Security Health Analytics- und Web Security Scanner-Detektoren generieren Ergebnisse zu Sicherheitslücken, die in Security Command Center verfügbar sind. Wenn sie in Security Command Center aktiviert sind, generieren integrierte Dienste wie VM Manager auch Ergebnisse zu Sicherheitslücken.
Ob Sie Ergebnisse aufrufen und bearbeiten können, hängt von den IAM-Rollen (Identity and Access Management) und Berechtigungen ab, die Ihnen zugewiesen wurden. Weitere Informationen zu IAM-Rollen in Security Command Center finden Sie unter Zugriffssteuerung.
Detektoren und Compliance
Security Command Center überwacht Ihre Compliance mit Detektoren, die den Steuerelementen einer Vielzahl von Sicherheitsstandards zugeordnet sind.
Für jeden unterstützten Sicherheitsstandard prüft Security Command Center eine Teilmenge der Kontrollen. Für die geprüften Steuerelemente zeigt Security Command Center an, wie viele bestanden wurden. Für die Kontrollen, die nicht bestanden wurden, zeigt Security Command Center eine Liste von Ergebnissen an, in denen die Kontrollfehler beschrieben werden.
CIS prüft und zertifiziert die Zuordnungen von Security Command Center-Detektoren zu jeder unterstützten Version des CIS Google Cloud Foundations Benchmark. Zusätzliche Compliance-Zuordnungen sind nur zu Referenzzwecken enthalten.
Security Command Center unterstützt regelmäßig neue Benchmark-Versionen und ‑Standards. Ältere Versionen werden weiterhin unterstützt, aber irgendwann eingestellt. Wir empfehlen, die neueste unterstützte Benchmark oder den neuesten unterstützten Standard zu verwenden.
Mit dem Dienst für den Sicherheitsstatus können Sie Organisationsrichtlinien und Security Health Analytics-Detektoren den Standards und Kontrollen zuordnen, die für Ihr Unternehmen gelten. Nachdem Sie eine Sicherheitskonfiguration erstellt haben, können Sie die Umgebung auf Änderungen überwachen, die sich auf die Compliance Ihres Unternehmens auswirken könnten.
Weitere Informationen zum Verwalten der Compliance finden Sie unter Compliance mit Sicherheitsstandards bewerten und melden.
Unterstützte Sicherheitsstandards
Google Cloud
Security Command Center ordnet Detektoren für Google Cloud einem oder mehreren der folgenden Compliancestandards zu:
- Center for Information Security (CIS) Controls 8.0
- CIS Google Cloud Computing Foundations Benchmark v2.0.0, v1.3.0, v1.2.0, v1.1.0 und v1.0.0
- CIS Kubernetes Benchmark v1.5.1
- Cloud Controls Matrix (CCM) 4
- US-Gesetz zur Übertragbarkeit von Krankenversicherungen und Verantwortlichkeit von Versicherern (Health Insurance Portability and Accountability Act, HIPAA)
- ISO 27001 (International Organization for Standardization), 2022 und 2013
- National Institute of Standards and Technology (NIST) 800-53 R5 und R4
- National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF) 1.0
- Open Web Application Security Project (OWASP) Top Ten, 2021 und 2017
- Payment Card Industry Data Security Standard (PCI DSS) 4.0 und 3.2.1
- System and Organization Controls (SOC) 2 Trust Services Criteria (TSC) von 2017
AWS
Security Command Center ordnet Detektoren für Amazon Web Services (AWS) einem oder mehreren der folgenden Compliancestandards zu:
- CIS Amazon Web Services Foundations 2.0.0
- CIS Critical Security Controls, Version 8.0
- Cloud Controls Matrix (CCM) 4
- US-Gesetz zur Übertragbarkeit von Krankenversicherungen und Verantwortlichkeit von Versicherern (Health Insurance Portability and Accountability Act, HIPAA)
- ISO 27001, 2022
- National Institute of Standards and Technology (NIST) 800-53 R5
- National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF) 1.0
- Payment Card Industry Data Security Standard (PCI DSS) 4.0 und 3.2.1
- System and Organization Controls (SOC) 2 Trusted Services Criteria (TSC) von 2017
Eine Anleitung zum Aufrufen und Exportieren von Complianceberichten finden Sie unter Compliance mit Sicherheitsstandards bewerten und melden.
Deaktivierung nach Behebung des Problems
Nachdem Sie ein Ergebnis zu einer Sicherheitslücke oder Fehlkonfiguration behoben haben, legt der Security Command Center-Dienst, der das Ergebnis erkannt hat, den Status des Ergebnisses automatisch auf INACTIVE fest, wenn der Erkennungsdienst das nächste Mal nach dem Ergebnis sucht. Wie lange es dauert, bis Security Command Center ein behobenes Ergebnis auf INACTIVE setzt, hängt vom Zeitplan des Scans ab, der das Ergebnis erkennt.
Die Security Command Center-Dienste setzen den Status eines Ergebnisses zu einer Sicherheitslücke oder Fehlkonfiguration auch auf INACTIVE, wenn bei einem Scan festgestellt wird, dass die vom Ergebnis betroffene Ressource gelöscht wurde.
Weitere Informationen zu Scanintervallen finden Sie in den folgenden Themen:
Ergebnisse von Security Health Analytics
Detektoren von Security Health Analytics überwachen einen Teil der Ressourcen aus Cloud Asset Inventory (CAI), wobei sie Benachrichtigungen über Ressourcenänderungen und Richtlinienänderungen der Identitäts- und Zugriffsverwaltung (IAM) erhalten. Einige Detektoren rufen Daten ab, indem sie Google Cloud APIs direkt aufrufen, wie in Tabellen weiter unten auf dieser Seite angegeben.
Weitere Informationen zu Security Health Analytics, Scanplänen und der Unterstützung von Security Health Analytics für integrierte und benutzerdefinierte Moduldetektoren finden Sie unter Übersicht über Security Health Analytics.
In den folgenden Tabellen werden die Detektoren von Security Health Analytics, die unterstützten Assets und Compliance-Standards, die für Scans verwendeten Einstellungen und die generierten Ergebnistypen beschrieben. Sie können Ergebnisse auf den folgenden Seiten in der Google Cloud Console nach verschiedenen Attributen filtern:
- Auf der Seite Sicherheitslücken in der Standard- und Premium-Stufe.
- In der Enterprise-Stufe auf der Seite Risiko > Übersicht. Wählen Sie die Ansicht CVE-Sicherheitslücken aus.
Eine Anleitung zum Beheben von Ergebnissen und zum Schutz Ihrer Ressourcen finden Sie unter Ergebnisse von Security Health Analytics beheben.
Ergebnisse zu Sicherheitslücken beim API-Schlüssel
Der Detektor API_KEY_SCANNER identifiziert Sicherheitslücken in Verbindung mit API-Schlüsseln, die in Ihrer Cloud-Bereitstellung verwendet werden.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
|
Ergebnisbeschreibung: API-Schlüssel werden zu häufig verwendet. Zur Behebung dieses Problems beschränken Sie die Nutzung der API-Schlüssel so, dass nur die von der Anwendung benötigten APIs zugelassen werden. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Ruft das Attribut
|
|
Ergebnisbeschreibung: API-Schlüssel werden uneingeschränkt verwendet und ermöglichen die Nutzung durch nicht vertrauenswürdige Anwendungen. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Ruft des Attribut
|
|
Ergebnisbeschreibung: Ein Projekt nutzt API-Schlüssel anstelle der Standardauthentifizierung. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Ruft alle API-Schlüssel ab, die zu einem Projekt gehören.
|
|
Ergebnisbeschreibung: Der API-Schlüssel wurde seit mehr als 90 Tagen nicht rotiert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Ruft den im Attribut
|
Ergebnisse zu Sicherheitslücken in Cloud Asset Inventory
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud Asset Inventory-Konfigurationen und gehören zum Typ CLOUD_ASSET_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
|
Ergebnisbeschreibung:Die Erfassung von Google Cloud Ressourcen und IAM-Richtlinien durch Cloud Asset Inventory ermöglicht Sicherheitsanalysen, das Tracking von Ressourcenänderungen und die Complianceprüfung. Wir empfehlen, den Cloud Asset Inventory-Dienst für alle Projekte zu aktivieren. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob der Cloud Asset Inventory-Dienst aktiviert ist.
|
Ergebnisse zu Speichersicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud Storage-Bucket-Konfigurationen und gehören zum Typ STORAGE_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
|
Ergebnisbeschreibung: Ein Bucket ist nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEKs) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung dazu finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Compliance-Standardkontrollen zugeordnet. |
Prüft das Feld
|
|
Ergebnisbeschreibung: Der einheitliche Zugriff auf Bucket-Ebene, zuvor "Nur Bucket-Richtlinie" genannt, ist nicht konfiguriert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
|
Ergebnisbeschreibung: Ein Cloud Storage-Bucket ist öffentlich zugänglich. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft die IAM-Zulassungsrichtlinie eines Buckets auf öffentliche Rollen,
|
|
Ergebnisbeschreibung: Ein als Logsenke verwendeter Storage-Bucket ist öffentlich zugänglich. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft die IAM-Zulassungsrichtlinie eines Buckets für die Hauptkonten
|
Ergebnisse zu Sicherheitslücken bei Compute-Images
Der Detektor COMPUTE_IMAGE_SCANNER identifiziert Sicherheitslücken im Zusammenhang mitGoogle Cloud -Imagekonfigurationen.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
|
Ergebnisbeschreibung: Ein Compute Engine-Image ist öffentlich zugänglich. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Compliance-Standardkontrollen zugeordnet. |
Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf die Hauptkonten
|
Ergebnisse zu Sicherheitslücken bei Compute-Instanzen
Der COMPUTE_INSTANCE_SCANNER-Detektor identifiziert Sicherheitslücken in Verbindung mit Compute Engine-Instanzkonfigurationen.
