Ergebnisse zu Sicherheitslücken

Security Health Analytics- und Web Security Scanner-Detektoren generieren Sicherheitslücken, die in Security Command Center verfügbar sind. Wenn sie in Security Command Center aktiviert sind, generieren integrierte Dienste wie VM Manager auch Ergebnisse zu Sicherheitslücken.

Ob Sie Ergebnisse aufrufen und bearbeiten können, hängt von den IAM-Rollen (Identity and Access Management) und Berechtigungen ab, die Ihnen zugewiesen wurden. Weitere Informationen zu IAM-Rollen im Security Command Center finden Sie unter Zugriffssteuerung.

Detektoren und Compliance

Security Command Center überwacht Ihre Compliance mithilfe von Detektoren, die den Steuerelementen einer Vielzahl von Sicherheitsstandards zugeordnet sind.

Für jeden unterstützten Sicherheitsstandard wird in Security Command Center eine Teilmenge der Steuerelemente geprüft. Für die aktivierten Steuerelemente sehen Sie im Security Command Center, wie viele davon bestanden haben. Für die Kontrollen, die nicht bestanden haben, wird in Security Command Center eine Liste mit Ergebnissen angezeigt, die die Kontrollfehler beschreiben.

Das CIS prüft und zertifiziert die Zuordnungen der Security Command Center-Detektoren zu den einzelnen unterstützten Versionen des CIS Google Cloud Foundations Benchmarks. Zusätzliche Compliance-Zuordnungen sind nur zu Referenzzwecken enthalten.

In Security Command Center werden regelmäßig neue Benchmarkversionen und -standards unterstützt. Ältere Versionen werden weiterhin unterstützt, aber irgendwann eingestellt. Wir empfehlen, den neuesten unterstützten Benchmark oder Standard zu verwenden.

Mit dem Dienst zum Bestimmen des Sicherheitsstatus können Sie Organisationsrichtlinien und Security Health Analytics-Detektoren den Standards und Kontrollen zuordnen, die für Ihr Unternehmen gelten. Nachdem Sie eine Sicherheitskonfiguration erstellt haben, können Sie Änderungen an der Umgebung überwachen, die sich auf die Compliance Ihres Unternehmens auswirken könnten.

Weitere Informationen zum Verwalten der Compliance finden Sie unter Compliance mit Sicherheitsstandards prüfen und melden.

Unterstützte Sicherheitsstandards

Google Cloud

In Security Command Center werden Detektoren für Google Cloud einem oder mehreren der folgenden Compliance-Standards zugeordnet:

AWS

In Security Command Center werden Detektoren für Amazon Web Services (AWS) einem oder mehreren der folgenden Compliancestandards zugeordnet:

Eine Anleitung zum Aufrufen und Exportieren von Complianceberichten finden Sie im Abschnitt Compliance unter Security Command Center in der Google Cloud Console verwenden.

Deaktivierung nach der Behebung von Problemen

Nachdem Sie eine Sicherheitslücke oder Fehlkonfiguration behoben haben, setzt der Security Command Center-Dienst, der die Sicherheitslücke erkannt hat, den Status der Sicherheitslücke automatisch auf INACTIVE, wenn der Erkennungsservice das nächste Mal nach der Sicherheitslücke sucht. Wie lange es dauert, bis ein behobenes Ergebnis in Security Command Center auf INACTIVE gesetzt wird, hängt vom Zeitplan des Scans ab, bei dem das Ergebnis erkannt wurde.

Die Security Command Center-Dienste setzen den Status eines Ergebnisses zu einer Sicherheitslücke oder Fehlkonfiguration auch auf INACTIVE, wenn bei einem Scan festgestellt wird, dass die betroffene Ressource gelöscht wurde.

Weitere Informationen zu Scanintervallen finden Sie in den folgenden Themen:

Ergebnisse von Security Health Analytics

Detektoren von Security Health Analytics überwachen einen Teil der Ressourcen aus Cloud Asset Inventory (CAI), wobei sie Benachrichtigungen über Ressourcenänderungen und Richtlinienänderungen der Identitäts- und Zugriffsverwaltung (IAM) erhalten. Einige Detektoren rufen Daten ab, indem sie Google Cloud APIs direkt aufrufen, wie in Tabellen weiter unten auf dieser Seite angegeben.

Weitere Informationen zu Security Health Analytics, Scanzeitplänen und der Security Health Analytics-Unterstützung für integrierte und benutzerdefinierte Modul-Detektoren finden Sie unter Security Health Analytics – Übersicht.

In den folgenden Tabellen werden die Detektoren von Security Health Analytics, die unterstützten Assets und Compliance-Standards, die für Scans verwendeten Einstellungen und die generierten Ergebnistypen beschrieben. Sie können Ergebnisse nach verschiedenen Attributen filtern, indem Sie in der Google Cloud Console die Seite Sicherheitslücken von Security Command Center aufrufen.

Eine Anleitung zum Beheben von Problemen und zum Schutz Ihrer Ressourcen finden Sie unter Ergebnisse von Security Health Analytics beheben.

Ergebnisse zu Sicherheitslücken beim API-Schlüssel

Der Detektor API_KEY_SCANNER identifiziert Sicherheitslücken in Verbindung mit API-Schlüsseln, die in Ihrer Cloud-Bereitstellung verwendet werden.

Detektor Fazit Asset-Scaneinstellungen
API key APIs unrestricted

Kategoriename in der API: API_KEY_APIS_UNRESTRICTED

Ergebnisbeschreibung: API-Schlüssel werden zu häufig verwendet. Zur Behebung dieses Problems beschränken Sie die Nutzung der API-Schlüssel so, dass nur die von der Anwendung benötigten APIs zugelassen werden.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 1.12
  • CIS GCP Foundation 1.1: 1.14
  • CIS GCP Foundation 1.2: 1.14
  • CIS GCP Foundation 1.3: 1.14
  • CIS GCP Foundation 2.0: 1.14
  • NIST 800-53 R5: PL-8, SA-8
  • PCI-DSS v4.0: 2.2.2, 6.2.1
  • ISO-27001 v2022: A.8.27
  • Cloud Controls Matrix 4: DSP-07
  • NIST Cybersecurity Framework 1.0: PR-IP-2
  • CIS Controls 8.0: 16.10

Ruft das Attribut restrictions aller API-Schlüssel in einem Projekt ab und prüft, ob einer auf cloudapis.googleapis.com festgelegt ist.

  • Echtzeit-Scans: Nein
API key apps unrestricted

Kategoriename in der API: API_KEY_APPS_UNRESTRICTED

Ergebnisbeschreibung: API-Schlüssel werden uneingeschränkt verwendet und ermöglichen die Nutzung durch nicht vertrauenswürdige Anwendungen.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 1.11
  • CIS GCP Foundation 1.1: 1.13
  • CIS GCP Foundation 1.2: 1.13
  • CIS GCP Foundation 1.3: 1.13
  • CIS GCP Foundation 2.0: 1.13

Ruft des Attribut restrictions aller API-Schlüssel in einem Projekt ab und prüft, ob browserKeyRestrictions, serverKeyRestrictions, androidKeyRestrictions oder iosKeyRestrictions festgelegt ist.

  • Echtzeit-Scans: Nein
API key exists

Kategoriename in der API: API_KEY_EXISTS

Ergebnisbeschreibung: Ein Projekt nutzt API-Schlüssel anstelle der Standardauthentifizierung.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 1.10
  • CIS GCP Foundation 1.1: 1.12
  • CIS GCP Foundation 1.2: 1.12
  • CIS GCP Foundation 1.3: 1.12
  • CIS GCP Foundation 2.0: 1.12
  • NIST 800-53 R5: PL-8, SA-8
  • PCI-DSS v4.0: 2.2.2, 6.2.1
  • ISO-27001 v2022: A.8.27
  • Cloud Controls Matrix 4: DSP-07
  • NIST Cybersecurity Framework 1.0: PR-IP-2
  • CIS Controls 8.0: 16.10

Ruft alle API-Schlüssel ab, die zu einem Projekt gehören.

  • Echtzeit-Scans: Nein
API key not rotated

Kategoriename in der API: API_KEY_NOT_ROTATED

Ergebnisbeschreibung: Der API-Schlüssel wurde seit mehr als 90 Tagen nicht rotiert.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 1.13
  • CIS GCP Foundation 1.1: 1.15
  • CIS GCP Foundation 1.2: 1.15
  • CIS GCP Foundation 1.3: 1.15
  • CIS GCP Foundation 2.0: 1.15
  • NIST 800-53 R5: PL-8, SA-8
  • PCI-DSS v4.0: 2.2.2, 6.2.1
  • ISO-27001 v2022: A.8.27
  • Cloud Controls Matrix 4: DSP-07
  • NIST Cybersecurity Framework 1.0: PR-IP-2
  • CIS Controls 8.0: 16.10

Ruft den im Attribut createTime aller API-Schlüssel enthaltenen Zeitstempel ab und prüft, ob 90 Tage vergangen sind.

  • Echtzeit-Scans: Nein

Sicherheitslücken in Cloud Asset Inventory

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud Asset Inventory-Konfigurationen und gehören zum Typ CLOUD_ASSET_SCANNER.

Detektor Fazit Asset-Scaneinstellungen
Cloud Asset API disabled

Kategoriename in der API: CLOUD_ASSET_API_DISABLED

Ergebnisbeschreibung: Die Erfassung von Google Cloud-Ressourcen und IAM-Richtlinien durch Cloud Asset Inventory ermöglicht Sicherheitsanalysen, das Tracking von Ressourcenänderungen und die Complianceprüfung. Wir empfehlen, den Cloud Asset Inventory-Dienst für alle Projekte zu aktivieren. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren.

Preisstufe: Premium

Unterstützte Assets
pubsub.googleapis.com/Project

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.3: 2.13
  • CIS GCP Foundation 2.0: 2.13
  • NIST 800-53 R5: CM-8, PM-5
  • PCI-DSS v4.0: 11.2.1, 11.2.2, 12.5.1, 9.5.1, 9.5.1.1
  • ISO-27001 v2022: A.5.9, A.8.8
  • Cloud Controls Matrix 4: UEM-04
  • NIST Cybersecurity Framework 1.0: ID-AM-1, PR-DS-3
  • SOC2 v2017: CC3.2.6, CC6.1.1
  • HIPAA: 164.310(d)(2)(iii)
  • CIS Controls 8.0: 1.1, 6.6

Prüft, ob der Cloud Asset Inventory-Dienst aktiviert ist.

  • Echtzeit-Scans: Ja

Ergebnisse zu Sicherheitslücken bei Compute-Images

Der Detektor COMPUTE_IMAGE_SCANNER identifiziert Sicherheitslücken im Zusammenhang mit Google Cloud-Imagekonfigurationen.

Detektor Fazit Asset-Scaneinstellungen
Public Compute image

Kategoriename in der API: PUBLIC_COMPUTE_IMAGE

Ergebnisbeschreibung: Ein Compute Engine-Image ist öffentlich zugänglich.

Preisstufe: Premium oder Standard

Unterstützte Assets
compute.googleapis.com/Image

Dieses Ergebnis korrigieren

Compliance-Standards:

Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet.

Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf die Hauptkonten allUsers oder allAuthenticatedUsers, die öffentlichen Zugang gewähren.

  • Echtzeit-Scans: Ja

Ergebnisse zu Sicherheitslücken bei Compute-Instanzen

Der COMPUTE_INSTANCE_SCANNER-Detektor identifiziert Sicherheitslücken in Verbindung mit Compute Engine-Instanzkonfigurationen.

COMPUTE_INSTANCE_SCANNER-Detektoren melden keine Ergebnisse zu Compute Engine-Instanzen, die von GKE erstellt wurden. Der Name solcher Instanzen beginnt mit "gke-" und kann von Nutzern nicht bearbeitet werden. Weitere Informationen zum Schutz dieser Instanzen finden Sie im Abschnitt mit den Ergebnissen zu Container-Sicherheitslücken.

Detektor Fazit Asset-Scaneinstellungen
Confidential Computing disabled

Kategoriename in der API: CONFIDENTIAL_COMPUTING_DISABLED

Ergebnisbeschreibung: Confidential Computing ist auf Compute Engine-Instanzen deaktiviert.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.2: 4.11
  • CIS GCP Foundation 1.3: 4.11
  • CIS GCP Foundation 2.0: 4.11
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Prüft das Attribut confidentialInstanceConfig von Instanzmetadaten für das Schlüssel/Wert-Paar "enableConfidentialCompute":true.

  • Von Scans ausgeschlossene Assets:
    • GKE-Instanzen
    • Serverloser VPC-Zugriff
    • Instanzen im Zusammenhang mit Dataflow-Jobs
    • Compute Engine-Instanzen, die nicht vom Typ N2D sind
  • Echtzeit-Scans: Ja
Compute project wide SSH keys allowed

Kategoriename in der API: COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

Ergebnisbeschreibung: Es werden projektweite SSH-Schlüssel verwendet, sodass eine Anmeldung bei allen Instanzen im Projekt möglich ist.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 4.2
  • CIS GCP Foundation 1.1: 4.3
  • CIS GCP Foundation 1.2: 4.3
  • CIS GCP Foundation 1.3: 4.3
  • CIS GCP Foundation 2.0: 4.3
  • NIST 800-53 R5: AC-17, IA-5, SC-8
  • PCI-DSS v4.0: 2.2.7, 4.1.1, 4.2.1, 4.2.1.2, 4.2.2, 8.3.2
  • ISO-27001 v2022: A.5.14
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-2
  • SOC2 v2017: CC6.1.11, CC6.1.3, CC6.1.8, CC6.7.2
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(1), 164.312(e)(2)(i), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.10, 5.2

Prüft das Objekt metadata.items[] in den Instanzmetadaten auf das Schlüssel/Wert-Paar "key": "block-project-ssh-keys", "value": TRUE.

  • Von Scans ausgeschlossene Assets: GKE-Instanzen, Dataflow-Job, Windows-Instanz
  • Zusätzliche IAM-Berechtigungen: roles/compute.Viewer
  • Zusätzliche Eingaben: Liest Metadaten aus Compute Engine
  • Echtzeit-Scans: Nein
Compute Secure Boot disabled

Kategoriename in der API: COMPUTE_SECURE_BOOT_DISABLED

Ergebnisbeschreibung: Für diese Shielded VM ist Secure Boot nicht aktiviert. Mit Secure Boot können Sie VM-Instanzen vor erweiterten Bedrohungen wie Rootkits und Bootkits schützen.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet.

Prüft das Attribut shieldedInstanceConfig auf Compute Engine-Instanzen, um festzustellen, ob enableSecureBoot auf true gesetzt ist. Dieser Detektor prüft, ob angehängte Laufwerke mit Secure Boot kompatibel sind und ob Secure Boot aktiviert ist.

  • Von Scans ausgeschlossene Assets: GKE-Instanzen, Compute Engine-Laufwerke mit GPU-Beschleunigern und ohne Container-Optimized OS, serverloser VPC-Zugriff
  • Echtzeit-Scans: Ja
Compute serial ports enabled

Kategoriename in der API: COMPUTE_SERIAL_PORTS_ENABLED

Ergebnisbeschreibung: Serielle Ports sind für eine Instanz aktiviert und ermöglichen Verbindungen zur seriellen Konsole der Instanz.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 4.4
  • CIS GCP Foundation 1.1: 4.5
  • CIS GCP Foundation 1.2: 4.5
  • CIS GCP Foundation 1.3: 4.5
  • CIS GCP Foundation 2.0: 4.5
  • NIST 800-53 R5: CM-6, CM-7
  • PCI-DSS v4.0: 1.2.5, 2.2.4, 6.4.1
  • ISO-27001 v2022: A.8.9
  • SOC2 v2017: CC6.6.1, CC6.6.3, CC6.6.4
  • CIS Controls 8.0: 4.8

Prüft das Objekt metadata.items[] in den Instanzmetadaten auf das Schlüssel/Wert-Paar "key": "serial-port-enable", "value": TRUE.

  • Von Scans ausgeschlossene Assets: GKE-Instanzen
  • Zusätzliche IAM-Berechtigungen: roles/compute.Viewer
  • Zusätzliche Eingaben: Liest Metadaten aus Compute Engine
  • Echtzeit-Scans: Ja
Default service account used

Kategoriename in der API: DEFAULT_SERVICE_ACCOUNT_USED

Ergebnisbeschreibung: Eine Instanz ist für die Verwendung des Standarddienstkontos konfiguriert.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.1: 4.1
  • CIS GCP Foundation 1.2: 4.1
  • CIS GCP Foundation 1.3: 4.1
  • CIS GCP Foundation 2.0: 4.1
  • NIST 800-53 R5: IA-5
  • PCI-DSS v4.0: 2.2.2, 2.3.1
  • ISO-27001 v2022: A.8.2, A.8.9
  • NIST Cybersecurity Framework 1.0: PR-AC-1
  • SOC2 v2017: CC6.3.1, CC6.3.2, CC6.3.3
  • CIS Controls 8.0: 4.7

Prüft das Attribut serviceAccounts in den Instanzmetadaten auf E-Mail-Adressen von Dienstkonten mit dem Präfix PROJECT_NUMBER-compute@developer.gserviceaccount.com, die auf das von Google erstellte Standarddienstkonto hinweisen.

  • Von Scans ausgeschlossene Assets: GKE-Instanzen, Dataflow-Jobs
  • Echtzeit-Scans: Ja
Disk CMEK disabled

Kategoriename in der API: DISK_CMEK_DISABLED

Ergebnisbeschreibung: Laufwerke auf dieser VM werden nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEKs) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Disk

Dieses Ergebnis korrigieren

Compliance-Standards:

Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet.

Prüft das Feld kmsKeyName im Objekt diskEncryptionKey in den Metadaten des Laufwerks für den Ressourcennamen Ihres CMEK.

  • Von Scans ausgeschlossene Assets: Laufwerke, die mit Cloud Composer-Umgebungen, Dataflow-Jobs und GKE-Instanzen verknüpft sind
  • Echtzeit-Scans: Ja
Disk CSEK disabled

Kategoriename in der API: DISK_CSEK_DISABLED

Ergebnisbeschreibung: Laufwerke auf dieser VM werden nicht mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln (Customer-Supplied Encryption Keys, CSEKs) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Sonderfalldetektor.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Disk

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 4.6
  • CIS GCP Foundation 1.1: 4.7
  • CIS GCP Foundation 1.2: 4.7
  • CIS GCP Foundation 1.3: 4.7
  • CIS GCP Foundation 2.0: 4.7
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Prüft das Feld kmsKeyName im Objekt diskEncryptionKey auf den Ressourcennamen Ihres CSEK.

  • Von Scans ausgeschlossene Assets:
    Compute Engine-Laufwerke, deren Sicherheitsmarkierung enforce_customer_supplied_disk_encryption_keys nicht auf true gesetzt ist.
  • Zusätzliche IAM-Berechtigungen: roles/compute.Viewer
  • Zusätzliche Eingaben: Liest Metadaten aus Compute Engine
  • Echtzeit-Scans: Ja
Full API access

Kategoriename in der API: FULL_API_ACCESS

Ergebnisbeschreibung: Eine Instanz ist so konfiguriert, dass sie das Standarddienstkonto mit uneingeschränktem Zugriff auf alle Google Cloud APIs verwendet.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 4.1
  • CIS GCP Foundation 1.1: 4.2
  • CIS GCP Foundation 1.2: 4.2
  • CIS GCP Foundation 1.3: 4.2
  • CIS GCP Foundation 2.0: 4.2
  • NIST 800-53 R4: AC-6
  • NIST 800-53 R5: IA-5
  • PCI-DSS v3.2.1: 7.1.2
  • PCI-DSS v4.0: 2.2.2, 2.3.1
  • ISO-27001 v2013: A.9.2.3
  • ISO-27001 v2022: A.8.2, A.8.9
  • NIST Cybersecurity Framework 1.0: PR-AC-1
  • SOC2 v2017: CC6.3.1, CC6.3.2, CC6.3.3
  • CIS Controls 8.0: 4.7

Ruft das Feld scopes im Attribut serviceAccounts ab, um zu prüfen, ob ein Standarddienstkonto verwendet wird und ob ihm der Bereich cloud-platform zugewiesen ist.

  • Von Scans ausgeschlossene Assets: GKE-Instanzen, Dataflow-Jobs
  • Echtzeit-Scans: Ja
HTTP load balancer

Kategoriename in der API: HTTP_LOAD_BALANCER

Ergebnisbeschreibung: Eine Instanz verwendet einen Load-Balancer, der für die Verwendung eines Ziel-HTTP-Proxys anstelle eines Ziel-HTTPS-Proxys konfiguriert ist.

Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/TargetHttpProxy

Dieses Ergebnis korrigieren

Compliance-Standards:

  • PCI-DSS v3.2.1: 2.3

Bestimmt, ob das Attribut selfLink der Ressource targetHttpProxy mit dem Attribut target in der Weiterleitungsregel übereinstimmt und ob die Weiterleitungsregel ein Feld loadBalancingScheme enthält, das auf External festgelegt ist.

  • Zusätzliche IAM-Berechtigungen: roles/compute.Viewer
  • Zusätzliche Eingaben: Liest Weiterleitungsregeln für einen HTTP-Ziel-Proxy aus Compute Engine und prüft auf externe Regeln
  • Echtzeit-Scans: Ja
Instance OS Login disabled

Kategoriename in der API: INSTANCE_OS_LOGIN_DISABLED

Ergebnisbeschreibung: OS Login ist für diese Instanz deaktiviert.

Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 4.3
  • CIS GCP Foundation 1.1: 4.4
  • CIS GCP Foundation 1.2: 4.4
  • CIS GCP Foundation 1.3: 4.4
  • CIS GCP Foundation 2.0: 4.4
  • NIST 800-53 R5: AC-2
  • ISO-27001 v2022: A.5.15
  • SOC2 v2017: CC6.1.4, CC6.1.6, CC6.1.8, CC6.1.9
  • CIS Controls 8.0: 5.6, 6.7

Prüft, ob das Attribut enable-oslogin des Custom metadata der Instanz auf TRUE gesetzt ist.

  • Von Scans ausgeschlossene Assets: GKE-Instanzen, Instanzen im Zusammenhang mit Dataflow-Jobs, serverloser VPC-Zugriff
  • Zusätzliche IAM-Berechtigungen: roles/compute.Viewer
  • Zusätzliche Eingaben: Liest Metadaten aus Compute Engine.
  • Echtzeit-Scans: Nein
IP forwarding enabled

Kategoriename in der API: IP_FORWARDING_ENABLED

Ergebnisbeschreibung: Die IP-Weiterleitung ist für Instanzen aktiviert.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 4.5
  • CIS GCP Foundation 1.1: 4.6
  • CIS GCP Foundation 1.2: 4.6
  • CIS GCP Foundation 1.3: 4.6
  • CIS GCP Foundation 2.0: 4.6
  • NIST 800-53 R5: CA-9, SC-7
  • PCI-DSS v4.0: 1.2.1, 1.4.1
  • SOC2 v2017: CC6.6.1, CC6.6.4
  • CIS Controls 8.0: 4.4, 4.5

Prüft, ob das Attribut canIpForward der Instanz auf true gesetzt ist.

  • Von Scans ausgeschlossene Assets: GKE-Instanzen, serverloser VPC-Zugriff
  • Echtzeit-Scans: Ja
OS login disabled

Kategoriename in der API: OS_LOGIN_DISABLED

Ergebnisbeschreibung: OS Login ist für diese Instanz deaktiviert.

Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Project

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 4.3
  • CIS GCP Foundation 1.1: 4.4
  • CIS GCP Foundation 1.2: 4.4
  • CIS GCP Foundation 1.3: 4.4
  • CIS GCP Foundation 2.0: 4.4
  • NIST 800-53 R5: AC-2
  • ISO-27001 v2022: A.5.15
  • SOC2 v2017: CC6.1.4, CC6.1.6, CC6.1.8, CC6.1.9
  • CIS Controls 8.0: 5.6, 6.7

Prüft das Objekt commonInstanceMetadata.items[] in den Projektmetadaten auf das Schlüssel/Wert-Paar "key": "enable-oslogin", "value": TRUE. Der Detektor prüft außerdem alle Instanzen in einem Compute Engine-Projekt, um festzustellen, ob OS Login für einzelne Instanzen deaktiviert ist.

  • Von Scans ausgeschlossene Assets: GKE-Instanzen, Instanzen im Zusammenhang mit Dataflow-Jobs
  • Zusätzliche IAM-Berechtigungen: roles/compute.Viewer
  • Zusätzliche Eingaben: Liest Metadaten aus Compute Engine. Außerdem prüft der Detektor die Compute Engine-Instanzen im Projekt.
  • Echtzeit-Scans: Nein
Public IP address

Kategoriename in der API: PUBLIC_IP_ADDRESS

Ergebnisbeschreibung: Eine Instanz hat eine öffentliche IP-Adresse.

Preisstufe: Premium oder Standard

Unterstützte Assets
compute.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.1: 4.9
  • CIS GCP Foundation 1.2: 4.9
  • CIS GCP Foundation 1.3: 4.9
  • CIS GCP Foundation 2.0: 4.9
  • NIST 800-53 R4: CA-3, SC-7
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Prüft, ob das Attribut networkInterfaces ein Feld accessConfigs enthält, das für die Verwendung einer öffentlichen IP-Adresse konfiguriert ist.

  • Von Scans ausgeschlossene Assets: GKE-Instanzen, Instanzen im Zusammenhang mit Dataflow-Jobs
  • Echtzeit-Scans: Ja
Shielded VM disabled

Kategoriename in der API: SHIELDED_VM_DISABLED

Ergebnisbeschreibung: Auf dieser Instanz ist Shielded VM deaktiviert.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.1: 4.8
  • CIS GCP Foundation 1.2: 4.8
  • CIS GCP Foundation 1.3: 4.8
  • CIS GCP Foundation 2.0: 4.8

Prüft das Attribut shieldedInstanceConfig in Compute Engine-Instanzen, um festzustellen, ob die Felder enableIntegrityMonitoring und enableVtpm auf true gesetzt sind. Die Felder geben an, ob Shielded VM aktiviert ist.

  • Von Scans ausgeschlossene Assets: GKE-Instanzen und serverloser VPC-Zugriff
  • Echtzeit-Scans: Ja
Weak SSL policy

Kategoriename in der API: WEAK_SSL_POLICY

Ergebnisbeschreibung: Eine Instanz hat eine schwache SSL-Richtlinie.

Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/TargetHttpsProxy
compute.googleapis.com/TargetSslProxy

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.1: 3.9
  • CIS GCP Foundation 1.2: 3.9
  • CIS GCP Foundation 1.3: 3.9
  • CIS GCP Foundation 2.0: 3.9
  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 4.1
  • ISO-27001 v2013: A.14.1.3

Prüft, ob sslPolicy in den Asset-Metadaten leer ist oder die Google Cloud-Standardrichtlinie verwendet wird, und für die angehängte sslPolicies-Ressource, ob profile auf Restricted oder Modern festgelegt ist, minTlsVersion auf TLS 1.2 festgelegt ist und customFeatures leer ist oder keine der folgenden Chiffren enthält: TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_3DES_EDE_CBC_SHA.

  • Zusätzliche IAM-Berechtigungen: roles/compute.Viewer
  • Zusätzliche Eingaben: Liest SSL-Richtlinien für den Speicher von Zielproxys und prüft auf schwache Richtlinien
  • Echtzeit-Scans: Ja, aber nur wenn der TargetHttpsProxy des TargetSslProxy aktualisiert wird, nicht wenn die SSL-Richtlinie aktualisiert wird

Ergebnisse zu Container-Sicherheitslücken

Diese Ergebnistypen beziehen sich alle auf GKE-Containerkonfigurationen und gehören zum Detektortyp CONTAINER_SCANNER.

Detektor Fazit Asset-Scaneinstellungen
Alpha cluster enabled

Kategoriename in der API: ALPHA_CLUSTER_ENABLED

Ergebnisbeschreibung: Alphacluster-Features sind für einen GKE-Cluster aktiviert.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GKE 1.0: 6.10.2

Prüft, ob das Attribut enableKubernetesAlpha eines Clusters auf true festgelegt ist.

  • Echtzeit-Scans: Ja
Auto repair disabled

Kategoriename in der API: AUTO_REPAIR_DISABLED

Ergebnisbeschreibung: Das automatische Reparaturfeature eines GKE-Clusters, das Knoten in einem fehlerfreien, laufenden Zustand hält, ist deaktiviert.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 7.7
  • CIS GKE 1.0: 6.5.2
  • PCI-DSS v3.2.1: 2.2

Prüft das Attribut management eines Knotenpools auf das Schlüssel/Wert-Paar "key":, "autoRepair", "value": true.

  • Echtzeit-Scans: Ja
Auto upgrade disabled

Kategoriename in der API: AUTO_UPGRADE_DISABLED

Ergebnisbeschreibung: Das Feature für automatische Upgrades eines GKE-Clusters, das Cluster und Knotenpools auf die neueste stabile Version von Kubernetes aktualisiert, ist deaktiviert.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 7.8
  • CIS GKE 1.0: 6.5.3
  • PCI-DSS v3.2.1: 2.2

Prüft das Attribut management eines Knotenpools auf das Schlüssel/Wert-Paar "key":, "autoUpgrade", "value": true.

  • Echtzeit-Scans: Ja
Binary authorization disabled

Kategoriename in der API: BINARY_AUTHORIZATION_DISABLED

Ergebnisbeschreibung: Die Binärautorisierung ist entweder im GKE-Cluster deaktiviert oder die Richtlinie für die Binärautorisierung ist so konfiguriert, dass alle Images bereitgestellt werden können.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Dieses Ergebnis korrigieren

Compliance-Standards:

Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet.

Dabei werden folgende Elemente überprüft:

  • Prüft, ob das Attribut binaryAuthorization eines der folgenden Schlüssel/Wert-Paare enthält:
    • "evaluationMode": "PROJECT_SINGLETON_POLICY_ENFORCE"
    • "evaluationMode": "POLICY_BINDINGS"
    • "evaluationMode": "POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE"
  • Prüft, ob die Richtlinieneigenschaft defaultAdmissionRule das Schlüssel/Wert-Paar evaluationMode: ALWAYS_ALLOW nicht enthält.

  • Echtzeit-Scans: Ja
Cluster logging disabled

Kategoriename in der API: CLUSTER_LOGGING_DISABLED

Ergebnisbeschreibung: Logging ist für einen GKE-Cluster nicht aktiviert.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 7.1
  • CIS GKE 1.0: 6.7.1
  • PCI-DSS v3.2.1: 10.2.2, 10.2.7

Prüft, ob das Attribut loggingService eines Clusters den Speicherort enthält, den Cloud Logging zum Schreiben von Logs verwenden soll.

  • Echtzeit-Scans: Ja
Cluster monitoring disabled

Kategoriename in der API: CLUSTER_MONITORING_DISABLED

Ergebnisbeschreibung: Monitoring ist in GKE-Clustern deaktiviert.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 7.2
  • CIS GKE 1.0: 6.7.1
  • PCI-DSS v3.2.1: 10.1, 10.2

Prüft, ob das Attribut monitoringService eines Clusters den Speicherort enthält, den Cloud Monitoring zum Schreiben von Messwerten verwenden soll.

  • Echtzeit-Scans: Ja
Cluster private Google access disabled

Kategoriename in der API: CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED

Ergebnisbeschreibung: Clusterhosts sind nicht so konfiguriert, dass nur private interne IP-Adressen für den Zugriff auf Google APIs verwendet werden.

Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 7.16
  • PCI-DSS v3.2.1: 1.3

Prüft, ob das Attribut privateIpGoogleAccess eines Subnetzwerks auf false gesetzt ist.

  • Zusätzliche Eingaben: Liest Subnetzwerke aus dem Speicher und sendet Ergebnisse nur für Cluster mit Subnetzwerken
  • Echtzeit-Scans: Ja, aber nur wenn der Cluster aktualisiert wird; nicht für Updates des Subnetzwerks.
Cluster secrets encryption disabled

Kategoriename in der API: CLUSTER_SECRETS_ENCRYPTION_DISABLED

Ergebnisbeschreibung: Die Verschlüsselung von Secrets auf Anwendungsebene ist in einem GKE-Cluster deaktiviert.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GKE 1.0: 6.3.1

Prüft das Attribut keyName des Objekts databaseEncryption auf das Schlüssel/Wert-Paar "state": ENCRYPTED.

  • Echtzeit-Scans: Ja
Cluster shielded nodes disabled

Kategoriename in der API: CLUSTER_SHIELDED_NODES_DISABLED

Ergebnisbeschreibung: Shielded GKE-Knoten sind für einen Cluster nicht aktiviert.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GKE 1.0: 6.5.5

Prüft das Attribut shieldedNodes auf das Schlüssel/Wert-Paar "enabled": true.

  • Echtzeit-Scans: Ja
COS not used

Kategoriename in der API: COS_NOT_USED

Ergebnisbeschreibung: Compute Engine-VMs nutzen nicht Container-Optimzed OS, das für das sichere Ausführen von Docker-Containern in Google Cloud entwickelt wurde.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 7.9
  • CIS GKE 1.0: 6.5.1
  • PCI-DSS v3.2.1: 2.2

Prüft das Attribut config eines Knotenpools auf das Schlüssel/Wert-Paar "imageType": "COS".

  • Echtzeit-Scans: Ja
Integrity monitoring disabled

Kategoriename in der API: INTEGRITY_MONITORING_DISABLED

Ergebnisbeschreibung: Integritätsmonitoring ist für einen GKE-Cluster deaktiviert.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GKE 1.0: 6.5.6

Prüft das Attribut shieldedInstanceConfig des Objekts nodeConfig auf das Schlüssel/Wert-Paar "enableIntegrityMonitoring": true.

  • Echtzeit-Scans: Ja
Intranode visibility disabled

Kategoriename in der API: INTRANODE_VISIBILITY_DISABLED

Ergebnisbeschreibung: Die knoteninterne Sichtbarkeit ist für einen GKE-Cluster deaktiviert.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GKE 1.0: 6.6.1

Prüft das Attribut networkConfig auf das Schlüssel/Wert-Paar "enableIntraNodeVisibility": true.

  • Echtzeit-Scans: Ja
IP alias disabled

Kategoriename in der API: IP_ALIAS_DISABLED

Ergebnisbeschreibung: Ein GKE-Cluster wurde mit deaktivierten Alias-IP-Bereichen erstellt.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 7.13
  • CIS GKE 1.0: 6.6.2
  • PCI-DSS v3.2.1: 1.3.4, 1.3.7

Prüft, ob das Feld useIPAliases von ipAllocationPolicy in einem Cluster auf false gesetzt ist.

  • Echtzeit-Scans: Ja
Legacy authorization enabled

Kategoriename in der API: LEGACY_AUTHORIZATION_ENABLED

Ergebnisbeschreibung: Die Legacy-Autorisierung ist in GKE-Clustern aktiviert.

Preisstufe: Premium oder Standard

Unterstützte Assets
container.googleapis.com/Cluster

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 7.3
  • CIS GKE 1.0: 6.8.3
  • PCI-DSS v3.2.1: 4.1

Prüft das Attribut legacyAbac eines Clusters auf das Schlüssel/Wert-Paar "enabled": true.

  • Echtzeit-Scans: Ja
Legacy metadata enabled

Kategoriename in der API: LEGACY_METADATA_ENABLED

Ergebnisbeschreibung: Legacy-Metadaten sind für GKE-Cluster aktiviert.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GKE 1.0: 6.4.1

Prüft das Attribut config eines Knotenpools auf das Schlüssel/Wert-Paar "disable-legacy-endpoints": "false".

  • Echtzeit-Scans: Ja
Master authorized networks disabled

Kategoriename in der API: MASTER_AUTHORIZED_NETWORKS_DISABLED

Ergebnisbeschreibung: Autorisierte Control Plane Authorized Networks ist in GKE-Clustern nicht aktiviert.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 7.4
  • CIS GKE 1.0: 6.6.3
  • PCI-DSS v3.2.1: 1.2.1, 1.3.2

Prüft das Attribut masterAuthorizedNetworksConfig eines Clusters für das Schlüssel/Wert-Paar "enabled": false.

  • Echtzeit-Scans: Ja
Network policy disabled

Kategoriename in der API: NETWORK_POLICY_DISABLED

Ergebnisbeschreibung: Die Netzwerkrichtlinie ist in GKE-Clustern deaktiviert.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 7.11
  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.3
  • ISO-27001 v2013: A.13.1.1

Prüft das Feld networkPolicy des Attributs addonsConfig auf das Schlüssel/Wert-Paar "disabled": true.

  • Echtzeit-Scans: Ja
Nodepool boot CMEK disabled

Kategoriename in der API: NODEPOOL_BOOT_CMEK_DISABLED

Beschreibung: Bootlaufwerke in diesem Knotenpool werden nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Dieses Ergebnis korrigieren

Compliance-Standards:

Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet.

Prüft das Attribut bootDiskKmsKey von Knotenpools auf den Ressourcennamen Ihres CMEK.

