éléments exclus des analyses : comptes de service Cloud Build
  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : PRIMITIVE_ROLES_USED

Description du résultat : un utilisateur possède l'un des rôles de base suivants :

  • Propriétaire (roles/owner)
  • Éditeur (roles/editor)
  • Lecteur (roles/viewer)

Ces rôles sont trop permissifs et ne doivent pas être utilisés.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat 

Normes de conformité :

  • NIST 800-53 R4: AC-6
  • PCI-DSS v3.2.1: 7.1.2
  • ISO-27001 v2013: A.9.2.3

Vérifie la stratégie d'autorisation IAM dans les métadonnées de ressource pour tous les comptes principaux auxquels un rôle roles/owner, roles/editor ou roles/viewer est attribué.

  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : REDIS_ROLE_USED_ON_ORG

Description du résultat : un rôle IAM Redis est attribué au niveau de l'organisation ou du dossier.

Ce résultat n'est pas disponible pour les activations au niveau du projet.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Organization

Corriger ce résultat 

Normes de conformité :

  • PCI-DSS v3.2.1: 7.1.2
  • ISO-27001 v2013: A.9.2.3

Vérifie la stratégie d'autorisation IAM dans les métadonnées de ressource pour les comptes principaux auxquels roles/redis.admin, roles/redis.editor, roles/redis.viewer est affecté au niveau de l'organisation ou du dossier.

  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : SERVICE_ACCOUNT_ROLE_SEPARATION

Description du résultat : les rôles Administrateur de compte de service et Utilisateur du compte de service ont été attribués à un utilisateur. Cela enfreint le principe de "séparation des tâches".

Ce résultat n'est pas disponible pour les activations au niveau du projet.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.0: 1.7
  • CIS GCP Foundation 1.1: 1.8
  • CIS GCP Foundation 1.2: 1.8
  • CIS GCP Foundation 1.3: 1.8
  • CIS GCP Foundation 2.0: 1.8
  • CIS GCP Foundation 3.0: 1.8
  • NIST 800-53 R4: AC-5
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3
 Il vérifie la stratégie d'autorisation IAM dans les métadonnées de ressource pour tous les comptes principaux auxquels roles/iam.serviceAccountUser et roles/iam.serviceAccountAdmin sont affectés simultanément.
  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : SERVICE_ACCOUNT_KEY_NOT_ROTATED

Description du résultat : une clé de compte de service n'a pas été alternée depuis plus de 90 jours.

Niveau de tarification : Premium

Éléments compatibles
iam.googleapis.com/ServiceAccountKey

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.0: 1.6
  • CIS GCP Foundation 1.1: 1.7
  • CIS GCP Foundation 1.2: 1.7
  • CIS GCP Foundation 1.3: 1.7
  • CIS GCP Foundation 2.0: 1.7
  • CIS GCP Foundation 3.0: 1.7

Évalue l'horodatage de la création de clé capturé dans la propriété validAfterTime des métadonnées de clé des comptes de service.

  • Éléments exclus des analyses : clés de compte de service expirées et clés non gérées par les utilisateurs
  • Analyses en temps réel : Oui

Nom de la catégorie dans l'API : USER_MANAGED_SERVICE_ACCOUNT_KEY

Description du résultat : un utilisateur gère une clé de compte de service.

Niveau de tarification : Premium

Éléments compatibles
iam.googleapis.com/ServiceAccountKey

Corriger ce résultat 

Normes de conformité :

  • CIS GCP Foundation 1.0: 1.3
  • CIS GCP Foundation 1.1: 1.4
  • CIS GCP Foundation 1.2: 1.4
  • CIS GCP Foundation 1.3: 1.4
  • CIS GCP Foundation 2.0: 1.4
  • CIS GCP Foundation 3.0: 1.4

Vérifie si la propriété keyType dans les métadonnées de clé de compte de service est définie sur User_Managed.

  • Analyses en temps réel : Oui

Résultats de failles KMS

Les failles de ce type de détecteur sont toutes liées aux configurations Cloud KMS et appartiennent au type de détecteur KMS_SCANNER.

Détecteur Résumé Paramètres d'analyse des éléments

Nom de la catégorie dans l'API : KMS_KEY_NOT_ROTATED

Description du résultat : la rotation n'est pas configurée sur une clé de chiffrement Cloud KMS. Alternez les clés de chiffrement tous les 90 jours.

Niveau de tarification :