COMPUTE_INSTANCE_SCANNER-Detektoren melden keine Ergebnisse zu Compute Engine-Instanzen, die von GKE erstellt wurden. Der Name solcher Instanzen beginnt mit "gke-" und kann von Nutzern nicht bearbeitet werden. Weitere Informationen zum Schutz dieser Instanzen finden Sie im Abschnitt mit den Ergebnissen zu Container-Sicherheitslücken.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
|
Ergebnisbeschreibung: Confidential Computing ist auf Compute Engine-Instanzen deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Es werden projektweite SSH-Schlüssel verwendet, sodass eine Anmeldung bei allen Instanzen im Projekt möglich ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Objekt
|
|
Ergebnisbeschreibung: Für diese Shielded VM ist Secure Boot nicht aktiviert. Mit Secure Boot können Sie VM-Instanzen vor erweiterten Bedrohungen wie Rootkits und Bootkits schützen. Preisstufe: Premium Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Compliance-Standardkontrollen zugeordnet. |
Prüft das Attribut
|
|
Ergebnisbeschreibung: Serielle Ports sind für eine Instanz aktiviert und ermöglichen Verbindungen zur seriellen Konsole der Instanz. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Objekt
|
|
Ergebnisbeschreibung: Eine Instanz ist für die Verwendung des Standarddienstkontos konfiguriert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Laufwerke auf dieser VM werden nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEKs) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Compliance-Standardkontrollen zugeordnet. |
Prüft das Feld
|
|
Ergebnisbeschreibung: Laufwerke auf dieser VM werden nicht mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln (Customer-Supplied Encryption Keys, CSEKs) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Sonderfalldetektor. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Feld
|
|
Ergebnisbeschreibung: Eine Instanz ist so konfiguriert, dass sie das Standarddienstkonto mit uneingeschränktem Zugriff auf alle Google Cloud-APIs verwendet. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Ruft das Feld
|
|
Ergebnisbeschreibung: Eine Instanz verwendet einen Load-Balancer, der für die Verwendung eines Ziel-HTTP-Proxys anstelle eines Ziel-HTTPS-Proxys konfiguriert ist. Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Bestimmt, ob das Attribut
|
|
Ergebnisbeschreibung: OS Login ist für diese Instanz deaktiviert. Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets
Compliance standards:
|
Prüft, ob das Attribut
|
|
Ergebnisbeschreibung: Die IP-Weiterleitung ist für Instanzen aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
|
Ergebnisbeschreibung: OS Login ist für dieses Projekt deaktiviert. Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Objekt
|
|
Ergebnisbeschreibung: Eine Instanz hat eine öffentliche IP-Adresse. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
|
Ergebnisbeschreibung: Auf dieser Instanz ist Shielded VM deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Eine Instanz hat eine schwache SSL-Richtlinie. Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob
|
Ergebnisse zu Container-Sicherheitslücken
Diese Ergebnistypen beziehen sich alle auf GKE-Containerkonfigurationen und gehören zum Detektortyp CONTAINER_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
|
Ergebnisbeschreibung: Alphacluster-Features sind für einen GKE-Cluster aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
|
Ergebnisbeschreibung: Das automatische Reparaturfeature eines GKE-Clusters, das Knoten in einem fehlerfreien, laufenden Zustand hält, ist deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Das Feature für automatische Upgrades eines GKE-Clusters, das Cluster und Knotenpools auf die neueste stabile Version von Kubernetes aktualisiert, ist deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Die Binärautorisierung ist entweder im GKE-Cluster deaktiviert oder die Richtlinie für die Binärautorisierung ist so konfiguriert, dass alle Images bereitgestellt werden können. Preisstufe: Premium
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Compliance-Standardkontrollen zugeordnet. |
Dabei wird Folgendes geprüft:
|
|
Ergebnisbeschreibung: Logging ist für einen GKE-Cluster nicht aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
|
Ergebnisbeschreibung: Monitoring ist in GKE-Clustern deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
|
Ergebnisbeschreibung: Clusterhosts sind nicht so konfiguriert, dass nur private interne IP-Adressen für den Zugriff auf Google APIs verwendet werden. Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
|
Ergebnisbeschreibung: Die Verschlüsselung von Secrets auf Anwendungsebene ist in einem GKE-Cluster deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Shielded GKE-Knoten sind für einen Cluster nicht aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Compute Engine-VMs nutzen nicht Container-Optimized OS, das für das sichere Ausführen von Docker-Containern in Google Cloud entwickelt wurde. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Integritätsmonitoring ist für einen GKE-Cluster deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Die knoteninterne Sichtbarkeit ist für einen GKE-Cluster deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Ein GKE-Cluster wurde mit deaktivierten Alias-IP-Bereichen erstellt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Feld
|
|
Ergebnisbeschreibung: Die Legacy-Autorisierung ist in GKE-Clustern aktiviert. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Legacy-Metadaten sind für GKE-Cluster aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Autorisierte Control Plane Authorized Networks ist in GKE-Clustern nicht aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Die Netzwerkrichtlinie ist in GKE-Clustern deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Feld
|
|
Beschreibung: Bootlaufwerke in diesem Knotenpool werden nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Compliance-Standardkontrollen zugeordnet. |
Prüft das Attribut
|
|
Ergebnisbeschreibung: Secure Boot ist für einen GKE-Cluster deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Ein Dienstkonto hat in einem Cluster übermäßig Zugriff auf das Projekt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Wertet das Attribut
|
|
Ergebnisbeschreibung: Ein Knotendienstkonto hat große Zugriffsbereiche. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob der im Attribut config.oauthScopes eines Knotenpools aufgeführte Zugriffsbereich ein eingeschränkter Zugriffsbereich des Dienstkontos ist: https://www.googleapis.com/auth/devstorage.read_only, https://www.googleapis.com/auth/logging.write oder https://www.googleapis.com/auth/monitoring.
|
|
Ergebnisbeschreibung: PodSecurityPolicy ist in einem GKE-Cluster deaktiviert. Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Für einen GKE-Cluster ist ein privater Cluster deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Feld
|
|
Ergebnisbeschreibung: Ein GKE-Cluster ist nicht auf eine Release-Version abonniert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Die GKE-Web-UI (Dashboard) ist aktiviert. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft das Feld
|
|
Ergebnisbeschreibung: Workload Identity ist in einem GKE-Cluster deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Ergebnisse zu Dataproc-Sicherheitslücken
Alle Sicherheitslücken dieses Detektortyps beziehen sich auf Dataproc und gehören zum Detektortyp DATAPROC_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
|
Ergebnisbeschreibung: Ein Dataproc-Cluster wurde ohne CMEK für die Verschlüsselung erstellt. Mit CMEK werden die von Ihnen im Cloud Key Management Service erstellten und verwalteten Schlüssel mit den Schlüsseln umschlossen, die Google Cloud zum Verschlüsseln Ihrer Daten verwendet. Dadurch haben Sie mehr Kontrolle über den Zugriff auf Ihre Daten. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Feld
|
|
Ergebnis-Beschreibung: Ein Dataproc-Cluster wurde mit einer Dataproc-Image-Version erstellt, die von Sicherheitslücken im Apache Log4j 2-Dienstprogramm betroffen ist (CVE-2021-44228) und CVE-2021-45046). Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Compliance-Standardkontrollen zugeordnet. |
Prüft, ob das Feld
|
Ergebnisse zu Dataset-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf BigQuery-Dataset-Konfigurationen und gehören zum Detektortyp DATASET_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
|
Ergebnisbeschreibung: Eine BigQuery-Tabelle ist nicht für die Verwendung eines vom Kunden verwalteten Verschlüsselungsschlüssels (CMEK) konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Feld
|
|
Ergebnisbeschreibung: Ein BigQuery-Dataset ist nicht für die Verwendung eines standardmäßigen CMEK konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Feld
|
|
Ergebnisbeschreibung: Ein Dataset ist für den öffentlichen Zugriff konfiguriert. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf die Hauptkonten
|
Ergebnisse zu DNS-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich auf Cloud DNS-Konfigurationen und gehören zum Detektortyp DNS_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
|
Ergebnisbeschreibung: DNSSEC ist für Cloud DNS-Zonen deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Feld
|
|
Ergebnisbeschreibung: RSASHA1 wird für die Schlüsselsignierung in Cloud DNS-Zonen verwendet. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Objekt
|
Ergebnisse zu Firewall-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Firewall-Konfigurationen und gehören zum Detektortyp FIREWALL_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
|
Ergebnisbeschreibung: Für eine Firewall wurde keine Regel für ausgehenden Traffic festgelegt. Regeln zum Ablehnen von ausgehendem Traffic sollten eingerichtet werden, um unerwünschten ausgehenden Traffic zu blockieren. Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
|
Ergebnisbeschreibung: Das Logging von Firewallregeln ist deaktiviert. Firewallregel-Logging sollte aktiviert sein, damit Sie Netzwerkzugriffe prüfen können. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Eine Firewall ist für einen offenen CASSANDRA-Port mit generischem Zugriff konfiguriert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Eine Firewall ist für einen offenen CISCOSECURE_WEBSM-Port mit generischem Zugriff konfiguriert. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Eine Firewall ist mit einem offenen DIRECTORY_SERVICE-Port konfiguriert, der generischen Zugriff zulässt. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Eine Firewall ist mit einem offenen DNS-Port konfiguriert, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen ELASTICSEARCH-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie öffentlich zugänglich ist. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft die Attribute
|
|
Ergebnisbeschreibung: Eine Firewall ist mit einem offenen FTP-Port konfiguriert, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen HTTP-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen LDAP-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Eine Firewall ist für einen offenen MEMCACHED-Port mit generischem Zugriff konfiguriert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Eine Firewall ist für einen offenen MONGODB-Port mit generischem Zugriff konfiguriert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen MySQL-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen NETBIOS-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen ORACLEDB-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Eine Firewall ist für einen offenen POP3-Port mit generischem Zugriff konfiguriert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen PostgreSQL-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen RDP-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen REDIS-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
|
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen SMTP-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
|
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen SSH-Port hat, der generischen Zugriff zulässt. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
|
Ergebnisbeschreibung: Eine Firewall ist so konfiguriert, dass sie einen offenen TELNET-Port hat, über den generischer Zugriff möglich ist. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Ergebnisse zu IAM-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf die IAM-Konfiguration (Identity and Access Management) und gehören zum Detektortyp IAM_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
|
Ergebnisbeschreibung: Google Cloud Access Transparency ist für Ihre Organisation deaktiviert. Access Transparency-Logs, wenn Google Cloud Mitarbeiter auf die Projekte in Ihrer Organisation zugreifen, um Support zu leisten. Aktivieren Sie Access Transparency, um zu protokollieren, wer von Google Cloud auf Ihre Informationen zugreift, wann und warum. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob Access Transparency für Ihre Organisation aktiviert ist.