  • Echtzeit-Scans: Ja
Nodepool secure boot disabled

Kategoriename in der API: NODEPOOL_SECURE_BOOT_DISABLED

Ergebnisbeschreibung: Secure Boot ist für einen GKE-Cluster deaktiviert.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GKE 1.0: 6.5.7

Prüft das Attribut shieldedInstanceConfig des Objekts nodeConfig auf das Schlüssel/Wert-Paar "enableSecureBoot": true.

  • Echtzeit-Scans: Ja
Over privileged account

Kategoriename in der API: OVER_PRIVILEGED_ACCOUNT

Ergebnisbeschreibung: Ein Dienstkonto hat in einem Cluster übermäßig Zugriff auf das Projekt.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 7.17
  • NIST 800-53 R4: AC-6, SC-7
  • CIS GKE 1.0: 6.2.1
  • PCI-DSS v3.2.1: 2.1, 7.1.2
  • ISO-27001 v2013: A.9.2.3

Wertet das Attribut config eines Knotenpools aus, um zu prüfen, ob kein Dienstkonto angegeben wurde oder ob das Standarddienstkonto verwendet wird.

  • Echtzeit-Scans: Ja
Over privileged scopes

Kategoriename in der API: OVER_PRIVILEGED_SCOPES

Ergebnisbeschreibung: Ein Knotendienstkonto hat große Zugriffsbereiche.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 7.18
  • CIS GKE 1.0: 6.2.1
Prüft, ob der im Attribut config.oauthScopes eines Knotenpools aufgeführte Zugriffsbereich ein eingeschränkter Zugriffsbereich des Dienstkontos ist: https://www.googleapis.com/auth/devstorage.read_only, https://www.googleapis.com/auth/logging.write oder https://www.googleapis.com/auth/monitoring.
  • Echtzeit-Scans: Ja
Pod security policy disabled

Kategoriename in der API: POD_SECURITY_POLICY_DISABLED

Ergebnisbeschreibung: PodSecurityPolicy ist in einem GKE-Cluster deaktiviert.

Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 7.14
  • CIS GKE 1.0: 6.10.3

Prüft das Attribut podSecurityPolicyConfig eines Clusters für das Schlüssel/Wert-Paar "enabled": false.

  • Zusätzliche IAM-Berechtigungen: roles/container.clusterViewer
  • Zusätzliche Eingaben: Liest Clusterinformationen aus GKE, da Pod-Sicherheitsrichtlinien ein Betafeature sind. Kubernetes hat die PodSecurityPolicy in Version 1.21 offiziell verworfen. Die PodSecurityPolicy wird in Version 1.25 eingestellt. Informationen zu Alternativen finden Sie unter Einstellung der PodSecurityPolicy.
  • Echtzeit-Scans: Nein
Private cluster disabled

Kategoriename in der API: PRIVATE_CLUSTER_DISABLED

Ergebnisbeschreibung: Für einen GKE-Cluster ist ein privater Cluster deaktiviert.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 7.15
  • CIS GKE 1.0: 6.6.5
  • PCI-DSS v3.2.1: 1.3.2

Prüft, ob das Feld enablePrivateNodes des Attributs privateClusterConfig auf false gesetzt ist.

  • Echtzeit-Scans: Ja
Release channel disabled

Kategoriename in der API: RELEASE_CHANNEL_DISABLED

Ergebnisbeschreibung: Ein GKE-Cluster ist nicht auf eine Release-Version abonniert.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GKE 1.0: 6.5.4

Prüft das Attribut releaseChannel auf das Schlüssel/Wert-Paar "channel": UNSPECIFIED.

  • Echtzeit-Scans: Ja
Web UI enabled

Kategoriename in der API: WEB_UI_ENABLED

Ergebnisbeschreibung: Die GKE-Web-UI (Dashboard) ist aktiviert.

Preisstufe: Premium oder Standard

Unterstützte Assets
container.googleapis.com/Cluster

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 7.6
  • CIS GKE 1.0: 6.10.1
  • PCI-DSS v3.2.1: 6.6

Prüft das Feld kubernetesDashboard des Attributs addonsConfig auf das Schlüssel/Wert-Paar "disabled": false.

  • Echtzeit-Scans: Ja
Workload Identity disabled

Kategoriename in der API: WORKLOAD_IDENTITY_DISABLED

Ergebnisbeschreibung: Workload Identity ist in einem GKE-Cluster deaktiviert.

Preisstufe: Premium

Unterstützte Assets
container.googleapis.com/Cluster

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GKE 1.0: 6.2.2

Prüft, ob das Attribut workloadIdentityConfig eines Clusters festgelegt ist. Der Detektor prüft auch, ob das Attribut workloadMetadataConfig eines Knotenpools auf GKE_METADATA gesetzt ist.

  • Zusätzliche IAM-Berechtigungen: roles/container.clusterViewer
  • Echtzeit-Scans: Ja

Ergebnisse zu Dataproc-Sicherheitslücken

Alle Sicherheitslücken dieses Detektortyps beziehen sich auf Dataproc und gehören zum Detektortyp DATAPROC_SCANNER.

Detektor Fazit Asset-Scaneinstellungen
Dataproc CMEK disabled

Kategoriename in der API: DATAPROC_CMEK_DISABLED

Ergebnisbeschreibung: Ein Dataproc-Cluster wurde ohne CMEK-Verschlüsselungskonfiguration erstellt. Mit CMEK werden die von Ihnen in Cloud Key Management Service erstellten und verwalteten Schlüssel mit den Schlüsseln umschlossen, die Google Cloud zum Verschlüsseln Ihrer Daten verwendet. Dadurch haben Sie mehr Kontrolle über den Zugriff auf Ihre Daten. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren.

Preisstufe: Premium

Unterstützte Assets
dataproc.googleapis.com/Cluster

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.3: 1.17
  • CIS GCP Foundation 2.0: 1.17
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Prüft, ob das Feld kmsKeyName im Attribut encryptionConfiguration leer ist.

  • Echtzeit-Scans: Ja
Dataproc image outdated

Kategoriename in der API: DATAPROC_IMAGE_OUTDATED

Ergebnis-Beschreibung: Ein Dataproc-Cluster wurde mit einer Dataproc-Image-Version erstellt, die von Sicherheitslücken im Apache Log4j 2-Dienstprogramm betroffen ist (CVE-2021-44228) und CVE-2021-45046).

Preisstufe: Premium oder Standard

Unterstützte Assets
dataproc.googleapis.com/Cluster

Dieses Ergebnis korrigieren

Compliance-Standards:

Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet.

Prüft, ob das Feld softwareConfig.imageVersion im Attribut config einer Cluster vor 1.3.95 liegt oder ob es eine Sub-Minor-Image-Version vor 1.4.77, 1.5.53 oder 2.0.27 ist.

  • Echtzeit-Scans: Ja

Ergebnisse zu Dataset-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf BigQuery-Dataset-Konfigurationen und gehören zum Detektortyp DATASET_SCANNER.

Detektor Fazit Asset-Scaneinstellungen
BigQuery table CMEK disabled

Kategoriename in der API: BIGQUERY_TABLE_CMEK_DISABLED

Ergebnisbeschreibung: Eine BigQuery-Tabelle ist nicht für die Verwendung eines vom Kunden verwalteten Verschlüsselungsschlüssels (CMEK) konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren.

Preisstufe: Premium

Unterstützte Assets
bigquery.googleapis.com/Table

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.2: 7.2
  • CIS GCP Foundation 1.3: 7.2
  • CIS GCP Foundation 2.0: 7.2
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Prüft, ob das Feld kmsKeyName im Attribut encryptionConfiguration leer ist.

  • Echtzeit-Scans: Ja
Dataset CMEK disabled

Kategoriename in der API: DATASET_CMEK_DISABLED

Ergebnisbeschreibung: Ein BigQuery-Dataset ist nicht für die Verwendung eines standardmäßigen CMEK konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren.

Preisstufe: Premium

Unterstützte Assets
bigquery.googleapis.com/Dataset

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.2: 7.3
  • CIS GCP Foundation 1.3: 7.3
  • CIS GCP Foundation 2.0: 7.3
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Prüft, ob das Feld kmsKeyName im Attribut defaultEncryptionConfiguration leer ist.

  • Echtzeit-Scans: Nein
Public dataset

Kategoriename in der API: PUBLIC_DATASET

Ergebnisbeschreibung: Ein Dataset ist für den öffentlichen Zugriff konfiguriert.

Preisstufe: Premium oder Standard

Unterstützte Assets
bigquery.googleapis.com/Dataset

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.1: 7.1
  • CIS GCP Foundation 1.2: 7.1
  • CIS GCP Foundation 1.3: 7.1
  • CIS GCP Foundation 2.0: 7.1
  • NIST 800-53 R4: AC-2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 7.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.14.1.3, A.8.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf die Hauptkonten allUsers oder allAuthenticatedUsers, die öffentlichen Zugang gewähren.

  • Echtzeit-Scans: Ja

Ergebnisse zu DNS-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich auf Cloud DNS-Konfigurationen und gehören zum Detektortyp DNS_SCANNER.

Detektor Fazit Asset-Scaneinstellungen
DNSSEC disabled

Kategoriename in der API: DNSSEC_DISABLED

Ergebnisbeschreibung: DNSSEC ist für Cloud DNS-Zonen deaktiviert.

Preisstufe: Premium

Unterstützte Assets
dns.googleapis.com/ManagedZone

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 3.3
  • CIS GCP Foundation 1.1: 3.3
  • CIS GCP Foundation 1.2: 3.3
  • CIS GCP Foundation 1.3: 3.3
  • CIS GCP Foundation 2.0: 3.3
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2013: A.8.2.3
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

Prüft, ob das Feld state des Attributs dnssecConfig auf off gesetzt ist.

  • Von Scans ausgeschlossene Assets: Cloud DNS-Zonen, die nicht öffentlich sind
  • Echtzeit-Scans: Ja
RSASHA1 for signing

Kategoriename in der API: RSASHA1_FOR_SIGNING

Ergebnisbeschreibung: RSASHA1 wird für die Schlüsselsignierung in Cloud DNS-Zonen verwendet.

Preisstufe: Premium

Unterstützte Assets
dns.googleapis.com/ManagedZone

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 3.4, 3.5
  • CIS GCP Foundation 1.1: 3.4, 3.5
  • CIS GCP Foundation 1.2: 3.4, 3.5
  • CIS GCP Foundation 1.3: 3.4, 3.5
  • CIS GCP Foundation 2.0: 3.4, 3.5
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

Prüft, ob das Objekt defaultKeySpecs.algorithm des Attributs dnssecConfig auf rsasha1 gesetzt ist.

  • Echtzeit-Scans: Ja

Ergebnisse zu Firewall-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Firewall-Konfigurationen und gehören zum Detektortyp FIREWALL_SCANNER.

Detektor Fazit Asset-Scaneinstellungen
Egress deny rule not set

Kategoriename in der API: EGRESS_DENY_RULE_NOT_SET

Ergebnisbeschreibung: Für eine Firewall wurde keine Regel für ausgehenden Traffic festgelegt. Regeln zum Ablehnen von ausgehendem Traffic sollten eingerichtet werden, um unerwünschten ausgehenden Traffic zu blockieren.

Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Dieses Ergebnis korrigieren

Compliance-Standards:

  • PCI-DSS v3.2.1: 7.2

Prüft, ob das Attribut destinationRanges in der Firewall auf 0.0.0.0/0 gesetzt ist und das Attribut denied das Schlüssel/Wert-Paar "IPProtocol": "all" enthält.

  • Zusätzliche Eingaben: Liest ausgehende Firewalls für ein Projekt aus dem Speicher.
  • Echtzeit-Scans: Ja, aber nur bei Projektänderungen, nicht bei Änderungen an Firewallregeln
Firewall rule logging disabled

Kategoriename in der API: FIREWALL_RULE_LOGGING_DISABLED

Ergebnisbeschreibung: Das Logging von Firewallregeln ist deaktiviert. Firewallregel-Logging sollte aktiviert sein, damit Sie Netzwerkzugriffe prüfen können.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R4: SI-4
  • PCI-DSS v3.2.1: 10.1, 10.2
  • ISO-27001 v2013: A.13.1.1

Prüft das Attribut logConfig in den Firewallmetadaten, um zu ermitteln, ob es leer ist oder das Schlüssel/Wert-Paar "enable": false enthält.

Open Cassandra port

Kategoriename in der API: OPEN_CASSANDRA_PORT

Ergebnisbeschreibung: Eine Firewall ist für einen offenen CASSANDRA-Port mit generischem Zugriff konfiguriert.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Prüft das Attribut allowed in den Firewallmetadaten für die folgenden Protokolle und Ports: TCP:7000-7001, 7199, 8888, 9042, 9160, 61620-61621.

  • Echtzeit-Scans: Ja
Open ciscosecure websm port

Kategoriename in der API: OPEN_CISCOSECURE_WEBSM_PORT

Ergebnisbeschreibung: Eine Firewall ist für einen offenen CISCOSECURE_WEBSM-Port mit generischem Zugriff konfiguriert.

Preisstufe: Premium oder Standard

Unterstützte Assets
compute.googleapis.com/Firewall

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Prüft das Attribut allowed in den Firewallmetadaten für das folgende Protokoll und den folgenden Port: TCP:9090.

  • Echtzeit-Scans: Ja
Open directory services port

Kategoriename in der API: OPEN_DIRECTORY_SERVICES_PORT

Ergebnisbeschreibung: Eine Firewall ist mit einem offenen DIRECTORY_SERVICE-Port konfiguriert, der generischen Zugriff zulässt.

Preisstufe: Premium oder Standard

Unterstützte Assets
compute.googleapis.com/Firewall

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Prüft das Attribut allowed in den Firewallmetadaten für die folgenden Protokolle und Ports: TCP:445 und UDP:445.

  • Echtzeit-Scans: Ja
Open DNS port

Kategoriename in der API: OPEN_DNS_PORT

Ergebnisbeschreibung: Eine Firewall ist mit einem offenen DNS-Port konfiguriert, der generischen Zugriff zulässt.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Prüft das Attribut allowed in den Firewallmetadaten für die folgenden Protokolle und Ports: TCP:53 und UDP:53.

  • Echtzeit-Scans: Ja
Open elasticsearch port

Kategoriename in der API: OPEN_ELASTICSEARCH_PORT

Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen ELASTICSEARCH-Port hat, der generischen Zugriff zulässt.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Prüft das Attribut allowed in den Firewallmetadaten für die folgenden Protokolle und Ports: TCP:9200, 9300.

  • Echtzeit-Scans: Ja
Open firewall

Kategoriename in der API: OPEN_FIREWALL

Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie öffentlich zugänglich ist.

Preisstufe: Premium oder Standard

Unterstützte Assets
compute.googleapis.com/Firewall

Dieses Ergebnis korrigieren

Compliance-Standards:

  • PCI-DSS v3.2.1: 1.2.1

Prüft die Attribute sourceRanges und allowed auf eine von zwei Konfigurationen:

  • Das Attribut sourceRanges enthält 0.0.0.0/0 und das Attribut allowed enthält eine Kombination aus Regeln mit einem beliebigen protocol oder protocol:port, mit Ausnahme von:
    • icmp
    • tcp:22
    • tcp:443
    • tcp:3389
    • udp:3389
    • sctp:22
  • Das Attribut sourceRanges enthält eine Kombination aus IP-Bereichen, die alle nicht privaten IP-Adressen umfassen, und das Attribut allowed enthält eine Kombination aus Regeln, die entweder alle TCP-Ports oder alle UDB-Ports zulassen.
Open FTP port

Kategoriename in der API: OPEN_FTP_PORT

Ergebnisbeschreibung: Eine Firewall ist mit einem offenen FTP-Port konfiguriert, der generischen Zugriff zulässt.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Prüft das Attribut allowed in den Firewallmetadaten für das folgende Protokoll und den folgenden Port: TCP:21.

  • Echtzeit-Scans: Ja
Open HTTP port

Kategoriename in der API: OPEN_HTTP_PORT

Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen HTTP-Port hat, der generischen Zugriff zulässt.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Prüft das Attribut allowed in den Firewallmetadaten für die folgenden Protokolle und Ports: TCP:80.

  • Echtzeit-Scans: Ja
Open LDAP port

Kategoriename in der API: OPEN_LDAP_PORT

Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen LDAP-Port hat, der generischen Zugriff zulässt.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Prüft das Attribut allowed in den Firewallmetadaten für die folgenden Protokolle und Ports: TCP:389, 636 und UDP:389.

  • Echtzeit-Scans: Ja
Open Memcached port

Kategoriename in der API: OPEN_MEMCACHED_PORT

Ergebnisbeschreibung: Eine Firewall ist für einen offenen MEMCACHED-Port mit generischem Zugriff konfiguriert.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Prüft das Attribut allowed in den Firewallmetadaten für die folgenden Protokolle und Ports: TCP:11211, 11214-11215 und UDP:11211, 11214-11215.

  • Echtzeit-Scans: Ja
Open MongoDB port

Kategoriename in der API: OPEN_MONGODB_PORT

Ergebnisbeschreibung: Eine Firewall ist für einen offenen MONGODB-Port mit generischem Zugriff konfiguriert.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Prüft das Attribut allowed in den Firewallmetadaten für die folgenden Protokolle und Ports: TCP:27017-27019.

  • Echtzeit-Scans: Ja
Open MySQL port

Kategoriename in der API: OPEN_MYSQL_PORT

Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen MySQL-Port hat, der generischen Zugriff zulässt.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Prüft das Attribut allowed in den Firewallmetadaten für das folgende Protokoll und den folgenden Port: TCP:3306.

  • Echtzeit-Scans: Ja
Open NetBIOS port

Kategoriename in der API: OPEN_NETBIOS_PORT

Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen NETBIOS-Port hat, der generischen Zugriff zulässt.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Prüft das Attribut allowed in den Firewallmetadaten für die folgenden Protokolle und Ports: TCP:137-139 und UDP:137-139.

  • Echtzeit-Scans: Ja
Open OracleDB port

Kategoriename in der API: OPEN_ORACLEDB_PORT

Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen ORACLEDB-Port hat, der generischen Zugriff zulässt.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Prüft das Attribut allowed in den Firewallmetadaten für die folgenden Protokolle und Ports: TCP:1521, 2483-2484 und UDP:2483-2484.

  • Echtzeit-Scans: Ja
Open pop3 port

Kategoriename in der API: OPEN_POP3_PORT

Ergebnisbeschreibung: Eine Firewall ist für einen offenen POP3-Port mit generischem Zugriff konfiguriert.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Prüft das Attribut allowed in den Firewallmetadaten für das folgende Protokoll und den folgenden Port: TCP:110.

  • Echtzeit-Scans: Ja
Open PostgreSQL port

Kategoriename in der API: OPEN_POSTGRESQL_PORT

Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen PostgreSQL-Port hat, der generischen Zugriff zulässt.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Prüft das Attribut allowed in den Firewallmetadaten für die folgenden Protokolle und Ports: TCP:5432 und UDP:5432.

  • Echtzeit-Scans: Ja
Open RDP port

Kategoriename in der API: OPEN_RDP_PORT

Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen RDP-Port hat, der generischen Zugriff zulässt.

Preisstufe: Premium oder Standard

Unterstützte Assets
compute.googleapis.com/Firewall

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 3.7
  • CIS GCP Foundation 1.1: 3.7
  • CIS GCP Foundation 1.2: 3.7
  • CIS GCP Foundation 1.3: 3.7
  • CIS GCP Foundation 2.0: 3.7
  • NIST 800-53 R4: SC-7
  • NIST 800-53 R5: CA-9, SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.2.1, 1.4.1
  • ISO-27001 v2013: A.13.1.1
  • SOC2 v2017: CC6.6.1, CC6.6.4
  • CIS Controls 8.0: 4.4, 4.5

Prüft das Attribut allowed in den Firewallmetadaten für die folgenden Protokolle und Ports: TCP:3389 und UDP:3389.

  • Echtzeit-Scans: Ja
Open Redis port

Kategoriename in der API: OPEN_REDIS_PORT

Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen REDIS-Port hat, der generischen Zugriff zulässt.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Prüft, ob das Attribut allowed in den Firewallmetadaten das folgende Protokoll und den folgenden Port enthält: TCP:6379.

  • Echtzeit-Scans: Ja
Open SMTP port

Kategoriename in der API: OPEN_SMTP_PORT

Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen SMTP-Port hat, der generischen Zugriff zulässt.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Firewall

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Prüft, ob das Attribut allowed in den Firewallmetadaten das folgende Protokoll und den folgenden Port enthält: TCP:25.

  • Echtzeit-Scans: Ja
Open SSH port

Kategoriename in der API: OPEN_SSH_PORT

Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen SSH-Port hat, der generischen Zugriff zulässt.

Preisstufe: Premium oder Standard

Unterstützte Assets
compute.googleapis.com/Firewall

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 3.6
  • CIS GCP Foundation 1.1: 3.6
  • CIS GCP Foundation 1.2: 3.6
  • CIS GCP Foundation 1.3: 3.6
  • CIS GCP Foundation 2.0: 3.6
  • NIST 800-53 R4: SC-7
  • NIST 800-53 R5: CA-9, SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.2.1, 1.4.1
  • ISO-27001 v2013: A.13.1.1
  • SOC2 v2017: CC6.6.1, CC6.6.4
  • CIS Controls 8.0: 4.4, 4.5

Prüft, ob das Attribut allowed in den Firewallmetadaten die folgenden Protokolle und Ports enthält: TCP:22 und SCTP:22.

  • Echtzeit-Scans: Ja
Open Telnet port

Kategoriename in der API: OPEN_TELNET_PORT

Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen TELNET-Port hat, über den generischer Zugriff möglich ist.

Preisstufe: Premium oder Standard

Unterstützte Assets
compute.googleapis.com/Firewall

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Prüft, ob das Attribut allowed in den Firewallmetadaten das folgende Protokoll und den folgenden Port enthält: TCP:23.

  • Echtzeit-Scans: Ja

Ergebnisse zu IAM-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf die IAM-Konfiguration (Identity and Access Management) und gehören zum Detektortyp IAM_SCANNER.

Detektor Fazit Asset-Scaneinstellungen
Access Transparency disabled

Kategoriename in der API: ACCESS_TRANSPARENCY_DISABLED

Ergebnisbeschreibung: Access Transparency für Google Cloud ist für Ihre Organisation deaktiviert. Mit Access Transparency wird protokolliert, wenn Google Cloud-Mitarbeiter zur Bereitstellung von Support auf die Projekte in Ihrer Organisation zugreifen. Aktivieren Sie Access Transparency, um zu protokollieren, wer von Google Cloud wann und warum auf Ihre Daten zugreift.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Organization

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.3: 2.14
  • CIS GCP Foundation 2.0: 2.14

Prüft, ob in Ihrer Organisation Access Transparency aktiviert ist.

  • Echtzeit-Scans: Nein
Admin service account

Kategoriename in der API: ADMIN_SERVICE_ACCOUNT

Ergebnisbeschreibung: Ein Dienstkonto hat die Berechtigung Administrator, Inhaber oder Bearbeiter. Diese Rollen sollten nicht von Nutzern erstellten Dienstkonten zugewiesen werden.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 1.4
  • CIS GCP Foundation 1.1: 1.5
  • CIS GCP Foundation 1.2: 1.5
  • CIS GCP Foundation 1.3: 1.5
  • CIS GCP Foundation 2.0: 1.5
  • NIST 800-53 R5: AC-6
  • ISO-27001 v2022: A.5.15, A.8.2
  • Cloud Controls Matrix 4: IAM-09
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC6.1.3, CC6.1.4, CC6.1.7, CC6.1.8, CC6.3.1, CC6.3.2, CC6.3.3
  • CIS Controls 8.0: 5.4

Prüft die IAM-Zulassungsrichtlinie in Ressourcenmetadaten auf alle vom Nutzer erstellten Dienstkonten (angezeigt durch das Präfix iam.gserviceaccount.com), denen roles/Owner oder roles/Editor oder eine Rollen-ID zugewiesen ist, die admin enthält.

  • Von Scans ausgeschlossene Assets: Container Registry-Dienstkonto (containerregistry.iam.gserviceaccount.com) und das Security Command Center-Dienstkonto (security-center-api.iam.gserviceaccount.com)
  • Echtzeit-Scans: Ja, außer wenn die IAM-Aktualisierung wird für einen Ordner durchgeführt wird
Essential Contacts Not Configured

Kategoriename in der API: ESSENTIAL_CONTACTS_NOT_CONFIGURED

Beschreibung der Abweichung:Ihre Organisation hat keine Person oder Gruppe benannt, die Benachrichtigungen von Google Cloud zu wichtigen Ereignissen wie Angriffen, Sicherheitslücken und Datenpannen innerhalb Ihrer Google Cloud-Organisation erhält. Wir empfehlen, eine oder mehrere Personen oder Gruppen in Ihrem Unternehmen als wichtigen Kontakt anzugeben.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Organization

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.3: 1.16
  • CIS GCP Foundation 2.0: 1.16
  • NIST 800-53 R5: IR-6
  • ISO-27001 v2022: A.5.20, A.5.24, A.5.5, A.5.6
  • Cloud Controls Matrix 4: SEF-08
  • NIST Cybersecurity Framework 1.0: RS-CO-1
  • SOC2 v2017: CC2.3.1
  • CIS Controls 8.0: 17.2

Prüft, ob für die folgenden Kategorien für wichtige Kontakte ein Kontakt angegeben ist:

  • Recht
  • Sicherheit
  • Sperrung
  • Technisch

  • Echtzeit-Scans: Nein
KMS role separation

Kategoriename in der API: KMS_ROLE_SEPARATION

Ergebnisbeschreibung: Die Aufgabentrennung wird nicht erzwungen und ein Nutzer ist vorhanden, der eine der folgenden Cloud Key Management Service-Rollen (Cloud KMS) hat: CryptoKey-Verschlüsseler/Entschlüsseler, Entschlüsseler oder Verschlüsseler.

Dieser Hinweis ist nicht für Aktivierungen auf Projektebene verfügbar.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 1.9
  • CIS GCP Foundation 1.1: 1.11
  • CIS GCP Foundation 2.0: 1.11
  • NIST 800-53 R4: AC-5
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.10.1.2, A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3
Prüft IAM-Zulassungsrichtlinien in Ressourcenmetadaten und ruft Hauptkonten ab, denen gleichzeitig eine der folgenden Rollen zugewiesen ist: roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter und roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer, roles/cloudkms.signerVerifier, roles/cloudkms.publicKeyViewer.
  • Echtzeit-Scans: Ja
Non org IAM member

Kategoriename in der API: NON_ORG_IAM_MEMBER

Ergebnisbeschreibung: Ein Nutzer verwendet keine organisationsgebundenen Anmeldedaten. Gemäß CIS GCP Foundations 1.0 lösen derzeit nur Identitäten mit @gmail.com-E-Mail-Adressen diesen Detektor aus.

Preisstufe: Premium oder Standard

Unterstützte Assets
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 1.1
  • CIS GCP Foundation 1.1: 1.1
  • CIS GCP Foundation 1.2: 1.1
  • CIS GCP Foundation 1.3: 1.1
  • CIS GCP Foundation 2.0: 1.1
  • NIST 800-53 R4: AC-3
  • PCI-DSS v3.2.1: 7.1.2
  • ISO-27001 v2013: A.9.2.3

Vergleicht @gmail.com-E-Mail-Adressen im Feld user der IAM-Zulassungsrichtlinien mit einer Liste genehmigter Identitäten für Ihre Organisation.

  • Echtzeit-Scans: Ja
Open group IAM member

Kategoriename in der API: OPEN_GROUP_IAM_MEMBER

Ergebnisbeschreibung: Ein Google Groups-Konto, das ohne Genehmigung verknüpft werden kann, wird als Hauptkonto auf einer IAM-Zulassungsrichtlinie verwendet.

Preisstufe: Premium oder Standard

Unterstützte Assets
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Dieses Ergebnis korrigieren

Compliance-Standards:

Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet.

Prüft die IAM-Richtlinie in Ressourcenmetadaten auf alle Bindungen, die ein Mitglied (Hauptkonto) mit dem Präfix group enthalten. Wenn die Gruppe eine offene Gruppe ist, generiert Security Health Analytics dieses Ergebnis.
  • Zusätzliche Eingaben: Liest Google Groups-Metadaten, um zu prüfen, ob die identifizierte Gruppe eine offene Gruppe ist.
  • Echtzeit-Scans: Nein
Over privileged service account user

Kategoriename in der API: OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Ergebnisbeschreibung: Ein Nutzer hat die Rolle Dienstkontonutzer oder Ersteller von Dienstkonto-Tokens auf Projektebene, statt für ein bestimmtes Dienstkonto.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 1.5
  • CIS GCP Foundation 1.1: 1.6
  • CIS GCP Foundation 1.2: 1.6
  • CIS GCP Foundation 1.3: 1.6
  • CIS GCP Foundation 2.0: 1.6
  • NIST 800-53 R4: AC-6
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 7.1.2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3
Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf alle Hauptkonten, denen roles/iam.serviceAccountUser oder roles/iam.serviceAccountTokenCreator auf Projektebene zugewiesen ist.
  • Von Scans ausgeschlossene Assets: Cloud Build-Dienstkonten
  • Echtzeit-Scans: Ja
Primitive roles used

Kategoriename in der API: PRIMITIVE_ROLES_USED

Ergebnisbeschreibung: Ein Nutzer hat eine der folgenden einfachen Rollen:

  • Inhaber (roles/owner)
  • Bearbeiter (roles/editor)
  • Betrachter (roles/viewer)

Diese Rollen sind zu weit gefasst und sollten nicht verwendet werden.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R4: AC-6
  • PCI-DSS v3.2.1: 7.1.2
  • ISO-27001 v2013: A.9.2.3

Prüft die IAM-Zulassungsrichtlinie in Ressourcenmetadaten auf alle Hauptkonten, denen eine roles/owner-, roles/editor- oder roles/viewer-Rolle zugewiesen ist.

  • Echtzeit-Scans: Ja
Redis role used on org

Kategoriename in der API: REDIS_ROLE_USED_ON_ORG

Ergebnisbeschreibung: Eine Redis-IAM-Rolle wird auf Organisations- oder Ordnerebene zugewiesen.

Dieser Hinweis ist nicht für Aktivierungen auf Projektebene verfügbar.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Organization

Dieses Ergebnis korrigieren

Compliance-Standards:

  • PCI-DSS v3.2.1: 7.1.2
  • ISO-27001 v2013: A.9.2.3

Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf Hauptkonten, denen roles/redis.admin, roles/redis.editor, roles/redis.viewer auf Organisations- oder Ordnerebene zugewiesen ist.

  • Echtzeit-Scans: Ja
Service account role separation

Kategoriename in der API: SERVICE_ACCOUNT_ROLE_SEPARATION

Ergebnisbeschreibung: Einem Nutzer wurden die Rollen Dienstkontoadministrator und Dienstkontonutzer zugewiesen. Dies verstößt gegen das Prinzip der "Aufgabentrennung".

Dieser Hinweis ist nicht für Aktivierungen auf Projektebene verfügbar.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 1.7
  • CIS GCP Foundation 1.1: 1.8
  • CIS GCP Foundation 1.2: 1.8
  • CIS GCP Foundation 1.3: 1.8
  • CIS GCP Foundation 2.0: 1.8
  • NIST 800-53 R4: AC-5
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3
Prüft die IAM-Zulassungrichtlinie in Ressourcenmetadaten auf alle Hauptkonten, denen sowohl roles/iam.serviceAccountUser als auch roles/iam.serviceAccountAdmin zugewiesen ist.
  • Echtzeit-Scans: Ja
Service account key not rotated

Kategoriename in der API: SERVICE_ACCOUNT_KEY_NOT_ROTATED

Ergebnisbeschreibung: Ein Dienstkontoschlüssel wurde seit mehr als 90 Tagen nicht rotiert.

Preisstufe: Premium

Unterstützte Assets
iam.googleapis.com/ServiceAccountKey

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 1.6
  • CIS GCP Foundation 1.1: 1.7
  • CIS GCP Foundation 1.2: 1.7
  • CIS GCP Foundation 1.3: 1.7
  • CIS GCP Foundation 2.0: 1.7

Wertet den Zeitstempel der Schlüsselerstellung aus, der im Attribut validAfterTime in den Schlüsselmetadaten des Dienstkontos erfasst ist.

  • Von Scans ausgeschlossene Assets: Abgelaufene Dienstkontoschlüssel und Schlüssel, die nicht von Nutzern verwaltet werden
  • Echtzeit-Scans: Ja
User managed service account key

Kategoriename in der API: USER_MANAGED_SERVICE_ACCOUNT_KEY

Ergebnisbeschreibung: Ein Nutzer verwaltet einen Dienstkontoschlüssel.

Preisstufe: Premium

Unterstützte Assets
iam.googleapis.com/ServiceAccountKey

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 1.3
  • CIS GCP Foundation 1.1: 1.4
  • CIS GCP Foundation 1.2: 1.4
  • CIS GCP Foundation 1.3: 1.4
  • CIS GCP Foundation 2.0: 1.4

Prüft, ob das Attribut keyType in den Metadaten des Dienstkontoschlüssels auf User_Managed gesetzt ist.

  • Echtzeit-Scans: Ja

Ergebnisse zu KMS-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud KMS-Konfigurationen und gehören zum Detektortyp KMS_SCANNER.

Detektor Fazit Asset-Scaneinstellungen
KMS key not rotated

Kategoriename in der API: KMS_KEY_NOT_ROTATED

Ergebnisbeschreibung: Für einen Cloud KMS-Verschlüsselungsschlüssel ist keine Rotation konfiguriert. Verschlüsselungsschlüssel sollten innerhalb eines Zeitraums von 90 Tagen rotiert werden.

Preisstufe: Premium

Unterstützte Assets
cloudkms.googleapis.com/CryptoKey

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 1.8
  • CIS GCP Foundation 1.1: 1.10
  • CIS GCP Foundation 1.2: 1.10
  • CIS GCP Foundation 1.3: 1.10
  • CIS GCP Foundation 2.0: 1.10
  • NIST 800-53 R4: SC-12
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v3.2.1: 3.5
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2013: A.10.1.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Prüft Ressourcenmetadaten auf das Vorhandensein von rotationPeriod- oder nextRotationTime-Attributen.

  • Von Scans ausgeschlossene Assets: Asymmetrische Schlüssel und Schlüssel mit deaktivierten oder gelöschten primären Versionen
  • Echtzeit-Scans: Ja
KMS project has owner

Kategoriename in der API: KMS_PROJECT_HAS_OWNER

Ergebnisbeschreibung: Ein Nutzer hat Inhaber-Berechtigungen für ein Projekt mit kryptografischen Schlüsseln.

Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.1: 1.11
  • CIS GCP Foundation 1.2: 1.11
  • CIS GCP Foundation 1.3: 1.11
  • CIS GCP Foundation 2.0: 1.11
  • NIST 800-53 R4: AC-6, SC-12
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 3.5
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.10.1.2, A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Prüft die IAM-Zulassungsrichtlinie in Projektmetadaten auf Hauptkonten, denen roles/Owner zugewiesen ist.

  • Zusätzliche Eingaben: Liest CryptoKeys für ein Projekt aus dem Speicher und sendet Ergebnisse nur für Projekte mit CryptoKeys
  • Echtzeit-Scans: Ja, aber nur bei Änderungen an der IAM-Zulassungsrichtlinie, nicht bei Änderungen an KMS-Schlüsseln
KMS public key

Kategoriename in der API: KMS_PUBLIC_KEY

Ergebnisbeschreibung: Ein kryptografischer Cloud KMS-Schlüssel ist öffentlich zugänglich.

Preisstufe: Premium

Unterstützte Assets
cloudkms.googleapis.com/CryptoKey
cloudkms.googleapis.com/KeyRing

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.1: 1.9
  • CIS GCP Foundation 1.2: 1.9
  • CIS GCP Foundation 1.3: 1.9
  • CIS GCP Foundation 2.0: 1.9
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf die Hauptkonten allUsers oder allAuthenticatedUsers, die öffentlichen Zugang gewähren.

  • Echtzeit-Scans: Ja
Too many KMS users

Kategoriename in der API: TOO_MANY_KMS_USERS

Ergebnisbeschreibung: Es gibt mehr als drei Nutzer kryptografischer Schlüssel.

Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Preisstufe: Premium

Unterstützte Assets
cloudkms.googleapis.com/CryptoKey

Dieses Ergebnis korrigieren

Compliance-Standards:

  • PCI-DSS v3.2.1: 3.5.2
  • ISO-27001 v2013: A.9.2.3
Prüft IAM-Zulassungsrichtlinien auf Schlüsselbunde, Projekte und Organisationen und ruft Hauptkonten mit Rollen ab, mit denen sie Daten mithilfe von Cloud KMS-Schlüsseln verschlüsseln, entschlüsseln oder signieren können: roles/owner, roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter, roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer und roles/cloudkms.signerVerifier.
  • Zusätzliche Eingaben: Liest CryptoKey-Versionen für einen CryptoKey aus dem Speicher und speichert Ergebnisse nur für Schlüssel mit aktiven Versionen. Der Detektor liest auch IAM-Zulassungsrichtlinien für Schlüsselbund, Projekt und Organisation aus dem Speicher.
  • Echtzeit-Scans: Ja

Ergebnisse zu Logging-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Logging-Konfigurationen und gehören zum Detektortyp LOGGING_SCANNER.