|
|
Ergebnisbeschreibung: Ein Dienstkonto hat die Berechtigung Administrator, Inhaber oder Bearbeiter. Diese Rollen sollten nicht von Nutzern erstellten Dienstkonten zugewiesen werden. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft die IAM-Zulassungsrichtlinie in Ressourcenmetadaten auf alle vom Nutzer erstellten Dienstkonten (angegeben durch das Präfix iam.gserviceaccount.com), denen
|
|
Beschreibung des Problems:Ihre Organisation hat keine Person oder Gruppe festgelegt, die Benachrichtigungen von Google Cloud über wichtige Ereignisse wie Angriffe, Sicherheitslücken und Datenvorfälle in Ihrer Google Cloud Organisation erhält. Wir empfehlen, eine oder mehrere Personen oder Gruppen in Ihrem Unternehmen als wichtige Kontakte festzulegen. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob für die folgenden wichtigen Kontaktkategorien ein Kontakt angegeben ist:
|
|
Ergebnisbeschreibung: Die Aufgabentrennung wird nicht erzwungen und ein Nutzer ist vorhanden, der eine der folgenden Cloud Key Management Service-Rollen (Cloud KMS) hat: CryptoKey-Verschlüsseler/Entschlüsseler, Entschlüsseler oder Verschlüsseler. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft IAM-Zulassungsrichtlinien in Ressourcenmetadaten und ruft Hauptkonten ab, denen gleichzeitig eine der folgenden Rollen zugewiesen ist: roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter und roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer, roles/cloudkms.signerVerifier, roles/cloudkms.publicKeyViewer.
|
|
Ergebnisbeschreibung: Ein Nutzer verwendet keine organisationsgebundenen Anmeldedaten. Gemäß CIS GCP Foundations 1.0 lösen derzeit nur Identitäten mit @gmail.com-E-Mail-Adressen diesen Detektor aus. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Vergleicht @gmail.com-E-Mail-Adressen im Feld
|
|
Ergebnisbeschreibung: Ein Google Groups-Konto, das ohne Genehmigung verknüpft werden kann, wird als Hauptkonto auf einer IAM-Zulassungsrichtlinie verwendet. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Compliance-Standardkontrollen zugeordnet. |
Prüft die IAM-Richtlinie in Ressourcenmetadaten auf alle Bindungen, die ein Mitglied (Hauptkonto) mit dem Präfix group enthalten. Wenn die Gruppe eine offene Gruppe ist, generiert Security Health Analytics dieses Ergebnis.
|
|
Ergebnisbeschreibung: Ein Nutzer hat die Rolle Dienstkontonutzer oder Ersteller von Dienstkonto-Tokens auf Projektebene, statt für ein bestimmtes Dienstkonto. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf alle Hauptkonten, denen roles/iam.serviceAccountUser oder roles/iam.serviceAccountTokenCreator auf Projektebene zugewiesen ist.
|
|
Ergebnisbeschreibung:Ein Nutzer hat eine der folgenden einfachen Rollen:
Diese Rollen sind zu weit gefasst und sollten nicht verwendet werden. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft die IAM-Zulassungsrichtlinie in Ressourcenmetadaten auf alle Hauptkonten, denen die Rolle
|
|
Ergebnisbeschreibung: Eine Redis-IAM-Rolle wird auf Organisations- oder Ordnerebene zugewiesen. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Preisstufe: Premium
Unterstützte Assets
Compliance standards:
|
Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf Hauptkonten, denen
|
|
Ergebnisbeschreibung: Einem Nutzer wurden die Rollen Dienstkontoadministrator und Dienstkontonutzer zugewiesen. Dies verstößt gegen das Prinzip der "Aufgabentrennung". Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft die IAM-Zulassungrichtlinie in Ressourcenmetadaten auf alle Hauptkonten, denen sowohl roles/iam.serviceAccountUser als auch roles/iam.serviceAccountAdmin zugewiesen ist.
|
|
Ergebnisbeschreibung: Ein Dienstkontoschlüssel wurde seit mehr als 90 Tagen nicht rotiert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Wertet den Zeitstempel der Schlüsselerstellung aus, der im Attribut
|
|
Ergebnisbeschreibung: Ein Nutzer verwaltet einen Dienstkontoschlüssel. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Ergebnisse zu KMS-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud KMS-Konfigurationen und gehören zum Detektortyp KMS_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
|
Ergebnisbeschreibung: Für einen Cloud KMS-Verschlüsselungsschlüssel ist keine Rotation konfiguriert. Verschlüsselungsschlüssel sollten innerhalb eines Zeitraums von 90 Tagen rotiert werden. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft Ressourcenmetadaten auf das Vorhandensein von
|
|
Ergebnisbeschreibung: Ein Nutzer hat Inhaber-Berechtigungen für ein Projekt mit kryptografischen Schlüsseln. Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft die IAM-Zulassungsrichtlinie in Projektmetadaten auf Hauptkonten, denen
|
|
Ergebnisbeschreibung: Ein kryptografischer Cloud KMS-Schlüssel ist öffentlich zugänglich. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft die IAM-Zulassungsrichtlinie in den Ressourcenmetadaten auf die Hauptkonten
|
|
Ergebnisbeschreibung: Es gibt mehr als drei Nutzer kryptografischer Schlüssel. Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft IAM-Zulassungsrichtlinien auf Schlüsselbunde, Projekte und Organisationen und ruft Hauptkonten mit Rollen ab, mit denen sie Daten mithilfe von Cloud KMS-Schlüsseln verschlüsseln, entschlüsseln oder signieren können: roles/owner, roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter, roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer und roles/cloudkms.signerVerifier.
|
Ergebnisse zu Logging-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Logging-Konfigurationen und gehören zum Detektortyp LOGGING_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
|
Ergebnisbeschreibung: Audit-Logging wurde für diese Ressource deaktiviert. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft die IAM-Zulassungsrichtlinie in Ressourcenmetadaten auf das Vorhandensein eines
|
|
Ergebnisbeschreibung: Es gibt einen Storage-Bucket ohne aktiviertes Logging. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Feld
|
|
Ergebnisbeschreibung: Für Logs ist keine gesperrte Aufbewahrungsrichtlinie festgelegt. Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Feld
|
|
Ergebnisbeschreibung: Für eine Ressource ist keine geeignete Logsenke konfiguriert. Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets
Compliance standards:
|
Ruft ein
|
|
Ergebnisbeschreibung: Die Objektversionsverwaltung ist für einen Storage-Bucket, in dem Senken konfiguriert sind, nicht aktiviert. Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Feld
|
Ergebnisse zu Monitoring-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Monitoring-Konfigurationen und gehören zum Typ MONITORING_SCANNER. Alle Ergebnisattribute des Monitoring-Detektors enthalten Folgendes:
- Den
RecommendedLogFilter, der beim Erstellen der Logmesswerte verwendet werden soll. - Die
QualifiedLogMetricNames, die die im empfohlenen Logfilter aufgeführten Bedingungen abdecken. - Die
AlertPolicyFailureReasons, die angeben, ob für das Projekt keine Benachrichtigungsrichtlinien für einen der qualifizierten Logmesswerte erstellt wurden oder ob die vorhandenen Benachrichtigungsrichtlinien nicht die empfohlenen Einstellungen haben.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
|
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Audit-Konfigurationsänderungen konfiguriert. Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.auditConfigDeltas:* festgelegt ist und ob, wenn resource.type angegeben ist, der Wert global ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
|
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen der Cloud Storage-IAM-Berechtigungen konfiguriert. Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf resource.type=gcs_bucket AND
protoPayload.methodName="storage.setIamPermissions" gesetzt ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
|
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen benutzerdefinierter Rollen konfiguriert. Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf resource.type="iam_role" AND
(protoPayload.methodName="google.iam.admin.v1.CreateRole"
OR
protoPayload.methodName="google.iam.admin.v1.DeleteRole"
OR
protoPayload.methodName="google.iam.admin.v1.UpdateRole") gesetzt ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
|
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an VPC-Netzwerk-Firewallregeln konfiguriert. Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf
resource.type="gce_firewall_rule"
AND (protoPayload.methodName:"compute.firewalls.insert"
OR protoPayload.methodName:"compute.firewalls.patch"
OR protoPayload.methodName:"compute.firewalls.delete") gesetzt ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
|
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen am VPC-Netzwerk konfiguriert. Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf
resource.type="gce_network"
AND (protoPayload.methodName:"compute.networks.insert"
OR protoPayload.methodName:"compute.networks.patch"
OR protoPayload.methodName:"compute.networks.delete"
OR protoPayload.methodName:"compute.networks.removePeering"
OR protoPayload.methodName:"compute.networks.addPeering") gesetzt ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
|
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Zuweisungen oder Änderungen an der Projektinhaberschaft konfiguriert. Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf (protoPayload.serviceName="cloudresourcemanager.googleapis.com")
AND (ProjectOwnership OR projectOwnerInvitee) OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")
OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") festgelegt ist und ob, wenn resource.type angegeben ist, der Wert global ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
|
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an der VPC-Netzwerkroute konfiguriert. Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf
resource.type="gce_route"
AND (protoPayload.methodName:"compute.routes.delete"
OR protoPayload.methodName:"compute.routes.insert") gesetzt ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
|
Ergebnisbeschreibung: Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an Cloud SQL-Instanzen konfiguriert. Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut filter der Ressource LogsMetric des Projekts auf
protoPayload.methodName="cloudsql.instances.update"
OR protoPayload.methodName="cloudsql.instances.create"
OR protoPayload.methodName="cloudsql.instances.delete" festgelegt ist und ob, wenn resource.type angegeben ist, der Wert global ist.
Der Detektor sucht auch nach einer entsprechenden alertPolicy-Ressource, um zu prüfen, ob die Attribute conditions und notificationChannels ordnungsgemäß konfiguriert sind.
|
Ergebnisse zur Multi-Faktor-Authentifizierung
Der MFA_SCANNER-Detektor erkennt Sicherheitslücken bei der Multi-Faktor-Authentifizierung für Nutzer.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
|
Es gibt Nutzer, die die 2‑Faktor-Authentifizierung nicht verwenden. In Google Workspace können Sie eine Registrierungsfrist für neue Nutzer festlegen, in der sie sich für die Bestätigung in zwei Schritten registrieren müssen. Dieser Detektor generiert auch während des Kulanzzeitraums für die Registrierung Ergebnisse für Nutzer. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Wertet Richtlinien zur Identitätsverwaltung in Organisationen und Nutzereinstellungen für verwaltete Konten in Cloud Identity aus.
|
Ergebnisse zu Netzwerk-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf die Netzwerkkonfigurationen einer Organisation und gehören zum Typ NETWORK_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
|
Ergebnisbeschreibung: Das Standardnetzwerk ist in einem Projekt vorhanden. Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
|
Ergebnisbeschreibung: Das DNS-Logging in einem VPC-Netzwerk ist nicht aktiviert. Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft alle
|
|
Ergebnisbeschreibung: Ein Legacy-Netzwerk ist in einem Projekt vorhanden. Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft die Netzwerkmetadaten auf das Vorhandensein des Attributs
|
|
Ergebnisbeschreibung: Das Logging ist für den Load Balancer deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Ergebnisse zu Sicherheitslücken in Organisationsrichtlinien
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Konfigurationen von Einschränkungen für Organisationsrichtlinien und gehören zum Typ ORG_POLICY.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
|
Ergebnisbeschreibung: Eine Compute Engine-Ressource verstößt gegen die Organisationsrichtlinie constraints/compute.restrictNonConfidentialComputing. Weitere Informationen zu dieser Einschränkung der Organisationsrichtlinie finden Sie unter Einschränkungen für Organisationsrichtlinien in Confidential VM durchsetzen.
Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Compliance-Standardkontrollen zugeordnet. |
Prüft, ob das Attribut
|
|
Ergebnisbeschreibung: Eine Compute Engine-Ressource verstößt gegen die Einschränkung constraints/gcp.resourceLocations. Weitere Informationen zu dieser Einschränkung der Organisationsrichtlinie finden Sie unter Einschränkungen für Organisationsrichtlinien durchsetzen.
Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Preisstufe: Premium
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Compliance-Standardkontrollen zugeordnet. |
Prüft das Attribut
|
|
Unterstützte Assets für ORG_POLICY_LOCATION_RESTRICTION
Compute Engine
GKE
Cloud Storage
Cloud KMS
Dataproc
BigQuery
Dataflow
Cloud SQL
Cloud Composer
Logging
Pub/Sub
Vertex AI
Artifact Registry 1 Da Cloud KMS-Assets nicht gelöscht werden können, gilt das Asset nicht als außerhalb der Region, wenn die Daten des Assets zerstört wurden. 2 Da Cloud KMS-Importjobs einen gesteuerten Lebenszyklus haben und nicht vorzeitig beendet werden können, gilt ein ImportJob nicht als außerhalb der Region, wenn er abgelaufen ist und nicht mehr verwendet werden kann, um Schlüssel zu importieren. 3 Da der Lebenszyklus von Dataflow-Jobs nicht verwaltet werden kann, gilt ein Job nicht als außerhalb der Region, wenn er einen Endstatus (beendet oder per Drain beendet) erreicht hat, in dem er nicht mehr zur Verarbeitung von Daten verwendet werden kann. |
||
Pub/Sub-Sicherheitslücken
Alle Sicherheitslücken dieses Detektortyps beziehen sich auf Pub/Sub-Konfigurationen und gehören zum Typ PUBSUB_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
|
Ergebnisbeschreibung: Ein Pub/Sub-Thema wird nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Compliance-Standardkontrollen zugeordnet. |
Prüft das Feld
|
Ergebnisse zu SQL-Sicherheitslücken
In den folgenden Abschnitten werden die Ergebnisse von Sicherheitslücken für AlloyDB for PostgreSQL und Cloud SQL beschrieben.
AlloyDB for PostgreSQL-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf AlloyDB for PostgreSQL-Konfigurationen und gehören zum Typ SQL_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
|
Ergebnisbeschreibung: Für einen AlloyDB for PostgreSQL-Cluster sind keine automatischen Sicherungen aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
|
Ergebnisbeschreibung:Für einen AlloyDB for PostgreSQL-Cluster sind keine Sicherungen aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob die Attribute
|
|
Ergebnisbeschreibung: Ein AlloyDB-Cluster wird nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEKs) verschlüsselt. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Feld
|
|
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Um eine angemessene Abdeckung von Nachrichtentypen in den Logs zu gewährleisten, wird ein Problem generiert, wenn das Feld
|
|
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Um eine angemessene Abdeckung von Nachrichtentypen in den Logs zu gewährleisten, wird ein Problem generiert, wenn das Feld
|
|
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Um eine angemessene Abdeckung von Nachrichtentypen in den Logs zu gewährleisten, wird ein Ergebnis generiert, wenn das Feld
|
|
Ergebnisbeschreibung:Eine AlloyDB for PostgreSQL-Datenbankinstanz hat eine öffentliche IP-Adresse. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Feld
|
|
Ergebnisbeschreibung:Für eine AlloyDB for PostgreSQL-Datenbankinstanz müssen nicht alle eingehenden Verbindungen SSL verwenden. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
Ergebnisse zu Cloud SQL-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf Cloud SQL-Konfigurationen und gehören zum Typ SQL_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
|
Ergebnisbeschreibung: In einer Cloud SQL-Datenbank sind keine automatischen Sicherungen aktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
|
Ergebnisbeschreibung: Eine Cloud SQL-Datenbankinstanz akzeptiert Verbindungen von allen IP-Adressen. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft, ob für das Attribut
|
|
Ergebnisbeschreibung: Für eine Cloud SQL-Datenbankinstanz müssen nicht alle eingehenden Verbindungen SSL verwenden. Preisstufe: Premium oder Standard
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
|
Ergebnisbeschreibung: Eine SQL-Datenbankinstanz wird nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEKs) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Compliance-Standardkontrollen zugeordnet. |
Prüft das Feld
|
|
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das
|
|
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Feld
|
|
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das
|
|
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Um eine angemessene Abdeckung von Nachrichtentypen in den Logs zu gewährleisten, wird ein Ergebnis generiert, wenn das Feld
|
|
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das
|
|
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das
|
|
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das
|
|
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das
|
|
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das
|
|
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das
|
|
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Für eine Cloud SQL-Datenbank mit einer öffentlichen IP-Adresse ist für das Root-Konto kein Passwort konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
|
Ergebnisbeschreibung: Eine Cloud SQL-Datenbank hat eine öffentliche IP-Adresse. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob der IP-Adresstyp einer Cloud SQL-Datenbank auf
|
|
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Das Datenbank-Flag Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft das Attribut
|
|
Ergebnisbeschreibung: Für eine Cloud SQL-Datenbank mit einer öffentlichen IP-Adresse ist ein schwaches Passwort für das Root-Konto konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards: Diese Ergebniskategorie ist keinen Compliance-Standardkontrollen zugeordnet. |
Vergleicht das Passwort für das Root-Konto der Cloud SQL-Datenbank mit einer Liste gängiger Passwörter.
|
Ergebnisse zu Subnetzwerk-Sicherheitslücken
Sicherheitslücken dieses Detektortyps beziehen sich alle auf die Subnetzwerkkonfigurationen einer Organisation und gehören zum Typ SUBNETWORK_SCANNER.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
|
Ergebnisbeschreibung: In einem VPC-Subnetzwerk sind Flusslogs deaktiviert. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
|
Ergebnisbeschreibung:Für ein VPC-Subnetzwerk sind VPC-Flusslogs entweder deaktiviert oder nicht gemäß den Empfehlungen von CIS Benchmark 1.3 konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
|
Ergebnisbeschreibung: Es gibt private Subnetzwerke ohne Zugriff auf öffentliche Google APIs. Preisstufe: Premium
Unterstützte Assets Compliance standards:
|
Prüft, ob das Attribut
|
AWS-Ergebnisse
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
|