Detektor Fazit Asset-Scaneinstellungen
Audit logging disabled

Kategoriename in der API: AUDIT_LOGGING_DISABLED

Ergebnisbeschreibung: Audit-Logging wurde für diese Ressource deaktiviert.

Dieser Hinweis ist nicht für Aktivierungen auf Projektebene verfügbar.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 2.1
  • CIS GCP Foundation 1.1: 2.1
  • CIS GCP Foundation 1.2: 2.1
  • CIS GCP Foundation 1.3: 2.1
  • CIS GCP Foundation 2.0: 2.1
  • NIST 800-53 R4: AC-2, AU-2
  • NIST 800-53 R5: AU-6, AU-7
  • PCI-DSS v3.2.1: 10.1, 10.2
  • PCI-DSS v4.0: 10.4.1, 10.4.1.1, 10.4.2, 10.4.3
  • ISO-27001 v2013: A.12.4.1, A.16.1.7
  • ISO-27001 v2022: A.5.25
  • Cloud Controls Matrix 4: LOG-05
  • NIST Cybersecurity Framework 1.0: DE-AE-2, PR-PT-1, RS-AN-1
  • SOC2 v2017: CC4.1.1, CC4.1.2, CC4.1.3, CC4.1.4, CC4.1.5, CC4.1.6, CC4.1.7, CC4.1.8, CC7.3.1, CC7.3.2, CC7.3.3, CC7.3.4, CC7.3.5
  • HIPAA: 164.308(a)(1)(ii), 164.312(b)
  • CIS Controls 8.0: 8.11, 8.2

Prüft die IAM-Zulassungsrichtlinie in Ressourcenmetadaten auf das Vorhandensein eines auditLogConfigs-Objekts.

  • Echtzeit-Scans: Ja
Bucket logging disabled

Kategoriename in der API: BUCKET_LOGGING_DISABLED

Ergebnisbeschreibung: Es gibt einen Storage-Bucket ohne aktiviertes Logging.

Preisstufe: Premium

Unterstützte Assets
storage.googleapis.com/Bucket

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 5.3

Prüft, ob das Feld logBucket im Attribut logging des Buckets leer ist.

  • Echtzeit-Scans: Ja
Locked retention policy not set

Kategoriename in der API: LOCKED_RETENTION_POLICY_NOT_SET

Ergebnisbeschreibung: Für Logs ist keine gesperrte Aufbewahrungsrichtlinie festgelegt.

Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Preisstufe: Premium

Unterstützte Assets
storage.googleapis.com/Bucket

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.1: 2.3
  • CIS GCP Foundation 1.2: 2.3
  • CIS GCP Foundation 1.3: 2.3
  • CIS GCP Foundation 2.0: 2.3
  • NIST 800-53 R4: AU-11
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 10.5
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.12.4.2, A.18.1.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Prüft, ob das Feld isLocked im Attribut retentionPolicy des Buckets auf true gesetzt ist.

  • Zusätzliche Eingaben: Liest die Logsenke (den Logfilter und das Logziel) für einen Bucket, um zu ermitteln, ob es sich um einen Log-Bucket handelt.
  • Echtzeit-Scans: Ja
Log not exported

Kategoriename in der API: LOG_NOT_EXPORTED

Ergebnisbeschreibung: Für eine Ressource ist keine geeignete Logsenke konfiguriert.

Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 2.2
  • CIS GCP Foundation 1.1: 2.2
  • CIS GCP Foundation 1.2: 2.2
  • CIS GCP Foundation 1.3: 2.2
  • CIS GCP Foundation 2.0: 2.2
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2013: A.18.1.3
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.3

Ruft ein logSink-Objekt in einem Projekt ab und prüft, ob das Feld includeChildren auf true gesetzt ist, ob das Feld destination den Speicherort enthält, in den Logs geschrieben werden sollen, und ob das Feld filter ausgefüllt ist.

  • Zusätzliche Eingaben: Liest die Logsenke (den Logfilter und das Logziel) für einen Bucket, um zu ermitteln, ob es sich um einen Log-Bucket handelt.
  • Echtzeit-Scans: Ja, aber nur bei Projektänderungen, nicht wenn der Logexport für Ordner oder Organisation eingerichtet ist
Object versioning disabled

Kategoriename in der API: OBJECT_VERSIONING_DISABLED

Ergebnisbeschreibung: Die Objektversionsverwaltung ist für einen Storage-Bucket, in dem Senken konfiguriert sind, nicht aktiviert.

Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Preisstufe: Premium

Unterstützte Assets
storage.googleapis.com/Bucket

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 2.3
  • NIST 800-53 R4: AU-11
  • PCI-DSS v3.2.1: 10.5
  • ISO-27001 v2013: A.12.4.2, A.18.1.3

Prüft, ob das Feld enabled im Attribut versioning des Buckets auf true gesetzt ist.

  • Von Scans ausgeschlossene Assets: Cloud Storage-Buckets mit einer gesperrten Aufbewahrungsrichtlinie
  • Zusätzliche Eingaben: Liest die Logsenke (den Logfilter und das Logziel) für einen Bucket, um zu ermitteln, ob es sich um einen Log-Bucket handelt.
  • Echtzeit-Scans: Ja, aber nur wenn sich die Objektversionsverwaltung ändert, nicht wenn Log-Buckets erstellt werden

Ergebnisse zu Monitoring-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Monitoring-Konfigurationen und gehören zum Typ MONITORING_SCANNER. Alle Ergebnisattribute des Monitoring-Detektors enthalten Folgendes:

  • Den RecommendedLogFilter, der beim Erstellen der Logmesswerte verwendet werden soll.
  • Die QualifiedLogMetricNames, die die im empfohlenen Logfilter aufgeführten Bedingungen abdecken.
  • Die AlertPolicyFailureReasons, die angeben, ob für das Projekt keine Benachrichtigungsrichtlinien für einen der qualifizierten Logmesswerte erstellt wurden oder ob die vorhandenen Benachrichtigungsrichtlinien nicht die empfohlenen Einstellungen haben.
Detektor Fazit Asset-Scaneinstellungen
Audit config not monitored

Kategoriename in der API: AUDIT_CONFIG_NOT_MONITORED

Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Audit-Konfigurationsänderungen konfiguriert.

Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 2.5
  • CIS GCP Foundation 1.1: 2.5
  • CIS GCP Foundation 1.2: 2.5
  • CIS GCP Foundation 1.3: 2.5
  • CIS GCP Foundation 2.0: 2.5
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.auditConfigDeltas:* festgelegt ist und ob, wenn resource.type angegeben ist, der Wert global ist. Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
  • Zusätzliche IAM-Berechtigungen: roles/monitoring.alertPolicyViewer
  • Zusätzliche Eingaben: Liest Logmesswerte für das Projekt aus dem Speicher. Liest die Kontoinformationen von Google Cloud Observability aus Google Cloud Observability und sendet die Ergebnisse nur für Projekte mit aktiven Konten.
  • Echtzeit-Scans: Nein
Bucket IAM not monitored

Kategoriename in der API: BUCKET_IAM_NOT_MONITORED

Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen der Cloud Storage-IAM-Berechtigungen konfiguriert.

Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 2.10
  • CIS GCP Foundation 1.1: 2.10
  • CIS GCP Foundation 1.2: 2.10
  • CIS GCP Foundation 1.3: 2.10
  • CIS GCP Foundation 2.0: 2.10
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf resource.type=gcs_bucket AND protoPayload.methodName="storage.setIamPermissions" gesetzt ist. Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
  • Zusätzliche IAM-Berechtigungen: roles/monitoring.alertPolicyViewer
  • Zusätzliche Eingaben: Liest Logmesswerte für das Projekt aus dem Speicher. Liest die Kontoinformationen von Google Cloud Observability aus Google Cloud Observability und sendet die Ergebnisse nur für Projekte mit aktiven Konten.
  • Echtzeit-Scans: Nein
Custom role not monitored

Kategoriename in der API: CUSTOM_ROLE_NOT_MONITORED

Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen benutzerdefinierter Rollen konfiguriert.

Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 2.6
  • CIS GCP Foundation 1.1: 2.6
  • CIS GCP Foundation 1.2: 2.6
  • CIS GCP Foundation 1.3: 2.6
  • CIS GCP Foundation 2.0: 2.6
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf resource.type="iam_role" AND (protoPayload.methodName="google.iam.admin.v1.CreateRole" OR protoPayload.methodName="google.iam.admin.v1.DeleteRole" OR protoPayload.methodName="google.iam.admin.v1.UpdateRole") gesetzt ist. Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
  • Zusätzliche IAM-Berechtigungen: roles/monitoring.alertPolicyViewer
  • Zusätzliche Eingaben: Liest Logmesswerte für das Projekt aus dem Speicher. Liest die Kontoinformationen von Google Cloud Observability aus Google Cloud Observability und sendet die Ergebnisse nur für Projekte mit aktiven Konten.
  • Echtzeit-Scans: Nein
Firewall not monitored

Kategoriename in der API: FIREWALL_NOT_MONITORED

Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an VPC-Netzwerk-Firewallregeln konfiguriert.

Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 2.7
  • CIS GCP Foundation 1.1: 2.7
  • CIS GCP Foundation 1.2: 2.7
  • CIS GCP Foundation 1.3: 2.7
  • CIS GCP Foundation 2.0: 2.7
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf resource.type="gce_firewall_rule" AND (protoPayload.methodName:"compute.firewalls.insert" OR protoPayload.methodName:"compute.firewalls.patch" OR protoPayload.methodName:"compute.firewalls.delete") gesetzt ist. Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
  • Zusätzliche IAM-Berechtigungen: roles/monitoring.alertPolicyViewer
  • Zusätzliche Eingaben: Liest Logmesswerte für das Projekt aus dem Speicher. Liest die Kontoinformationen von Google Cloud Observability aus Google Cloud Observability und sendet die Ergebnisse nur für Projekte mit aktiven Konten.
  • Echtzeit-Scans: Nein
Network not monitored

Kategoriename in der API: NETWORK_NOT_MONITORED

Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen am VPC-Netzwerk konfiguriert.

Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 2.9
  • CIS GCP Foundation 1.1: 2.9
  • CIS GCP Foundation 1.2: 2.9
  • CIS GCP Foundation 1.3: 2.9
  • CIS GCP Foundation 2.0: 2.9
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf resource.type="gce_network" AND (protoPayload.methodName:"compute.networks.insert" OR protoPayload.methodName:"compute.networks.patch" OR protoPayload.methodName:"compute.networks.delete" OR protoPayload.methodName:"compute.networks.removePeering" OR protoPayload.methodName:"compute.networks.addPeering") gesetzt ist. Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
  • Zusätzliche IAM-Berechtigungen: roles/monitoring.alertPolicyViewer
  • Zusätzliche Eingaben: Liest Logmesswerte für das Projekt aus dem Speicher. Liest die Kontoinformationen von Google Cloud Observability aus Google Cloud Observability und sendet die Ergebnisse nur für Projekte mit aktiven Konten.
  • Echtzeit-Scans: Nein
Owner not monitored

Kategoriename in der API: OWNER_NOT_MONITORED

Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Zuweisungen oder Änderungen an der Projektinhaberschaft konfiguriert.

Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 2.4
  • CIS GCP Foundation 1.1: 2.4
  • CIS GCP Foundation 1.2: 2.4
  • CIS GCP Foundation 1.3: 2.4
  • CIS GCP Foundation 2.0: 2.4
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf (protoPayload.serviceName="cloudresourcemanager.googleapis.com") AND (ProjectOwnership OR projectOwnerInvitee) OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") festgelegt ist und ob, wenn resource.type angegeben ist, der Wert global ist. Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
  • Zusätzliche IAM-Berechtigungen: roles/monitoring.alertPolicyViewer
  • Zusätzliche Eingaben: Liest Logmesswerte für das Projekt aus dem Speicher. Liest die Kontoinformationen von Google Cloud Observability aus Google Cloud Observability und sendet die Ergebnisse nur für Projekte mit aktiven Konten.
  • Echtzeit-Scans: Nein
Route not monitored

Kategoriename in der API: ROUTE_NOT_MONITORED

Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an der VPC-Netzwerkroute konfiguriert.

Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 2.8
  • CIS GCP Foundation 1.1: 2.8
  • CIS GCP Foundation 1.2: 2.8
  • CIS GCP Foundation 1.3: 2.8
  • CIS GCP Foundation 2.0: 2.8
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf resource.type="gce_route" AND (protoPayload.methodName:"compute.routes.delete" OR protoPayload.methodName:"compute.routes.insert") gesetzt ist. Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
  • Zusätzliche IAM-Berechtigungen: roles/monitoring.alertPolicyViewer
  • Zusätzliche Eingaben: Liest Logmesswerte für das Projekt aus dem Speicher. Liest die Kontoinformationen von Google Cloud Observability aus Google Cloud Observability und sendet die Ergebnisse nur für Projekte mit aktiven Konten.
  • Echtzeit-Scans: Nein
SQL instance not monitored

SQL_INSTANCE_NOT_MONITORED

Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an Cloud SQL-Instanzen konfiguriert.

Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Preisstufe: Premium

Unterstützte Assets
cloudresourcemanager.googleapis.com/Project

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 2.8
  • CIS GCP Foundation 1.1: 2.8
  • CIS GCP Foundation 1.2: 2.8
  • CIS GCP Foundation 1.3: 2.8
  • CIS GCP Foundation 2.0: 2.8
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf protoPayload.methodName="cloudsql.instances.update" OR protoPayload.methodName="cloudsql.instances.create" OR protoPayload.methodName="cloudsql.instances.delete" festgelegt ist und ob, wenn resource.type angegeben ist, der Wert global ist. Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
  • Zusätzliche IAM-Berechtigungen: roles/monitoring.alertPolicyViewer
  • Zusätzliche Eingaben: Liest Logmesswerte für das Projekt aus dem Speicher. Liest die Kontoinformationen von Google Cloud Observability aus Google Cloud Observability und sendet die Ergebnisse nur für Projekte mit aktiven Konten.
  • Echtzeit-Scans: Nein

Ergebnisse zur Multi-Faktor-Authentifizierung

Der MFA_SCANNER-Detektor erkennt Sicherheitslücken bei der Multi-Faktor-Authentifizierung für Nutzer.

Detektor Fazit Asset-Scaneinstellungen
MFA not enforced

Kategoriename in der API: MFA_NOT_ENFORCED

Es gibt Nutzer, die die Bestätigung in zwei Schritten nicht verwenden.

In Google Workspace können Sie für neue Nutzer einen Toleranzzeitraum für die Registrierung festlegen, in dem sie sich für die Bestätigung in zwei Schritten registrieren müssen. Dieser Detector erstellt während des Kulanzzeitraums für die Registrierung Ergebnisse für Nutzer.

Dieser Hinweis ist nicht für Aktivierungen auf Projektebene verfügbar.

Preisstufe: Premium oder Standard

Unterstützte Assets
cloudresourcemanager.googleapis.com/Organization

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 1.2
  • CIS GCP Foundation 1.1: 1.2
  • CIS GCP Foundation 1.2: 1.2
  • CIS GCP Foundation 1.3: 1.2
  • CIS GCP Foundation 2.0: 1.2
  • NIST 800-53 R4: IA-2
  • PCI-DSS v3.2.1: 8.3
  • ISO-27001 v2013: A.9.4.2
  • ISO-27001 v2022: A.8.5

Wertet Richtlinien zur Identitätsverwaltung in Organisationen und Nutzereinstellungen für verwaltete Konten in Cloud Identity aus.

  • Von Scans ausgeschlossene Assets: Organisationseinheiten, für die Ausnahmen von der Richtlinie gewährt wurden
  • Zusätzliche Eingaben: Liest Daten aus Google Workspace
  • Echtzeit-Scans: Nein

Ergebnisse zu Netzwerk-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf die Netzwerkkonfigurationen einer Organisation und gehören zum Typ NETWORK_SCANNER.

Detektor Fazit Asset-Scaneinstellungen
Default network

Kategoriename in der API: DEFAULT_NETWORK

Ergebnisbeschreibung: Das Standardnetzwerk ist in einem Projekt vorhanden.

Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Network

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 3.1
  • CIS GCP Foundation 1.1: 3.1
  • CIS GCP Foundation 1.2: 3.1
  • CIS GCP Foundation 1.3: 3.1
  • CIS GCP Foundation 2.0: 3.1
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

Prüft, ob das Attribut name in den Netzwerkmetadaten auf default gesetzt ist

  • Von Scans ausgeschlossene Assets: Projekte, bei denen die Compute Engine API deaktiviert ist und Compute Engine-Ressourcen in einem eingefrorenen Zustand sind.
  • Echtzeit-Scans: Ja
DNS logging disabled

Kategoriename in der API: DNS_LOGGING_DISABLED

Ergebnisbeschreibung: Das DNS-Logging in einem VPC-Netzwerk ist nicht aktiviert.

Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Network
dns.googleapis.com/Policy

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.2: 2.12
  • CIS GCP Foundation 1.3: 2.12
  • CIS GCP Foundation 2.0: 2.12
  • NIST 800-53 R5: AU-6, AU-7
  • PCI-DSS v4.0: 10.4.1, 10.4.1.1, 10.4.2, 10.4.3
  • ISO-27001 v2022: A.5.25
  • Cloud Controls Matrix 4: LOG-05
  • NIST Cybersecurity Framework 1.0: DE-AE-2, PR-PT-1, RS-AN-1
  • SOC2 v2017: CC4.1.1, CC4.1.2, CC4.1.3, CC4.1.4, CC4.1.5, CC4.1.6, CC4.1.7, CC4.1.8, CC7.3.1, CC7.3.2, CC7.3.3, CC7.3.4, CC7.3.5
  • HIPAA: 164.308(a)(1)(ii), 164.312(b)
  • CIS Controls 8.0: 8.11, 8.2, 8.6

Prüft alle policies, die mit einem VPC-Netzwerk über das networks[].networkUrl-Feld verknüpft sind, und sucht nach mindestens einer Richtlinie, in der enableLogging auf true festgelegt ist.

  • Von Scans ausgeschlossene Assets: Projekte, bei denen die Compute Engine API deaktiviert ist und Compute Engine-Ressourcen in einem eingefrorenen Zustand sind.
  • Echtzeit-Scans: Ja
Legacy network

Kategoriename in der API: LEGACY_NETWORK

Ergebnisbeschreibung: Ein Legacy-Netzwerk ist in einem Projekt vorhanden.

Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Network

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 3.2
  • CIS GCP Foundation 1.1: 3.2
  • CIS GCP Foundation 1.2: 3.2
  • CIS GCP Foundation 1.3: 3.2
  • CIS GCP Foundation 2.0: 3.2
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

Prüft die Netzwerkmetadaten auf das Vorhandensein des Attributs IPv4Range.

  • Von Scans ausgeschlossene Assets: Projekte, bei denen die Compute Engine API deaktiviert ist und Compute Engine-Ressourcen in einem eingefrorenen Zustand sind.
  • Echtzeit-Scans: Ja
Load balancer logging disabled

Kategoriename in der API: LOAD_BALANCER_LOGGING_DISABLED

Ergebnisbeschreibung: Logging ist für den Load Balancer deaktiviert.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/BackendServices

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 2.0: 2.16
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2

Prüft, ob das Attribut enableLogging des Backend-Dienstes auf dem Load Balancer auf true gesetzt ist.

  • Echtzeit-Scans: Ja

Ergebnisse zu Sicherheitslücken in Organisationsrichtlinien

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Konfigurationen von Einschränkungen für Organisationsrichtlinien und gehören zum Typ ORG_POLICY.

Detektor Fazit Asset-Scaneinstellungen
Org policy Confidential VM policy

Kategoriename in der API: ORG_POLICY_CONFIDENTIAL_VM_POLICY

Ergebnisbeschreibung: Eine Compute Engine-Ressource verstößt gegen die Organisationsrichtlinie constraints/compute.restrictNonConfidentialComputing. Weitere Informationen zu dieser Einschränkung der Organisationsrichtlinie finden Sie unter Einschränkungen für Organisationsrichtlinien in Confidential VM durchsetzen.

Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet.

Prüft, ob das Attribut enableConfidentialCompute einer Compute Engine-Instanz auf true gesetzt ist.

  • Von Scans ausgeschlossene Assets: GKE-Instanzen
  • Zusätzliche IAM-Berechtigungen: permissions/orgpolicy.policy.get
  • Zusätzliche Eingaben: Liest die geltende Organisationsrichtlinie aus dem Organisationsrichtliniendienst
  • Echtzeit-Scans: Nein
Org policy location restriction

Kategoriename in der API: ORG_POLICY_LOCATION_RESTRICTION

Ergebnisbeschreibung: Eine Compute Engine-Ressource verstößt gegen die Einschränkung constraints/gcp.resourceLocations. Weitere Informationen zu dieser Einschränkung der Organisationsrichtlinie finden Sie unter Einschränkungen für Organisationsrichtlinien durchsetzen.

Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Preisstufe: Premium

Unterstützte Assets
In der folgenden Zeile finden Sie Informationen zu unterstützten Assets für ORG_POLICY_LOCATION_RESTRICTION.

Dieses Ergebnis korrigieren

Compliance-Standards:

Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet.

Prüft das Attribut listPolicy in den Metadaten der unterstützten Ressourcen auf eine Liste mit zulässigen oder abgelehnten Speicherorten.

  • Zusätzliche IAM-Berechtigungen: permissions/orgpolicy.policy.get
  • Zusätzliche Eingaben: Liest die geltende Organisationsrichtlinie aus dem Organisationsrichtliniendienst
  • Echtzeit-Scans: Nein

Unterstützte Assets für ORG_POLICY_LOCATION_RESTRICTION

Compute Engine
compute.googleapis.com/Autoscaler
compute.googleapis.com/Address
compute.googleapis.com/Commitment
compute.googleapis.com/Disk
compute.googleapis.com/ForwardingRule
compute.googleapis.com/HealthCheck
compute.googleapis.com/Image
compute.googleapis.com/Instance
compute.googleapis.com/InstanceGroup
compute.googleapis.com/InstanceGroupManager
compute.googleapis.com/InterconnectAttachment
compute.googleapis.com/NetworkEndpointGroup
compute.googleapis.com/NodeGroup
compute.googleapis.com/NodeTemplate
compute.googleapis.com/PacketMirroring
compute.googleapis.com/RegionBackendService
compute.googleapis.com/RegionDisk
compute.googleapis.com/ResourcePolicy
compute.googleapis.com/Reservation
compute.googleapis.com/Router
compute.googleapis.com/Snapshot
compute.googleapis.com/SslCertificate
compute.googleapis.com/Subnetwork
compute.googleapis.com/TargetHttpProxy
compute.google.apis.com/TargetHttpsProxy
compute.googleapis.com/TargetInstance
compute.googleapis.com/TargetPool
compute.googleapis.com/TargetVpnGateway
compute.googleapis.com/UrlMap
compute.googleapis.com/VpnGateway
compute.googleapis.com/VpnTunnel

GKE
container.googleapis.com/Cluster
container.googleapis.com/NodePool

Cloud Storage
storage.googleapis.com/Bucket

Cloud KMS
cloudkms.googleapis.com/CryptoKey1
cloudkms.googleapis.com/CryptoKeyVersion1
cloudkms.googleapis.com/ImportJob2
cloudkms.googleapis.com/KeyRing1

Dataproc
dataproc.googleapis.com/Cluster

BigQuery
bigquery.googleapis.com/Dataset

Dataflow
dataflow.googleapis.com/Job3

Cloud SQL
sqladmin.googleapis.com/Instance

Cloud Composer
composer.googleapis.com/Environment

Logging
logging.googleapis.com/LogBucket

Pub/Sub
pubsub.googleapis.com/Topic

Vertex AI
aiplatform.googleapis.com/BatchPredictionJob
aiplatform.googleapis.com/CustomJob
aiplatform.googleapis.com/Dataset
aiplatform.googleapis.com/Endpoint
aiplatform.googleapis.com/HyperparameterTuningJob
aiplatform.googleapis.com/Model
aiplatform.googleapis.com/SpecialistPool
aiplatform.googleapis.com/TrainingPipeline

Artifact Registry
artifactregistry.googleapis.com/Repository

1 Da Cloud KMS-Assets nicht gelöscht werden können, gilt das Asset nicht als außerhalb der Region, wenn die Daten des Assets zerstört wurden.

2 Da Cloud KMS-Importjobs einen gesteuerten Lebenszyklus haben und nicht vorzeitig beendet werden können, gilt ein ImportJob nicht als außerhalb der Region, wenn er abgelaufen ist und nicht mehr verwendet werden kann, um Schlüssel zu importieren.

3 Da der Lebenszyklus von Dataflow-Jobs nicht verwaltet werden kann, gilt ein Job nicht als außerhalb der Region, wenn er einen Endstatus (beendet oder per Drain beendet) erreicht hat, in dem er nicht mehr zur Verarbeitung von Daten verwendet werden kann.

Pub/Sub-Sicherheitslücken

Alle Sicherheitslücken dieses Detektortyps beziehen sich auf Pub/Sub-Konfigurationen und gehören zum Typ PUBSUB_SCANNER.

Detektor Fazit Asset-Scaneinstellungen
Pubsub CMEK disabled

Kategoriename in der API: PUBSUB_CMEK_DISABLED

Ergebnisbeschreibung: Ein Pub/Sub-Thema wird nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren.

Preisstufe: Premium

Unterstützte Assets
pubsub.googleapis.com/Topic

Dieses Ergebnis korrigieren

Compliance-Standards:

Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet.

Prüft das Feld kmsKeyName auf den Ressourcennamen Ihres CMEK.

  • Echtzeit-Scans: Ja

Ergebnisse zu SQL-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud SQL-Konfigurationen und gehören zum Typ SQL_SCANNER.

Detektor Fazit Asset-Scaneinstellungen
AlloyDB auto backup disabled

Kategoriename in der API: ALLOYDB_AUTO_BACKUP_DISABLED

Ergebnisbeschreibung: In einem AlloyDB for PostgreSQL-Cluster sind keine automatischen Sicherungen aktiviert.

Preisstufe: Premium

Unterstützte Assets
alloydb.googleapis.com/Cluster

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R4: CP-9
  • NIST 800-53 R5: CP-10, CP-9
  • ISO-27001 v2013: A.12.3.1
  • ISO-27001 v2022: A.8.13
  • NIST Cybersecurity Framework 1.0: PR-IP-4
  • HIPAA: 164.308(a)(7)(ii)

Prüft, ob das Attribut automated_backup_policy.enabled in den Metadaten eines AlloyDB for PostgreSQL-Clusters auf true festgelegt ist.

  • Von Scans ausgeschlossene Assets: sekundäre AlloyDB for PostgreSQL-Cluster
  • Echtzeit-Scans: Ja
AlloyDB backups disabled

Kategoriename in der API: ALLOYDB_BACKUPS_DISABLED

Ergebnisbeschreibung: Für einen AlloyDB for PostgreSQL-Cluster sind keine Sicherungen aktiviert.

Preisstufe: Premium

Unterstützte Assets
alloydb.googleapis.com/Cluster

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R4: CP-9
  • NIST 800-53 R5: CP-10, CP-9
  • ISO-27001 v2013: A.12.3.1
  • ISO-27001 v2022: A.8.13
  • NIST Cybersecurity Framework 1.0: PR-IP-4
  • HIPAA: 164.308(a)(7)(ii)

Prüft, ob die automated_backup_policy.enabled- oder continuous_backup_policy.enabled-Attribute in den Metadaten eines AlloyDB for PostgreSQL-Clusters auf true festgelegt sind.

  • Von Scans ausgeschlossene Assets: sekundäre AlloyDB for PostgreSQL-Cluster
  • Echtzeit-Scans: Ja
AlloyDB CMEK disabled

Kategoriename in der API: ALLOYDB_CMEK_DISABLED

Ergebnisbeschreibung: Ein AlloyDB-Cluster wird nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt.

Preisstufe: Premium

Unterstützte Assets
alloydb.googleapis.com/Cluster

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Prüft das Feld encryption_type in den Clustermetadaten, um festzustellen, ob CMEK aktiviert ist.

  • Echtzeit-Scans: Ja
AlloyDB log min error statement severity

Kategoriename in der API: ALLOYDB_LOG_MIN_ERROR_STATEMENT_SEVERITY

Ergebnisbeschreibung: Das Datenbank-Flag log_min_error_statement für eine AlloyDB for PostgreSQL-Instanz ist nicht auf error oder einen anderen empfohlenen Wert festgelegt.

Preisstufe: Premium

Unterstützte Assets
alloydb.googleapis.com/Instances

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3

Damit alle Nachrichtentypen in den Protokollen abgedeckt sind, wird eine Meldung ausgegeben, wenn das Feld log_min_error_statement der Property databaseFlags nicht auf einen der folgenden Werte festgelegt ist: debug5, debug4, debug3, debug2, debug1, info, notice, warning oder den Standardwert error.

  • Echtzeit-Scans: Ja
AlloyDB log min messages

Kategoriename in der API: ALLOYDB_LOG_MIN_MESSAGES

Ergebnisbeschreibung: Das Datenbank-Flag log_min_messages für eine AlloyDB for PostgreSQL-Instanz ist nicht auf warning oder einen anderen empfohlenen Wert festgelegt.

Preisstufe: Premium

Unterstützte Assets
alloydb.googleapis.com/Instances

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3

Damit alle Nachrichtentypen in den Protokollen abgedeckt sind, wird eine Meldung ausgegeben, wenn das Feld log_min_messages der Property databaseFlags nicht auf einen der folgenden Werte festgelegt ist: debug5, debug4, debug3, debug2, debug1, info, notice oder den Standardwert warning.

  • Echtzeit-Scans: Ja
AlloyDB log error verbosity

Kategoriename in der API: ALLOYDB_LOG_ERROR_VERBOSITY

Ergebnisbeschreibung: Das Datenbank-Flag log_error_verbosity für eine AlloyDB for PostgreSQL-Instanz ist nicht auf default oder einen anderen empfohlenen Wert festgelegt.

Preisstufe: Premium

Unterstützte Assets
alloydb.googleapis.com/Instances

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3

Um eine ausreichende Abdeckung der Nachrichtentypen in den Protokollen zu gewährleisten, wird eine Meldung ausgegeben, wenn das Feld log_error_verbosity der Property databaseFlags nicht auf einen der folgenden Werte festgelegt ist: verbose oder den Standardwert default.

  • Echtzeit-Scans: Ja
AlloyDB public IP

Kategoriename in der API: ALLOYDB_PUBLIC_IP

Ergebnisbeschreibung: Eine AlloyDB for PostgreSQL-Datenbankinstanz hat eine öffentliche IP-Adresse.

Preisstufe: Premium

Unterstützte Assets
alloydb.googleapis.com/Instances

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MA-4, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.2, CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3, 4.6

Prüft, ob das Feld enablePublicIp des Attributs instanceNetworkConfig so konfiguriert ist, dass öffentliche IP-Adressen zulässig sind.

  • Echtzeit-Scans: Ja
AlloyDB SSL not enforced

Kategoriename in der API: ALLOYDB_SSL_NOT_ENFORCED

Ergebnisbeschreibung: Für eine AlloyDB for PostgreSQL-Datenbankinstanz müssen nicht alle eingehenden Verbindungen SSL verwenden.

Preisstufe: Premium

Unterstützte Assets
alloydb.googleapis.com/Instances

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 4.1
  • ISO-27001 v2013: A.13.2.1, A.14.1.3, A.8.2.3

Prüft, ob das Attribut sslMode der AlloyDB for PostgreSQL-Instanz auf ENCRYPTED_ONLY festgelegt ist.

  • Echtzeit-Scans: Ja
Auto backup disabled

Kategoriename in der API: AUTO_BACKUP_DISABLED

Ergebnisbeschreibung: In einer Cloud SQL-Datenbank sind keine automatischen Sicherungen aktiviert.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.1: 6.7
  • CIS GCP Foundation 1.2: 6.7
  • CIS GCP Foundation 1.3: 6.7
  • CIS GCP Foundation 2.0: 6.7
  • NIST 800-53 R4: CP-9
  • NIST 800-53 R5: CP-10, CP-9
  • ISO-27001 v2013: A.12.3.1
  • ISO-27001 v2022: A.8.13
  • NIST Cybersecurity Framework 1.0: PR-IP-4
  • HIPAA: 164.308(a)(7)(ii)
  • CIS Controls 8.0: 11.2

Prüft, ob das Attribut backupConfiguration.enabled von Cloud SQL-Daten auf true festgelegt ist.

  • Von Scans ausgeschlossene Assets: Cloud SQL-Replikate
  • Zusätzliche Eingaben: Liest IAM-Zulassungsrichtlinien für Ancestors aus dem Asset-Speicher von Security Health Analytics
  • Echtzeit-Scans: Ja
Public SQL instance

Kategoriename in der API: PUBLIC_SQL_INSTANCE

Ergebnisbeschreibung: Eine Cloud SQL-Datenbankinstanz akzeptiert Verbindungen von allen IP-Adressen.

Preisstufe: Premium oder Standard

Unterstützte Assets
sqladmin.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 6.2
  • CIS GCP Foundation 1.1: 6.5
  • CIS GCP Foundation 1.2: 6.5
  • CIS GCP Foundation 1.3: 6.5
  • CIS GCP Foundation 2.0: 6.5
  • NIST 800-53 R4: CA-3, SC-7
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.13.1.3, A.14.1.3, A.8.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Prüft, ob für das Attribut authorizedNetworks von Cloud SQL-Instanzen eine einzelne IP-Adresse oder ein IP-Adressbereich festgelegt ist.

  • Echtzeit-Scans: Ja
SSL not enforced

Kategoriename in der API: SSL_NOT_ENFORCED

Ergebnisbeschreibung: Für eine Cloud SQL-Datenbankinstanz müssen nicht alle eingehenden Verbindungen SSL verwenden.

Preisstufe: Premium oder Standard

Unterstützte Assets
sqladmin.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 4.1
  • ISO-27001 v2013: A.13.2.1, A.14.1.3, A.8.2.3

Prüft, ob das Attribut sslMode der Cloud SQL-Instanz auf einen genehmigten SSL-Modus festgelegt ist, entweder ENCRYPTED_ONLY oder TRUSTED_CLIENT_CERTIFICATE_REQUIRED.

  • Echtzeit-Scans: Ja
SQL CMEK disabled

Kategoriename in der API: SQL_CMEK_DISABLED

Ergebnisbeschreibung: Eine SQL-Datenbankinstanz wird nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEKs) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet.

Prüft das Feld kmsKeyName im Objekt diskEncryptionKey in den Instanzmetadaten auf den Ressourcennamen Ihres CMEK.

  • Echtzeit-Scans: Ja
SQL contained database authentication

Kategoriename in der API: SQL_CONTAINED_DATABASE_AUTHENTICATION

Ergebnisbeschreibung: Das Datenbank-Flag contained database authentication für eine Cloud SQL for SQL Server-Instanz ist nicht auf off gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.1: 6.3.2
  • CIS GCP Foundation 1.2: 6.3.7
  • CIS GCP Foundation 1.3: 6.3.7
  • CIS GCP Foundation 2.0: 6.3.7
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Prüft das Attribut databaseFlags der Instanzmetadaten für das Schlüssel/Wert-Paar "name": "contained database authentication", "value": "on" oder ob es standardmäßig aktiviert ist.

  • Echtzeit-Scans: Ja
SQL cross DB ownership chaining

Kategoriename in der API: SQL_CROSS_DB_OWNERSHIP_CHAINING

Ergebnisbeschreibung: Das Datenbank-Flag cross_db_ownership_chaining für eine Cloud SQL for SQL Server-Instanz ist nicht auf off gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.1: 6.3.1
  • CIS GCP Foundation 1.2: 6.3.2
  • CIS GCP Foundation 1.3: 6.3.2
  • CIS GCP Foundation 2.0: 6.3.2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Prüft das Attribut databaseFlags von Instanzmetadaten für das Schlüssel/Wert-Paar "name": "cross_db_ownership_chaining", "value": "on".

  • Echtzeit-Scans: Ja
SQL external scripts enabled

Kategoriename in der API: SQL_EXTERNAL_SCRIPTS_ENABLED

Ergebnisbeschreibung: Das Datenbank-Flag external scripts enabled für eine Cloud SQL for SQL Server-Instanz ist nicht auf off gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.2: 6.3.1
  • CIS GCP Foundation 1.3: 6.3.1
  • CIS GCP Foundation 2.0: 6.3.1
  • NIST 800-53 R5: CM-7, SI-7
  • PCI-DSS v4.0: 1.2.5, 2.2.4, 6.4.3
  • NIST Cybersecurity Framework 1.0: PR-IP-1, PR-PT-3
  • SOC2 v2017: CC5.2.1, CC5.2.2, CC5.2.3, CC5.2.4
  • CIS Controls 8.0: 2.7

Prüft das Attribut databaseFlags von Instanzmetadaten für das Schlüssel/Wert-Paar "name": "external scripts enabled", "value": "off".