Ergebnisbeschreibung: AWS CloudShell ist eine praktische Möglichkeit, CLI-Befehle für AWS-Dienste auszuführen. Eine verwaltete IAM-Richtlinie („AWSCloudShellFullAccess“) bietet vollständigen Zugriff auf CloudShell und ermöglicht das Hoch- und Herunterladen von Dateien zwischen dem lokalen System eines Nutzers und der CloudShell-Umgebung. In der Cloud Shell-Umgebung hat ein Nutzer Sudo-Berechtigungen und kann auf das Internet zugreifen. Es ist also möglich, beispielsweise eine Software zur Dateiübertragung zu installieren und Daten von Cloud Shell auf externe Internetserv er zu übertragen. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass der Zugriff auf AWSCloudShellFullAccess eingeschränkt ist
|
|
Ergebnisbeschreibung: Zugriffsschlüssel bestehen aus einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel, die zum Signieren von Programmieranfragen verwendet werden, die Sie an AWS senden. AWS-Nutzer benötigen eigene Zugriffsschlüssel, um programmatische Aufrufe an AWS über die AWS-Befehlszeile, Tools for Windows PowerShell, die AWS SDKs oder direkte HTTP-Aufrufe über die APIs für einzelne AWS-Dienste zu senden. Es wird empfohlen, alle Zugriffsschlüssel regelmäßig zu rotieren. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass Zugriffsschlüssel mindestens alle 90 Tage rotiert werden
|
|
Ergebnisbeschreibung: Wenn Sie HTTPS-Verbindungen zu Ihrer Website oder Anwendung in AWS aktivieren möchten, benötigen Sie ein SSL/TLS-Serverzertifikat. Sie können ACM oder IAM verwenden, um Serverzertifikate zu speichern und bereitzustellen. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass alle abgelaufenen SSL/TLS-Zertifikate entfernt werden, die in AWS IAM gespeichert sind
|
|
Ergebnisbeschreibung: Hiermit wird geprüft, ob Ihre Autoscaling-Gruppen, die einem Load Balancer zugeordnet sind, Elastic Load Balancing-Systemdiagnosen verwenden. So kann die Gruppe den Zustand einer Instanz anhand zusätzlicher Tests ermitteln, die vom Load-Balancer bereitgestellt werden. Die Verwendung von Elastic Load Balancing-Systemdiagnosen kann die Verfügbarkeit von Anwendungen unterstützen, die EC2-Autoscaling-Gruppen verwenden. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob alle mit einem Load Balancer verknüpften Autoscaling-Gruppen Systemdiagnosen verwenden
|
|
Ergebnisbeschreibung: Achten Sie darauf, dass für RDS-Datenbankinstanzen das Flag „Auto Minor Version Upgrade“ aktiviert ist, damit während des angegebenen Wartungsfensters automatisch Nebenversionsupgrades für die Engine durchgeführt werden. RDS-Instanzen können also die neuen Funktionen, Fehlerkorrekturen und Sicherheitspatches für ihre Datenbankmodule erhalten. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass das automatische Upgrade von Nebenversionen für RDS-Instanzen aktiviert ist
|
|
Ergebnisbeschreibung: AWS Config ist ein Webdienst, der die Konfiguration unterstützter AWS-Ressourcen in Ihrem Konto verwaltet und Protokolldateien für Sie bereitstellt. Die aufgezeichneten Informationen umfassen das Konfigurationselement (AWS-Ressource), Beziehungen zwischen Konfigurationselementen (AWS-Ressourcen) und alle Konfigurationsänderungen zwischen Ressourcen. Es wird empfohlen, AWS Config in allen Regionen zu aktivieren. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass AWS Config in allen Regionen aktiviert ist
|
|
Ergebnisbeschreibung: Security Hub erfasst Sicherheitsdaten aus allen AWS-Konten, ‑Services und unterstützten Produkten von Drittanbietern und hilft Ihnen, Ihre Sicherheitstrends zu analysieren und die Sicherheitsprobleme mit der höchsten Priorität zu identifizieren. Wenn Sie Security Hub aktivieren, werden Ergebnisse aus AWS-Diensten, die Sie aktiviert haben, z. B. Amazon GuardDuty, Amazon Inspector und Amazon Macie, erfasst, zusammengeführt, organisiert und priorisiert. Sie können auch Integrationen mit Sicherheitsprodukten von AWS-Partnern aktivieren. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass AWS Security Hub aktiviert ist
|
|
Ergebnisbeschreibung: AWS CloudTrail ist ein Webdienst, der AWS API-Aufrufe für ein Konto aufzeichnet und diese Logs Nutzern und Ressourcen gemäß IAM-Richtlinien zur Verfügung stellt. AWS Key Management Service (KMS) ist ein verwalteter Dienst, mit dem Sie die Verschlüsselungsschlüssel erstellen und steuern können, die zum Verschlüsseln von Kontodaten verwendet werden. Außerdem werden Hardwaresicherheitsmodule (HSMs) verwendet, um die Sicherheit von Verschlüsselungsschlüsseln zu schützen. CloudTrail-Logs können so konfiguriert werden, dass sie die serverseitige Verschlüsselung (Server-Side Encryption, SSE) und vom Kunden erstellte KMS-Masterschlüssel (Customer Master Keys, CMK) nutzen, um CloudTrail-Logs noch besser zu schützen. Es wird empfohlen, CloudTrail für die Verwendung von SSE-KMS zu konfigurieren. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass CloudTrail-Logs im Ruhezustand mit KMS-CMKs verschlüsselt werden
|
|
Ergebnisbeschreibung: Bei der Validierung von CloudTrail-Logdateien wird eine digital signierte Digest-Datei mit einem Hash jedes Logs erstellt, das von CloudTrail in S3 geschrieben wird. Mit diesen Digest-Dateien lässt sich feststellen, ob eine Logdatei geändert, gelöscht oder unverändert geblieben ist, nachdem CloudTrail das Log bereitgestellt hat. Es wird empfohlen, die Dateivalidierung für alle CloudTrails zu aktivieren. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass die Validierung der CloudTrail-Logdatei aktiviert ist
|
|
Ergebnisbeschreibung: AWS CloudTrail ist ein Webdienst, der AWS API-Aufrufe aufzeichnet, die in einem bestimmten AWS-Konto erfolgen. Zu den aufgezeichneten Informationen gehören die Identität des API-Aufrufers, die Uhrzeit des API-Aufrufs, die Quell-IP-Adresse des API-Aufrufers, die Anfrageparameter und die vom AWS-Dienst zurückgegebenen Antwortelemente. CloudTrail verwendet Amazon S3 zum Speichern und Bereitstellen von Logdateien. Logdateien werden also dauerhaft gespeichert. Zusätzlich zum Erfassen von CloudTrail-Logs in einem angegebenen S3-Bucket für die langfristige Analyse kann eine Echtzeitanalyse durchgeführt werden, indem CloudTrail so konfiguriert wird, dass Logs an CloudWatch Logs gesendet werden. Bei einem Pfad, der in allen Regionen eines Kontos aktiviert ist, sendet CloudTrail Protokolldateien aus allen diesen Regionen an eine CloudWatch Logs-Protokollgruppe. Es wird empfohlen, CloudTrail-Logs an CloudWatch Logs zu senden. Hinweis: Mit dieser Empfehlung soll sichergestellt werden, dass AWS-Kontoaktivitäten erfasst, überwacht und bei Bedarf entsprechende Benachrichtigungen ausgelöst werden. CloudWatch Logs ist eine native Möglichkeit, dies mit AWS-Diensten zu erreichen, schließt aber die Verwendung einer alternativen Lösung nicht aus. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass CloudTrail-Pfade in CloudWatch-Logs eingebunden sind
|
|
Ergebnisbeschreibung: Diese Prüfung ermittelt, ob für Amazon CloudWatch Aktionen definiert sind, wenn ein Alarm zwischen den Status „OK“, „ALARM“ und „INSUFFICIENT_DATA“ wechselt. Das Konfigurieren von Aktionen für den ALARM-Status in Amazon CloudWatch-Alarmen ist sehr wichtig, um eine sofortige Reaktion auszulösen, wenn überwachte Messwerte Schwellenwerte überschreiten. Alarme haben mindestens eine Aktion. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob für CloudWatch-Alarme mindestens eine Alarmaktion, eine INSUFFICIENT_DATA-Aktion oder eine OK-Aktion aktiviert ist.
|
|
Ergebnisbeschreibung: Mit dieser Prüfung wird sichergestellt, dass CloudWatch-Logs mit KMS konfiguriert sind. Loggruppendaten werden in CloudWatch Logs immer verschlüsselt. Standardmäßig verwendet CloudWatch Logs die serverseitige Verschlüsselung für die inaktiven Protokolldaten. Alternativ können Sie AWS Key Management Service für diese Verschlüsselung verwenden. In diesem Fall erfolgt die Verschlüsselung mit einem AWS KMS-Schlüssel. Die Verschlüsselung mit AWS KMS wird auf der Ebene der Protokollgruppe aktiviert, indem Sie einer Protokollgruppe einen KMS-Schlüssel zuordnen. Dies kann entweder beim Erstellen der Protokollgruppe oder danach erfolgen. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob alle Loggruppen in Amazon CloudWatch-Logs mit KMS verschlüsselt sind
|
|
Ergebnisbeschreibung: Mit dieser Kontrollfunktion wird geprüft, ob CloudTrail-Pfade für das Senden von Logs an CloudWatch Logs konfiguriert sind. Die Prüfung schlägt fehl, wenn die Eigenschaft „CloudWatchLogsLogGroupArn“ des Trails leer ist. CloudTrail zeichnet AWS-API-Aufrufe auf, die in einem bestimmten Konto erfolgen. Die aufgezeichneten Informationen umfassen Folgendes:
CloudTrail verwendet Amazon S3 zum Speichern und Bereitstellen von Protokolldateien. Sie können CloudTrail-Logs in einem angegebenen S3-Bucket für die langfristige Analyse erfassen. Für die Echtzeitanalyse können Sie CloudTrail so konfigurieren, dass Logs an CloudWatch Logs gesendet werden. Bei einem Pfad, der in allen Regionen eines Kontos aktiviert ist, sendet CloudTrail Protokolldateien aus allen diesen Regionen an eine CloudWatch Logs-Protokollgruppe. Security Hub empfiehlt, CloudTrail-Logs an CloudWatch Logs zu senden. Diese Empfehlung soll sicherstellen, dass Kontoaktivitäten erfasst, überwacht und bei Bedarf entsprechende Warnungen ausgegeben werden. Mit CloudWatch Logs können Sie dies für Ihre AWS-Dienste einrichten. Diese Empfehlung schließt die Verwendung einer anderen Lösung nicht aus. Wenn Sie CloudTrail-Logs an CloudWatch Logs senden, können Sie Aktivitäten in Echtzeit und in der Vergangenheit protokollieren, basierend auf Nutzer, API, Ressource und IP-Adresse. Mit diesem Ansatz können Sie Alarme und Benachrichtigungen für anomale oder sensible Kontoaktivitäten einrichten. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob alle CloudTrail-Pfade für das Senden von Logs an AWS CloudWatch konfiguriert sind