  • Echtzeit-Scans: Ja
SQL local infile

Kategoriename in der API: SQL_LOCAL_INFILE

Ergebnisbeschreibung: Das Datenbank-Flag local_infile für eine Cloud SQL for MySQL-Instanz ist nicht auf off gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.1: 6.1.2
  • CIS GCP Foundation 1.2: 6.1.3
  • CIS GCP Foundation 1.3: 6.1.3
  • CIS GCP Foundation 2.0: 6.1.3
  • NIST 800-53 R5: CM-6, CM-7
  • PCI-DSS v4.0: 2.2.1
  • ISO-27001 v2022: A.8.8
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • CIS Controls 8.0: 16.7

Prüft das Attribut databaseFlags von Instanzmetadaten für das Schlüssel/Wert-Paar "name": "local_infile", "value": "on".

  • Echtzeit-Scans: Ja
SQL log checkpoints disabled

Kategoriename in der API: SQL_LOG_CHECKPOINTS_DISABLED

Ergebnisbeschreibung: Das Datenbank-Flag log_checkpoints für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf on gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.1: 6.2.1
  • CIS GCP Foundation 1.2: 6.2.1

Prüft das Attribut databaseFlags von Instanzmetadaten für das Schlüssel/Wert-Paar "name": "log_checkpoints", "value": "on".

  • Echtzeit-Scans: Ja
SQL log connections disabled

Kategoriename in der API: SQL_LOG_CONNECTIONS_DISABLED

Ergebnisbeschreibung: Das Datenbank-Flag log_connections für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf on gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.1: 6.2.2
  • CIS GCP Foundation 1.2: 6.2.3
  • CIS GCP Foundation 1.3: 6.2.2
  • CIS GCP Foundation 2.0: 6.2.2
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Prüft das Attribut databaseFlags von Instanzmetadaten für das Schlüssel/Wert-Paar "name": "log_connections", "value": "on".

  • Echtzeit-Scans: Ja
SQL log disconnections disabled

Kategoriename in der API: SQL_LOG_DISCONNECTIONS_DISABLED

Ergebnisbeschreibung: Das Datenbank-Flag log_disconnections für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf on gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.1: 6.2.3
  • CIS GCP Foundation 1.2: 6.2.4
  • CIS GCP Foundation 1.3: 6.2.3
  • CIS GCP Foundation 2.0: 6.2.3
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Prüft das Attribut databaseFlags von Instanzmetadaten für das Schlüssel/Wert-Paar "name": "log_disconnections", "value": "on".

  • Echtzeit-Scans: Ja
SQL log duration disabled

Kategoriename in der API: SQL_LOG_DURATION_DISABLED

Ergebnisbeschreibung: Das Datenbank-Flag log_duration für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf on gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.2: 6.2.5

Prüft das Attribut databaseFlags von Instanzmetadaten für das Schlüssel/Wert-Paar "name": "log_duration", "value": "on".

  • Echtzeit-Scans: Ja
SQL log error verbosity

Kategoriename in der API: SQL_LOG_ERROR_VERBOSITY

Ergebnisbeschreibung: Das Datenbank-Flag log_error_verbosity für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf default oder verbose gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.2: 6.2.2
  • CIS GCP Foundation 1.3: 6.2.1
  • CIS GCP Foundation 2.0: 6.2.1
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Prüft, ob das databaseFlags-Attribut der Instanzmetadaten für das log_error_verbosity-Feld auf default oder verbose festgelegt ist.

  • Echtzeit-Scans: Ja
SQL log lock waits disabled

Kategoriename in der API: SQL_LOG_LOCK_WAITS_DISABLED

Ergebnisbeschreibung: Das Datenbank-Flag log_lock_waits für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf on gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.1: 6.2.4
  • CIS GCP Foundation 1.2: 6.2.6

Prüft das Attribut databaseFlags von Instanzmetadaten für das Schlüssel/Wert-Paar "name": "log_lock_waits", "value": "on".

  • Echtzeit-Scans: Ja
SQL log min duration statement enabled

Kategoriename in der API: SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

Ergebnisbeschreibung: Das Datenbank-Flag log_min_duration_statement für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf "-1" gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.1: 6.2.7
  • CIS GCP Foundation 1.2: 6.2.16
  • CIS GCP Foundation 1.3: 6.2.8
  • CIS GCP Foundation 2.0: 6.2.7
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Prüft das Attribut databaseFlags von Instanzmetadaten für das Schlüssel/Wert-Paar "name": "log_min_duration_statement", "value": "-1".

  • Echtzeit-Scans: Ja
SQL log min error statement

Kategoriename in der API: SQL_LOG_MIN_ERROR_STATEMENT

Ergebnisbeschreibung: Das Datenbank-Flag log_min_error_statement für eine Cloud SQL for PostgreSQL-Instanz ist nicht richtig festgelegt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.1: 6.2.5

Prüft, ob das Feld log_min_error_statement des Attributs databaseFlags auf einen der folgenden Werte festgelegt ist: debug5, debug4, debug3, debug2, debug1, info, notice, warning oder den Standardwert error.

  • Echtzeit-Scans: Ja
SQL log min error statement severity

Kategoriename in der API: SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

Ergebnisbeschreibung: Das Datenbank-Flag log_min_error_statement für eine Cloud SQL for PostgreSQL-Instanz hat keinen geeigneten Schweregrad.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.2: 6.2.14
  • CIS GCP Foundation 1.3: 6.2.7
  • CIS GCP Foundation 2.0: 6.2.6
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Prüft, ob das log_min_error_statement-Feld des databaseFlags-Attributs auf einen der folgenden Werte gesetzt ist: error, log, fatal oder panic.

  • Echtzeit-Scans: Ja
SQL log min messages

Kategoriename in der API: SQL_LOG_MIN_MESSAGES

Ergebnisbeschreibung: Das Datenbank-Flag log_min_messages für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf warning oder einen anderen empfohlenen Wert festgelegt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.2: 6.2.13
  • CIS GCP Foundation 1.3: 6.2.6
  • CIS GCP Foundation 2.0: 6.2.5
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Damit alle Nachrichtentypen in den Protokollen abgedeckt sind, wird eine Meldung ausgegeben, wenn das Feld log_min_messages der Property databaseFlags nicht auf einen der folgenden Werte festgelegt ist: debug5, debug4, debug3, debug2, debug1, info, notice oder den Standardwert warning.

  • Echtzeit-Scans: Ja
SQL log executor stats enabled

Kategoriename in der API: SQL_LOG_EXECUTOR_STATS_ENABLED

Ergebnisbeschreibung: Das Datenbank-Flag log_executor_stats für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf off gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.2: 6.2.11

Prüft, ob das databaseFlags-Attribut der Instanzmetadaten für das log_executor_stats-Feld auf on festgelegt ist.

  • Echtzeit-Scans: Ja
SQL log hostname enabled

Kategoriename in der API: SQL_LOG_HOSTNAME_ENABLED

Ergebnisbeschreibung: Das Datenbank-Flag log_hostname für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf off gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.2: 6.2.8

Prüft, ob das databaseFlags-Attribut der Instanzmetadaten für das log_hostname-Feld auf on festgelegt ist.

  • Echtzeit-Scans: Ja
SQL log parser stats enabled

Kategoriename in der API: SQL_LOG_PARSER_STATS_ENABLED

Ergebnisbeschreibung: Das Datenbank-Flag log_parser_stats für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf off gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.2: 6.2.9

Prüft, ob das databaseFlags-Attribut der Instanzmetadaten für das log_parser_stats-Feld auf on festgelegt ist.

  • Echtzeit-Scans: Ja
SQL log planner stats enabled

Kategoriename in der API: SQL_LOG_PLANNER_STATS_ENABLED

Ergebnisbeschreibung: Das Datenbank-Flag log_planner_stats für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf off gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.2: 6.2.10

Prüft, ob das databaseFlags-Attribut der Instanzmetadaten für das log_planner_stats-Feld auf on festgelegt ist.

  • Echtzeit-Scans: Ja
SQL log statement

Kategoriename in der API: SQL_LOG_STATEMENT

Ergebnisbeschreibung: Das Datenbank-Flag log_statement für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf ddl (alle Datendefinitionsanweisungen) gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.2: 6.2.7
  • CIS GCP Foundation 1.3: 6.2.4
  • CIS GCP Foundation 2.0: 6.2.4
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Prüft, ob das databaseFlags-Attribut der Instanzmetadaten für das log_statement-Feld auf ddl festgelegt ist.

  • Echtzeit-Scans: Ja
SQL log statement stats enabled

Kategoriename in der API: SQL_LOG_STATEMENT_STATS_ENABLED

Ergebnisbeschreibung: Das Datenbank-Flag log_statement_stats für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf off gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.2: 6.2.12

Prüft, ob das databaseFlags-Attribut der Instanzmetadaten für das log_statement_stats-Feld auf on festgelegt ist.

  • Echtzeit-Scans: Ja
SQL log temp files

Kategoriename in der API: SQL_LOG_TEMP_FILES

Ergebnisbeschreibung: Das Datenbank-Flag log_temp_files für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf "0" gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.1: 6.2.6
  • CIS GCP Foundation 1.2: 6.2.15

Prüft das Attribut databaseFlags von Instanzmetadaten für das Schlüssel/Wert-Paar "name": "log_temp_files", "value": "0".

  • Echtzeit-Scans: Ja
SQL no root password

Kategoriename in der API: SQL_NO_ROOT_PASSWORD

Ergebnisbeschreibung: Für eine Cloud SQL-Datenbank mit einer öffentlichen IP-Adresse ist für das Root-Konto kein Passwort konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 6.3
  • CIS GCP Foundation 1.1: 6.1.1
  • CIS GCP Foundation 1.2: 6.1.1
  • CIS GCP Foundation 1.3: 6.1.1
  • CIS GCP Foundation 2.0: 6.1.1
  • NIST 800-53 R4: AC-3
  • PCI-DSS v3.2.1: 2.1
  • ISO-27001 v2013: A.8.2.3, A.9.4.2
  • ISO-27001 v2022: A.8.5

Prüft, ob das Attribut rootPassword des Root-Kontos leer ist.

  • Zusätzliche IAM-Berechtigungen: roles/cloudsql.client
  • Zusätzliche Eingaben: Fragt Live-Instanzen ab
  • Echtzeit-Scans: Nein
SQL public IP

Kategoriename in der API: SQL_PUBLIC_IP

Ergebnisbeschreibung: Eine Cloud SQL-Datenbank hat eine öffentliche IP-Adresse.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.1: 6.6
  • CIS GCP Foundation 1.2: 6.6
  • CIS GCP Foundation 1.3: 6.6
  • CIS GCP Foundation 2.0: 6.2.9, 6.6
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MA-4, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.2, CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3, 4.6

Prüft, ob der IP-Adresstyp einer Cloud SQL-Datenbank auf Primary festgelegt ist, um anzugeben, dass sie öffentlich ist.

  • Echtzeit-Scans: Ja
SQL remote access enabled

Kategoriename in der API: SQL_REMOTE_ACCESS_ENABLED

Ergebnisbeschreibung: Das Datenbank-Flag remote access für eine Cloud SQL for SQL Server-Instanz ist nicht auf off gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.2: 6.3.5
  • CIS GCP Foundation 1.3: 6.3.5
  • CIS GCP Foundation 2.0: 6.3.5
  • NIST 800-53 R5: CM-6, CM-7
  • PCI-DSS v4.0: 1.2.5, 2.2.4, 6.4.1
  • ISO-27001 v2022: A.8.9
  • SOC2 v2017: CC6.6.1, CC6.6.3, CC6.6.4
  • CIS Controls 8.0: 4.8

Prüft das Attribut databaseFlags von Instanzmetadaten für das Schlüssel/Wert-Paar "name": "remote access", "value": "off".

  • Echtzeit-Scans: Ja
SQL skip show database disabled

Kategoriename in der API: SQL_SKIP_SHOW_DATABASE_DISABLED

Ergebnisbeschreibung: Das Datenbank-Flag skip_show_database für eine Cloud SQL for MySQL-Instanz ist nicht auf on gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.2: 6.1.2
  • CIS GCP Foundation 1.3: 6.1.2
  • CIS GCP Foundation 2.0: 6.1.2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Prüft das Attribut databaseFlags von Instanzmetadaten für das Schlüssel/Wert-Paar "name": "skip_show_database", "value": "on".

  • Echtzeit-Scans: Ja
SQL trace flag 3625

Kategoriename in der API: SQL_TRACE_FLAG_3625

Ergebnisbeschreibung: Das Datenbank-Flag 3625 (trace flag) für eine Cloud SQL for SQL Server-Instanz ist nicht auf on gesetzt.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.2: 6.3.6
  • CIS GCP Foundation 2.0: 6.3.6
  • NIST 800-53 R5: CM-1, CM-2, CM-6, CM-7, CM-9, SA-10, SA-3, SA-8
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.1, A.8.9
  • Cloud Controls Matrix 4: CCC-01
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC7.1.2, CC7.1.3, CC7.1.4, CC8.1.1, CC8.1.10, CC8.1.11, CC8.1.12, CC8.1.13, CC8.1.14, CC8.1.15, CC8.1.2, CC8.1.3, CC8.1.4, CC8.1.5, CC8.1.6, CC8.1.7, CC8.1.8, CC8.1.9
  • CIS Controls 8.0: 4.1

Prüft das Attribut databaseFlags von Instanzmetadaten für das Schlüssel/Wert-Paar "name": "3625 (trace flag)", "value": "on".

  • Echtzeit-Scans: Ja
SQL user connections configured

Kategoriename in der API: SQL_USER_CONNECTIONS_CONFIGURED

Ergebnisbeschreibung: Das Datenbank-Flag user connections für eine Cloud SQL for SQL Server-Instanz ist konfiguriert.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.2: 6.3.3
  • CIS GCP Foundation 1.3: 6.3.3
  • CIS GCP Foundation 2.0: 6.3.3
  • NIST 800-53 R5: CM-1, CM-2, CM-6, CM-7, CM-9, SA-10, SA-3, SA-8
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.1, A.8.9
  • Cloud Controls Matrix 4: CCC-01
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC7.1.2, CC7.1.3, CC7.1.4, CC8.1.1, CC8.1.10, CC8.1.11, CC8.1.12, CC8.1.13, CC8.1.14, CC8.1.15, CC8.1.2, CC8.1.3, CC8.1.4, CC8.1.5, CC8.1.6, CC8.1.7, CC8.1.8, CC8.1.9
  • CIS Controls 8.0: 4.1

Prüft das Attribut databaseFlags von Instanzmetadaten für das Schlüssel/Wert-Paar "name": "user connections", "value": "0".

  • Echtzeit-Scans: Ja
SQL user options configured

Kategoriename in der API: SQL_USER_OPTIONS_CONFIGURED

Ergebnisbeschreibung: Das Datenbank-Flag user options für eine Cloud SQL for SQL Server-Instanz ist konfiguriert.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.2: 6.3.4
  • CIS GCP Foundation 1.3: 6.3.4
  • CIS GCP Foundation 2.0: 6.3.4
  • NIST 800-53 R5: CM-1, CM-2, CM-6, CM-7, CM-9, SA-10, SA-3, SA-8
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.1, A.8.9
  • Cloud Controls Matrix 4: CCC-01
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC7.1.2, CC7.1.3, CC7.1.4, CC8.1.1, CC8.1.10, CC8.1.11, CC8.1.12, CC8.1.13, CC8.1.14, CC8.1.15, CC8.1.2, CC8.1.3, CC8.1.4, CC8.1.5, CC8.1.6, CC8.1.7, CC8.1.8, CC8.1.9
  • CIS Controls 8.0: 4.1

Prüft das Attribut databaseFlags von Instanzmetadaten auf das Schlüssel/Wert-Paar "name": "user options", "value": "" (leer).

  • Echtzeit-Scans: Ja
SQL weak root password

Kategoriename in der API: SQL_WEAK_ROOT_PASSWORD

Ergebnisbeschreibung: In einer Cloud SQL-Datenbank mit einer öffentlichen IP-Adresse ist ein schwaches Passwort für das Root-Konto konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren.

Preisstufe: Premium

Unterstützte Assets
sqladmin.googleapis.com/Instance

Dieses Ergebnis korrigieren

Compliance-Standards:

Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet.

Vergleicht das Passwort für das Root-Konto der Cloud SQL-Datenbank mit einer Liste gängiger Passwörter.

  • Zusätzliche IAM-Berechtigungen: roles/cloudsql.client
  • Zusätzliche Eingaben: Fragt Live-Instanzen ab
  • Echtzeit-Scans: Nein

Ergebnisse zu Speichersicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud Storage-Bucket-Konfigurationen und gehören zum Typ STORAGE_SCANNER.

Detektor Fazit Asset-Scaneinstellungen
Bucket CMEK disabled

Kategoriename in der API: BUCKET_CMEK_DISABLED

Ergebnisbeschreibung: Ein Bucket ist nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEKs) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung dazu finden Sie unter Detektoren aktivieren und deaktivieren.

Preisstufe: Premium

Unterstützte Assets
storage.googleapis.com/Bucket

Dieses Ergebnis korrigieren

Compliance-Standards:

Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet.

Prüft das Feld encryption in Bucket-Metadaten auf den Ressourcennamen Ihres CMEK.

  • Echtzeit-Scans: Ja
Bucket policy only disabled

Kategoriename in der API: BUCKET_POLICY_ONLY_DISABLED

Ergebnisbeschreibung: Der einheitliche Zugriff auf Bucket-Ebene, zuvor "Nur Bucket-Richtlinie" genannt, ist nicht konfiguriert.

Preisstufe: Premium

Unterstützte Assets
storage.googleapis.com/Bucket

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.2: 5.2
  • CIS GCP Foundation 1.3: 5.2
  • CIS GCP Foundation 2.0: 5.2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Prüft, ob das Attribut uniformBucketLevelAccess für einen Bucket auf "enabled":false gesetzt ist.

  • Echtzeit-Scans: Ja
Public bucket ACL

Kategoriename in der API: PUBLIC_BUCKET_ACL

Ergebnisbeschreibung: Ein Cloud Storage-Bucket ist öffentlich zugänglich.

Preisstufe: Premium oder Standard

Unterstützte Assets
storage.googleapis.com/Bucket

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 5.1
  • CIS GCP Foundation 1.1: 5.1
  • CIS GCP Foundation 1.2: 5.1
  • CIS GCP Foundation 1.3: 5.1
  • CIS GCP Foundation 2.0: 5.1
  • NIST 800-53 R4: AC-2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 7.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.14.1.3, A.8.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Prüft die IAM-Zulassungsrichtlinie eines Buckets auf öffentliche Rollen, allUsers oder allAuthenticatedUsers.

  • Echtzeit-Scans: Ja
Public log bucket

Kategoriename in der API: PUBLIC_LOG_BUCKET

Ergebnisbeschreibung: Ein als Logsenke verwendeter Storage-Bucket ist öffentlich zugänglich.

Dieser Hinweis ist nicht für Aktivierungen auf Projektebene verfügbar.

Preisstufe: Premium oder Standard

Unterstützte Assets
storage.googleapis.com/Bucket

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R4: AU-9
  • PCI-DSS v3.2.1: 10.5
  • ISO-27001 v2013: A.12.4.2, A.18.1.3, A.8.2.3

Prüft die IAM-Zulassungsrichtlinie eines Buckets für die Hauptkonten allUsers oder allAuthenticatedUsers, die öffentlichen Zugriff gewähren.

  • Zusätzliche Eingaben: Liest die Logsenke (den Logfilter und das Logziel) für einen Bucket, um zu ermitteln, ob es sich um einen Log-Bucket handelt.
  • Echtzeit-Scans: Ja, aber nur wenn sich die IAM-Richtlinie für den Bucket ändert, nicht wenn die Logsenke geändert wird

Ergebnisse zu Subnetzwerk-Sicherheitslücken

Sicherheitslücken dieses Detektortyps beziehen sich alle auf die Subnetzwerkkonfigurationen einer Organisation und gehören zum Typ SUBNETWORK_SCANNER.

Detektor Fazit Asset-Scaneinstellungen
Flow logs disabled

Kategoriename in der API: FLOW_LOGS_DISABLED

Ergebnisbeschreibung: In einem VPC-Subnetzwerk sind Flusslogs deaktiviert.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Subnetwork

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 3.9
  • CIS GCP Foundation 1.1: 3.8
  • CIS GCP Foundation 1.2: 3.8
  • NIST 800-53 R4: SI-4
  • PCI-DSS v3.2.1: 10.1, 10.2
  • ISO-27001 v2013: A.13.1.1

Prüft, ob das Attribut enableFlowLogs von Compute Engine-Subnetzwerken fehlt oder auf false gesetzt ist.

  • Von Scans ausgeschlossene Assets: Serverloser VPC-Zugriff, Load-Balancer-Subnetzwerke
  • Echtzeit-Scans: Ja

Ergebnisbeschreibung: Für ein VPC-Subnetzwerk sind VPC-Flusslogs entweder deaktiviert oder nicht gemäß den Empfehlungen von CIS Benchmark 1.3 konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren.

Preisstufe: Premium

Unterstützte Assets
compute.googleapis.com/Subnetwork

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.3: 3.8
  • CIS GCP Foundation 2.0: 3.8
  • NIST 800-53 R5: SI-4
  • ISO-27001 v2022: A.8.15, A.8.16
  • Cloud Controls Matrix 4: IVS-03
  • NIST Cybersecurity Framework 1.0: DE-CM-1
  • SOC2 v2017: CC7.2.1, CC7.2.2, CC7.2.3, CC7.2.4
  • CIS Controls 8.0: 13.6, 8.2

Prüft, ob das Attribut enableFlowLogs von VPC-Subnetzwerken fehlt oder auf false gesetzt ist. Wenn VPC-Flusslogs aktiviert ist, wird geprüft, ob die Eigenschaft Aggregation Interval auf 5 SEKUNDEN, Include metadata auf true und Sample rate auf 100% gesetzt ist.

  • Von Scans ausgeschlossene Assets: Serverloser VPC-Zugriff, Load-Balancer-Subnetzwerke
  • Echtzeit-Scans: Ja
Private Google access disabled

Kategoriename in der API: PRIVATE_GOOGLE_ACCESS_DISABLED

Ergebnisbeschreibung: Es gibt private Subnetzwerke ohne Zugriff auf öffentliche Google APIs.

Preisstufe: Premium

Unterstützte Assets
storage.googleapis.com/Bucket
compute.googleapis.com/Subnetwork

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS GCP Foundation 1.0: 3.8

Prüft, ob das Attribut privateIpGoogleAccess von Compute Engine-Subnetzwerken auf false gesetzt ist.

  • Echtzeit-Scans: Ja

AWS-Ergebnisse

Detektor Fazit Asset-Scaneinstellungen

AWS Cloud Shell Full Access Restricted

Kategoriename in der API: ACCESS_AWSCLOUDSHELLFULLACCESS_RESTRICTED

Ergebnisbeschreibung:

AWS CloudShell ist eine praktische Möglichkeit, Befehle für die Befehlszeile für AWS-Dienste auszuführen. Eine verwaltete IAM-Richtlinie (AWSCloudShellFullAccess) gewährt vollen Zugriff auf CloudShell, was das Hoch- und Herunterladen von Dateien zwischen dem lokalen System eines Nutzers und der CloudShell-Umgebung ermöglicht. Innerhalb der CloudShell-Umgebung hat ein Nutzer sudo-Berechtigungen und kann auf das Internet zugreifen. So ist es beispielsweise möglich, Software zur Dateiübertragung zu installieren und Daten von CloudShell auf externe Internetserver zu verschieben.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS AWS Foundation 2.0.0: 1.22

Achten Sie darauf, dass der Zugriff auf AWSCloudShellFullAccess eingeschränkt ist

  • Echtzeit-Scans: Nein

Access Keys Rotated Every 90 Days or Less

Kategoriename in der API: ACCESS_KEYS_ROTATED_90_DAYS_LESS

Ergebnisbeschreibung:

Zugriffsschlüssel bestehen aus einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel, die zum Signieren programmatischer Anfragen an AWS verwendet werden. AWS-Nutzer benötigen eigene Zugriffsschlüssel, um AWS programmatisch über die AWS-Befehlszeile, Tools für Windows PowerShell, die AWS SDKs oder direkte HTTP-Aufrufe mithilfe der APIs für einzelne AWS-Dienste aufzurufen. Es wird empfohlen, alle Zugriffsschlüssel regelmäßig zu rotieren.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: AC-3(15)
  • PCI-DSS v3.2.1: 8.2.4
  • CIS AWS Foundation 2.0.0: 1.14
  • CIS Controls 8.0: 5

Achten Sie darauf, dass Zugriffsschlüssel mindestens alle 90 Tage rotiert werden

  • Echtzeit-Scans: Nein

All Expired Ssl Tls Certificates Stored Aws Iam Removed

Kategoriename in der API: ALL_EXPIRED_SSL_TLS_CERTIFICATES_STORED_AWS_IAM_REMOVED

Ergebnisbeschreibung:

Wenn Sie HTTPS-Verbindungen zu Ihrer Website oder Anwendung in AWS aktivieren möchten, benötigen Sie ein SSL/TLS-Serverzertifikat. Sie können ACM oder IAM zum Speichern und Bereitstellen von Serverzertifikaten verwenden.
Verwenden Sie IAM nur als Zertifikatsmanager, wenn Sie HTTPS-Verbindungen in einer Region unterstützen müssen, die von ACM nicht unterstützt wird. IAM verschlüsselt Ihre privaten Schlüssel sicher und speichert die verschlüsselte Version im IAM-SSL-Zertifikatsspeicher. IAM unterstützt die Bereitstellung von Serverzertifikaten in allen Regionen. Sie müssen Ihr Zertifikat jedoch von einem externen Anbieter für die Verwendung mit AWS erhalten. Sie können kein ACM-Zertifikat in IAM hochladen. Außerdem können Sie Ihre Zertifikate nicht über die IAM Console verwalten.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: AU-11, CM-12, SI-12
  • PCI-DSS v4.0: 9.4.2
  • ISO-27001 v2022: A.5.10, A.5.9, A.8.1
  • Cloud Controls Matrix 4: DSP-01
  • NIST Cybersecurity Framework 1.0: PR-IP-6
  • CIS AWS Foundation 2.0.0: 1.19
  • CIS Controls 8.0: 3.1

Achten Sie darauf, dass alle abgelaufenen SSL-/TLS-Zertifikate entfernt werden, die in AWS IAM gespeichert sind

  • Echtzeit-Scans: Nein

Autoscaling Group Elb Healthcheck Required

Kategoriename in der API: AUTOSCALING_GROUP_ELB_HEALTHCHECK_REQUIRED

Ergebnisbeschreibung:

Hier wird geprüft, ob Ihre Autoscaling-Gruppen, die mit einem Load Balancer verknüpft sind, Elastic Load Balancing-Systemdiagnosen verwenden.

So kann die Gruppe den Status einer Instanz anhand zusätzlicher Tests des Load Balancers ermitteln. Mit Elastic Load Balancing-Systemdiagnosen lässt sich die Verfügbarkeit von Anwendungen unterstützen, die EC2-Autoscaling-Gruppen verwenden.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SI-2

Prüfen Sie, ob alle mit einem Load Balancer verknüpften Autoscaling-Gruppen Systemdiagnosen verwenden

  • Echtzeit-Scans: Nein

Auto Minor Version Upgrade Feature Enabled Rds Instances

Kategoriename in der API: AUTO_MINOR_VERSION_UPGRADE_FEATURE_ENABLED_RDS_INSTANCES

Ergebnisbeschreibung:

Achten Sie darauf, dass für RDS-Datenbankinstanzen das Flag „Auto Minor Version Upgrade“ aktiviert ist, damit während des angegebenen Wartungszeitraums automatisch Engine-Nebenversionen installiert werden. So erhalten RDS-Instanzen die neuen Funktionen, Fehlerkorrekturen und Sicherheitspatches für ihre Datenbank-Engines.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: RA-5, RA-7, SI-2
  • ISO-27001 v2022: A.8.8
  • Cloud Controls Matrix 4: UEM-03
  • NIST Cybersecurity Framework 1.0: ID-RA-1
  • SOC2 v2017: CC7.1.1, CC7.1.2, CC7.1.3, CC7.1.4, CC7.1.5
  • CIS AWS Foundation 2.0.0: 2.3.2
  • CIS Controls 8.0: 7.4

Achten Sie darauf, dass das automatische Upgrade von Nebenversionen für RDS-Instanzen aktiviert ist

  • Echtzeit-Scans: Nein

Aws Config Enabled All Regions

Kategoriename in der API: AWS_CONFIG_ENABLED_ALL_REGIONS

Ergebnisbeschreibung:

AWS Config ist ein Webdienst, der die Konfigurationsverwaltung unterstützter AWS-Ressourcen in Ihrem Konto durchführt und Ihnen Protokolldateien zur Verfügung stellt. Zu den erfassten Informationen gehören das Konfigurationselement (AWS-Ressource), Beziehungen zwischen Konfigurationselementen (AWS-Ressourcen) und alle Konfigurationsänderungen zwischen Ressourcen. Wir empfehlen, AWS Config in allen Regionen zu aktivieren.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: CM-8, PM-5
  • PCI-DSS v4.0: 11.2.1, 11.2.2, 12.5.1, 9.5.1, 9.5.1.1
  • ISO-27001 v2022: A.5.9, A.8.8
  • Cloud Controls Matrix 4: UEM-04
  • NIST Cybersecurity Framework 1.0: ID-AM-1, PR-DS-3
  • SOC2 v2017: CC3.2.6, CC6.1.1
  • HIPAA: 164.310(d)(2)(iii)
  • CIS AWS Foundation 2.0.0: 3.5
  • CIS Controls 8.0: 1.1

Achten Sie darauf, dass AWS Config in allen Regionen aktiviert ist

  • Echtzeit-Scans: Nein

Aws Security Hub Enabled

Kategoriename in der API: AWS_SECURITY_HUB_ENABLED

Ergebnisbeschreibung:

Der Sicherheits-Hub erfasst Sicherheitsdaten aus AWS-Konten, ‑Diensten und unterstützten Drittanbieterprodukten und hilft Ihnen, Sicherheitstrends zu analysieren und die Sicherheitsprobleme mit der höchsten Priorität zu identifizieren. Wenn Sie Security Hub aktivieren, werden Ergebnisse von aktivierten AWS-Diensten wie Amazon GuardDuty, Amazon Inspector und Amazon Macie erfasst, zusammengefasst, organisiert und priorisiert. Sie können auch Integrationen mit Sicherheitsprodukten von AWS-Partnern aktivieren.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: CA-7
  • PCI-DSS v3.2.1: 11.5
  • CIS AWS Foundation 2.0.0: 4.16

Achten Sie darauf, dass AWS Security Hub aktiviert ist

  • Echtzeit-Scans: Nein

Cloudtrail Logs Encrypted Rest Using Kms Cmks

Kategoriename in der API: CLOUDTRAIL_LOGS_ENCRYPTED_REST_USING_KMS_CMKS

Ergebnisbeschreibung:

AWS CloudTrail ist ein Webdienst, der AWS API-Aufrufe für ein Konto aufzeichnet und diese Protokolle gemäß den IAM-Richtlinien für Nutzer und Ressourcen verfügbar macht. Der AWS Key Management Service (KMS) ist ein verwalteter Dienst, mit dem Sie die Verschlüsselungsschlüssel zum Verschlüsseln von Kontodaten erstellen und steuern können. Er verwendet Hardware Security Modules (HSMs), um die Sicherheit der Verschlüsselungsschlüssel zu schützen. CloudTrail-Protokolle können so konfiguriert werden, dass die serverseitige Verschlüsselung (Server-Side Encryption, SSE) und vom Kunden erstellte KMS-Masterschlüssel (Customer Managed Keys, CMK) verwendet werden, um CloudTrail-Protokolle weiter zu schützen. Wir empfehlen, CloudTrail für die Verwendung von SSE-KMS zu konfigurieren.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: IA-5, SC-28, SI-7(6)
  • PCI-DSS v3.2.1: 10.5.2
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 3.7
  • CIS Controls 8.0: 3.11

Achten Sie darauf, dass CloudTrail-Logs im Ruhezustand mit KMS-CMKs verschlüsselt werden

  • Echtzeit-Scans: Nein

Cloudtrail Log File Validation Enabled

Kategoriename in der API: CLOUDTRAIL_LOG_FILE_VALIDATION_ENABLED

Ergebnisbeschreibung:

Bei der Validierung von CloudTrail-Logdateien wird eine digital signierte Digestdatei mit einem Hashwert für jedes Protokoll erstellt, das CloudTrail in S3 schreibt. Anhand dieser Dateien lässt sich feststellen, ob eine Logdatei nach der Übermittlung durch CloudTrail geändert, gelöscht oder unverändert geblieben ist. Es wird empfohlen, die Dateivalidierung für alle CloudTrails zu aktivieren.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: AU-6, AU-7, SI-7(7)
  • PCI-DSS v3.2.1: 11.5
  • PCI-DSS v4.0: 10.4.1, 10.4.1.1, 10.4.2, 10.4.3
  • ISO-27001 v2022: A.5.25
  • Cloud Controls Matrix 4: LOG-05
  • NIST Cybersecurity Framework 1.0: DE-AE-2, PR-PT-1, RS-AN-1
  • SOC2 v2017: CC4.1.1, CC4.1.2, CC4.1.3, CC4.1.4, CC4.1.5, CC4.1.6, CC4.1.7, CC4.1.8, CC7.3.1, CC7.3.2, CC7.3.3, CC7.3.4, CC7.3.5
  • HIPAA: 164.308(a)(1)(ii), 164.312(b)
  • CIS AWS Foundation 2.0.0: 3.2
  • CIS Controls 8.0: 8.11

Achten Sie darauf, dass die Validierung der CloudTrail-Logdatei aktiviert ist

  • Echtzeit-Scans: Nein

Cloudtrail Trails Integrated Cloudwatch Logs

Kategoriename in der API: CLOUDTRAIL_TRAILS_INTEGRATED_CLOUDWATCH_LOGS

Ergebnisbeschreibung:

AWS CloudTrail ist ein Webdienst, mit dem AWS API-Aufrufe in einem bestimmten AWS-Konto aufgezeichnet werden. Zu den aufgezeichneten Informationen gehören die Identität des API-Aufrufers, die Uhrzeit des API-Aufrufs, die Quell-IP-Adresse des API-Aufrufers, die Anfrageparameter und die vom AWS-Dienst zurückgegebenen Antwortelemente. CloudTrail verwendet Amazon S3 für die Speicherung und Übermittlung von Protokolldateien. Protokolldateien werden daher dauerhaft gespeichert. Sie können CloudTrail-Logs nicht nur in einem bestimmten S3-Bucket für die langfristige Analyse erfassen, sondern auch Echtzeitanalysen durchführen, indem Sie CloudTrail so konfigurieren, dass Logs an CloudWatch-Logs gesendet werden. Wenn ein Pfad in allen Regionen eines Kontos aktiviert ist, sendet CloudTrail Protokolldateien aus allen diesen Regionen an eine CloudWatch Logs-Protokollgruppe. Wir empfehlen, CloudTrail-Logs an CloudWatch-Logs zu senden.

Hinweis: Mit dieser Empfehlung soll sichergestellt werden, dass AWS-Kontoaktivitäten erfasst, überwacht und ggf. entsprechend alarmiert werden. CloudWatch-Logs ist eine native Möglichkeit, dies mit AWS-Diensten zu erreichen, schließt aber die Verwendung einer alternativen Lösung nicht aus.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS AWS Foundation 2.0.0: 3.4
  • CIS Controls 8.0: 8.5, 8.9

Achten Sie darauf, dass CloudTrail-Pfade in CloudWatch-Logs eingebunden sind

  • Echtzeit-Scans: Nein

Cloudwatch Alarm Action Check

Kategoriename in der API: CLOUDWATCH_ALARM_ACTION_CHECK

Ergebnisbeschreibung:

Hier wird geprüft, ob für Amazon CloudWatch Aktionen definiert sind, wenn ein Alarm zwischen den Status „OK“, „ALARM“ und „INSUFFICIENT_DATA“ wechselt.

Es ist sehr wichtig, Aktionen für den ALARM-Status in Amazon CloudWatch-Benachrichtigungen zu konfigurieren, um eine sofortige Reaktion auszulösen, wenn die überwachten Messwerte Schwellenwerte überschreiten.
Sie sorgt für eine schnelle Problemlösung, reduziert Ausfallzeiten und ermöglicht eine automatisierte Behebung, um die Systemintegrität aufrechtzuerhalten und Ausfälle zu verhindern.

Alarme haben mindestens eine Aktion.
Alarme haben mindestens eine Aktion, wenn der Alarm von einem anderen Status in den Status „INSUFFICIENT_DATA“ wechselt.
Optional: Alarme haben mindestens eine Aktion, wenn der Alarm von einem anderen Status in den Status „OK“ wechselt.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SI-20

Prüfen Sie, ob für CloudWatch-Alarme mindestens eine Alarmaktion, eine INSUFFICIENT_DATA-Aktion oder eine OK-Aktion aktiviert ist.

  • Echtzeit-Scans: Nein

Cloudwatch Log Group Encrypted

Kategoriename in der API: CLOUDWATCH_LOG_GROUP_ENCRYPTED

Ergebnisbeschreibung:

Mit dieser Prüfung wird sichergestellt, dass CloudWatch-Protokolle mit KMS konfiguriert sind.

Loggruppendaten werden in CloudWatch-Logs immer verschlüsselt. CloudWatch Logs verwendet standardmäßig die serverseitige Verschlüsselung für inaktive Protokolldaten. Alternativ können Sie für diese Verschlüsselung den AWS Key Management Service verwenden. In diesem Fall erfolgt die Verschlüsselung mit einem AWS KMS-Schlüssel. Die Verschlüsselung mit AWS KMS wird auf Protokollgruppenebene aktiviert, indem Sie einer Protokollgruppe einen KMS-Schlüssel zuweisen, entweder beim Erstellen der Protokollgruppe oder danach.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • PCI-DSS v3.2.1: 3.4

Prüfen Sie, ob alle Loggruppen in Amazon CloudWatch-Logs mit KMS verschlüsselt sind

  • Echtzeit-Scans: Nein

CloudTrail CloudWatch Logs Enabled

Kategoriename in der API: CLOUD_TRAIL_CLOUD_WATCH_LOGS_ENABLED

Ergebnisbeschreibung:

Mit dieser Einstellung wird geprüft, ob CloudTrail-Pfade so konfiguriert sind, dass Protokolle an CloudWatch-Logs gesendet werden. Die Prüfung schlägt fehl, wenn die Eigenschaft „CloudWatchLogsLogGroupArn“ des Logs leer ist.

CloudTrail zeichnet AWS API-Aufrufe auf, die in einem bestimmten Konto getätigt werden. Zu den aufgezeichneten Informationen gehören:

  • Die Identität des API-Aufrufers
  • Zeitpunkt des API-Aufrufs
  • Die Quell-IP-Adresse des API-Aufrufers
  • Anfrageparameter
  • Die vom AWS-Dienst zurückgegebenen Antwortelemente

CloudTrail verwendet Amazon S3 für die Speicherung und Übermittlung von Protokolldateien. Sie können CloudTrail-Protokolle zur langfristigen Analyse in einem bestimmten S3-Bucket erfassen. Wenn Sie eine Echtzeitanalyse durchführen möchten, können Sie CloudTrail so konfigurieren, dass Protokolle an CloudWatch Logs gesendet werden.

Wenn ein Pfad in allen Regionen eines Kontos aktiviert ist, sendet CloudTrail Protokolldateien aus allen diesen Regionen an eine CloudWatch Logs-Protokollgruppe.

Security Hub empfiehlt, CloudTrail-Protokolle an CloudWatch-Protokolle zu senden. Diese Empfehlung soll dafür sorgen, dass Kontoaktivitäten erfasst, überwacht und bei Bedarf entsprechend alarmiert werden. Sie können CloudWatch-Logs verwenden, um dies mit Ihren AWS-Diensten einzurichten. Diese Empfehlung schließt die Verwendung einer anderen Lösung nicht aus.

Wenn Sie CloudTrail-Logs an CloudWatch-Logs senden, können Sie Echtzeit- und Verlaufsprotokolle nach Nutzer, API, Ressource und IP-Adresse erfassen. So können Sie Benachrichtigungen für ungewöhnliche oder sensible Kontoaktivitäten einrichten.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SI-20
  • PCI-DSS v3.2.1: 10.5.3

Prüfen Sie, ob alle CloudTrail-Pfade für das Senden von Logs an AWS CloudWatch konfiguriert sind

  • Echtzeit-Scans: Nein

No AWS Credentials in CodeBuild Project Environment Variables

Kategoriename in der API: CODEBUILD_PROJECT_ENVVAR_AWSCRED_CHECK

Ergebnisbeschreibung:

Hier wird geprüft, ob das Projekt die Umgebungsvariablen AWS_ACCESS_KEY_ID und AWS_SECRET_ACCESS_KEY enthält.

Authentifizierungsdaten AWS_ACCESS_KEY_ID und AWS_SECRET_ACCESS_KEY sollten niemals als Klartext gespeichert werden, da dies zu einer unbeabsichtigten Datenpanne und zu unbefugten Zugriffen führen kann.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: IA-5, SA-3

Prüfen Sie, ob alle Projekte, die die Umgebungsvariablen AWS_ACCESS_KEY_ID und AWS_SECRET_ACCESS_KEY enthalten, nicht im Klartext vorliegen

  • Echtzeit-Scans: Nein

Codebuild Project Source Repo Url Check

Kategoriename in der API: CODEBUILD_PROJECT_SOURCE_REPO_URL_CHECK

Ergebnisbeschreibung:

Hier wird geprüft, ob die URL des Bitbucket-Quellrepositories eines AWS CodeBuild-Projekts persönliche Zugriffstokens oder einen Nutzernamen und ein Passwort enthält. Die Prüfung schlägt fehl, wenn die URL des Bitbucket-Quell-Repositories persönliche Zugriffstokens oder einen Nutzernamen und ein Passwort enthält.

Anmeldedaten dürfen nicht im Klartext gespeichert oder übertragen werden und dürfen nicht in der URL des Quell-Repositorys erscheinen. Anstatt persönliche Zugriffstokens oder Anmeldedaten sollten Sie in CodeBuild auf Ihren Quellanbieter zugreifen und die URL des Quell-Repositories so ändern, dass sie nur den Pfad zum Bitbucket-Repository-Speicherort enthält. Die Verwendung persönlicher Zugriffstokens oder Anmeldedaten kann zu unbeabsichtigter Datenpufferung oder unbefugtem Zugriff führen.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet.

Prüfen Sie, ob alle Projekte, die GitHub oder Bitbucket als Quelle nutzen, OAuth verwenden

  • Echtzeit-Scans: Nein

Credentials Unused 45 Days Greater Disabled

Kategoriename in der API: CREDENTIALS_UNUSED_45_DAYS_GREATER_DISABLED

Ergebnisbeschreibung:

AWS IAM-Nutzer können mit verschiedenen Anmeldedaten wie Passwörtern oder Zugriffsschlüsseln auf AWS-Ressourcen zugreifen. Wir empfehlen, alle Anmeldedaten zu deaktivieren oder zu entfernen, die seit mindestens 45 Tagen nicht verwendet wurden.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: AC-2
  • PCI-DSS v4.0: 8.3.7
  • NIST Cybersecurity Framework 1.0: PR-AC-1
  • CIS AWS Foundation 2.0.0: 1.12
  • CIS Controls 8.0: 5.3

Achten Sie darauf, dass Anmeldedaten, die seit mindestens 45 Tagen nicht verwendet wurden, deaktiviert werden

  • Echtzeit-Scans: Nein

Default Security Group Vpc Restricts All Traffic

Kategoriename in der API: DEFAULT_SECURITY_GROUP_VPC_RESTRICTS_ALL_TRAFFIC

Ergebnisbeschreibung:

Eine VPC wird mit einer Standardsicherheitsgruppe geliefert, deren anfängliche Einstellungen den gesamten eingehenden Traffic ablehnen, den gesamten ausgehenden Traffic zulassen und den gesamten Traffic zwischen den der Sicherheitsgruppe zugewiesenen Instanzen zulassen. Wenn Sie beim Starten einer Instanz keine Sicherheitsgruppe angeben, wird die Instanz automatisch dieser Standardsicherheitsgruppe zugewiesen. Sicherheitsgruppen ermöglichen eine zustandsabhängige Filterung des ein- und ausgehenden Netzwerkverkehrs zu AWS-Ressourcen. Es wird empfohlen, dass die Standardsicherheitsgruppe den gesamten Traffic einschränkt.

Die Standardsicherheitsgruppe der Standard-VPC in jeder Region muss entsprechend aktualisiert werden. Alle neu erstellten VPCs enthalten automatisch eine Standardsicherheitsgruppe, die korrigiert werden muss, um dieser Empfehlung zu entsprechen.

HINWEIS:Bei der Implementierung dieser Empfehlung ist die VPC-Flussinstanz-Protokollierung von unschätzbarem Wert, um den Portzugriff mit den geringsten Berechtigungen zu ermitteln, der für die ordnungsgemäße Funktion der Systeme erforderlich ist. Denn damit können alle Pakete akzeptiert und abgelehnt werden, die in den aktuellen Sicherheitsgruppen auftreten. Dadurch wird die Hauptbarriere für die Zugriffssteuerung nach dem Prinzip der geringsten Berechtigung erheblich reduziert: die Ermittlung der Mindestanzahl von Ports, die von den Systemen in der Umgebung benötigt werden. Auch wenn die Empfehlung für die VPC-Flussisolierung in diesem Benchmark nicht als dauerhafte Sicherheitsmaßnahme übernommen wird, sollte sie während der gesamten Phase der Ermittlung und Entwicklung für Sicherheitsgruppen mit den geringsten Berechtigungen verwendet werden.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 5.4
  • CIS Controls 8.0: 3.3

Achten Sie darauf, dass die Standardsicherheitsgruppe jeder VPC den gesamten Traffic einschränkt

  • Echtzeit-Scans: Nein

Dms Replication Not Public

Kategoriename in der API: DMS_REPLICATION_NOT_PUBLIC

Ergebnisbeschreibung:

Prüft, ob AWS DMS-Replikationsinstanzen öffentlich sind. Dazu wird der Wert des Felds PubliclyAccessible geprüft.

Eine private Replikationsinstanz hat eine private IP-Adresse, auf die Sie nicht außerhalb des Replikationsnetzwerks zugreifen können. Eine Replikationsinstanz sollte eine private IP-Adresse haben, wenn sich die Quell- und Zieldatenbanken im selben Netzwerk befinden. Das Netzwerk muss außerdem über ein VPN, AWS Direct Connect oder VPC-Peering mit dem VPC der Replikationsinstanz verbunden sein. Weitere Informationen zu öffentlichen und privaten Replikationsinstanzen finden Sie im Benutzerhandbuch für AWS Database Migration Service unter Öffentliche und private Replikationsinstanzen.

Außerdem sollten Sie dafür sorgen, dass der Zugriff auf die Konfiguration Ihrer AWS DMS-Instanz nur autorisierten Nutzern gewährt wird. Dazu müssen Sie die IAM-Berechtigungen der Nutzer einschränken, damit sie die AWS DMS-Einstellungen und ‑Ressourcen nicht ändern können.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Prüfen Sie, ob Replikationsinstanzen von AWS Database Migration Service öffentlich sind

  • Echtzeit-Scans: Nein

Do Setup Access Keys During Initial User Setup All Iam Users Console

Kategoriename in der API: DO_SETUP_ACCESS_KEYS_DURING_INITIAL_USER_SETUP_ALL_IAM_USERS_CONSOLE

Ergebnisbeschreibung:

In der AWS-Konsole sind beim Erstellen eines neuen IAM-Nutzers standardmäßig keine Kästchen angeklickt. Wenn Sie die IAM-Nutzeranmeldedaten erstellen, müssen Sie festlegen, welche Art von Zugriff erforderlich ist.

Programmatischer Zugriff: Der IAM-Nutzer muss möglicherweise API-Aufrufe ausführen, die AWS CLI oder die Tools für Windows PowerShell verwenden. Erstellen Sie in diesem Fall einen Zugriffsschlüssel (Zugriffsschlüssel-ID und geheimer Zugriffsschlüssel) für diesen Nutzer.

Zugriff auf die AWS Management Console: Wenn der Nutzer auf die AWS Management Console zugreifen muss, erstellen Sie ein Passwort für ihn.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 1.11
  • CIS Controls 8.0: 3.3, 5.4

Richten Sie während der anfänglichen Nutzereinrichtung für alle IAM-Nutzer, die ein Console-Passwort haben, keine Zugriffsschlüssel ein

  • Echtzeit-Scans: Nein

Dynamodb Autoscaling Enabled

Kategoriename in der API: DYNAMODB_AUTOSCALING_ENABLED

Ergebnisbeschreibung:

Hier wird geprüft, ob die Lese- und Schreibkapazität einer Amazon DynamoDB-Tabelle nach Bedarf skaliert werden kann. Dieser Vorgang ist erfolgreich, wenn für die Tabelle entweder der On-Demand-Kapazitätsmodus oder der bereitgestellte Modus mit konfiguriertem Autoscaling verwendet wird. Wenn Sie die Kapazität an die Nachfrage anpassen, werden Drosselungsausnahmen vermieden, was die Verfügbarkeit Ihrer Anwendungen aufrechterhält.

DynamoDB-Tabellen im Modus „On-Demand-Kapazität“ sind nur durch die Standardtabellenkontingente für den DynamoDB-Durchsatz begrenzt. Wenn Sie diese Kontingente erhöhen möchten, können Sie über den AWS-Support ein Support-Ticket einreichen.

Bei DynamoDB-Tabellen im bereitgestellten Modus mit automatischer Skalierung wird die bereitgestellte Durchsatzkapazität dynamisch an die Verkehrsmuster angepasst. Weitere Informationen zur Drosselung von DynamoDB-Anfragen finden Sie im Amazon DynamoDB Developer Guide unter „Anfragedrosselung und Burst-Kapazität“.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SI-13(5)

DynamoDB-Tabellen sollten die Kapazität gemäß Nachfrage automatisch skalieren

  • Echtzeit-Scans: Nein

Dynamodb In Backup Plan

Kategoriename in der API: DYNAMODB_IN_BACKUP_PLAN

Ergebnisbeschreibung:

Mit dieser Prüfung wird ermittelt, ob für eine DynamoDB-Tabelle ein Sicherungsplan vorhanden ist. Die Prüfung schlägt fehl, wenn für eine DynamoDB-Tabelle kein Sicherungsplan vorhanden ist. Mit dieser Einstellung werden nur DynamoDB-Tabellen ausgewertet, die den Status „AKTIV“ haben.

Mithilfe von Sicherungen können Sie sich nach einem Sicherheitsvorfall schneller erholen. Außerdem erhöhen sie die Ausfallsicherheit Ihrer Systeme. Wenn Sie DynamoDB-Tabellen in einen Sicherungsplan aufnehmen, können Sie Ihre Daten vor unbeabsichtigtem Verlust oder Löschen schützen.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SI-13(5)

Für DynamoDB-Tabellen sollte es einen Sicherungsplan geben

  • Echtzeit-Scans: Nein

Dynamodb Pitr Enabled

Kategoriename in der API: DYNAMODB_PITR_ENABLED

Ergebnisbeschreibung:

Die Wiederherstellung zu einem bestimmten Zeitpunkt (Point-In-Time-Recovery, PITR) ist einer der Mechanismen, mit denen DynamoDB-Tabellen gesichert werden können.

Eine Sicherung eines bestimmten Zeitpunkts wird 35 Tage lang aufbewahrt. Wenn Sie eine längere Aufbewahrungsdauer benötigen, lesen Sie den Artikel Geplante Sicherungen für Amazon DynamoDB mit AWS Backup einrichten in der AWS-Dokumentation.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SI-13(5)

Prüfen Sie, ob die Wiederherstellung zu einem bestimmten Zeitpunkt für alle AWS DynamoDB-Tabellen aktiviert ist

  • Echtzeit-Scans: Nein

Dynamodb Table Encrypted Kms

Kategoriename in der API: DYNAMODB_TABLE_ENCRYPTED_KMS

Ergebnisbeschreibung:

Prüft, ob alle DynamoDB-Tabellen mit einem vom Kunden verwalteten KMS-Schlüssel (nicht standardmäßig) verschlüsselt sind.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SI-7(6)

Prüfen Sie, ob alle DynamoDB-Tabellen mit AWS Key Management Service (KMS) verschlüsselt sind

  • Echtzeit-Scans: Nein

Ebs Optimized Instance

Kategoriename in der API: EBS_OPTIMIZED_INSTANCE

Ergebnisbeschreibung:

Prüfen Sie, ob die EBS-Optimierung für Ihre EC2-Instanzen aktiviert ist, die EBS-optimiert werden können

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SC-5(2)

Prüfen Sie, ob die EBS-Optimierung für alle Instanzen aktiviert ist, die diese unterstützen

  • Echtzeit-Scans: Nein

Ebs Snapshot Public Restorable Check

Kategoriename in der API: EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK

Ergebnisbeschreibung:

Prüft, ob Amazon Elastic Block Store-Snapshots nicht öffentlich sind. Die Prüfung schlägt fehl, wenn Amazon EBS-Snapshots von allen wiederhergestellt werden können.

Mit EBS-Snapshots werden die Daten auf Ihren EBS-Volumes zu einem bestimmten Zeitpunkt in Amazon S3 gesichert. Mit den Snapshots können Sie vorherige Zustände von EBS-Volumes wiederherstellen. Es ist selten akzeptabel, einen Snapshot öffentlich zu teilen. In der Regel wurde die Entscheidung, einen Snapshot öffentlich zu teilen, irrtümlich oder ohne vollständige Kenntnis der Auswirkungen getroffen. So wird sichergestellt, dass alle entsprechenden Freigaben geplant und beabsichtigt waren.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Amazon EBS-Snapshots sollten nicht öffentlich wiederherstellbar sein

  • Echtzeit-Scans: Nein

Ebs Volume Encryption Enabled All Regions

Kategoriename in der API: EBS_VOLUME_ENCRYPTION_ENABLED_ALL_REGIONS

Ergebnisbeschreibung:

Elastic Compute Cloud (EC2) unterstützt die Ruhedatenverschlüsselung bei Verwendung des Elastic Block Store (EBS)-Dienstes. Die Erzwingung der Verschlüsselung beim Erstellen eines EBS-Volumes ist zwar standardmäßig deaktiviert, wird aber unterstützt.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: IA-5, SC-28, SI-7(6)
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 2.2.1
  • CIS Controls 8.0: 3.11

Achten Sie darauf, dass die EBS-Volume-Verschlüsselung in allen Regionen aktiviert ist

  • Echtzeit-Scans: Nein

Ec2 Instances In Vpc

Kategoriename in der API: EC2_INSTANCES_IN_VPC

Ergebnisbeschreibung:

Amazon VPC bietet mehr Sicherheitsfunktionen als EC2 Classic. Es wird empfohlen, dass alle Knoten zu einer Amazon VPC gehören.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SC-7

Achten Sie darauf, dass alle Instanzen zu einer VPC gehören

  • Echtzeit-Scans: Nein

Ec2 Instance No Public Ip

Kategoriename in der API: EC2_INSTANCE_NO_PUBLIC_IP

Ergebnisbeschreibung:

Bei EC2-Instanzen mit einer öffentlichen IP-Adresse besteht ein erhöhtes Risiko von Manipulationen. Es wird empfohlen, EC2-Instanzen nicht mit einer öffentlichen IP-Adresse zu konfigurieren.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Achten Sie darauf, dass keine Instanz eine öffentliche IP-Adresse hat

  • Echtzeit-Scans: Nein

Ec2 Managedinstance Association Compliance Status Check

Kategoriename in der API: EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK

Ergebnisbeschreibung:

Eine Verknüpfung mit dem State Manager ist eine Konfiguration, die Ihren verwalteten Instanzen zugewiesen wird. In der Konfiguration wird der Status definiert, der auf Ihren Instanzen beibehalten werden soll. Eine Verknüpfung kann beispielsweise angeben, dass Antivirensoftware auf Ihren Instanzen installiert und ausgeführt werden muss oder dass bestimmte Ports geschlossen sein müssen. EC2-Instanzen, die mit AWS Systems Manager verknüpft sind, werden von Systems Manager verwaltet. Dadurch können Sie leichter Patches anwenden, Fehlkonfigurationen beheben und auf Sicherheitsereignisse reagieren.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • PCI-DSS v3.2.1: 6.2

Prüfen Sie den Compliancestatus der AWS Systems Manager-Verknüpfung

  • Echtzeit-Scans: Nein

Ec2 Managedinstance Patch Compliance Status Check

Kategoriename in der API: EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK

Ergebnisbeschreibung:

Mit dieser Steuerung wird geprüft, ob der Status der AWS Systems Manager-Verknüpfung „COMPLIANT“ (Einhaltung) oder „NON_COMPLIANT“ (Nichteinhaltung) ist, nachdem die Verknüpfung auf einer Instanz ausgeführt wurde. Die Prüfung schlägt fehl, wenn der Compliance-Status der Verknüpfung „NON_COMPLIANT“ (Nicht konform) ist.

Eine Verknüpfung mit dem State Manager ist eine Konfiguration, die Ihren verwalteten Instanzen zugewiesen wird. In der Konfiguration wird der Status definiert, der auf Ihren Instanzen beibehalten werden soll. Eine Verknüpfung kann beispielsweise angeben, dass Antivirensoftware auf Ihren Instanzen installiert und ausgeführt werden muss oder dass bestimmte Ports geschlossen sein müssen.

Nachdem Sie eine oder mehrere State Manager-Verknüpfungen erstellt haben, sind Informationen zum Compliance-Status sofort verfügbar. Sie können den Compliance-Status in der Console oder als Reaktion auf AWS CLI-Befehle oder entsprechende Systems Manager API-Aktionen aufrufen. Bei Verknüpfungen wird unter „Konfigurationskonformität“ der Konformitätsstatus angezeigt („Konform“ oder „Nicht konform“). Außerdem wird die Schweregradstufe angezeigt, die der Verknüpfung zugewiesen ist, z. B. „Kritisch“ oder „Mittel“.

Weitere Informationen zur Compliance von State Manager-Verknüpfungen finden Sie im AWS Systems Manager-Benutzerhandbuch unter Compliance von State Manager-Verknüpfungen.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SI-2
  • PCI-DSS v3.2.1: 6.2

Prüfen Sie den Status der AWS Systems Manager-Patchcompliance

  • Echtzeit-Scans: Nein

Ec2 Metadata Service Allows Imdsv2

Kategoriename in der API: EC2_METADATA_SERVICE_ALLOWS_IMDSV2

Ergebnisbeschreibung:

Wenn Sie den Metadatendienst auf AWS EC2-Instanzen aktivieren, haben Sie die Möglichkeit, entweder die Instanzmetadatendienst-Version 1 (IMDSv1; eine Anfrage/Antwort-Methode) oder die Instanzmetadatendienst-Version 2 (IMDSv2; eine sitzungsorientierte Methode) zu verwenden.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: AC-6
  • CIS AWS Foundation 2.0.0: 5.6

Achten Sie darauf, dass der EC2-Metadatendienst nur IMDSv2 zulässt

  • Echtzeit-Scans: Nein

Ec2 Volume Inuse Check

Kategoriename in der API: EC2_VOLUME_INUSE_CHECK

Ergebnisbeschreibung:

Sie können nicht bereitgestellte (ungenutzte) EBS-Volumes (Elastic Block Store) in Ihrem AWS-Konto ermitteln und entfernen, um die Kosten Ihrer monatlichen AWS-Rechnung zu senken. Durch das Löschen nicht verwendeter EBS-Volumes verringern Sie auch das Risiko, dass vertrauliche/sensible Daten Ihre Räumlichkeiten verlassen. Außerdem wird geprüft, ob archivierte EC2-Instanzen so konfiguriert sind, dass Volumes bei der Beendigung gelöscht werden.

Standardmäßig sind EC2-Instanzen so konfiguriert, dass die Daten in allen mit der Instanz verknüpften EBS-Volumes und das Stamm-EBS-Volume der Instanz gelöscht werden. Alle nicht-root-EBS-Volumes, die der Instanz beim Start oder während der Ausführung bereitgestellt wurden, werden jedoch standardmäßig nach der Beendigung beibehalten.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: CM-2

Prüfen Sie, ob EBS-Volumes an EC2-Instanzen angehängt und zum Löschen bei Instanzbeendigung konfiguriert sind

  • Echtzeit-Scans: Nein

Efs Encrypted Check

Kategoriename in der API: EFS_ENCRYPTED_CHECK

Ergebnisbeschreibung:

Amazon EFS unterstützt zwei Formen der Verschlüsselung für Dateisysteme: die Verschlüsselung von Daten während der Übertragung und die Verschlüsselung inaktiver Daten. Dabei wird geprüft, ob alle EFS-Dateisysteme in allen aktivierten Regionen des Kontos mit der Ruhedatenträgerverschlüsselung konfiguriert sind.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SI-7(6)
  • PCI-DSS v3.2.1: 8.2.1

Prüfen Sie, ob EFS zum Verschlüsseln von Dateidaten mit KMS konfiguriert ist

  • Echtzeit-Scans: Nein

Efs In Backup Plan

Kategoriename in der API: EFS_IN_BACKUP_PLAN

Ergebnisbeschreibung:

Gemäß den Best Practices von Amazon sollten Sie Sicherungen für Ihre Elastic File Systems (EFS) konfigurieren. Dabei werden alle EFS in allen aktivierten Regionen in Ihrem AWS-Konto auf aktivierte Sicherungen geprüft.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SI-13(5)

Prüfen Sie, ob EFS-Dateisysteme in AWS-Sicherungsplänen enthalten sind

  • Echtzeit-Scans: Nein

Elb Acm Certificate Required

Kategoriename in der API: ELB_ACM_CERTIFICATE_REQUIRED

Ergebnisbeschreibung:

Prüft, ob der klassische Load Balancer HTTPS-/SSL-Zertifikate verwendet, die von AWS Certificate Manager (ACM) bereitgestellt wurden. Die Prüfung schlägt fehl, wenn der mit einem HTTPS-/SSL-Listener konfigurierte klassische Load Balancer kein von ACM bereitgestelltes Zertifikat verwendet.

Sie können entweder ACM oder ein Tool verwenden, das die SSL- und TLS-Protokolle unterstützt, z. B. OpenSSL. Security Hub empfiehlt, Zertifikate für Ihren Load Balancer mit ACM zu erstellen oder zu importieren.

ACM lässt sich in klassische Load Balancer einbinden, sodass Sie das Zertifikat auf Ihrem Load Balancer bereitstellen können. Außerdem sollten Sie diese Zertifikate automatisch verlängern.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: AC-17, AC-4, IA-5, SC-12, SC-13, SC-23, SC-7, SC-8, SI-7, SI-7(6)

Prüfen Sie, ob alle klassischen Load Balancer SSL-Zertifikate verwenden, die von AWS Certificate Manager bereitgestellt wurden

  • Echtzeit-Scans: Nein

Elb Deletion Protection Enabled

Kategoriename in der API: ELB_DELETION_PROTECTION_ENABLED

Ergebnisbeschreibung:

Prüft, ob für einen Application Load Balancer der Löschschutz aktiviert ist. Die Funktion schlägt fehl, wenn der Löschschutz nicht konfiguriert ist.

Aktivieren Sie den Löschschutz, um Ihren Application Load Balancer vor dem Löschen zu schützen.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SC-5(2)

Der Löschschutz für Application Load Balancer sollte aktiviert sein

  • Echtzeit-Scans: Nein

Elb Logging Enabled

Kategoriename in der API: ELB_LOGGING_ENABLED

Ergebnisbeschreibung:

Hier wird geprüft, ob für den Application Load Balancer und den klassischen Load Balancer Logging aktiviert ist. Die Steuerung schlägt fehl, wenn „access_logs.s3.enabled“ auf „false“ festgelegt ist.

Elastic Load Balancing bietet Zugriffsprotokolle, die detaillierte Informationen zu Anfragen enthalten, die an Ihren Load Balancer gesendet werden. Jedes Protokoll enthält Informationen wie den Zeitpunkt, zu dem die Anfrage empfangen wurde, die IP-Adresse des Clients, Latenzen, Anfragepfade und Serverantworten. Sie können diese Zugriffsprotokolle verwenden, um Zugriffsmuster zu analysieren und Probleme zu beheben.

Weitere Informationen finden Sie im Nutzerhandbuch für klassische Load Balancer unter Zugriffsprotokolle für Ihren klassischen Load Balancer.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SI-7(8)
  • PCI-DSS v3.2.1: 10.3.1

Prüfen Sie, ob Logging für klassische und Application Load Balancer aktiviert ist

  • Echtzeit-Scans: Nein

Elb Tls Https Listeners Only

Kategoriename in der API: ELB_TLS_HTTPS_LISTENERS_ONLY

Ergebnisbeschreibung:

Mit dieser Prüfung wird sichergestellt, dass alle klassischen Load Balancer für die sichere Kommunikation konfiguriert sind.

Ein Listener ist ein Prozess, der nach Verbindungsanfragen sucht. Er ist mit einem Protokoll und einem Port für Front-End-Verbindungen (Client zum Load Balancer) und einem Protokoll und einem Port für Back-End-Verbindungen (Load Balancer zur Instanz) konfiguriert. Informationen zu den von Elastic Load Balancing unterstützten Ports, Protokollen und Listenerkonfigurationen finden Sie unter Listener für Ihren klassischen Load Balancer.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SI-7(6)

Prüfen Sie, ob SSL- oder HTTPS-Listener für alle klassischen Load Balancer konfiguriert sind

  • Echtzeit-Scans: Nein

Encrypted Volumes

Kategoriename in der API: ENCRYPTED_VOLUMES

Ergebnisbeschreibung:

Prüft, ob die EBS-Volumes, die angehängt sind, verschlüsselt sind. Damit diese Prüfung bestanden wird, müssen EBS-Volumes verwendet und verschlüsselt sein. Wenn das EBS-Volume nicht angehängt ist, unterliegt es dieser Prüfung nicht.

Für zusätzlichen Schutz Ihrer sensiblen Daten in EBS-Volumes sollten Sie die EBS-Verschlüsselung inaktiver Daten aktivieren. Die Amazon EBS-Verschlüsselung bietet eine einfache Verschlüsselungslösung für Ihre EBS-Ressourcen, bei der Sie keine eigene Schlüsselverwaltungsinfrastruktur erstellen, verwalten und sichern müssen. Beim Erstellen verschlüsselter Volumes und Snapshots werden KMS-Schlüssel verwendet.

Weitere Informationen zur Amazon EBS-Verschlüsselung finden Sie im Amazon EC2-Nutzerhandbuch für Linux-Instanzen.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SI-7(6)
  • PCI-DSS v3.2.1: 8.2.1

Ruhende Daten von angehängten Amazon EBS-Volumes sollten verschlüsselt sein

  • Echtzeit-Scans: Nein

Encryption At Rest Enabled Rds Instances

Kategoriename in der API: ENCRYPTION_AT_REST_ENABLED_RDS_INSTANCES

Ergebnisbeschreibung:

Bei verschlüsselten Amazon RDS-Datenbankinstanzen werden Ihre Daten auf dem Server, auf dem Ihre Amazon RDS-Datenbankinstanzen gehostet werden, mit dem branchenüblichen AES-256-Verschlüsselungsalgorithmus verschlüsselt. Nach der Verschlüsselung Ihrer Daten übernimmt Amazon RDS die Authentifizierung des Zugriffs und die Entschlüsselung Ihrer Daten transparent und mit minimalen Auswirkungen auf die Leistung.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: IA-5, SC-28, SI-7(6)
  • PCI-DSS v3.2.1: 8.2.1
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 2.3.1
  • CIS Controls 8.0: 3.11

Achten Sie darauf, dass die Verschlüsselung ruhender Daten für RDS-Instanzen aktiviert ist

  • Echtzeit-Scans: Nein

Encryption Enabled Efs File Systems

Kategoriename in der API: ENCRYPTION_ENABLED_EFS_FILE_SYSTEMS

Ergebnisbeschreibung:

EFS-Daten sollten im Ruhezustand mit AWS KMS (Key Management Service) verschlüsselt werden.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 2.4.1
  • CIS Controls 8.0: 3.11

Achten Sie darauf, dass die Verschlüsselung für EFS-Dateisysteme aktiviert ist

  • Echtzeit-Scans: Nein

Iam Password Policy

Kategoriename in der API: IAM_PASSWORD_POLICY

Ergebnisbeschreibung:

AWS ermöglicht benutzerdefinierte Passwortrichtlinien für Ihr AWS-Konto, um Komplexitätsanforderungen und obligatorische Rotationszeiträume für die Passwörter Ihrer IAM-Nutzer anzugeben. Wenn Sie keine benutzerdefinierte Passwortrichtlinie festlegen, müssen IAM-Nutzerpasswörter der Standard-AWS-Passwortrichtlinie entsprechen. Gemäß den Best Practices für die Sicherheit von AWS sollten Passwörter folgende Anforderungen erfüllen:

  • Das Passwort muss mindestens einen Großbuchstaben enthalten.
  • Passworte müssen mindestens einen Kleinbuchstaben enthalten.
  • Passworte müssen mindestens ein Symbol enthalten.
  • Passwörter müssen mindestens eine Zahl enthalten.
  • Das Passwort muss mindestens 14 Zeichen lang sein.
  • Es müssen mindestens 24 Passwörter verwendet werden, bevor eine Wiederverwendung zulässig ist.
  • Mindestens 90 Tage vor Ablauf des Passworts

Hier werden alle angegebenen Anforderungen an die Passwortrichtlinie geprüft.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: IA-5(1)
  • PCI-DSS v3.2.1: 8.2.5

Prüfen Sie, ob die Richtlinie für Kontopasswörter für IAM-Nutzer den angegebenen Anforderungen entspricht

  • Echtzeit-Scans: Nein

Iam Password Policy Prevents Password Reuse

Kategoriename in der API: IAM_PASSWORD_POLICY_PREVENTS_PASSWORD_REUSE

Ergebnisbeschreibung:

Mit IAM-Passwortrichtlinien lässt sich verhindern, dass ein bestimmtes Passwort vom selben Nutzer wiederverwendet wird. Es wird empfohlen, dass die Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: IA-5
  • PCI-DSS v4.0: 2.2.2, 8.3.5, 8.3.6, 8.6.3
  • ISO-27001 v2022: A.5.17
  • Cloud Controls Matrix 4: IAM-02
  • SOC2 v2017: CC6.1.3, CC6.1.8, CC6.1.9
  • CIS AWS Foundation 2.0.0: 1.9
  • CIS Controls 8.0: 5.2

Achten Sie darauf, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert

  • Echtzeit-Scans: Nein

Iam Password Policy Requires Minimum Length 14 Greater

Kategoriename in der API: IAM_PASSWORD_POLICY_REQUIRES_MINIMUM_LENGTH_14_GREATER

Ergebnisbeschreibung:

Passwortrichtlinien werden unter anderem verwendet, um Anforderungen an die Passwortkomplexität durchzusetzen. Mit IAM-Passwortrichtlinien können Sie dafür sorgen, dass Passwörter mindestens eine bestimmte Länge haben. Wir empfehlen, dass die Passwortrichtlinie eine Mindestlänge von 14 Zeichen verlangt.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS AWS Foundation 2.0.0: 1.8
  • CIS Controls 8.0: 5, 5.2

Achten Sie darauf, dass die IAM-Passwortrichtlinie eine Mindestlänge von 14 Zeichen verlangt

  • Echtzeit-Scans: Nein

Iam Policies Allow Full Administrative Privileges Attached

Kategoriename in der API: IAM_POLICIES_ALLOW_FULL_ADMINISTRATIVE_PRIVILEGES_ATTACHED

Ergebnisbeschreibung:

Mit IAM-Richtlinien werden Nutzern, Gruppen oder Rollen Berechtigungen gewährt. Es wird empfohlen und gilt als Standardsicherheitsratschlag, die geringste Berechtigung zu gewähren, d. h. nur die Berechtigungen zu gewähren, die für die Ausführung einer Aufgabe erforderlich sind. Legen Sie fest, was Nutzer tun müssen, und erstellen Sie dann Richtlinien für sie, mit denen sie nur diese Aufgaben ausführen können, anstatt ihnen volle Administratorberechtigungen zu gewähren.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 1.16
  • CIS Controls 8.0: 3.3

Achten Sie darauf, dass keine IAM-Richtlinien angehängt sind, die uneingeschränkte „*:*“-Administratorberechtigungen gewähren

  • Echtzeit-Scans: Nein

Iam Users Receive Permissions Groups

Kategoriename in der API: IAM_USERS_RECEIVE_PERMISSIONS_GROUPS

Ergebnisbeschreibung:

IAM-Nutzern wird über IAM-Richtlinien Zugriff auf Dienste, Funktionen und Daten gewährt. Es gibt vier Möglichkeiten, Richtlinien für einen Nutzer zu definieren: 1) Nutzerrichtlinie direkt bearbeiten (Inline-Richtlinie oder Nutzerrichtlinie); 2) Richtlinie direkt mit einem Nutzer verknüpfen; 3) Nutzer einer IAM-Gruppe mit einer verknüpften Richtlinie hinzufügen; 4) Nutzer einer IAM-Gruppe mit einer Inline-Richtlinie hinzufügen.

Wir empfehlen nur die dritte Implementierung.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: AC-2, AC-5, AC-6, AU-9
  • PCI-DSS v4.0: 10.3.1, 7.1.1, 7.2.1, 7.2.2, 7.2.4, 7.2.6, 7.3.1, 7.3.2
  • ISO-27001 v2022: A.5.15, A.5.3, A.8.2, A.8.3
  • Cloud Controls Matrix 4: IAM-04
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.3.1, CC6.3.2, CC6.3.3
  • HIPAA: 164.308(a)(3)(ii), 164.308(a)(4)(i), 164.308(a)(4)(ii)
  • CIS AWS Foundation 2.0.0: 1.15
  • CIS Controls 8.0: 6.8

Achten Sie darauf, dass IAM-Nutzer Berechtigungen nur über Gruppen erhalten

  • Echtzeit-Scans: Nein

Iam User Group Membership Check

Kategoriename in der API: IAM_USER_GROUP_MEMBERSHIP_CHECK

Ergebnisbeschreibung:

IAM-Nutzer sollten immer zu einer IAM-Gruppe gehören, um die Best Practices für die IAM-Sicherheit einzuhalten.

Wenn Sie einer Gruppe Nutzer hinzufügen, können Sie Richtlinien für verschiedene Nutzertypen freigeben.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: AC-6

Prüfen Sie, ob IAM-Nutzer Mitglieder von mindestens einer IAM-Gruppe sind

  • Echtzeit-Scans: Nein

Iam User Mfa Enabled

Kategoriename in der API: IAM_USER_MFA_ENABLED

Ergebnisbeschreibung:

Die Multi-Faktor-Authentifizierung (MFA) ist eine Best Practice, die neben Nutzernamen und Passwörtern eine zusätzliche Schutzebene bietet. Bei der MFA muss ein Nutzer, der sich in der AWS-Verwaltungskonsole anmeldet, einen zeitlich begrenzten Authentifizierungscode angeben, der von einem registrierten virtuellen oder physischen Gerät bereitgestellt wird.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • PCI-DSS v3.2.1: 8.3.2

Prüfen Sie, ob für AWS IAM-Nutzer die Multi-Faktor-Authentifizierung (MFA) aktiviert ist

  • Echtzeit-Scans: Nein

Iam User Unused Credentials Check

Kategoriename in der API: IAM_USER_UNUSED_CREDENTIALS_CHECK

Ergebnisbeschreibung:

Dabei werden IAM-Passwörter oder aktive Zugriffsschlüssel geprüft, die in den letzten 90 Tagen nicht verwendet wurden.

Gemäß den Best Practices sollten Sie alle Anmeldedaten entfernen, deaktivieren oder alle 90 Tage rotieren, die seit mindestens 90 Tagen nicht verwendet wurden. So wird die Wahrscheinlichkeit verringert, dass Anmeldedaten, die mit einem manipulierten oder inaktiven Konto verknüpft sind, verwendet werden.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: AC-6
  • PCI-DSS v3.2.1: 8.1.4

Prüfen Sie, ob alle AWS IAM-Nutzer Passwörter oder aktive Zugriffsschlüssel haben, die in der unter „maxCredentialUsageAge“ angegebenen Anzahl von Tagen nicht verwendet wurden (Standardeinstellung: 90)

  • Echtzeit-Scans: Nein

Kms Cmk Not Scheduled For Deletion

Kategoriename in der API: KMS_CMK_NOT_SCHEDULED_FOR_DELETION

Ergebnisbeschreibung:

Mit dieser Einstellung wird geprüft, ob KMS-Schlüssel zum Löschen geplant sind. Die Prüfung schlägt fehl, wenn ein KMS-Schlüssel zum Löschen geplant ist.

KMS-Schlüssel können nach dem Löschen nicht wiederhergestellt werden. Daten, die mit einem KMS-Schlüssel verschlüsselt wurden, können auch nicht wiederhergestellt werden, wenn der KMS-Schlüssel gelöscht wird. Wenn sinnvolle Daten mit einem KMS-Schlüssel verschlüsselt wurden, der zum Löschen vorgemerkt ist, sollten Sie die Daten entschlüsseln oder mit einem neuen KMS-Schlüssel neu verschlüsseln, es sei denn, Sie führen absichtlich eine kryptografische Vernichtung durch.

Wenn ein KMS-Schlüssel zum Löschen geplant ist, wird eine obligatorische Wartezeit erzwungen, damit das Löschen rückgängig gemacht werden kann, falls es irrtümlich geplant wurde. Die Standardwartezeit beträgt 30 Tage, kann aber auf bis zu 7 Tage verkürzt werden, wenn das Löschen des KMS-Schlüssels geplant ist. Während der Wartezeit kann die geplante Löschung abgebrochen werden und der KMS-Schlüssel wird nicht gelöscht.

Weitere Informationen zum Löschen von KMS-Schlüsseln finden Sie im Entwicklerhandbuch für den AWS Key Management Service unter KMS-Schlüssel löschen.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SC-12

Prüfen Sie alle CMKs darauf, dass sie nicht zum Löschen geplant sind

  • Echtzeit-Scans: Nein

Lambda Concurrency Check

Kategoriename in der API: LAMBDA_CONCURRENCY_CHECK

Ergebnisbeschreibung:

Prüft, ob für die Lambda-Funktion das Limit für die gleichzeitige Ausführung auf Funktionsebene konfiguriert ist. Die Regel hat den Status „NICHT KONFORM“, wenn für die Lambda-Funktion kein Limit für die gleichzeitige Ausführung auf Funktionsebene konfiguriert ist.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet.

Prüfen Sie, ob für Lambda-Funktionen das Limit für die gleichzeitige Ausführung auf Funktionsebene konfiguriert ist

  • Echtzeit-Scans: Nein

Lambda Dlq Check

Kategoriename in der API: LAMBDA_DLQ_CHECK

Ergebnisbeschreibung:

Prüft, ob eine Lambda-Funktion mit einer Dead-Letter-Warteschlange konfiguriert ist. Die Regel hat den Status „NICHT KONFORM“, wenn die Lambda-Funktion nicht mit einer Dead-Letter-Warteschlange konfiguriert ist.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SI-2

Prüfen Sie, ob Lambda-Funktionen mit einer Dead-Letter-Warteschlange konfiguriert sind

  • Echtzeit-Scans: Nein

Lambda Function Public Access Prohibited

Kategoriename in der API: LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED

Ergebnisbeschreibung:

Gemäß den AWS-Best Practices sollte die Lambda-Funktion nicht öffentlich zugänglich sein. Mit dieser Richtlinie werden alle Lambda-Funktionen geprüft, die in allen aktivierten Regionen Ihres Kontos bereitgestellt werden. Die Prüfung schlägt fehl, wenn sie so konfiguriert sind, dass der öffentliche Zugriff zulässig ist.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Prüfen Sie, ob die an die Lambda-Funktion angehängte Richtlinie den öffentlichen Zugriff verhindert

  • Echtzeit-Scans: Nein

Lambda Inside Vpc

Kategoriename in der API: LAMBDA_INSIDE_VPC

Ergebnisbeschreibung:

Prüft, ob sich eine Lambda-Funktion in einer VPC befindet. Möglicherweise werden für Lambda@Edge-Ressourcen Fehler angezeigt.

Die VPC-Subnetz-Routingkonfiguration wird nicht ausgewertet, um die öffentliche Erreichbarkeit zu bestimmen.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Prüfen Sie, ob Lambda-Funktionen in einer VPC vorhanden sind

  • Echtzeit-Scans: Nein

Mfa Delete Enabled S3 Buckets

Kategoriename in der API: MFA_DELETE_ENABLED_S3_BUCKETS

Ergebnisbeschreibung:

Sobald die Funktion „MFA-Löschungen“ für Ihren sensiblen und klassifizierten S3-Bucket aktiviert ist, müssen Nutzer zwei Authentifizierungsmethoden verwenden.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 2.1.2
  • CIS Controls 8.0: 3.3, 6.5

Achten Sie darauf, dass MFA-Löschungen für S3-Buckets aktiviert sind

  • Echtzeit-Scans: Nein

Mfa Enabled Root User Account

Kategoriename in der API: MFA_ENABLED_ROOT_USER_ACCOUNT

Ergebnisbeschreibung:

Das Nutzerkonto „root“ ist der Nutzer mit den meisten Berechtigungen in einem AWS-Konto. Die Multi-Faktor-Authentifizierung (MFA) bietet neben einem Nutzernamen und Passwort einen zusätzlichen Schutz. Wenn die MFA aktiviert ist, werden Nutzer bei der Anmeldung auf einer AWS-Website nach ihrem Nutzernamen und Passwort sowie nach einem Authentifizierungscode von ihrem AWS-MFA-Gerät gefragt.

Hinweis:Wenn die virtuelle MFA für Root-Konten verwendet wird, wird empfohlen, dass das verwendete Gerät KEIN privates Gerät ist, sondern ein spezielles Mobilgerät (Tablet oder Smartphone), das unabhängig von einzelnen privaten Geräten aufgeladen und gesichert wird. („nicht persönliche virtuelle MFA“) Dadurch wird das Risiko verringert, den Zugriff auf die MFA aufgrund von Geräteverlust, Gerätetausch oder wenn die Person, die das Gerät besitzt, nicht mehr im Unternehmen beschäftigt ist, zu verlieren.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: IA-2, IA-2(8)
  • PCI-DSS v3.2.1: 8.3.2
  • PCI-DSS v4.0: 2.2.7, 8.4.1
  • ISO-27001 v2022: A.8.2
  • Cloud Controls Matrix 4: IAM-10
  • NIST Cybersecurity Framework 1.0: PR-AC-7
  • SOC2 v2017: CC6.1.3, CC6.1.4, CC6.1.6, CC6.1.7, CC6.1.8
  • CIS AWS Foundation 2.0.0: 1.5
  • CIS Controls 8.0: 6.5

Achten Sie darauf, dass MFA für das Root-Nutzerkonto aktiviert ist

  • Echtzeit-Scans: Nein

Multi Factor Authentication Mfa Enabled All Iam Users Console

Kategoriename in der API: MULTI_FACTOR_AUTHENTICATION_MFA_ENABLED_ALL_IAM_USERS_CONSOLE

Ergebnisbeschreibung:

Die Multi-Faktor-Authentifizierung (MFA) bietet eine zusätzliche Authentifizierungsebene, die über herkömmliche Anmeldedaten hinausgeht. Wenn die MFA aktiviert ist, werden Nutzer bei der Anmeldung in der AWS Console aufgefordert, ihren Nutzernamen und ihr Passwort sowie einen Authentifizierungscode aus ihrem physischen oder virtuellen MFA-Token anzugeben. Wir empfehlen, die Multi-Faktor-Authentifizierung für alle Konten zu aktivieren, die ein Console-Passwort haben.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: IA-2, IA-2(8)
  • PCI-DSS v3.2.1: 8.3.2
  • PCI-DSS v4.0: 2.2.7, 8.4.1
  • ISO-27001 v2022: A.8.2
  • Cloud Controls Matrix 4: IAM-10
  • NIST Cybersecurity Framework 1.0: PR-AC-7
  • SOC2 v2017: CC6.1.3, CC6.1.4, CC6.1.6, CC6.1.7, CC6.1.8
  • CIS AWS Foundation 2.0.0: 1.10
  • CIS Controls 8.0: 6.5

Achten Sie darauf, dass die Multi-Faktor-Authentifizierung (MFA) für alle IAM-Nutzer aktiviert ist, die ein Console-Passwort haben

  • Echtzeit-Scans: Nein

No Network Acls Allow Ingress 0 0 0 0 Remote Server Administration

Kategoriename in der API: NO_NETWORK_ACLS_ALLOW_INGRESS_0_0_0_0_REMOTE_SERVER_ADMINISTRATION

Ergebnisbeschreibung:

Die Network Access Control List-Funktion (NACL) ermöglicht die zustandslose Filterung von eingehenden und ausgehenden Netzwerkverkehr zu AWS-Ressourcen. Es wird empfohlen, dass keine NACL den uneingeschränkten Zugriff auf Remote-Server-Verwaltungsports zulässt, z. B. SSH auf Port 22 und RDP auf Port 3389, und zwar weder über das TDP-Protokoll (6), UDP-Protokoll (17) noch über das ALL-Protokoll (-1).

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS AWS Foundation 2.0.0: 5.1

Achten Sie darauf, dass keine Netzwerk-ACLs eingehenden Traffic von 0.0.0.0/0 an Remote-Server-Verwaltungsports zulassen

  • Echtzeit-Scans: Nein

No Root User Account Access Key Exists

Kategoriename in der API: NO_ROOT_USER_ACCOUNT_ACCESS_KEY_EXISTS

Ergebnisbeschreibung:

Das Nutzerkonto „root“ ist der Nutzer mit den meisten Berechtigungen in einem AWS-Konto. AWS-Zugriffsschlüssel ermöglichen programmatischen Zugriff auf ein bestimmtes AWS-Konto. Es wird empfohlen, alle Zugriffsschlüssel zu löschen, die mit dem Root-Nutzerkonto verknüpft sind.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 8.1.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 1.4
  • CIS Controls 8.0: 3.3, 5.4

Achten Sie darauf, dass kein Zugriffsschlüssel für das Root-Nutzerkonto vorhanden ist

  • Echtzeit-Scans: Nein

No Security Groups Allow Ingress 0 0 0 0 Remote Server Administration

Kategoriename in der API: NO_SECURITY_GROUPS_ALLOW_INGRESS_0_0_0_0_REMOTE_SERVER_ADMINISTRATION

Ergebnisbeschreibung:

Sicherheitsgruppen ermöglichen die zustandsabhängige Filterung von eingehenden und ausgehenden Netzwerkverkehr zu AWS-Ressourcen. Es wird empfohlen, dass keine Sicherheitsgruppe uneingeschränkten Zugriff auf Remote-Serververwaltungsports zulässt, z. B. SSH auf Port 22 und RDP auf Port 3389, und zwar weder über das TDP-Protokoll (6), UDP-Protokoll (17) noch über das ALL-Protokoll (-1).

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS AWS Foundation 2.0.0: 5.2

Achten Sie darauf, dass keine Sicherheitsgruppen eingehenden Traffic von 0.0.0.0/0 an Remote-Serververwaltungsports zulassen

  • Echtzeit-Scans: Nein

No Security Groups Allow Ingress 0 Remote Server Administration

Kategoriename in der API: NO_SECURITY_GROUPS_ALLOW_INGRESS_0_REMOTE_SERVER_ADMINISTRATION

Ergebnisbeschreibung:

Sicherheitsgruppen ermöglichen die zustandsabhängige Filterung von eingehenden und ausgehenden Netzwerkverkehr zu AWS-Ressourcen. Es wird empfohlen, dass keine Sicherheitsgruppe uneingeschränkten Zugriff auf Remote-Serververwaltungsports zulässt, z. B. SSH auf Port 22 und RDP auf Port 3389.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS AWS Foundation 2.0.0: 5.3

Achten Sie darauf, dass keine Sicherheitsgruppen eingehenden Traffic von ::/0 an Remote-Serververwaltungsports zulassen

  • Echtzeit-Scans: Nein

One Active Access Key Available Any Single Iam User

Kategoriename in der API: ONE_ACTIVE_ACCESS_KEY_AVAILABLE_ANY_SINGLE_IAM_USER

Ergebnisbeschreibung:

Zugriffsschlüssel sind langfristige Anmeldedaten für einen IAM-Nutzer oder den Nutzer „root“ des AWS-Kontos. Mit Zugriffsschlüsseln können Sie programmatische Anfragen an die AWS-Befehlszeile oder die AWS API signieren (direkt oder mit dem AWS SDK).

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • CIS AWS Foundation 2.0.0: 1.13
  • CIS Controls 8.0: 5

Achten Sie darauf, dass für jeden einzelnen IAM-Nutzer nur ein aktiver Zugriffsschlüssel verfügbar ist

  • Echtzeit-Scans: Nein

Public Access Given Rds Instance

Kategoriename in der API: PUBLIC_ACCESS_GIVEN_RDS_INSTANCE

Ergebnisbeschreibung:

Achten Sie darauf, dass in Ihrem AWS-Konto bereitgestellte RDS-Datenbankinstanzen den unbefugten Zugriff einschränken, um Sicherheitsrisiken zu minimieren. Wenn Sie den Zugriff auf eine öffentlich zugängliche RDS-Datenbankinstanz einschränken möchten, müssen Sie das Flag „Öffentlich zugänglich“ für die Datenbank deaktivieren und die mit der Instanz verknüpfte VPC-Sicherheitsgruppe aktualisieren.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2, SC-7
  • PCI-DSS v3.2.1: 2.2.2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 2.3.3
  • CIS Controls 8.0: 3.3

Achten Sie darauf, dass RDS-Instanzen keine öffentliche Zugriffsberechtigung gewährt wird

  • Echtzeit-Scans: Nein

Rds Enhanced Monitoring Enabled

Kategoriename in der API: RDS_ENHANCED_MONITORING_ENABLED

Ergebnisbeschreibung:

Das erweiterte Monitoring bietet Echtzeitmesswerte zum Betriebssystem, auf dem die RDS-Instanz ausgeführt wird, über einen in der Instanz installierten Agenten.

Weitere Informationen finden Sie unter Betriebssystemmesswerte mit erweitertem Monitoring überwachen.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SI-2

Prüfen Sie, ob erweitertes Monitoring für alle RDS-Datenbankinstanzen aktiviert ist

  • Echtzeit-Scans: Nein

Rds Instance Deletion Protection Enabled

Kategoriename in der API: RDS_INSTANCE_DELETION_PROTECTION_ENABLED

Ergebnisbeschreibung:

Wenn Sie den Schutz vor Instanzlöschungen aktivieren, wird eine zusätzliche Schutzebene gegen das versehentliche Löschen der Datenbank oder das Löschen durch eine nicht autorisierte Entität bereitgestellt.

Solange der Löschschutz aktiviert ist, kann eine RDS-Datenbankinstanz nicht gelöscht werden. Damit ein Löschantrag erfolgreich sein kann, muss der Löschschutz deaktiviert sein.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SI-13(5)

Prüfen Sie, ob für alle RDS-Instanzen der Löschschutz aktiviert ist

  • Echtzeit-Scans: Nein

Rds In Backup Plan

Kategoriename in der API: RDS_IN_BACKUP_PLAN

Ergebnisbeschreibung:

Bei dieser Prüfung wird ermittelt, ob für Amazon RDS-Datenbankinstanzen ein Sicherungsplan vorhanden ist. Diese Prüfung schlägt fehl, wenn für eine RDS-Datenbankinstanz kein Sicherungsplan vorhanden ist.

AWS Backup ist ein vollständig verwalteter Sicherungsdienst, mit dem die Sicherung von Daten in AWS-Diensten zentralisiert und automatisiert wird. Mit AWS Backup können Sie Sicherungsrichtlinien erstellen, die als Sicherungspläne bezeichnet werden. Mit diesen Plänen können Sie Ihre Sicherungsanforderungen definieren, z. B. wie oft Ihre Daten gesichert werden sollen und wie lange diese Sicherungen aufbewahrt werden sollen. Wenn Sie RDS-Datenbankinstanzen in einen Sicherungsplan aufnehmen, können Sie Ihre Daten vor unbeabsichtigtem Verlust oder Löschen schützen.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SI-13(5)

Für die RDS-Datenbankinstanzen sollte es einen Sicherungsplan geben

  • Echtzeit-Scans: Nein

Rds Logging Enabled

Kategoriename in der API: RDS_LOGGING_ENABLED

Ergebnisbeschreibung:

Dabei wird geprüft, ob die folgenden Amazon RDS-Logs aktiviert und an CloudWatch gesendet werden.

Für RDS-Datenbanken sollten die relevanten Protokolle aktiviert sein. Die Datenbankprotokollierung bietet detaillierte Einträge zu Anfragen an RDS. Datenbankprotokolle können bei Sicherheits- und Zugriffsaudits helfen und bei der Diagnose von Verfügbarkeitsproblemen unterstützen.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SI-7(8)

Prüfen Sie, ob exportierte Logs für alle RDS-Datenbankinstanzen aktiviert sind

  • Echtzeit-Scans: Nein

Rds Multi Az Support

Kategoriename in der API: RDS_MULTI_AZ_SUPPORT

Ergebnisbeschreibung:

RDS-Datenbankinstanzen sollten für mehrere Verfügbarkeitszonen (AZs) konfiguriert werden. So wird die Verfügbarkeit der gespeicherten Daten sichergestellt. Bei Bereitstellungen mit mehreren AZs ist ein automatischer Failover möglich, wenn ein Problem mit der Verfügbarkeit einer Verfügbarkeitszone auftritt oder während der regelmäßigen RDS-Wartung.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SI-13(5)

Prüfen Sie, ob die Hochverfügbarkeit für alle RDS-Datenbankinstanzen aktiviert ist

  • Echtzeit-Scans: Nein

Redshift Cluster Configuration Check

Kategoriename in der API: REDSHIFT_CLUSTER_CONFIGURATION_CHECK

Ergebnisbeschreibung:

Dabei werden die wesentlichen Elemente eines Redshift-Clusters geprüft: Verschlüsselung ruhender Daten, Logging und Knotentyp.

Diese Konfigurationselemente sind wichtig für die Wartung eines sicheren und beobachtbaren Redshift-Clusters.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SI-7(8)
  • PCI-DSS v3.2.1: 10.3.1

Prüfen Sie, ob für alle Redshift-Cluster die Verschlüsselung ruhender Daten, das Logging und der Knotentyp konfiguriert sind.

  • Echtzeit-Scans: Nein

Redshift Cluster Maintenancesettings Check

Kategoriename in der API: REDSHIFT_CLUSTER_MAINTENANCESETTINGS_CHECK

Ergebnisbeschreibung:

Automatische Upgrades der Hauptversion erfolgen gemäß dem Wartungsfenster.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SI-2

Prüfen Sie, ob für alle Redshift-Cluster „allowVersionUpgrade“ aktiviert ist und Werte für „preferredMaintenanceWindow“ sowie „automatedSnapshotRetentionPeriod“ festgelegt sind

  • Echtzeit-Scans: Nein

Redshift Cluster Public Access Check

Kategoriename in der API: REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK

Ergebnisbeschreibung:

Das Attribut „PubliclyAccessible“ der Amazon Redshift-Clusterkonfiguration gibt an, ob der Cluster öffentlich zugänglich ist. Wenn der Cluster so konfiguriert ist, dass „PubliclyAccessible“ auf „true“ gesetzt ist, handelt es sich um eine internetfähige Instanz mit einem öffentlich auflösbaren DNS-Namen, der in eine öffentliche IP-Adresse aufgelöst wird.

Wenn der Cluster nicht öffentlich zugänglich ist, handelt es sich um eine interne Instanz mit einem DNS-Namen, der in eine private IP-Adresse aufgelöst wird. Sofern Sie nicht beabsichtigen, dass Ihr Cluster öffentlich zugänglich ist, sollte die Einstellung „PubliclyAccessible“ nicht auf „true“ gesetzt sein.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Prüfen Sie, ob Redshift-Cluster öffentlich zugänglich sind

  • Echtzeit-Scans: Nein

Restricted Common Ports

Kategoriename in der API: RESTRICTED_COMMON_PORTS

Ergebnisbeschreibung:

Dabei wird geprüft, ob für die Sicherheitsgruppen uneingeschränkter eintreffender Traffic auf die Ports mit dem höchsten Risiko zugreifen kann. Diese Steuerung schlägt fehl, wenn eine der Regeln in einer Sicherheitsgruppe eingehenden Traffic von „0.0.0.0/0“ oder „::/0“ für diese Ports zulässt.

Der unbeschränkte Zugriff (0.0.0.0/0) erhöht die Wahrscheinlichkeit für schädliche Aktivitäten wie Hacking, Denial-of-Service-Angriffe und Datenverlust.

Sicherheitsgruppen ermöglichen die zustandsabhängige Filterung von eingehenden und ausgehenden Netzwerkverkehr zu AWS-Ressourcen. Keine Sicherheitsgruppe sollte uneingeschränkten Zugriff auf die folgenden Ports zulassen:

  • 20, 21 (FTP)
  • 22 (SSH)
  • 23 (Telnet)
  • 25 (SMTP)
  • 110 (POP3)
  • 135 (RPC)
  • 143 (IMAP)
  • 445 (CIFS)
  • 1433, 1434 (MSSQL)
  • 3.000 (Go-, Node.js- und Ruby-Webentwicklungs-Frameworks)
  • 3306 (mySQL)
  • 3389 (RDP)
  • 4333 (ahsp)
  • 5.000 (Python-Webentwicklungs-Frameworks)
  • 5432 (PostgreSQL)
  • 5500 (fcp-addr-srvr1)
  • 5601 (OpenSearch-Dashboards)
  • 8080 (Proxy)
  • 8088 (Legacy-HTTP-Port)
  • 8888 (alternativer HTTP-Port)
  • 9200 oder 9300 (OpenSearch)

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Sicherheitsgruppen sollten keinen uneingeschränkten Zugriff auf Ports mit hohem Risiko zulassen

  • Echtzeit-Scans: Nein

Restricted Ssh

Kategoriename in der API: RESTRICTED_SSH

Ergebnisbeschreibung:

Sicherheitsgruppen ermöglichen die zustandsabhängige Filterung von eingehenden und ausgehenden Netzwerkverkehr zu AWS-Ressourcen.

CIS empfiehlt, dass keine Sicherheitsgruppe uneingeschränkten Zugriff auf Port 22 zulässt. Wenn Sie die uneingeschränkte Verbindung zu Remote-Konsolendiensten wie SSH entfernen, verringern Sie das Risiko für einen Server.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Sicherheitsgruppen sollten keinen eingehenden Traffic von 0.0.0.0/0 an Port 22 zulassen

  • Echtzeit-Scans: Nein

Rotation Customer Created Cmks Enabled

Kategoriename in der API: ROTATION_CUSTOMER_CREATED_CMKS_ENABLED

Ergebnisbeschreibung:

Prüft, ob die automatische Schlüsselrotation für jeden Schlüssel aktiviert ist und mit der Schlüssel-ID des vom Kunden erstellten AWS KMS-Schlüssels übereinstimmt. Die Regel hat den Status „NICHT KONFORM“, wenn die Rolle „AWS Config-Aufzeichner“ für eine Ressource nicht die Berechtigung „kms:DescribeKey“ hat.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet.

Achten Sie darauf, dass die Rotation für vom Kunden erstellte CMKs aktiviert ist

  • Echtzeit-Scans: Nein

Rotation Customer Created Symmetric Cmks Enabled

Kategoriename in der API: ROTATION_CUSTOMER_CREATED_SYMMETRIC_CMKS_ENABLED

Ergebnisbeschreibung:

Mit dem AWS Key Management Service (KMS) können Kunden den Back-Key rotieren. Das ist Schlüsselmaterial, das im KMS gespeichert ist und mit der Schlüssel-ID des vom Kunden erstellten Kundenmasterschlüssels (CMK) verknüpft ist. Der Back-Key wird für kryptografische Vorgänge wie Verschlüsselung und Entschlüsselung verwendet. Bei der automatischen Schlüsselrotation werden derzeit alle vorherigen Sicherungsschlüssel beibehalten, damit die Entschlüsselung verschlüsselter Daten transparent erfolgen kann. Es wird empfohlen, die CMK-Schlüsselrotation für symmetrische Schlüssel zu aktivieren. Die Schlüsselrotation kann für keine asymmetrischen CMKs aktiviert werden.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 3.8
  • CIS Controls 8.0: 3.11

Achten Sie darauf, dass die Rotation für vom Kunden erstellte symmetrische CMKs aktiviert ist

  • Echtzeit-Scans: Nein

Routing Tables Vpc Peering Are Least Access

Kategoriename in der API: ROUTING_TABLES_VPC_PEERING_ARE_LEAST_ACCESS

Ergebnisbeschreibung:

Prüft, ob Routingtabellen für das VPC-Peering mit dem Prinzip der geringsten Berechtigung konfiguriert sind.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet.

Achten Sie darauf, dass Routingtabellen für VPC-Peering den geringsten Zugriff gewähren

  • Echtzeit-Scans: Nein

S3 Account Level Public Access Blocks

Kategoriename in der API: S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS

Ergebnisbeschreibung:

Die Funktion „Öffentlichen Zugriff blockieren“ in Amazon S3 bietet Einstellungen für Zugangspunkte, Buckets und Konten, mit denen Sie den öffentlichen Zugriff auf Amazon S3-Ressourcen verwalten können. Standardmäßig ist der öffentliche Zugriff auf neue Buckets, Zugangspunkte und Objekte nicht zulässig.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

Dieser Ergebniskategorie sind keine Steuerelemente für Compliance-Standards zugeordnet.

Prüfen Sie, ob die erforderlichen S3-Einstellungen zum Blockieren des öffentlichen Zugriffs auf Kontoebene konfiguriert sind

  • Echtzeit-Scans: Nein

S3 Buckets Configured Block Public Access Bucket And Account Settings

Kategoriename in der API: S3_BUCKETS_CONFIGURED_BLOCK_PUBLIC_ACCESS_BUCKET_AND_ACCOUNT_SETTINGS

Ergebnisbeschreibung:

Amazon S3 bietet Block public access (bucket settings) und Block public access (account settings), um den öffentlichen Zugriff auf Amazon S3-Ressourcen zu verwalten. Standardmäßig werden S3-Buckets und ‑Objekte mit deaktiviertem öffentlichen Zugriff erstellt. Ein AWS IAM-Hauptkonto mit ausreichenden S3-Berechtigungen kann jedoch den öffentlichen Zugriff auf Bucket- oder Objektebene aktivieren. Wenn Block public access (bucket settings) aktiviert ist, wird verhindert, dass ein einzelner Bucket und die darin enthaltenen Objekte öffentlich zugänglich werden. Ebenso verhindert Block public access (account settings), dass alle Buckets und darin enthaltenen Objekte im gesamten Konto öffentlich zugänglich werden.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2, SC-7
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 2.1.4
  • CIS Controls 8.0: 3.3

Achten Sie darauf, dass S3-Buckets mit Block public access (bucket settings) konfiguriert sind.

  • Echtzeit-Scans: Nein

S3 Bucket Access Logging Enabled Cloudtrail S3 Bucket

Kategoriename in der API: S3_BUCKET_ACCESS_LOGGING_ENABLED_CLOUDTRAIL_S3_BUCKET

Ergebnisbeschreibung:

Bei der S3-Bucket-Zugriffsprotokollierung wird ein Log generiert, das Zugriffsdatensätze für jede Anfrage an Ihren S3-Bucket enthält. Ein Zugriffsprotokolleintrag enthält Details zur Anfrage, z. B. den Anfragetyp, die in der Anfrage angegebenen Ressourcen und die Uhrzeit und das Datum, zu dem die Anfrage verarbeitet wurde. Es wird empfohlen, das Bucket-Zugriffs-Logging für den CloudTrail-S3-Bucket zu aktivieren.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: AC-6, AU-12, AU-2
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1
  • ISO-27001 v2022: A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • SOC2 v2017: CC6.1.1, CC6.1.10, CC6.1.11, CC6.1.12, CC6.1.13, CC6.1.2, CC6.1.3, CC6.1.4, CC6.1.5, CC6.1.6, CC6.1.7, CC6.1.8, CC6.1.9
  • HIPAA: 164.312(b), 164.312(c)(1), 164.312(c)(2)
  • CIS AWS Foundation 2.0.0: 3.6
  • CIS Controls 8.0: 3.14, 8.2

Achten Sie darauf, dass das S3-Bucket-Zugriffs-Logging im CloudTrail S3-Bucket aktiviert ist

  • Echtzeit-Scans: Nein

S3 Bucket Logging Enabled

Kategoriename in der API: S3_BUCKET_LOGGING_ENABLED

Ergebnisbeschreibung:

Mit der AWS S3-Serverzugriffs-Logging-Funktion werden Zugriffsanfragen an Speicher-Buckets protokolliert. Das ist für Sicherheitsaudits nützlich. Standardmäßig ist das Logging von Serverzugriffen für S3-Buckets nicht aktiviert.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SI-7(8)
  • PCI-DSS v3.2.1: 10.3.1

Prüfen Sie, ob Logging für alle S3-Buckets aktiviert ist

  • Echtzeit-Scans: Nein

S3 Bucket Policy Set Deny Http Requests

Kategoriename in der API: S3_BUCKET_POLICY_SET_DENY_HTTP_REQUESTS

Ergebnisbeschreibung:

Auf Amazon S3-Bucket-Ebene können Sie Berechtigungen über eine Bucket-Richtlinie konfigurieren, sodass die Objekte nur über HTTPS zugänglich sind.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: AC-17, IA-5, SC-8
  • PCI-DSS v4.0: 2.2.7, 4.1.1, 4.2.1, 4.2.1.2, 4.2.2, 8.3.2
  • ISO-27001 v2022: A.5.14
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-2
  • SOC2 v2017: CC6.1.11, CC6.1.3, CC6.1.8, CC6.7.2
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(1), 164.312(e)(2)(i), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 2.1.1
  • CIS Controls 8.0: 3.10

Achten Sie darauf, dass die S3-Bucket-Richtlinie auf Ablehnen von HTTP-Anfragen festgelegt ist

  • Echtzeit-Scans: Nein

S3 Bucket Replication Enabled

Kategoriename in der API: S3_BUCKET_REPLICATION_ENABLED

Ergebnisbeschreibung:

Mit dieser Einstellung wird geprüft, ob die regionsübergreifende Replikation für einen Amazon S3-Bucket aktiviert ist. Die Prüfung schlägt fehl, wenn die regionsübergreifende Replikation für den Bucket nicht aktiviert ist oder wenn auch die Replikation innerhalb der Region aktiviert ist.

Bei der Replikation werden Objekte automatisch und asynchron in Buckets in derselben oder in verschiedenen AWS-Regionen kopiert. Bei der Replikation werden neu erstellte Objekte und Objektaktualisierungen aus einem Quell-Bucket in einen oder mehrere Ziel-Buckets kopiert. Gemäß den AWS-Best Practices wird die Replikation für Quell- und Ziel-Buckets empfohlen, die demselben AWS-Konto gehören. Neben der Verfügbarkeit sollten Sie auch andere Einstellungen zur Systemhärtung berücksichtigen.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SI-13(5)

Prüfen Sie, ob die regionsübergreifende Replikation für S3-Buckets aktiviert ist

  • Echtzeit-Scans: Nein

S3 Bucket Server Side Encryption Enabled

Kategoriename in der API: S3_BUCKET_SERVER_SIDE_ENCRYPTION_ENABLED

Ergebnisbeschreibung:

Dabei wird geprüft, ob für Ihren S3-Bucket entweder die Standardverschlüsselung von Amazon S3 aktiviert ist oder die S3-Bucket-Richtlinie Put-Objektanfragen ohne serverseitige Verschlüsselung ausdrücklich ablehnt.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SI-7(6)
  • PCI-DSS v3.2.1: 10.5.2

Achten Sie darauf, dass alle S3-Buckets die Verschlüsselung ruhender Daten verwenden

  • Echtzeit-Scans: Nein

S3 Bucket Versioning Enabled

Kategoriename in der API: S3_BUCKET_VERSIONING_ENABLED

Ergebnisbeschreibung:

Mit Amazon S3 können Sie mehrere Varianten eines Objekts im selben Bucket speichern. So können Sie sich leichter von unbeabsichtigten Nutzeraktionen und Anwendungsfehlern erholen.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SI-13(5)
  • PCI-DSS v3.2.1: 10.5.5

Prüfen Sie, ob die Versionsverwaltung für alle S3-Buckets aktiviert ist

  • Echtzeit-Scans: Nein

S3 Default Encryption Kms

Kategoriename in der API: S3_DEFAULT_ENCRYPTION_KMS

Ergebnisbeschreibung:

Prüft, ob die Amazon S3-Buckets mit AWS Key Management Service (AWS KMS) verschlüsselt sind

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SI-7(6)

Prüfen Sie, ob alle Buckets mit KMS verschlüsselt sind

  • Echtzeit-Scans: Nein

Sagemaker Notebook Instance Kms Key Configured

Kategoriename in der API: SAGEMAKER_NOTEBOOK_INSTANCE_KMS_KEY_CONFIGURED

Ergebnisbeschreibung:

Prüft, ob für eine Amazon SageMaker-Notebookinstanz ein AWS Key Management Service-Schlüssel (AWS KMS) konfiguriert ist. Die Regel hat den Status „NICHT KONFORM“, wenn „KmsKeyId“ für die SageMaker-Notebookinstanz nicht angegeben ist.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SI-7(6)
  • PCI-DSS v3.2.1: 8.2.1

Prüfen Sie, ob für alle SageMaker-Notebookinstanzen die Verwendung von KMS konfiguriert ist

  • Echtzeit-Scans: Nein

Sagemaker Notebook No Direct Internet Access

Kategoriename in der API: SAGEMAKER_NOTEBOOK_NO_DIRECT_INTERNET_ACCESS

Ergebnisbeschreibung:

Prüft, ob der direkte Internetzugriff für eine SageMaker-Notebookinstanz deaktiviert ist. Dazu wird geprüft, ob das Feld „DirectInternetAccess“ für die Notebook-Instanz deaktiviert ist.

Wenn Sie Ihre SageMaker-Instanz ohne VPC konfigurieren, ist standardmäßig der direkte Internetzugriff auf Ihrer Instanz aktiviert. Sie sollten Ihre Instanz mit einer VPC konfigurieren und die Standardeinstellung in „Deaktivieren – Internetzugriff über eine VPC“ ändern.

Wenn Sie Modelle auf einem Notebook trainieren oder hosten möchten, benötigen Sie Internetzugriff. Damit der Internetzugriff möglich ist, muss Ihre VPC ein NAT-Gateway haben und Ihre Sicherheitsgruppe ausgehende Verbindungen zulassen. Weitere Informationen zum Verbinden einer Notebook-Instanz mit Ressourcen in einer VPC finden Sie im Amazon SageMaker Developer Guide unter „Notebook-Instanz mit Ressourcen in einer VPC verbinden“.

Außerdem sollten Sie dafür sorgen, dass der Zugriff auf Ihre SageMaker-Konfiguration auf autorisierte Nutzer beschränkt ist. Beschränken Sie die IAM-Berechtigungen der Nutzer, um die SageMaker-Einstellungen und ‑Ressourcen zu ändern.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Prüfen Sie, ob der direkte Internetzugriff für alle Amazon SageMaker-Notebookinstanzen deaktiviert ist

  • Echtzeit-Scans: Nein

Secretsmanager Rotation Enabled Check

Kategoriename in der API: SECRETSMANAGER_ROTATION_ENABLED_CHECK

Ergebnisbeschreibung:

Prüft, ob ein in AWS Secrets Manager gespeichertes Secret für die automatische Rotation konfiguriert ist. Die Steuerung schlägt fehl, wenn das Secret nicht für die automatische Rotation konfiguriert ist. Wenn Sie einen benutzerdefinierten Wert für den Parameter maximumAllowedRotationFrequency angeben, wird die Prüfung nur bestanden, wenn das Secret innerhalb des angegebenen Zeitraums automatisch rotiert wird.

Mit Secret Manager können Sie die Sicherheit Ihres Unternehmens verbessern. Zu Secrets gehören Datenbankanmeldedaten, Passwörter und API-Schlüssel von Drittanbietern. Mit Secret Manager können Sie Secrets zentral speichern, automatisch verschlüsseln, den Zugriff darauf steuern und Secrets sicher und automatisch rotieren.

Secrets Manager kann Secrets rotieren. Sie können die Rotation verwenden, um langfristige Geheimnisse durch kurzfristige zu ersetzen. Durch das Rotieren Ihrer Secrets wird die Zeitspanne begrenzt, in der ein nicht autorisierter Nutzer ein manipuliertes Secret verwenden kann. Aus diesem Grund sollten Sie Ihre Secrets regelmäßig wechseln. Weitere Informationen zur Rotation finden Sie im AWS Secrets Manager-Nutzerhandbuch unter „AWS Secrets Manager-Secrets rotieren“.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: AC-3(15)
  • PCI-DSS v3.2.1: 8.2.4

Prüfen Sie, ob für alle AWS Secrets Manager-Secrets die Rotation aktiviert ist

  • Echtzeit-Scans: Nein

Sns Encrypted Kms

Kategoriename in der API: SNS_ENCRYPTED_KMS

Ergebnisbeschreibung:

Prüft, ob ein SNS-Thema im Ruhezustand mit AWS KMS verschlüsselt ist. Die Steuerelemente funktionieren nicht, wenn für ein SNS-Thema kein KMS-Schlüssel für die serverseitige Verschlüsselung (SSE) verwendet wird.

Durch die Verschlüsselung ruhender Daten wird das Risiko verringert, dass auf auf dem Laufwerk gespeicherte Daten von einem Nutzer zugegriffen wird, der nicht bei AWS authentifiziert ist. Außerdem werden weitere Zugriffssteuerungen hinzugefügt, um den Zugriff nicht autorisierter Nutzer auf die Daten einzuschränken. Beispielsweise sind API-Berechtigungen erforderlich, um die Daten zu entschlüsseln, bevor sie gelesen werden können. SNS-Themen sollten ruhende Daten verschlüsseln, um für zusätzliche Sicherheit zu sorgen.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SI-7(6)

Prüfen Sie, ob alle SNS-Themen mit KMS verschlüsselt sind

  • Echtzeit-Scans: Nein

Vpc Default Security Group Closed

Kategoriename in der API: VPC_DEFAULT_SECURITY_GROUP_CLOSED

Ergebnisbeschreibung:

Mit dieser Einstellung wird geprüft, ob die Standardsicherheitsgruppe einer VPC eingehenden oder ausgehenden Traffic zulässt. Die Prüfung schlägt fehl, wenn die Sicherheitsgruppe eingehenden oder ausgehenden Traffic zulässt.

Die Regeln für die Standardsicherheitsgruppe erlauben den gesamten ausgehenden und eingehenden Traffic von Netzwerkschnittstellen (und ihren zugehörigen Instanzen), die derselben Sicherheitsgruppe zugewiesen sind. Wir empfehlen, die Standardsicherheitsgruppe nicht zu verwenden. Da die Standardsicherheitsgruppe nicht gelöscht werden kann, sollten Sie die Einstellung für die Standardsicherheitsgruppenregeln ändern, um den ein- und ausgehenden Traffic einzuschränken. So wird unerwünschter Traffic verhindert, wenn die Standardsicherheitsgruppe versehentlich für Ressourcen wie EC2-Instanzen konfiguriert wird.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Achten Sie darauf, dass die Standardsicherheitsgruppe jeder VPC den gesamten Traffic einschränkt

  • Echtzeit-Scans: Nein

Vpc Flow Logging Enabled All Vpcs

Kategoriename in der API: VPC_FLOW_LOGGING_ENABLED_ALL_VPCS

Ergebnisbeschreibung:

Mit VPC-Flusslogs können Sie Informationen zum IP-Traffic erfassen, der an Netzwerkschnittstellen in Ihrem VPC ein- und ausgeht. Nachdem Sie ein Ablaufprotokoll erstellt haben, können Sie die Daten in Amazon CloudWatch Logs aufrufen und abrufen. Es wird empfohlen, VPC-Flusslogs für Pakete vom Typ „Abgelehnt“ für VPCs zu aktivieren.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SI-4, SI-7(8)
  • PCI-DSS v3.2.1: 10.3.1
  • ISO-27001 v2022: A.8.15, A.8.16
  • Cloud Controls Matrix 4: IVS-03
  • NIST Cybersecurity Framework 1.0: DE-CM-1
  • SOC2 v2017: CC7.2.1, CC7.2.2, CC7.2.3, CC7.2.4
  • CIS AWS Foundation 2.0.0: 3.9
  • CIS Controls 8.0: 13.6, 8.2

Achten Sie darauf, dass VPC-Fluss-Logging in allen VPCs aktiviert ist

  • Echtzeit-Scans: Nein

Vpc Sg Open Only To Authorized Ports

Kategoriename in der API: VPC_SG_OPEN_ONLY_TO_AUTHORIZED_PORTS

Ergebnisbeschreibung:

Mit dieser Einstellung wird geprüft, ob eine Amazon EC2-Sicherheitsgruppe uneingeschränkten eingehenden Traffic von nicht autorisierten Ports zulässt. Der Steuerstatus wird so ermittelt:

Wenn Sie den Standardwert für „authorizedTcpPorts“ verwenden, schlägt die Prüfung fehl, wenn die Sicherheitsgruppe uneingeschränkten eingehenden Traffic von einem anderen Port als den Ports 80 und 443 zulässt.

Wenn Sie benutzerdefinierte Werte für „authorizedTcpPorts“ oder „authorizedUdpPorts“ angeben, schlägt die Prüfung fehl, wenn die Sicherheitsgruppe uneingeschränkten eingehenden Traffic von einem nicht aufgeführten Port zulässt.

Wenn kein Parameter verwendet wird, schlägt die Steuerung für alle Sicherheitsgruppen fehl, die eine Regel für uneingeschränkten eingehenden Traffic haben.

Sicherheitsgruppen ermöglichen die zustandsabhängige Filterung von eingehenden und ausgehenden Netzwerkverkehr zu AWS. Sicherheitsgruppenregeln sollten dem Prinzip der geringsten Berechtigung folgen. Der unbeschränkte Zugriff (IP-Adresse mit dem Suffix „/0“) erhöht die Wahrscheinlichkeit für schädliche Aktivitäten wie Hacking, Denial-of-Service-Angriffe und Datenverluste. Sofern ein Port nicht ausdrücklich zugelassen ist, sollte er den uneingeschränkten Zugriff verweigern.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Prüfen Sie, ob Sicherheitsgruppen mit 0.0.0.0/0 von VPCs nur bestimmten eingehenden TCP/UDP-Traffic zulassen

  • Echtzeit-Scans: Nein

Both VPC VPN Tunnels Up

Kategoriename in der API: VPC_VPN_2_TUNNELS_UP

Ergebnisbeschreibung:

Ein VPN-Tunnel ist eine verschlüsselte Verbindung, über die Daten innerhalb einer AWS-Site-to-Site-VPN-Verbindung vom Kundennetzwerk zu oder von AWS übertragen werden können. Jede VPN-Verbindung umfasst zwei VPN-Tunnel, die Sie gleichzeitig für Hochverfügbarkeit verwenden können. Es ist wichtig, dass beide VPN-Tunnel für eine VPN-Verbindung aktiviert sind, um eine sichere und hochverfügbare Verbindung zwischen einem AWS-VPC und Ihrem Remote-Netzwerk zu gewährleisten.

Mit dieser Prüfung wird überprüft, ob beide VPN-Tunnel, die von AWS Site-to-Site VPN bereitgestellt werden, den Status „UP“ haben. Die Steuerung schlägt fehl, wenn einer oder beide Tunnel den Status „AUS“ haben.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren

Compliance-Standards:

  • NIST 800-53 R5: SI-13(5)

Prüfen Sie, ob beide von AWS Site-to-Site bereitgestellten AWS-VPN-Tunnel den Status UP haben

  • Echtzeit-Scans: Nein

Web Security Scanner-Ergebnisse

Benutzerdefinierte und verwaltete Web Security Scanner-Scans identifizieren die folgenden Ergebnistypen. In der Standardstufe unterstützt Web Security Scanner benutzerdefinierte Scans von bereitgestellten Anwendungen mit öffentlichen URLs und IP-Adressen, die sich nicht hinter einer Firewall befinden.

Kategorie Ergebnisbeschreibung OWASP 2017 Top 10 OWASP 2021 Top 10

Accessible Git repository

Kategoriename in der API: ACCESSIBLE_GIT_REPOSITORY

Ein Git-Repository ist öffentlich zugänglich. Um dieses Ergebnis zu korrigieren, entfernen Sie den unbeabsichtigten öffentlichen Zugriff auf das GIT-Repository.

Preisstufe: Premium oder Standard

Dieses Ergebnis korrigieren

A5 A01

Accessible SVN repository

Kategoriename in der API: ACCESSIBLE_SVN_REPOSITORY

Ein SVN-Repository ist öffentlich zugänglich. Um dieses Ergebnis zu korrigieren, entfernen Sie den unbeabsichtigten öffentlichen Zugriff auf das SVN-Repository.

Preisstufe: Premium oder Standard

Dieses Ergebnis korrigieren

A5 A01

Cacheable password input

Kategoriename in der API: CACHEABLE_PASSWORD_INPUT

In der Webanwendung eingegebene Passwörter können in einem normalen Browser-Cache statt in einem sicheren Passwortspeicher gespeichert werden.

Preisstufe: Premium

Dieses Ergebnis korrigieren

A3 A04

Clear text password

Kategoriename in der API: CLEAR_TEXT_PASSWORD

Passwörter werden in Klartext übertragen und können abgefangen werden. Um dieses Ergebnis zu beheben, verschlüsseln Sie das über das Netzwerk übertragene Passwort.

Preisstufe: Premium oder Standard

Dieses Ergebnis korrigieren

A3 A02

Insecure allow origin ends with validation

Kategoriename in der API: INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION

Ein websiteübergreifender HTTP- oder HTTPS-Endpunkt validiert nur ein Suffix des Origin-Anfrageheaders, bevor er es im Access-Control-Allow-Origin-Antwortheader widerspiegelt. Prüfen Sie zur Korrektur dieses Ergebnisses, ob die erwartete Stammdomain Teil des Headerwerts Origin ist, bevor Sie sie im Antwortheader Access-Control-Allow-Origin angeben. Stellen Sie bei Subdomain-Platzhaltern der Stammdomain einen Punkt voran, z. B. .endsWith(".google.com").

Preisstufe: Premium

Dieses Ergebnis korrigieren

A5 A01

Insecure allow origin starts with validation

Kategoriename in der API: INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION

Ein websiteübergreifender HTTP- oder HTTPS-Endpunkt validiert nur ein Präfix des Origin-Anfrageheaders, bevor er es im Access-Control-Allow-Origin-Antwortheader widerspiegelt. Um dieses Ergebnis zu korrigieren, prüfen Sie, ob die erwartete Domain vollständig mit dem Headerwert Origin übereinstimmt, bevor Sie sie im Antwortheader Access-Control-Allow-Origin angeben, z. B. .equals(".google.com").

Preisstufe: Premium

Dieses Ergebnis korrigieren

A5 A01

Invalid content type

Kategoriename in der API: INVALID_CONTENT_TYPE

Die geladene Ressource stimmt nicht mit dem Content-Type HTTP-Header der Antwort überein. Um dieses Ergebnis zu korrigieren, legen Sie für den HTTP-Header X-Content-Type-Options den richtigen Wert fest.

Preisstufe: Premium oder Standard

Dieses Ergebnis korrigieren

A6 A05

Invalid header

Kategoriename in der API: INVALID_HEADER

Ein Sicherheitsheader hat einen Syntaxfehler und wird von Browsern ignoriert. Legen Sie die HTTP-Sicherheitsheader richtig fest, um das Problem zu beheben.

Preisstufe: Premium oder Standard

Dieses Ergebnis korrigieren

A6 A05

Mismatching security header values

Kategoriename in der API: MISMATCHING_SECURITY_HEADER_VALUES

Ein Sicherheitsheader hat doppelte, nicht übereinstimmende Werte, was zu nicht definiertem Verhalten führt. Legen Sie die HTTP-Sicherheitsheader richtig fest, um das Problem zu beheben.

Preisstufe: Premium oder Standard

Dieses Ergebnis korrigieren

A6 A05

Misspelled security header name

Kategoriename in der API: MISSPELLED_SECURITY_HEADER_NAME

Ein Sicherheitsheader wurde falsch geschrieben und wird ignoriert. Legen Sie die HTTP-Sicherheitsheader richtig fest, um das Problem zu beheben.

Preisstufe: Premium oder Standard

Dieses Ergebnis korrigieren

A6 A05

Mixed content

Kategoriename in der API: MIXED_CONTENT

Ressourcen werden über HTTP auf einer HTTPS-Seite bereitgestellt. Achten Sie zur Behebung dieses Problems darauf, dass alle Ressourcen über HTTPS bereitgestellt werden.

Preisstufe: Premium oder Standard

Dieses Ergebnis korrigieren

A6 A05

Outdated library

Kategoriename in der API: OUTDATED_LIBRARY

Es wurde eine Bibliothek mit bekannten Sicherheitslücken gefunden. Aktualisieren Sie die Bibliotheken auf eine neuere Version, um dieses Ergebnis zu korrigieren.

Preisstufe: Premium oder Standard

Dieses Ergebnis korrigieren

A9 A06

Server side request forgery

Kategoriename in der API: SERVER_SIDE_REQUEST_FORGERY

Es wurde eine serverseitige Fälschungsanfrage (SSRF) erkannt. Verwenden Sie eine Zulassungsliste, um die Domains und IP-Adressen zu beschränken, an die die Webanwendung Anfragen senden kann, und so das Problem zu beheben.

Preisstufe: Premium oder Standard

Dieses Ergebnis korrigieren

Nicht zutreffend A10

Session ID leak

Kategoriename in der API: SESSION_ID_LEAK

Bei einer domainübergreifenden Anfrage enthält die Webanwendung die Sitzungs-ID des Nutzers im Anfrageheader Referer. Diese Sicherheitslücke gewährt der empfangenden Domain Zugriff auf die Sitzungs-ID, mit der die Identität des Nutzers angenommen oder dieser sicher identifiziert werden kann.

Preisstufe: Premium

Dieses Ergebnis korrigieren

A2 A07

SQL injection

Kategoriename in der API: SQL_INJECTION

Ein potenzielles SQL-Einschleusungsproblem wurde erkannt. Verwenden Sie parametrisierte Abfragen, um zu verhindern, dass Nutzereingaben die Struktur der SQL-Abfrage beeinflussen, um dieses Ergebnis anzusprechen.

Preisstufe: Premium

Dieses Ergebnis korrigieren

A1 A03

Struts insecure deserialization

Kategoriename in der API: STRUTS_INSECURE_DESERIALIZATION

Die Verwendung einer anfälligen Version von Apache Struts wurde erkannt. Aktualisieren Sie Apache Struts auf die neueste Version, um dieses Ergebnis zu korrigieren.

Preisstufe: Premium

Dieses Ergebnis korrigieren

A8 A08

XSS

Kategoriename in der API: XSS

Ein Feld in dieser Webanwendung ist anfällig für einen Cross-Site-Scripting-Angriff (XSS). Um dieses Ergebnis zu korrigieren, validieren und maskieren Sie vom Nutzer bereitgestellte nicht vertrauenswürdige Daten.

Preisstufe: Premium oder Standard

Dieses Ergebnis korrigieren

A7 A03

XSS angular callback

Kategoriename in der API: XSS_ANGULAR_CALLBACK

Ein vom Nutzer bereitgestellter String ist nicht maskiert und AngularJS kann ihn interpolieren. Um dieses Ergebnis zu korrigieren, validieren und maskieren Sie nicht vertrauenswürdige vom Nutzer bereitgestellte Daten, die vom Angular-Framework verarbeitet werden.

Preisstufe: Premium oder Standard

Dieses Ergebnis korrigieren

A7 A03

XSS error

Kategoriename in der API: XSS_ERROR

Ein Feld in dieser Webanwendung ist anfällig für einen Cross-Site-Scripting-Angriff. Um dieses Ergebnis zu korrigieren, validieren und maskieren Sie vom Nutzer bereitgestellte nicht vertrauenswürdige Daten.

Preisstufe: Premium oder Standard

Dieses Ergebnis korrigieren

A7 A03

XXE reflected file leakage

Kategoriename in der API: XXE_REFLECTED_FILE_LEAKAGE

Eine XXE-Sicherheitslücke (XML External Entity) wurde erkannt. Diese Sicherheitslücke kann dazu führen, dass die Webanwendung eine Datei auf dem Host offenlegt. Konfigurieren Sie Ihre XML-Parser so, dass externe Entitäten nicht zugelassen werden, um dieses Problem zu beheben.

Preisstufe: Premium

Dieses Ergebnis korrigieren

A4 A05

Prototype pollution

Kategoriename in der API: PROTOTYPE_POLLUTION

Die Anwendung ist anfällig für Prototypenverschmutzung. Diese Sicherheitslücke tritt auf, wenn den Eigenschaften des Object.prototype-Objekts Werte zugewiesen werden können, die von Angreifern gesteuert werden. Es wird allgemein davon ausgegangen, dass Werte, die in diese Prototypen eingefügt werden, zu Cross-Site-Scripting oder ähnlichen clientseitigen Sicherheitslücken sowie zu logischen Programmfehlern führen.

Preisstufe: Premium oder Standard

Dieses Ergebnis korrigieren

A1 A03

Ergebnisse des IAM-Recommenders

In der folgenden Tabelle sind die Security Command Center-Ergebnisse aufgeführt, die vom IAM-Empfehlungstool generiert werden.

Jede IAM Recommender-Ergebnis enthält spezifische Empfehlungen zum Entfernen oder Ersetzen einer Rolle, die einem Hauptkonto in Ihrer Google Cloud-Umgebung zu viele Berechtigungen gewährt.

Die vom IAM-Empfehlungstool generierten Ergebnisse entsprechen den Empfehlungen, die in der Google Cloud Console auf der IAM-Seite des betroffenen Projekts, Ordners oder der betroffenen Organisation angezeigt werden.

Weitere Informationen zur Einbindung des IAM-Recommenders in Security Command Center finden Sie unter Sicherheitsquellen.

Detektor Fazit

IAM role has excessive permissions

Kategoriename in der API: IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS

Ergebnisbeschreibung: Der IAM-Empfehlungstool hat ein Dienstkonto mit einer oder mehreren IAM-Rollen erkannt, die dem Nutzerkonto zu viele Berechtigungen gewähren.

Preisstufe: Premium

Unterstützte Assets:

Dieses Ergebnis korrigieren :

Verwenden Sie IAM Recommender, um die empfohlene Lösung für diese Abweichung anzuwenden. Gehen Sie dazu so vor:

  1. Kopieren Sie im Abschnitt Nächste Schritte der Details zur Feststellung in der Google Cloud Console die URL für die Seite IAM und fügen Sie sie in die Adressleiste eines Browsers ein. Drücken Sie dann die Eingabetaste. Die Seite IAM wird geladen.
  2. Klicken Sie rechts oben auf der Seite IAM auf Empfehlungen in Tabelle ansehen. Die Empfehlungen werden in einer Tabelle angezeigt.
  3. Klicken Sie in der Spalte Sicherheitsinformationen auf eine Empfehlung zu nicht erforderlichen Berechtigungen. Der Bereich mit den Details zur Empfehlung wird geöffnet.
  4. Sehen Sie sich die Empfehlung an, um zu erfahren, wie Sie das Problem beheben können.
  5. Klicken Sie auf Anwenden.

Nachdem das Problem behoben wurde, aktualisiert der IAM-Recommender den Status der Abweichung innerhalb von 24 Stunden auf INACTIVE.

Service agent role replaced with basic role

Kategoriename in der API: SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE

Ergebnisbeschreibung: Der IAM-Recommender hat festgestellt, dass die ursprüngliche IAM-Standardrolle, die einem Kundenservicemitarbeiter gewährt wurde, durch eine der einfachen IAM-Rollen ersetzt wurde: Inhaber, Bearbeiter oder Betrachter. Einfache Rollen sind zu weit gefasste ältere Rollen und sollten Dienst-Agents nicht gewährt werden.

Preisstufe: Premium

Unterstützte Assets:

Dieses Ergebnis korrigieren :

Verwenden Sie IAM Recommender, um die empfohlene Lösung für diese Abweichung anzuwenden. Gehen Sie dazu so vor:

  1. Kopieren Sie im Abschnitt Nächste Schritte der Details zur Feststellung in der Google Cloud Console die URL für die Seite IAM, fügen Sie sie in die Adressleiste eines Browsers ein und drücken Sie die Eingabetaste. Die Seite IAM wird geladen.
  2. Klicken Sie rechts oben auf der Seite IAM auf Empfehlungen in Tabelle ansehen. Die Empfehlungen werden in einer Tabelle angezeigt.
  3. Klicken Sie in der Spalte Sicherheitsinformationen auf eine Berechtigung, die sich auf nicht erforderliche Berechtigungen bezieht. Der Bereich mit den Details zur Empfehlung wird geöffnet.
  4. Überprüfen Sie die nicht erforderlichen Berechtigungen.
  5. Klicken Sie auf Anwenden.

Nachdem das Problem behoben wurde, aktualisiert der IAM-Recommender den Status der Abweichung innerhalb von 10 Tagen auf INACTIVE.

Service agent granted basic role

Kategoriename in der API: SERVICE_AGENT_GRANTED_BASIC_ROLE

Ergebnisbeschreibung: IAM Recommender hat festgestellt, dass einem Kundenservicemitarbeiter eine der einfachen IAM-Rollen Owner, Editor oder Viewer gewährt wurde. Einfache Rollen sind zu weit gefasste ältere Rollen und sollten Dienst-Agents nicht gewährt werden.

Preisstufe: Premium

Unterstützte Assets:

Dieses Ergebnis korrigieren :

Verwenden Sie IAM Recommender, um die empfohlene Lösung für diese Abweichung anzuwenden. Gehen Sie dazu so vor:

  1. Kopieren Sie im Abschnitt Nächste Schritte der Details zur Feststellung in der Google Cloud Console die URL für die Seite IAM, fügen Sie sie in die Adressleiste eines Browsers ein und drücken Sie die Eingabetaste. Die Seite IAM wird geladen.
  2. Klicken Sie rechts oben auf der Seite IAM auf Empfehlungen in Tabelle ansehen. Die Empfehlungen werden in einer Tabelle angezeigt.
  3. Klicken Sie in der Spalte Sicherheitsinformationen auf eine Berechtigung, die sich auf nicht erforderliche Berechtigungen bezieht. Der Bereich mit den Details zur Empfehlung wird geöffnet.
  4. Überprüfen Sie die nicht erforderlichen Berechtigungen.
  5. Klicken Sie auf Anwenden.

Nachdem das Problem behoben wurde, aktualisiert der IAM-Recommender den Status der Abweichung innerhalb von 24 Stunden auf INACTIVE.

Unused IAM role

Kategoriename in der API: UNUSED_IAM_ROLE

Ergebnisbeschreibung: Der IAM-Recommender hat ein Nutzerkonto mit einer IAM-Rolle erkannt, die in den letzten 90 Tagen nicht verwendet wurde.

Preisstufe: Premium

Unterstützte Assets:

Dieses Ergebnis korrigieren :

Verwenden Sie IAM Recommender, um die empfohlene Lösung für diese Abweichung anzuwenden. Gehen Sie dazu so vor:

  1. Kopieren Sie im Abschnitt Nächste Schritte der Details zur Feststellung in der Google Cloud Console die URL für die Seite IAM, fügen Sie sie in die Adressleiste eines Browsers ein und drücken Sie die Eingabetaste. Die Seite IAM wird geladen.
  2. Klicken Sie rechts oben auf der Seite IAM auf Empfehlungen in Tabelle ansehen. Die Empfehlungen werden in einer Tabelle angezeigt.
  3. Klicken Sie in der Spalte Sicherheitsinformationen auf eine Berechtigung, die sich auf nicht erforderliche Berechtigungen bezieht. Der Bereich mit den Details zur Empfehlung wird geöffnet.
  4. Überprüfen Sie die nicht erforderlichen Berechtigungen.
  5. Klicken Sie auf Anwenden.

Nachdem das Problem behoben wurde, aktualisiert der IAM-Recommender den Status der Abweichung innerhalb von 24 Stunden auf INACTIVE.

CIEM-Ergebnisse

In der folgenden Tabelle sind die Security Command Center-Ergebnisse zu Identitäten und Zugriffen für AWS aufgeführt, die von Cloud Infrastructure Entitlement Management (CIEM) generiert wurden.

Die CIEM-Ergebnisse enthalten spezifische Empfehlungen zum Entfernen oder Ersetzen von sehr permissiven AWS IAM-Richtlinien, die mit angenommenen Identitäten, Nutzern oder Gruppen in Ihrer AWS-Umgebung verknüpft sind.

Weitere Informationen zu CIEM finden Sie unter Cloud Infrastructure Entitlement Management.

Detektor Fazit

Assumed identity has excessive permissions

Kategoriename in der API: ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS

Ergebnisbeschreibung: In Ihrer AWS-Umgebung wurde mit CIEM eine übernommene IAM-Rolle mit einer oder mehreren sehr permissiv ausgestellten Richtlinien erkannt, die gegen den Grundsatz der geringsten Berechtigung verstoßen und die Sicherheitsrisiken erhöhen.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren :

Führen Sie je nach Befund eine der folgenden Maßnahmen zur Behebung in der AWS Management Console aus:

  • Entfernen Sie die Richtlinie mit sehr strengen Einschränkungen.
  • Erstellen Sie eine neue Richtlinie mit den Mindestberechtigungen, die für den Nutzer, die Gruppe oder die Rolle erforderlich sind. Hängen Sie dann die neue Richtlinie an den Nutzer, die Gruppe oder die Rolle an und entfernen Sie die Richtlinie mit den sehr permissiven Zugriffsrechten.

In den Details des Befunds finden Sie spezifische Schritte zur Behebung.

Group has excessive permissions

Kategoriename in der API: GROUP_HAS_EXCESSIVE_PERMISSIONS

Ergebnisbeschreibung: In Ihrer AWS-Umgebung wurde mit CIEM eine IAM-Gruppe mit einer oder mehreren sehr permissiv ausgestellten Richtlinien erkannt, die gegen den Grundsatz der geringsten Berechtigung verstoßen und die Sicherheitsrisiken erhöhen.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren :

Führen Sie je nach Befund eine der folgenden Maßnahmen zur Behebung in der AWS Management Console aus:

  • Entfernen Sie die Richtlinie mit sehr strengen Einschränkungen.
  • Erstellen Sie eine neue Richtlinie mit den Mindestberechtigungen, die für den Nutzer, die Gruppe oder die Rolle erforderlich sind. Hängen Sie dann die neue Richtlinie an den Nutzer, die Gruppe oder die Rolle an und entfernen Sie die Richtlinie mit den sehr permissiven Zugriffsrechten.

In den Details des Befunds finden Sie spezifische Schritte zur Behebung.

User has excessive permissions

Kategoriename in der API: USER_HAS_EXCESSIVE_PERMISSIONS

Ergebnisbeschreibung: In Ihrer AWS-Umgebung wurde mit CIEM ein IAM-Nutzer mit einer oder mehreren sehr permissiv ausgestellten Richtlinien erkannt, die gegen das Prinzip der geringsten Berechtigung verstoßen und die Sicherheitsrisiken erhöhen.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren :

Führen Sie je nach Befund eine der folgenden Maßnahmen zur Behebung in der AWS Management Console aus:

  • Entfernen Sie die Richtlinie mit sehr strengen Einschränkungen.
  • Erstellen Sie eine neue Richtlinie mit den Mindestberechtigungen, die für den Nutzer, die Gruppe oder die Rolle erforderlich sind. Hängen Sie dann die neue Richtlinie an den Nutzer, die Gruppe oder die Rolle an und entfernen Sie die Richtlinie mit den sehr permissiven Zugriffsrechten.

In den Details des Befunds finden Sie spezifische Schritte zur Behebung.

User is inactive

Kategoriename in der API: INACTIVE_USER

Ergebnisbeschreibung: In Ihrer AWS-Umgebung wurde mit CIEM ein inaktiver IAM-Nutzer mit einer oder mehreren Berechtigungen erkannt. Dies verstößt gegen das Prinzip der geringsten Berechtigung und erhöht die Sicherheitsrisiken.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren :

Führen Sie je nach Befund eine der folgenden Maßnahmen zur Behebung in der AWS-Verwaltungskonsole aus:

  • Entfernen Sie die Richtlinie oder Richtlinien, die mit dem AWS IAM-Nutzer verknüpft sind.
  • Löschen Sie den AWS IAM-Nutzer, wenn Sie sicher sind, dass die Identität nicht mehr benötigt wird.

In den Details des Befunds finden Sie spezifische Schritte zur Behebung.

Group is inactive

Kategoriename in der API: INACTIVE_GROUP

Ergebnisbeschreibung: In Ihrer AWS-Umgebung wurde mit CIEM eine inaktive IAM-Gruppe mit einer oder mehreren Berechtigungen erkannt. Dies verstößt gegen das Prinzip der geringsten Berechtigung und erhöht die Sicherheitsrisiken.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren :

Führen Sie je nach Befund eine der folgenden Maßnahmen zur Behebung in der AWS-Verwaltungskonsole aus:

  • Entfernen Sie die Richtlinie oder Richtlinien, die der AWS IAM-Gruppe zugewiesen sind.
  • Löschen Sie einige oder alle AWS IAM-Nutzer, die die Gruppe bilden, wenn Sie sicher sind, dass diese Identitäten nicht mehr erforderlich sind.

In den Details des Befunds finden Sie spezifische Schritte zur Behebung.

Assumed identity is inactive

Kategoriename in der API: INACTIVE_ASSUMED_IDENTITY

Beschreibung der Abweichung: In Ihrer AWS-Umgebung wurde mit CIEM eine übernommene IAM-Rolle erkannt, die inaktiv ist und eine oder mehrere Berechtigungen hat. Dies verstößt gegen das Prinzip der geringsten Berechtigung und erhöht die Sicherheitsrisiken.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren :

Führen Sie je nach Befund eine der folgenden Maßnahmen zur Behebung in der AWS-Verwaltungskonsole aus:

  • Entfernen Sie die an die AWS IAM-Rolle angehängten Richtlinien.
  • Löschen Sie die angenommene Identität, wenn Sie sicher sind, dass sie nicht mehr erforderlich ist.

In den Details des Befunds finden Sie spezifische Schritte zur Behebung.

Overly permissive trust policy enforced on assumed identity

Kategoriename in der API: OVERLY_PERMISSIVE_TRUST_POLICY_ENFORCED_ON_ASSUMED_IDENTITY

Beschreibung der Abweichung: In Ihrer AWS-Umgebung wurde mit CIEM eine zu permissiv ausgestaltete Vertrauensrichtlinie für eine AWS-IAM-Rolle erkannt, die gegen den Grundsatz der geringsten Berechtigung verstößt und die Sicherheitsrisiken erhöht.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren :

Bearbeiten Sie in der AWS Management Console die Berechtigungen in der Trust-Richtlinie, die für die AWS IAM-Rolle erzwungen wird, um das Prinzip der geringsten Berechtigung einzuhalten.

In den Details des Befunds finden Sie spezifische Schritte zur Behebung.

Assumed identity has lateral movement risk

Kategoriename in der API: ASSUMED_IDENTITY_HAS_LATERAL_MOVEMENT_RISK

Beschreibung des Ergebnisses: In Ihrer AWS-Umgebung wurden mit CIEM eine oder mehrere Identitäten erkannt, die sich durch Identitätsdiebstahl lateral bewegen können.

Preisstufe: Enterprise

Dieses Ergebnis korrigieren :

Entfernen Sie über die AWS Management Console die Richtlinie oder Richtlinien, die der Identität oder den Identitäten zugewiesen sind und laterale Bewegungen zulassen.

In den Details des Befunds finden Sie spezifische Schritte zur Behebung.

Ergebnisse des Dienstes „Sicherheitsstatus“

In der folgenden Tabelle sind die Security Command Center-Ergebnisse aufgeführt, die vom Dienst zur Bewertung der Sicherheitslage generiert werden.

Jede Sicherheitsstatus-Ergebnisbeschreibung für Dienste identifiziert eine Abweichung vom definierten Sicherheitsstatus.

Ergebnis Fazit

SHA Canned Module Drifted

Kategoriename in der API: SECURITY_POSTURE_DETECTOR_DRIFT

Beschreibung des Ergebnisses: Der Dienst zur Bewertung der Sicherheitskonfiguration hat eine Änderung an einem Security Health Analytics-Detektor erkannt, die nicht im Rahmen eines Aktualisierungsvorgangs der Sicherheitskonfiguration stattgefunden hat.

Preisstufe: Premium

Dieses Ergebnis korrigieren :

In diesem Fall müssen Sie die Änderung akzeptieren oder rückgängig machen, damit die Einstellungen des Bewegungsmelders zu Ihrer Körperhaltung und Ihrer Umgebung passen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu beheben: Sie können den Security Health Analytics-Detektor oder die Sicherheitskonfiguration und -bereitstellung aktualisieren.

Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie den Security Health Analytics-Detektor in der Google Cloud Console. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren.

So akzeptieren Sie die Änderung:

  1. Aktualisieren Sie die Datei posture.yaml mit der Änderung.
  2. Führen Sie den Befehl gcloud scc postures update aus: Eine Anleitung finden Sie unter Richtliniendefinitionen in einer Posture aktualisieren.
  3. Stellen Sie die aktualisierte Position mit der neuen Versions-ID bereit. Eine Anleitung finden Sie unter Bereitstellung für die Gerätesicherheit aktualisieren.

SHA Custom Module Drifted

Kategoriename in der API: SECURITY_POSTURE_DETECTOR_DRIFT

Beschreibung des Ergebnisses: Der Dienst zur Bewertung der Sicherheitslage hat eine Änderung an einem benutzerdefinierten Security Health Analytics-Modul erkannt, die nicht im Rahmen eines Sicherheitsupdates stattgefunden hat.

Preisstufe: Premium

Dieses Ergebnis korrigieren :

In diesem Fall müssen Sie die Änderung akzeptieren oder rückgängig machen, damit die benutzerdefinierten Moduleinstellungen in Ihrer Haltung und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu beheben: Sie können das benutzerdefinierte Security Health Analytics-Modul oder die Position und die Bereitstellung der Position aktualisieren.

Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie das benutzerdefinierte Security Health Analytics-Modul in der Google Cloud Console. Eine Anleitung dazu finden Sie unter Benutzerdefiniertes Modul aktualisieren.

So akzeptieren Sie die Änderung:

  1. Aktualisieren Sie die Datei posture.yaml mit der Änderung.
  2. Führen Sie den Befehl gcloud scc postures update aus: Eine Anleitung finden Sie unter Richtliniendefinitionen in einer Posture aktualisieren.
  3. Stellen Sie die aktualisierte Position mit der neuen Versions-ID bereit. Eine Anleitung finden Sie unter Bereitstellung für die Gerätesicherheit aktualisieren.

SHA Custom Module Deleted

Kategoriename in der API: SECURITY_POSTURE_DETECTOR_DELETE

Beschreibung des Ergebnisses: Der Dienst zur Bewertung der Sicherheitslage hat festgestellt, dass ein benutzerdefiniertes Security Health Analytics-Modul gelöscht wurde. Dieser Löschvorgang erfolgte außerhalb eines Gerätestatusupdates.

Preisstufe: Premium

Dieses Ergebnis korrigieren :

In diesem Fall müssen Sie die Änderung akzeptieren oder rückgängig machen, damit die benutzerdefinierten Moduleinstellungen in Ihrer Haltung und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu beheben: Sie können das benutzerdefinierte Security Health Analytics-Modul oder die Position und die Bereitstellung der Position aktualisieren.

Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie das benutzerdefinierte Security Health Analytics-Modul in der Google Cloud Console. Eine Anleitung dazu finden Sie unter Benutzerdefiniertes Modul aktualisieren.

So akzeptieren Sie die Änderung:

  1. Aktualisieren Sie die Datei posture.yaml mit der Änderung.
  2. Führen Sie den Befehl gcloud scc postures update aus: Eine Anleitung finden Sie unter Richtliniendefinitionen in einer Posture aktualisieren.
  3. Stellen Sie die aktualisierte Position mit der neuen Versions-ID bereit. Eine Anleitung finden Sie unter Bereitstellung für die Gerätesicherheit aktualisieren.

Org Policy Canned Constraint Drifted

Kategoriename in der API: SECURITY_POSTURE_POLICY_DRIFT

Ergebnisbeschreibung: Der Dienst für den Sicherheitsstatus hat eine Änderung an einer Organisationsrichtlinie erkannt, die nicht im Rahmen eines Statusupdates erfolgt ist.

Preisstufe: Premium

Dieses Ergebnis korrigieren :

In diesem Fall müssen Sie die Änderung akzeptieren oder rückgängig machen, damit die Definitionen der Organisationsrichtlinien in Ihrer Haltung und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die Organisationsrichtlinie oder die Bereitstellung der Gerätestatus aktualisieren.

Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie die Organisationsrichtlinie in der Google Cloud Console. Eine Anleitung finden Sie unter Richtlinien erstellen und bearbeiten.

So akzeptieren Sie die Änderung:

  1. Aktualisieren Sie die Datei posture.yaml mit der Änderung.
  2. Führen Sie den Befehl gcloud scc postures update aus: Eine Anleitung finden Sie unter Richtliniendefinitionen in einer Posture aktualisieren.
  3. Stellen Sie die aktualisierte Position mit der neuen Versions-ID bereit. Eine Anleitung finden Sie unter Bereitstellung für die Gerätesicherheit aktualisieren.

Org Policy Canned Constraint Deleted

Kategoriename in der API: SECURITY_POSTURE_POLICY_DELETE

Ergebnisbeschreibung: Der Dienst zum Bestimmen des Sicherheitsstatus hat erkannt, dass eine Organisationsrichtlinie gelöscht wurde. Dieser Löschvorgang erfolgte nicht im Rahmen eines Statusupdates.

Preisstufe: Premium

Dieses Ergebnis korrigieren :

In diesem Fall müssen Sie die Änderung akzeptieren oder rückgängig machen, damit die Definitionen der Organisationsrichtlinien in Ihrer Haltung und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die Organisationsrichtlinie oder die Bereitstellung der Gerätestatus aktualisieren.

Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie die Organisationsrichtlinie in der Google Cloud Console. Eine Anleitung finden Sie unter Richtlinien erstellen und bearbeiten.

So akzeptieren Sie die Änderung:

  1. Aktualisieren Sie die Datei posture.yaml mit der Änderung.
  2. Führen Sie den Befehl gcloud scc postures update aus: Eine Anleitung finden Sie unter Richtliniendefinitionen in einer Posture aktualisieren.
  3. Stellen Sie die aktualisierte Position mit der neuen Versions-ID bereit. Eine Anleitung finden Sie unter Bereitstellung für die Gerätesicherheit aktualisieren.

Org Policy Custom Constraint Drifted

Kategoriename in der API: SECURITY_POSTURE_POLICY_DRIFT

Ergebnisbeschreibung: Der Dienst für den Sicherheitsstatus hat eine Änderung an einer benutzerdefinierten Organisationsrichtlinie erkannt, die außerhalb eines Statusupdates stattgefunden hat.

Preisstufe: Premium

Dieses Ergebnis korrigieren :

Bei diesem Ergebnis müssen Sie die Änderung akzeptieren oder rückgängig machen, damit die benutzerdefinierten Definitionen der Organisationsrichtlinien in Ihrer Haltung und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die benutzerdefinierte Organisationsrichtlinie oder die Bewertung und Bereitstellung der Bewertung aktualisieren.

Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie die benutzerdefinierte Organisationsrichtlinie in der Google Cloud Console. Eine Anleitung dazu finden Sie unter Benutzerdefinierte Einschränkung aktualisieren.

So akzeptieren Sie die Änderung:

  1. Aktualisieren Sie die Datei posture.yaml mit der Änderung.
  2. Führen Sie den Befehl gcloud scc postures update aus: Eine Anleitung finden Sie unter Richtliniendefinitionen in einer Posture aktualisieren.
  3. Stellen Sie die aktualisierte Position mit der neuen Versions-ID bereit. Eine Anleitung finden Sie unter Bereitstellung für die Gerätesicherheit aktualisieren.

Org Policy Custom Constraint Deleted

Kategoriename in der API: SECURITY_POSTURE_POLICY_DELETE

Ergebnisbeschreibung: Der Dienst zum Bestimmen des Sicherheitsstatus hat erkannt, dass eine benutzerdefinierte Organisationsrichtlinie gelöscht wurde. Dieser Löschvorgang erfolgte nicht im Rahmen eines Statusupdates.

Preisstufe: Premium

Dieses Ergebnis korrigieren :

Bei diesem Ergebnis müssen Sie die Änderung akzeptieren oder rückgängig machen, damit die benutzerdefinierten Definitionen der Organisationsrichtlinien in Ihrer Haltung und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die benutzerdefinierte Organisationsrichtlinie oder die Bewertung und Bereitstellung der Bewertung aktualisieren.

Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie die benutzerdefinierte Organisationsrichtlinie in der Google Cloud Console. Eine Anleitung dazu finden Sie unter Benutzerdefinierte Einschränkung aktualisieren.

So akzeptieren Sie die Änderung:

  1. Aktualisieren Sie die Datei posture.yaml mit der Änderung.
  2. Führen Sie den Befehl gcloud scc postures update aus: Eine Anleitung finden Sie unter Richtliniendefinitionen in einer Posture aktualisieren.
  3. Stellen Sie die aktualisierte Position mit der neuen Versions-ID bereit. Eine Anleitung finden Sie unter Bereitstellung für die Gerätesicherheit aktualisieren.

In der folgenden Tabelle sind die Ergebnisse zur Sicherheitsposition aufgeführt, in denen Ressourcen aufgeführt sind, die gegen Ihre definierte Sicherheitsposition verstoßen.

Ergebnis Fazit

Disable VPC External IPv6

Kategoriename in der API: DISABLE_VPC_EXTERNAL_IP_V6_ORG_POLICY

Ergebnisbeschreibung: Der Dienst zur Bewertung der Sicherheitskonfiguration hat festgestellt, dass in einem Subnetz eine externe IPv6-Adresse aktiviert ist.

Preisstufe: Premium

Dieses Ergebnis korrigieren :

Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die richtlinienverletzende Ressource löschen oder die Ausrichtung aktualisieren und neu bereitstellen.

So löschen Sie die Ressource:

  1. Öffnen Sie die Zusammenfassung des Ergebnisses.
  2. Suchen Sie im Abschnitt „Betroffene Ressource“ nach dem vollständigen Namen der Ressource, die gegen die Haltungsrichtlinie verstößt.
  3. Klicken Sie auf den vollständigen Namen der Ressource, um die Details zu öffnen.
  4. Löschen Sie die Ressource.

Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Haltung aktualisieren. So aktualisieren Sie die Haltung:

  1. Aktualisieren Sie die Datei posture.yaml mit der Änderung.
  2. Führen Sie den Befehl gcloud scc postures update aus: Eine Anleitung finden Sie unter Richtliniendefinitionen in einer Posture aktualisieren.
  3. Stellen Sie die aktualisierte Position mit der neuen Versions-ID bereit. Eine Anleitung finden Sie unter Bereitstellung für die Gerätesicherheit aktualisieren.

Disable VPC Internal IPv6

Kategoriename in der API: DISABLE_VPC_INTERNAL_IP_V6_ORG_POLICY

Ergebnisbeschreibung: Der Dienst zur Bewertung der Sicherheitskonfiguration hat festgestellt, dass in einem Subnetz eine interne IPv6-Adresse aktiviert ist.

Preisstufe: Premium

Dieses Ergebnis korrigieren :

Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die richtlinienverletzende Ressource löschen oder die Ausrichtung aktualisieren und neu bereitstellen.

So löschen Sie die Ressource:

  1. Öffnen Sie die Zusammenfassung des Ergebnisses.
  2. Suchen Sie im Abschnitt „Betroffene Ressource“ nach dem vollständigen Namen der Ressource, die gegen die Haltungsrichtlinie verstößt.
  3. Klicken Sie auf den vollständigen Namen der Ressource, um die Details zu öffnen.
  4. Löschen Sie die Ressource.

Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Haltung aktualisieren. So aktualisieren Sie die Haltung:

  1. Aktualisieren Sie die Datei posture.yaml mit der Änderung.
  2. Führen Sie den Befehl gcloud scc postures update aus: Eine Anleitung finden Sie unter Richtliniendefinitionen in einer Posture aktualisieren.
  3. Stellen Sie die aktualisierte Position mit der neuen Versions-ID bereit. Eine Anleitung finden Sie unter Bereitstellung für die Gerätesicherheit aktualisieren.

Require OS Login

Kategoriename in der API: REQUIRE_OS_LOGIN_ORG_POLICY

Ergebnisbeschreibung: Der Dienst zur Bewertung der Sicherheitskonfiguration hat festgestellt, dass das OS-Anmeldeverfahren in einer VM-Instanz deaktiviert ist.

Preisstufe: Premium

Dieses Ergebnis korrigieren :

Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die richtlinienverletzende Ressource aktualisieren oder die Ausrichtung aktualisieren und neu bereitstellen.

So aktualisieren Sie die Ressource:

  1. Öffnen Sie die Zusammenfassung des Ergebnisses.
  2. Suchen Sie im Abschnitt „Betroffene Ressource“ nach dem vollständigen Namen der Ressource, die gegen die Haltungsrichtlinie verstößt.
  3. Klicken Sie auf den vollständigen Namen der Ressource, um die Details zu öffnen.
  4. Bearbeiten Sie die Ressource. Suchen Sie den Metadatenbereich und ändern Sie den Eintrag mit dem Schlüssel enable-oslogin in TRUE.
  5. Speichern Sie die Ressource.

Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Position aktualisieren. So aktualisieren Sie die Haltung:

  1. Aktualisieren Sie die Datei posture.yaml mit der Änderung.
  2. Führen Sie den Befehl gcloud scc postures update aus: Eine Anleitung finden Sie unter Richtliniendefinitionen in einer Posture aktualisieren.
  3. Stellen Sie die aktualisierte Position mit der neuen Versions-ID bereit. Eine Anleitung finden Sie unter Bereitstellung für die Gerätesicherheit aktualisieren.

Restrict Authorized Networks

Kategoriename in der API: RESTRICT_AUTHORIZED_NETWORKS_ORG_POLICY

Ergebnisbeschreibung: Der Dienst zur Bewertung der Sicherheitslage hat erkannt, dass einer SQL-Instanz ein autorisiertes Netzwerk hinzugefügt wurde.

Preisstufe: Premium

Dieses Ergebnis korrigieren :

Sie müssen den Verstoß beheben oder die Position aktualisieren. Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die richtlinienverletzende Ressource aktualisieren oder die Ausrichtung aktualisieren und neu bereitstellen.

So aktualisieren Sie die Ressource:

  1. Öffnen Sie die Zusammenfassung des Ergebnisses.
  2. Suchen Sie im Abschnitt „Betroffene Ressource“ nach dem vollständigen Namen der Ressource, die gegen die Haltungsrichtlinie verstößt.
  3. Klicken Sie auf den vollständigen Namen der Ressource, um die Details zu öffnen.
  4. Bearbeiten Sie die Ressource. Suchen Sie unter „Verbindungen“ den Abschnitt „Authorized Network“ (Autorisiertes Netzwerk) und löschen Sie alle Einträge.
  5. Speichern Sie die Ressource.

Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Position aktualisieren. So aktualisieren Sie die Haltung:

  1. Aktualisieren Sie die Datei posture.yaml mit der Änderung.
  2. Führen Sie den Befehl gcloud scc postures update aus: Eine Anleitung finden Sie unter Richtliniendefinitionen in einer Posture aktualisieren.
  3. Stellen Sie die aktualisierte Position mit der neuen Versions-ID bereit. Eine Anleitung finden Sie unter Bereitstellung für die Gerätesicherheit aktualisieren.

Require VPC Connector

Kategoriename in der API: REQUIRE_VPC_CONNECTOR_ORG_POLICY

Ergebnisbeschreibung: Der Dienst zur Bewertung der Sicherheitskonfiguration hat festgestellt, dass ein VPC-Connector für eine Cloud Run-Funktions-Instanz nicht aktiviert ist.

Preisstufe: Premium

Dieses Ergebnis korrigieren :

Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die richtlinienverletzende Ressource aktualisieren oder die Ausrichtung aktualisieren und neu bereitstellen.

So aktualisieren Sie die Ressource:

  1. Öffnen Sie die Zusammenfassung des Ergebnisses.
  2. Suchen Sie im Abschnitt „Betroffene Ressource“ nach dem vollständigen Namen der Ressource, die gegen die Haltungsrichtlinie verstößt.
  3. Klicken Sie auf den vollständigen Namen der Ressource, um die Details zu öffnen.
  4. Klicken Sie auf Bearbeiten.
  5. Klicken Sie auf den Tab Verbindungen.
  6. Suchen Sie den Abschnitt Ausgehende Einstellungen. Wählen Sie im Menü Netzwerk einen geeigneten VPC-Connector aus.
  7. Klicken Sie auf Weiter.
  8. Klicken Sie auf Bereitstellen.

Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Position aktualisieren. So aktualisieren Sie die Haltung:

  1. Aktualisieren Sie die Datei posture.yaml mit der Änderung.
  2. Führen Sie den Befehl gcloud scc postures update aus: Eine Anleitung finden Sie unter Richtliniendefinitionen in einer Posture aktualisieren.
  3. Stellen Sie die aktualisierte Position mit der neuen Versions-ID bereit. Eine Anleitung finden Sie unter Bereitstellung für die Gerätesicherheit aktualisieren.

Disabled Serial Port Access

Kategoriename in der API: DISABLED_SERIAL_PORT_ACCESS_ORG_POLICY

Ergebnisbeschreibung: Der Dienst zur Bewertung der Sicherheitskonfiguration hat festgestellt, dass der Zugriff auf serielle Ports einer VM-Instanz aktiviert ist.

Preisstufe: Premium

Dieses Ergebnis korrigieren :

Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die richtlinienverletzende Ressource aktualisieren oder die Ausrichtung aktualisieren und neu bereitstellen.

So aktualisieren Sie die Ressource:

  1. Öffnen Sie die Zusammenfassung des Ergebnisses.
  2. Suchen Sie im Abschnitt „Betroffene Ressource“ nach dem vollständigen Namen der Ressource, die gegen die Haltungsrichtlinie verstößt.
  3. Klicken Sie auf den vollständigen Namen der Ressource, um die Details zu öffnen.
  4. Bearbeiten Sie die Ressource. Suchen Sie den Bereich „Remotezugriff“ und entfernen Sie das Häkchen aus dem Kästchen Verbindung zu seriellen Ports aktivieren.
  5. Speichern Sie die Ressource.

Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Position aktualisieren. So aktualisieren Sie die Haltung:

  1. Aktualisieren Sie die Datei posture.yaml mit der Änderung.
  2. Führen Sie den Befehl gcloud scc postures update aus: Eine Anleitung finden Sie unter Richtliniendefinitionen in einer Posture aktualisieren.
  3. Stellen Sie die aktualisierte Position mit der neuen Versions-ID bereit. Eine Anleitung finden Sie unter Bereitstellung für die Gerätesicherheit aktualisieren.

Skip Default Network Creation

Kategoriename in der API: SKIP_DEFAULT_NETWORK_CREATION_ORG_POLICY

Ergebnisbeschreibung: Der Dienst zur Bewertung der Sicherheitslage hat festgestellt, dass ein Standardnetzwerk erstellt wurde.

Preisstufe: Premium

Dieses Ergebnis korrigieren :

Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die richtlinienverletzende Ressource löschen oder die Ausrichtung aktualisieren und neu bereitstellen.

So löschen Sie die Ressource:

  1. Öffnen Sie die Zusammenfassung des Ergebnisses.
  2. Suchen Sie im Abschnitt „Betroffene Ressource“ nach dem vollständigen Namen der Ressource, die gegen die Haltungsrichtlinie verstößt.
  3. Klicken Sie auf den vollständigen Namen der Ressource, um die Details zu öffnen.
  4. Löschen Sie die Ressource.

Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Haltung aktualisieren. So aktualisieren Sie die Haltung:

  1. Aktualisieren Sie die Datei posture.yaml mit der Änderung.
  2. Führen Sie den Befehl gcloud scc postures update aus: Eine Anleitung finden Sie unter Richtliniendefinitionen in einer Posture aktualisieren.
  3. Stellen Sie die aktualisierte Position mit der neuen Versions-ID bereit. Eine Anleitung finden Sie unter Bereitstellung für die Gerätesicherheit aktualisieren.

Allowed Ingress

Kategoriename in der API: ALLOWED_INGRESS_ORG_POLICY

Ergebnisbeschreibung: Der Dienst zur Bewertung der Sicherheitskonfiguration hat festgestellt, dass ein Cloud Run-Dienst nicht den angegebenen Einstellungen für eingehenden Traffic entspricht.

Preisstufe: Premium

Dieses Ergebnis korrigieren :

Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die richtlinienverletzende Ressource aktualisieren oder die Ausrichtung aktualisieren und neu bereitstellen.

So aktualisieren Sie die Ressource:

  1. Öffnen Sie die Zusammenfassung des Ergebnisses.
  2. Suchen Sie im Abschnitt „Betroffene Ressource“ nach dem vollständigen Namen der Ressource, die gegen die Haltungsrichtlinie verstößt.
  3. Klicken Sie auf den vollständigen Namen der Ressource, um die Details zu öffnen.
  4. Klicken Sie auf den Tab Netzwerk. Ändern Sie die Einstellungen so, dass sie der zulässigen Ingress-Richtlinie entsprechen.
  5. Speichern Sie die Ressource.

Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Position aktualisieren. So aktualisieren Sie die Haltung:

  1. Aktualisieren Sie die Datei posture.yaml mit der Änderung.
  2. Führen Sie den Befehl gcloud scc postures update aus: Eine Anleitung finden Sie unter Richtliniendefinitionen in einer Posture aktualisieren.
  3. Stellen Sie die aktualisierte Position mit der neuen Versions-ID bereit. Eine Anleitung finden Sie unter Bereitstellung für die Gerätesicherheit aktualisieren.

Uniform Bucket Level Access

Kategoriename in der API: UNIFORM_BUCKET_LEVEL_ACCESS_ORG_POLICY

Ergebnisbeschreibung: Der Dienst zur Bewertung der Sicherheitskonfiguration hat festgestellt, dass der Zugriff auf Bucket-Ebene nicht einheitlich, sondern detailliert ist.

Preisstufe: Premium

Dieses Ergebnis korrigieren :

Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die richtlinienverletzende Ressource aktualisieren oder die Ausrichtung aktualisieren und neu bereitstellen.

So aktualisieren Sie die Ressource:

  1. Öffnen Sie die Zusammenfassung des Ergebnisses.
  2. Suchen Sie im Abschnitt „Betroffene Ressource“ nach dem vollständigen Namen der Ressource, die gegen die Haltungsrichtlinie verstößt.
  3. Klicken Sie auf den vollständigen Namen der Ressource, um die Details zu öffnen.
  4. Klicken Sie auf den Tab Berechtigungen. Klicken Sie auf der Karte Zugriffssteuerung auf Zu einheitlich wechseln.
  5. Wählen Sie „Uniform“ aus und speichern Sie die Änderungen.

Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Position aktualisieren. So aktualisieren Sie die Haltung:

  1. Aktualisieren Sie die Datei posture.yaml mit der Änderung.
  2. Führen Sie den Befehl gcloud scc postures update aus: Eine Anleitung finden Sie unter Richtliniendefinitionen in einer Posture aktualisieren.
  3. Stellen Sie die aktualisierte Position mit der neuen Versions-ID bereit. Eine Anleitung finden Sie unter Bereitstellung für die Gerätesicherheit aktualisieren.

Allowed VPC Egress

Kategoriename in der API: ALLOWED_VPC_EGRESS_ORG_POLICY

Ergebnisbeschreibung: Der Dienst zur Bewertung der Sicherheitskonfiguration hat festgestellt, dass ein Cloud Run-Dienst nicht den angegebenen Einstellungen für ausgehenden Traffic entspricht.

Preisstufe: Premium

Dieses Ergebnis korrigieren :

Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die richtlinienverletzende Ressource aktualisieren oder die Ausrichtung aktualisieren und neu bereitstellen.

So aktualisieren Sie die Ressource:

  1. Öffnen Sie die Zusammenfassung des Ergebnisses.
  2. Suchen Sie im Abschnitt „Betroffene Ressource“ nach dem vollständigen Namen der Ressource, die gegen die Haltungsrichtlinie verstößt.
  3. Klicken Sie auf den vollständigen Namen der Ressource, um die Details zu öffnen.
  4. Klicken Sie auf Neue Überarbeitung bearbeiten und bereitstellen und dann auf den Tab Netzwerk. Ändern Sie die Einstellung Traffic-Routing im Bereich Mit einer VPC für ausgehenden Traffic verbinden so, dass sie der zulässigen ausgehenden Richtlinie entspricht.
  5. Stellen Sie die Ressource bereit.

Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Position aktualisieren. So aktualisieren Sie die Haltung:

  1. Aktualisieren Sie die Datei posture.yaml mit der Änderung.
  2. Führen Sie den Befehl gcloud scc postures update aus: Eine Anleitung finden Sie unter Richtliniendefinitionen in einer Posture aktualisieren.
  3. Stellen Sie die aktualisierte Position mit der neuen Versions-ID bereit. Eine Anleitung finden Sie unter Bereitstellung für die Gerätesicherheit aktualisieren.

VM Manager

VM Manager besteht aus Tools zur Verwaltung von Betriebssystemen für eine große Anzahl von VM-Flotten (virtuelle Maschine), auf denen Windows und Linux in Compute Engine ausgeführt werden.

Wenn Sie VM Manager mit Security Command Center Premium auf Organisationsebene aktivieren, schreibt VM Manager Ergebnisse aus seinen Berichten zu Sicherheitslücken, die sich in der Vorschau befinden, in Security Command Center. Die Berichte enthalten Informationen zu Sicherheitslücken in Betriebssystemen, die auf VMs installiert sind, einschließlich Häufige Sicherheitslücken (Common Vulnerabilities and Exposures, CVEs).

Wenn Sie VM Manager mit Aktivierungen auf Projektebene von Security Command Center Premium verwenden möchten, aktivieren Sie Security Command Center Standard in der übergeordneten Organisation.

Berichte zu Sicherheitslücken sind für Security Command Center Standard nicht verfügbar.

Die Ergebnisse vereinfachen den Prozess zur Verwendung des Patch-Compliance-Features von VM Manager, das sich in der Vorschau befindet. Mit diesem Feature können Sie die Patchverwaltung auf Organisationsebene für alle Projekte vornehmen.

Der Schweregrad der Sicherheitslücken, die von VM Manager empfangen werden, ist immer entweder CRITICAL oder HIGH.

VM Manager-Ergebnisse

Sicherheitslücken dieses Typs beziehen sich alle auf installierte Betriebssystempakete in unterstützten Compute Engine-VMs.

Detektor Fazit Asset-Scaneinstellungen

OS vulnerability

Kategoriename in der API: OS_VULNERABILITY

Ergebnisbeschreibung: VM Manager hat eine Sicherheitslücke im installierten Betriebssystempaket für eine Compute Engine-VM erkannt.

Preisstufe: Premium

Unterstützte Assets

compute.googleapis.com/Instance

Dieses Ergebnis korrigieren

Die Sicherheitslückenberichte von VM Manager enthalten Informationen zu Sicherheitslücken in installierten Betriebssystempaketen für Compute Engine-VMs, einschließlich häufiger Sicherheitslücken (Common Vulnerabilities and Exposures, CVEs).

Eine vollständige Liste der unterstützten Betriebssysteme finden Sie unter Details zu Betriebssystemen.

Die Ergebnisse werden kurz nach dem Erkennen der Sicherheitslücken in Security Command Center angezeigt. Berichte zu Sicherheitslücken werden in VM Manager so erstellt:

  • Wenn ein Paket im Betriebssystem einer VM installiert oder aktualisiert wird, können Sie davon ausgehen, dass Informationen zu Common Vulnerabilities and Exposures (CVEs) für die VM im Security Command Center innerhalb von zwei Stunden nach der Änderung angezeigt werden.
  • Wenn neue Sicherheitswarnungen für ein Betriebssystem veröffentlicht werden, sind aktualisierte CVEs normalerweise innerhalb von 24 Stunden nach der Veröffentlichung der Warnung durch den Betriebssystemanbieter verfügbar.

Ergebnisse in der Console ansehen

Google Cloud Console

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

    Zu Ergebnissen

  2. Wählen Sie Ihr Google Cloud-Projekt oder Ihre Organisation aus.
  3. Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option VM Manager aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
  4. Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um Details zu einem bestimmten Ergebnis aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
  5. Auf dem Tab Zusammenfassung finden Sie Details zum Ergebnis, einschließlich Informationen dazu, was erkannt wurde, zur betroffenen Ressource und – falls verfügbar – zu den Schritten, die Sie unternehmen können, um das Problem zu beheben.
  6. Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.

Security Operations Console

  1. Rufen Sie in der Security Operations Console die Seite Ergebnisse auf.
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihre kundenspezifische Kennung.

  2. Maximieren Sie im Bereich Aggregationen den Unterabschnitt Anzeigename der Quelle.
  3. Wählen Sie VM Manager aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
  4. Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um Details zu einem bestimmten Ergebnis aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
  5. Auf dem Tab Zusammenfassung finden Sie Details zum Ergebnis, einschließlich Informationen dazu, was erkannt wurde, zur betroffenen Ressource und – falls verfügbar – zu den Schritten, die Sie unternehmen können, um das Problem zu beheben.
  6. Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.

Korrekturmaßnahmen für VM-Manager-Ergebnisse

Ein OS_VULNERABILITY-Ergebnis gibt an, dass VM Manager eine Sicherheitslücke in den installierten Betriebssystempaketen in einer Compute Engine-VM gefunden hat.

So können Sie dieses Ergebnis beheben:

  1. Öffnen Sie ein OS vulnerability-Ergebnis und rufen Sie die JSON-Definition auf.

  2. Kopieren Sie den Wert des Felds externalUri. Dieser Wert ist der URI für die Seite OS-Informationen der Compute Engine-VM-Instanz, auf der das anfällige Betriebssystem installiert ist.

  3. Wende alle geeigneten Patches für das Betriebssystem an, das im Abschnitt Grundlegende Informationen aufgeführt ist. Eine Anleitung zum Bereitstellen von Patches finden Sie unter Patchjobs erstellen.

Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.

VM Manager-Ergebnisse stummschalten

Sie können einige oder alle VM Manager-Ergebnisse im Security Command Center ausblenden, wenn sie für Ihre Sicherheitsanforderungen nicht relevant sind.

Sie können VM Manager-Ergebnisse ausblenden, indem Sie eine Stummschaltungsregel erstellen und Abfrageattribute für die VM Manager-Ergebnisse hinzufügen, die Sie ausblenden möchten.

So erstellen Sie mithilfe der Google Cloud Console eine Stummschaltungsregel für VM Manager:

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

    Zu Ergebnissen

  2. Wählen Sie gegebenenfalls Ihr Google Cloud-Projekt oder Ihre Organisation aus.

  3. Klicken Sie auf Ausblendungs-Optionen und wählen Sie dann Ausblenden-Regel erstellen aus.

  4. Geben Sie eine ID für eine Ausblendungs-Regel ein. Dieser Wert ist erforderlich.

  5. Geben Sie eine Beschreibung der Ausblendungsregel ein, die den Kontext dafür enthält, warum die Ergebnisse ausgeblendet werden. Dieser Wert ist optional, wird aber empfohlen.

  6. Prüfe den Geltungsbereich der Stummschaltungsregel anhand des Werts für Übergeordnete Ressource.

  7. Klicken Sie im Feld Ergebnisabfrage auf Filter hinzufügen, um Abfrageanweisungen zu erstellen. Alternativ können Sie die Abfrageanweisungen auch manuell eingeben.

    1. Wählen Sie im Dialogfeld Filter auswählen die Option Ergebnis > Anzeigename der Quelle > VM Manager aus.

    2. Klicken Sie auf Anwenden.

    3. Wiederholen Sie diesen Vorgang, bis die Anfrage zum Stummschalten alle Attribute enthält, die Sie ausblenden möchten.

    Wenn Sie beispielsweise bestimmte CVE-IDs in den VM Manager-Sicherheitslückenergebnissen ausblenden möchten, wählen Sie Sicherheitslücke > CVE-ID und dann die CVE-IDs aus, die Sie ausblenden möchten.

    Die Suchanfrage sieht in etwa so aus:

    VM Manager-Ergebnisse stummschalten

  8. Klicken Sie auf Vorschau der übereinstimmenden Ergebnisse anzeigen.

    Eine Tabelle zeigt Ergebnisse an, die Ihrer Abfrage entsprechen.

  9. Klicken Sie auf Speichern.

Schutz sensibler Daten

In diesem Abschnitt werden die Sicherheitslücken beschrieben, die vom Sensitive Data Protection-Modul generiert werden, welche Compliance-Standards sie unterstützen und wie sie behoben werden können.

Der Schutz sensibler Daten sendet auch Beobachtungsergebnisse an das Security Command Center. Weitere Informationen zu den Beobachtungsergebnissen und zum Schutz sensibler Daten finden Sie unter Schutz sensibler Daten.

Informationen zum Aufrufen der Ergebnisse finden Sie unter Ergebnisse zum Schutz sensibler Daten in der Google Cloud Console ansehen.

Mit dem Sensitive Data Protection-Erkennungsdienst können Sie feststellen, ob Sie höchst sensible Daten speichern, die nicht geschützt sind.

Kategorie Fazit

Public sensitive data

Kategoriename in der API:

PUBLIC_SENSITIVE_DATA

Ergebnisbeschreibung: Die angegebene Ressource enthält Daten mit hoher Vertraulichkeit, auf die jeder im Internet zugreifen kann.

Unterstützte Assets:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Amazon S3-Bucket

Behebung:

Entfernen Sie für Google Cloud-Daten allUsers und allAuthenticatedUsers aus der IAM-Richtlinie des Datenassets.

Für Amazon S3-Daten: Konfigurieren Sie die Einstellungen für den Blockieren des öffentlichen Zugriffs oder aktualisieren Sie die ACL des Objekts, um den öffentlichen Lesezugriff zu verweigern.

Compliance-Standards: Nicht zugeordnet

Secrets in environment variables

Kategoriename in der API:

SECRETS_IN_ENVIRONMENT_VARIABLES

Ergebnisbeschreibung: In Umgebungsvariablen befinden sich Geheimnisse wie Passwörter, Authentifizierungstokens und Google Cloud-Anmeldedaten.

Informationen zum Aktivieren dieses Detektors finden Sie in der Dokumentation zum Schutz sensibler Daten unter Geheimnisse in Umgebungsvariablen an Security Command Center melden.

Unterstützte Assets:

Behebung:

Entfernen Sie das Secret aus der Umgebungsvariablen für Cloud Run-Funktionen und speichern Sie es stattdessen in Secret Manager.

Verschieben Sie bei Umgebungsvariablen für Cloud Run-Dienstüberarbeitungen den gesamten Traffic von der Überarbeitung und löschen Sie sie dann.

Compliance-Standards:

  • CIS GCP Foundation 1.3: 1.18
  • CIS GCP Foundation 2.0: 1.18

Secrets in storage

Kategoriename in der API:

SECRETS_IN_STORAGE

Ergebnisbeschreibung: In der angegebenen Ressource befinden sich Secrets wie Passwörter, Authentifizierungstokens und Cloud-Anmeldedaten.

Unterstützte Assets:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Amazon S3-Bucket

Behebung:

  1. Verwenden Sie den Schutz sensibler Daten für Google Cloud-Daten, um eine Tiefenprüfung der angegebenen Ressource durchzuführen und alle betroffenen Ressourcen zu identifizieren. Exportieren Sie Cloud SQL-Daten in eine CSV- oder AVRO-Datei in einem Cloud Storage-Bucket und führen Sie eine Deep-Inspection-Suche auf den Bucket aus.

    Prüfen Sie bei Amazon S3-Daten den angegebenen Bucket manuell.

  2. Entfernen Sie die erkannten Secrets.
  3. Sie können die Anmeldedaten zurücksetzen.
  4. Speichern Sie die erkannten Secrets für Google Cloud-Daten stattdessen in Secret Manager.

Compliance-Standards: Nicht zugeordnet

Policy Controller

Policy Controller ermöglicht die Anwendung und Erzwingung programmierbarer Richtlinien für Ihre Kubernetes-Cluster, die als Flottenmitgliedschaften registriert sind. Richtlinien dienen als Schutzmaßnahmen und können Sie beim Verwalten von Best Practices, der Sicherheit und der Compliance in Ihren Clustern und Ihrer Flotte unterstützen.

Auf dieser Seite sind nicht alle einzelnen Policy Controller-Ergebnisse aufgeführt. Die Informationen zu den Misconfiguration-Klassenergebnissen, die Policy Controller in das Security Command Center schreibt, stimmen jedoch mit den Clusterverstößen überein, die für jedes Policy Controller-Bundle dokumentiert sind. Die Dokumentation zu den einzelnen Policy Controller-Ergebnistypen finden Sie in den folgenden Policy Controller-Bundles:

Diese Funktion ist nicht mit VPC Service Controls-Dienstperimetern für die Stackdriver API kompatibel.

Policy Controller-Ergebnisse finden und beheben

Die Policy Controller-Kategorien entsprechen den Einschränkungsnamen, die in der Dokumentation zu Policy Controller-Bundles aufgeführt sind. Ein require-namespace-network-policies-Ergebnis gibt beispielsweise an, dass ein Namespace gegen die Richtlinie verstößt, dass jeder Namespace in einem Cluster eine NetworkPolicy haben muss.

So beheben Sie ein Ergebnis:

Google Cloud Console

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

    Zu Ergebnissen

  2. Wählen Sie Ihr Google Cloud-Projekt oder Ihre Organisation aus.
  3. Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option Policy Controller On-Cluster aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
  4. Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um Details zu einem bestimmten Ergebnis aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
  5. Auf dem Tab Zusammenfassung finden Sie Details zum Ergebnis, einschließlich Informationen dazu, was erkannt wurde, zur betroffenen Ressource und – falls verfügbar – zu den Schritten, die Sie unternehmen können, um das Problem zu beheben.
  6. Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.

Security Operations Console

  1. Rufen Sie in der Security Operations Console die Seite Ergebnisse auf.
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihre kundenspezifische Kennung.

  2. Maximieren Sie im Bereich Aggregationen den Unterabschnitt Anzeigename der Quelle.
  3. Wählen Sie Policy Controller On-Cluster aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
  4. Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um Details zu einem bestimmten Ergebnis aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
  5. Auf dem Tab Zusammenfassung finden Sie Details zum Ergebnis, einschließlich Informationen dazu, was erkannt wurde, zur betroffenen Ressource und – falls verfügbar – zu den Schritten, die Sie unternehmen können, um das Problem zu beheben.
  6. Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.

Nächste Schritte