|
|
Ergebnisbeschreibung: Damit wird geprüft, ob das Projekt die Umgebungsvariablen Die Authentifizierungsdaten Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob alle Projekte, die die Umgebungsvariablen AWS_ACCESS_KEY_ID und AWS_SECRET_ACCESS_KEY enthalten, nicht im Klartext vorliegen
|
|
Ergebnisbeschreibung: Diese Regel prüft, ob die URL des Bitbucket-Quell-Repositorys eines AWS CodeBuild-Projekts persönliche Zugriffstokens oder einen Nutzernamen und ein Passwort enthält. Die Steuerung schlägt fehl, wenn die URL des Bitbucket-Quell-Repositorys persönliche Zugriffstokens oder einen Nutzernamen und ein Passwort enthält. Anmeldedaten dürfen nicht im Klartext gespeichert oder übertragen werden und nicht in der URL des Quell-Repositorys enthalten sein. Anstelle von persönlichen Zugriffstokens oder Anmeldedaten sollten Sie in CodeBuild auf Ihren Quellanbieter zugreifen und die URL Ihres Quell-Repository so ändern, dass sie nur den Pfad zum Bitbucket-Repository-Speicherort enthält. Die Verwendung von persönlichen Zugriffstokens oder Anmeldedaten kann zu unbeabsichtigter Offenlegung von Daten oder unbefugtem Zugriff führen. Preisstufe: Enterprise Compliance standards: Diese Ergebniskategorie ist keinen Compliance-Standardkontrollen zugeordnet. |
Prüfen Sie, ob alle Projekte, die GitHub oder Bitbucket als Quelle nutzen, OAuth verwenden
|
|
Ergebnisbeschreibung: AWS IAM-Nutzer können mit verschiedenen Arten von Anmeldedaten, z. B. Passwörtern oder Zugriffsschlüsseln, auf AWS-Ressourcen zugreifen. Es wird empfohlen, alle Anmeldedaten, die seit mindestens 45 Tagen nicht verwendet wurden, zu deaktivieren oder zu entfernen. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass Anmeldedaten, die seit mindestens 45 Tagen nicht verwendet wurden, deaktiviert werden
|
|
Ergebnisbeschreibung: Eine VPC wird mit einer Standardsicherheitsgruppe erstellt, deren anfängliche Einstellungen den gesamten eingehenden Traffic ablehnen, den gesamten ausgehenden Traffic zulassen und den gesamten Traffic zwischen Instanzen zulassen, die der Sicherheitsgruppe zugewiesen sind. Wenn Sie beim Starten einer Instanz keine Sicherheitsgruppe angeben, wird die Instanz automatisch dieser Standardsicherheitsgruppe zugewiesen. Sicherheitsgruppen bieten eine zustandsbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu AWS-Ressourcen. Es wird empfohlen, dass die Standardsicherheitsgruppe den gesamten Traffic einschränkt. Die Standardsicherheitsgruppe der Standard-VPC in jeder Region sollte aktualisiert werden, um die Anforderungen zu erfüllen. Alle neu erstellten VPCs enthalten automatisch eine Standardsicherheitsgruppe, die korrigiert werden muss, um dieser Empfehlung zu entsprechen. HINWEIS:Bei der Umsetzung dieser Empfehlung ist das VPC-Fluss-Logging von unschätzbarem Wert, um den Portzugriff mit den geringsten Berechtigungen zu ermitteln, der für das ordnungsgemäße Funktionieren der Systeme erforderlich ist. Es kann alle Paketannahmen und -ablehnungen protokollieren, die unter den aktuellen Sicherheitsgruppen auftreten. Dadurch wird die größte Hürde für die Entwicklung nach dem Prinzip der geringsten Berechtigung erheblich reduziert: die Ermittlung der von den Systemen in der Umgebung benötigten Mindestanzahl an Ports. Auch wenn die Empfehlung für VPC-Flusslogs in diesem Benchmark nicht als dauerhafte Sicherheitsmaßnahme übernommen wird, sollte sie während des gesamten Zeitraums der Ermittlung und Entwicklung von Sicherheitsgruppen mit dem Prinzip der geringsten Berechtigung verwendet werden. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass die Standardsicherheitsgruppe jeder VPC den gesamten Traffic einschränkt
|
|
Ergebnisbeschreibung: Prüft, ob AWS DMS-Replikationsinstanzen öffentlich sind. Dazu wird der Wert des Felds Eine private Replikationsinstanz hat eine private IP-Adresse, auf die Sie außerhalb des Replikationsnetzwerks nicht zugreifen können. Eine Replikationsinstanz sollte eine private IP-Adresse haben, wenn sich die Quell- und Zieldatenbanken im selben Netzwerk befinden. Das Netzwerk muss außerdem über ein VPN, AWS Direct Connect oder VPC-Peering mit der VPC der Replikationsinstanz verbunden sein. Weitere Informationen zu öffentlichen und privaten Replikationsinstanzen finden Sie im AWS Database Migration Service-Benutzerhandbuch unter Öffentliche und private Replikationsinstanzen. Außerdem sollten Sie dafür sorgen, dass nur autorisierte Nutzer auf die Konfiguration Ihrer AWS DMS-Instanz zugreifen können. Dazu müssen Sie die IAM-Berechtigungen von Nutzern zum Ändern von AWS DMS-Einstellungen und -Ressourcen einschränken. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob Replikationsinstanzen von AWS Database Migration Service öffentlich sind
|
|
Ergebnisbeschreibung: In der AWS-Konsole sind beim Erstellen eines neuen IAM-Nutzers standardmäßig keine Kästchen ausgewählt. Beim Erstellen der IAM-Nutzeranmeldedaten müssen Sie festlegen, welche Art von Zugriff erforderlich ist. Programmatischer Zugriff: Der IAM-Nutzer muss möglicherweise API-Aufrufe ausführen, die AWS CLI oder die Tools for Windows PowerShell verwenden. Erstellen Sie in diesem Fall einen Zugriffsschlüssel (Zugriffsschlüssel-ID und geheimer Zugriffsschlüssel) für diesen Nutzer. Zugriff auf die AWS Management Console: Wenn der Nutzer auf die AWS Management Console zugreifen muss, erstellen Sie ein Passwort für ihn. Preisstufe: Enterprise Compliance standards:
|
Richten Sie während der anfänglichen Nutzereinrichtung für alle IAM-Nutzer, die ein Console-Passwort haben, keine Zugriffsschlüssel ein
|
|
Ergebnisbeschreibung: Hier wird geprüft, ob eine Amazon DynamoDB-Tabelle ihre Lese- und Schreibkapazität nach Bedarf skalieren kann. Diese Prüfung wird bestanden, wenn für die Tabelle entweder der On-Demand-Kapazitätsmodus oder der bereitgestellte Modus mit konfiguriertem Autoscaling verwendet wird. Wenn Sie die Kapazität an die Nachfrage anpassen, werden Drosselungsausnahmen vermieden. So bleibt die Verfügbarkeit Ihrer Anwendungen erhalten. DynamoDB-Tabellen im On-Demand-Kapazitätsmodus sind nur durch die Standardkontingente für den DynamoDB-Durchsatz begrenzt. Wenn Sie diese Kontingente erhöhen möchten, können Sie über den AWS-Support ein Support-Ticket einreichen. Bei DynamoDB-Tabellen im bereitgestellten Modus mit automatischer Skalierung wird die bereitgestellte Durchsatzkapazität dynamisch an Trafficmuster angepasst. Weitere Informationen zur Drosselung von DynamoDB-Anfragen finden Sie im Amazon DynamoDB-Entwicklerhandbuch unter „Request throttling and burst capacity“ (Anfragedrosselung und Burst-Kapazität). Preisstufe: Enterprise Compliance standards:
|
DynamoDB-Tabellen sollten die Kapazität gemäß Nachfrage automatisch skalieren
|
|
Ergebnisbeschreibung: Mit dieser Regel wird geprüft, ob für eine DynamoDB-Tabelle ein Sicherungsplan vorhanden ist. Die Prüfung schlägt fehl, wenn für eine DynamoDB-Tabelle kein Sicherungsplan vorhanden ist. Bei dieser Regel werden nur DynamoDB-Tabellen im Status „ACTIVE“ ausgewertet. Sicherungen helfen Ihnen, sich schneller von einem Sicherheitsvorfall zu erholen. Außerdem wird die Ausfallsicherheit Ihrer Systeme verbessert. Wenn Sie DynamoDB-Tabellen in einen Sicherungsplan aufnehmen, können Sie Ihre Daten vor unbeabsichtigtem Verlust oder Löschen schützen. Preisstufe: Enterprise Compliance standards:
|
Für DynamoDB-Tabellen sollte es einen Sicherungsplan geben
|
|
Ergebnisbeschreibung: Die Wiederherstellung zu einem bestimmten Zeitpunkt (Point-In-Time Recovery, PITR) ist einer der Mechanismen, die für die Sicherung von DynamoDB-Tabellen zur Verfügung stehen. Eine Point-in-Time-Sicherung wird 35 Tage lang aufbewahrt. Wenn Sie eine längere Aufbewahrungsdauer benötigen, lesen Sie in der AWS-Dokumentation den Abschnitt Geplante Sicherungen für Amazon DynamoDB mit AWS Backup einrichten. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob die Wiederherstellung zu einem bestimmten Zeitpunkt für alle AWS DynamoDB-Tabellen aktiviert ist
|
|
Ergebnisbeschreibung: Prüft, ob alle DynamoDB-Tabellen mit einem vom Kunden verwalteten KMS-Schlüssel (nicht standardmäßig) verschlüsselt sind. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob alle DynamoDB-Tabellen mit AWS Key Management Service (KMS) verschlüsselt sind
|
|
Ergebnisbeschreibung: Prüfen Sie, ob die EBS-Optimierung für Ihre EC2-Instanzen aktiviert ist, die EBS-optimiert werden können Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob die EBS-Optimierung für alle Instanzen aktiviert ist, die diese unterstützen
|
|
Ergebnisbeschreibung: Prüft, ob Amazon Elastic Block Store-Snapshots nicht öffentlich sind. Die Prüfung schlägt fehl, wenn Amazon EBS-Snapshots von jedem wiederhergestellt werden können. EBS-Snapshots werden verwendet, um die Daten auf Ihren EBS-Volumes zu einem bestimmten Zeitpunkt in Amazon S3 zu sichern. Sie können die Snapshots verwenden, um vorherige Zustände von EBS-Volumes wiederherzustellen. Es ist selten akzeptabel, einen Snapshot öffentlich zu teilen. In der Regel wird die Entscheidung, einen Snapshot öffentlich zu teilen, irrtümlich oder ohne vollständiges Verständnis der Auswirkungen getroffen. Diese Prüfung trägt dazu bei, dass alle Freigaben vollständig geplant und beabsichtigt waren. Preisstufe: Enterprise Compliance standards:
|
Amazon EBS-Snapshots sollten nicht öffentlich wiederherstellbar sein
|
|
Ergebnisbeschreibung: Elastic Compute Cloud (EC2) unterstützt die Verschlüsselung ruhender Daten bei Verwendung des Elastic Block Store-Dienstes (EBS). Die Verschlüsselung wird zwar standardmäßig nicht erzwungen, aber es ist möglich, sie beim Erstellen von EBS-Volumes zu erzwingen. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass die EBS-Volume-Verschlüsselung in allen Regionen aktiviert ist
|
|
Ergebnisbeschreibung: Amazon VPC bietet mehr Sicherheitsfunktionen als EC2-Classic. Es wird empfohlen, dass alle Knoten zu einer Amazon VPC gehören. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass alle Instanzen zu einer VPC gehören
|
|
Ergebnisbeschreibung: EC2-Instanzen mit einer öffentlichen IP-Adresse sind einem erhöhten Risiko ausgesetzt, dass sie manipuliert werden. Es wird empfohlen, EC2-Instanzen nicht mit einer öffentlichen IP-Adresse zu konfigurieren. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass keine Instanz eine öffentliche IP-Adresse hat
|
|
Ergebnisbeschreibung: Eine State Manager-Zuordnung ist eine Konfiguration, die Ihren verwalteten Instanzen zugewiesen wird. Die Konfiguration definiert den Zustand, den Sie auf Ihren Instanzen beibehalten möchten. Beispielsweise kann in einer Zuordnung festgelegt werden, dass auf Ihren Instanzen Antivirensoftware installiert und ausgeführt werden muss oder dass bestimmte Ports geschlossen werden müssen. EC2-Instanzen, die mit AWS Systems Manager verknüpft sind, werden von Systems Manager verwaltet. Dadurch ist es einfacher, Patches anzuwenden, Fehlkonfigurationen zu beheben und auf Sicherheitsereignisse zu reagieren. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie den Compliancestatus der AWS Systems Manager-Verknüpfung
|
|
Ergebnisbeschreibung: Mit dieser Regel wird geprüft, ob der Status der AWS Systems Manager-Verknüpfungs-Compliance nach der Ausführung der Verknüpfung auf einer Instance COMPLIANT oder NON_COMPLIANT ist. Die Prüfung schlägt fehl, wenn der Compliancestatus der Zuordnung NON_COMPLIANT ist. Eine State Manager-Zuordnung ist eine Konfiguration, die Ihren verwalteten Instanzen zugewiesen wird. Die Konfiguration definiert den Zustand, den Sie auf Ihren Instanzen beibehalten möchten. Beispielsweise kann in einer Zuordnung festgelegt werden, dass auf Ihren Instanzen Antivirensoftware installiert und ausgeführt werden muss oder dass bestimmte Ports geschlossen werden müssen. Nachdem Sie eine oder mehrere State Manager-Zuordnungen erstellt haben, sind Informationen zum Compliance-Status sofort verfügbar. Sie können den Compliance-Status in der Konsole oder als Antwort auf AWS CLI-Befehle oder entsprechende Systems Manager API-Aktionen ansehen. Bei Zuordnungen wird in „Konfigurationskonformität“ der Konformitätsstatus („Konform“ oder „Nicht konform“) angezeigt. Außerdem wird der Schweregrad angezeigt, der der Verknüpfung zugewiesen ist, z. B. „Kritisch“ oder „Mittel“. Weitere Informationen zur Compliance von State Manager-Verknüpfungen finden Sie im AWS Systems Manager-Benutzerhandbuch im Abschnitt Compliance von State Manager-Verknüpfungen. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie den Status der AWS Systems Manager-Patchcompliance
|
|
Ergebnisbeschreibung: Wenn Nutzer den Metadatendienst auf AWS EC2-Instanzen aktivieren, können sie entweder Instance Metadata Service Version 1 (IMDSv1; eine Anfrage-/Antwortmethode) oder Instance Metadata Service Version 2 (IMDSv2; eine sitzungsorientierte Methode) verwenden. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass der EC2-Metadatendienst nur IMDSv2 zulässt
|
|
Ergebnisbeschreibung: Identifizieren und entfernen Sie nicht angehängte (ungenutzte) EBS-Volumes (Elastic Block Store) in Ihrem AWS-Konto, um die Kosten Ihrer monatlichen AWS-Rechnung zu senken. Durch das Löschen nicht verwendeter EBS-Volumes wird auch das Risiko verringert, dass vertrauliche/sensible Daten Ihr Unternehmen verlassen. Außerdem wird mit dieser Steuerung auch geprüft, ob archivierte EC2-Instanzen so konfiguriert sind, dass Volumes bei der Beendigung gelöscht werden. Standardmäßig sind EC2-Instanzen so konfiguriert, dass die Daten in allen EBS-Volumes, die mit der Instanz verknüpft sind, und das Root-EBS-Volume der Instanz gelöscht werden. Alle Nicht-Root-EBS-Volumes, die beim Start oder während der Ausführung an die Instanz angehängt sind, bleiben jedoch nach der Beendigung standardmäßig erhalten. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob EBS-Volumes an EC2-Instanzen angehängt und zum Löschen bei Instanzbeendigung konfiguriert sind
|
|
Ergebnisbeschreibung: Amazon EFS unterstützt zwei Arten der Verschlüsselung für Dateisysteme: die Verschlüsselung von Daten während der Übertragung und die Verschlüsselung inaktiver Daten. Damit wird geprüft, ob alle EFS-Dateisysteme in allen aktivierten Regionen im Konto mit Verschlüsselung im Ruhezustand konfiguriert sind. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob EFS zum Verschlüsseln von Dateidaten mit KMS konfiguriert ist
|
|
Ergebnisbeschreibung: Amazon empfiehlt, Sicherungen für Ihre Elastic File Systems (EFS) zu konfigurieren. Dabei werden alle EFS in allen aktivierten Regionen in Ihrem AWS-Konto auf aktivierte Sicherungen geprüft. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob EFS-Dateisysteme in AWS-Sicherungsplänen enthalten sind
|
|
Ergebnisbeschreibung: Prüft, ob der Classic Load Balancer HTTPS-/SSL-Zertifikate verwendet, die von AWS Certificate Manager (ACM) bereitgestellt werden. Die Prüfung schlägt fehl, wenn für den mit einem HTTPS-/SSL-Listener konfigurierten Classic Load Balancer kein von ACM bereitgestelltes Zertifikat verwendet wird. Zum Erstellen eines Zertifikats können Sie entweder ACM oder ein Tool verwenden, das die SSL- und TLS-Protokolle unterstützt, z. B. OpenSSL. Security Hub empfiehlt, ACM zum Erstellen oder Importieren von Zertifikaten für Ihren Load Balancer zu verwenden. ACM ist in klassische Load-Balancer integriert, sodass Sie das Zertifikat auf Ihrem Load-Balancer bereitstellen können. Sie sollten diese Zertifikate auch automatisch verlängern. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob alle klassischen Load Balancer SSL-Zertifikate verwenden, die von AWS Certificate Manager bereitgestellt wurden
|
|
Ergebnisbeschreibung: Prüft, ob für einen Application Load Balancer der Löschschutz aktiviert ist. Die Prüfung schlägt fehl, wenn der Löschschutz nicht konfiguriert ist. Aktivieren Sie den Löschschutz, um Ihren Application Load Balancer vor dem Löschen zu schützen. Preisstufe: Enterprise Compliance standards:
|
Der Löschschutz für Application Load Balancer sollte aktiviert sein
|
|
Ergebnisbeschreibung: Damit wird geprüft, ob das Logging für den Application Load Balancer und den Classic Load Balancer aktiviert ist. Die Prüfung schlägt fehl, wenn „access_logs.s3.enabled“ auf „false“ gesetzt ist. Elastic Load Balancing bietet Zugriffsprotokolle, die detaillierte Informationen zu Anfragen enthalten, die an Ihren Load Balancer gesendet werden. Jedes Log enthält Informationen wie den Zeitpunkt des Empfangs der Anfrage, die IP-Adresse des Clients, Latenzen, Anfragepfade und Serverantworten. Sie können diese Zugriffsprotokolle verwenden, um Verkehrsmuster zu analysieren und Probleme zu beheben. Weitere Informationen finden Sie im Nutzerhandbuch für Classic Load Balancers unter Zugriffsprotokolle für Classic Load Balancer. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob Logging für klassische und Application Load Balancer aktiviert ist
|
|
Ergebnisbeschreibung: Mit dieser Prüfung wird sichergestellt, dass alle Classic Load Balancer für die Verwendung einer sicheren Kommunikation konfiguriert sind. Ein Listener ist ein Prozess, der nach Verbindungsanfragen sucht. Es wird mit einem Protokoll und einem Port für Frontend-Verbindungen (Client zum Load Balancer) sowie einem Protokoll und einem Port für Backend-Verbindungen (Load Balancer zur Instanz) konfiguriert. Informationen zu den von Elastic Load Balancing unterstützten Ports, Protokollen und Listener-Konfigurationen finden Sie unter Listeners for your Classic Load Balancer. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob SSL- oder HTTPS-Listener für alle klassischen Load Balancer konfiguriert sind
|
|
Ergebnisbeschreibung: Prüft, ob die EBS-Volumes, die angehängt sind, verschlüsselt sind. Damit diese Prüfung bestanden wird, müssen EBS-Volumes verwendet und verschlüsselt werden. Wenn das EBS-Volume nicht angehängt ist, unterliegt es dieser Prüfung nicht. Um die Sicherheit Ihrer sensiblen Daten in EBS-Volumes zu erhöhen, sollten Sie die EBS-Verschlüsselung ruhender Daten aktivieren. Die Amazon EBS-Verschlüsselung bietet eine unkomplizierte Verschlüsselungslösung für Ihre EBS-Ressourcen, für die Sie keine eigene Infrastruktur für die Schlüsselverwaltung erstellen, warten und sichern müssen. Dabei werden KMS-Schlüssel zum Erstellen verschlüsselter Volumes und Snapshots verwendet. Weitere Informationen zur Amazon EBS-Verschlüsselung finden Sie im Amazon EC2-Nutzerhandbuch für Linux-Instanzen unter „Amazon EBS-Verschlüsselung“. Preisstufe: Enterprise Compliance standards:
|
Ruhende Daten von angehängten Amazon EBS-Volumes sollten verschlüsselt sein
|
|
Ergebnisbeschreibung: Für verschlüsselte Amazon RDS-DB-Instanzen wird der AES-256-Verschlüsselungsalgorithmus verwendet, um Ihre Daten auf dem Server zu verschlüsseln, auf dem Ihre Amazon RDS-DB-Instanzen gehostet werden. Nachdem Ihre Daten verschlüsselt wurden, übernimmt Amazon RDS die Authentifizierung des Zugriffs und die Entschlüsselung Ihrer Daten transparent und mit minimalen Auswirkungen auf die Leistung. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass die Verschlüsselung ruhender Daten für RDS-Instanzen aktiviert ist
|
|
Ergebnisbeschreibung: EFS-Daten sollten mit AWS KMS (Key Management Service) verschlüsselt werden. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass die Verschlüsselung für EFS-Dateisysteme aktiviert ist
|
|
Ergebnisbeschreibung: AWS ermöglicht benutzerdefinierte Passwortrichtlinien für Ihr AWS-Konto, um Komplexitätsanforderungen und obligatorische Rotationszeiträume für die Passwörter Ihrer IAM-Nutzer festzulegen. Wenn Sie keine benutzerdefinierte Passwortrichtlinie festlegen, müssen IAM-Nutzerpasswörter der standardmäßigen AWS-Passwortrichtlinie entsprechen. Die AWS-Best Practices für die Sicherheit empfehlen die folgenden Anforderungen an die Komplexität von Passwörtern:
Mit dieser Steuerung werden alle angegebenen Anforderungen an die Passwortrichtlinie geprüft. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob die Richtlinie für Kontopasswörter für IAM-Nutzer den angegebenen Anforderungen entspricht
|
|
Ergebnisbeschreibung: IAM-Passwortrichtlinien können die Wiederverwendung eines bestimmten Passworts durch denselben Nutzer verhindern. Es wird empfohlen, dass die Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert
|
|
Ergebnisbeschreibung: Passwortrichtlinien werden unter anderem verwendet, um Anforderungen an die Komplexität von Passwörtern zu erzwingen. Mit IAM-Passwortrichtlinien kann sichergestellt werden, dass Passwörter mindestens eine bestimmte Länge haben. Es wird empfohlen, dass die Passwortrichtlinie eine Mindestlänge von 14 Zeichen für Passwörter vorschreibt. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass die IAM-Passwortrichtlinie eine Mindestlänge von 14 Zeichen verlangt
|
|
Ergebnisbeschreibung: IAM-Richtlinien sind das Mittel, mit dem Nutzern, Gruppen oder Rollen Berechtigungen gewährt werden. Es wird empfohlen und als Standard-Sicherheitshinweis betrachtet, die geringste Berechtigung zu gewähren, d. h. nur die Berechtigungen, die zum Ausführen einer Aufgabe erforderlich sind. Legen Sie fest, was Nutzer tun müssen, und erstellen Sie dann Richtlinien für sie, mit denen sie nur diese Aufgaben ausführen können, anstatt vollständige Administratorberechtigungen zu erhalten. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass keine IAM-Richtlinien angehängt sind, die uneingeschränkte „*:*“-Administratorberechtigungen gewähren
|
|
Ergebnisbeschreibung: IAM-Nutzer erhalten über IAM-Richtlinien Zugriff auf Dienste, Funktionen und Daten. Es gibt vier Möglichkeiten, Richtlinien für einen Nutzer zu definieren: 1) Bearbeiten Sie die Nutzerrichtlinie direkt, d. h. eine Inline- oder Nutzerrichtlinie. 2) Hängen Sie eine Richtlinie direkt an einen Nutzer an. 3) Fügen Sie den Nutzer einer IAM-Gruppe hinzu, an die eine Richtlinie angehängt ist. 4) Fügen Sie den Nutzer einer IAM-Gruppe hinzu, die eine Inline-Richtlinie hat. Nur die dritte Implementierung wird empfohlen. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass IAM-Nutzer Berechtigungen nur über Gruppen erhalten
|
|
Ergebnisbeschreibung: IAM-Nutzer sollten immer Teil einer IAM-Gruppe sein, um die IAM-Sicherheits-Best Practices einzuhalten. Wenn Sie Nutzer einer Gruppe hinzufügen, können Sie Richtlinien für verschiedene Nutzertypen freigeben. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob IAM-Nutzer Mitglieder von mindestens einer IAM-Gruppe sind
|
|
Ergebnisbeschreibung: Die Multi-Faktor-Authentifizierung (MFA) ist eine Best Practice, die zusätzlich zu Nutzernamen und Passwörtern eine zusätzliche Sicherheitsebene bietet. Wenn sich ein Nutzer mit MFA in der AWS Management Console anmeldet, muss er einen zeitkritischen Authentifizierungscode angeben, der von einem registrierten virtuellen oder physischen Gerät bereitgestellt wird. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob für AWS IAM-Nutzer die Multi-Faktor-Authentifizierung (MFA) aktiviert ist
|
|
Ergebnisbeschreibung: Es wird geprüft, ob IAM-Passwörter oder aktive Zugriffsschlüssel in den letzten 90 Tagen nicht verwendet wurden. Als Best Practice wird empfohlen, alle Anmeldedaten zu entfernen, zu deaktivieren oder zu rotieren, die seit 90 Tagen oder länger nicht verwendet wurden. Dadurch wird das Zeitfenster verkleinert, in dem Anmeldedaten, die mit einem manipulierten oder aufgegebenen Konto verknüpft sind, verwendet werden können. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob alle AWS IAM-Nutzer Passwörter oder aktive Zugriffsschlüssel haben, die in der unter „maxCredentialUsageAge“ angegebenen Anzahl von Tagen nicht verwendet wurden (Standardeinstellung: 90)
|
|
Ergebnisbeschreibung: Mit dieser Steuerung wird geprüft, ob KMS-Schlüssel zum Löschen geplant sind. Die Prüfung schlägt fehl, wenn ein KMS-Schlüssel zum Löschen geplant ist. KMS-Schlüssel können nach dem Löschen nicht wiederhergestellt werden. Daten, die mit einem KMS-Schlüssel verschlüsselt wurden, können auch dann nicht mehr wiederhergestellt werden, wenn der KMS-Schlüssel gelöscht wird. Wenn wichtige Daten mit einem KMS-Schlüssel verschlüsselt wurden, der zum Löschen vorgesehen ist, sollten Sie die Daten entschlüsseln oder mit einem neuen KMS-Schlüssel neu verschlüsseln, sofern Sie nicht absichtlich eine kryptografische Löschung durchführen. Wenn ein KMS-Schlüssel zum Löschen geplant ist, wird eine obligatorische Wartezeit erzwungen, damit das Löschen rückgängig gemacht werden kann, falls es fälschlicherweise geplant wurde. Die Standardwartezeit beträgt 30 Tage, kann aber auf 7 Tage verkürzt werden, wenn der KMS-Schlüssel zum Löschen vorgesehen ist. Während der Wartezeit kann das geplante Löschen abgebrochen werden und der KMS-Schlüssel wird nicht gelöscht. Weitere Informationen zum Löschen von KMS-Schlüsseln finden Sie im AWS Key Management Service Developer Guide unter KMS-Schlüssel löschen. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie alle CMKs darauf, dass sie nicht zum Löschen geplant sind
|
|
Ergebnisbeschreibung: Prüft, ob für die Lambda-Funktion ein Limit für die gleichzeitige Ausführung auf Funktionsebene konfiguriert ist. Die Regel ist NON_COMPLIANT, wenn für die Lambda-Funktion kein Limit für die gleichzeitige Ausführung auf Funktionsebene konfiguriert ist. Preisstufe: Enterprise Compliance standards: Diese Ergebniskategorie ist keinen Compliance-Standardkontrollen zugeordnet. |
Prüfen Sie, ob für Lambda-Funktionen das Limit für die gleichzeitige Ausführung auf Funktionsebene konfiguriert ist
|
|
Ergebnisbeschreibung: Prüft, ob eine Lambda-Funktion mit einer Dead-Letter-Warteschlange konfiguriert ist. Die Regel ist NON_COMPLIANT, wenn die Lambda-Funktion nicht mit einer Dead-Letter-Warteschlange konfiguriert ist. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob Lambda-Funktionen mit einer Dead-Letter-Warteschlange konfiguriert sind
|
|
Ergebnisbeschreibung: Gemäß den Best Practices von AWS sollten Lambda-Funktionen nicht öffentlich zugänglich sein. Mit dieser Richtlinie werden alle Lambda-Funktionen geprüft, die in allen aktivierten Regionen in Ihrem Konto bereitgestellt werden. Die Prüfung schlägt fehl, wenn sie so konfiguriert sind, dass öffentlicher Zugriff möglich ist. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob die an die Lambda-Funktion angehängte Richtlinie den öffentlichen Zugriff verhindert
|
|
Ergebnisbeschreibung: Prüft, ob sich eine Lambda-Funktion in einer VPC befindet. Möglicherweise werden fehlgeschlagene Ergebnisse für Lambda@Edge-Ressourcen angezeigt. Die VPC-Subnetz-Routingkonfiguration wird nicht ausgewertet, um die öffentliche Erreichbarkeit zu ermitteln. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob Lambda-Funktionen in einer VPC vorhanden sind
|
|
Ergebnisbeschreibung: Wenn MFA-Löschungen für Ihren vertraulichen und klassifizierten S3-Bucket aktiviert sind, benötigt der Nutzer zwei Authentifizierungsmethoden. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass MFA-Löschungen für S3-Buckets aktiviert sind
|
|
Ergebnisbeschreibung: Das Root-Nutzerkonto ist der Nutzer mit den meisten Berechtigungen in einem AWS-Konto. Die Multi-Faktor-Authentifizierung (MFA) bietet neben einem Nutzernamen und einem Passwort eine zusätzliche Sicherheitsebene. Wenn die MFA aktiviert ist, werden Nutzer bei der Anmeldung auf einer AWS-Website aufgefordert, ihren Nutzernamen und ihr Passwort sowie einen Authentifizierungscode von ihrem AWS MFA-Gerät einzugeben. Hinweis:Wenn die virtuelle MFA für „Root“-Konten verwendet wird, sollte das verwendete Gerät KEIN privates Gerät sein, sondern ein dediziertes Mobilgerät (Tablet oder Smartphone), das unabhängig von persönlichen Geräten aufgeladen und gesichert wird. („nicht persönliche virtuelle MFA“) Dadurch wird das Risiko verringert, dass der Zugriff auf die MFA aufgrund von Geräteverlust, Geräteinzahlungnahme oder wenn die Person, die das Gerät besitzt, nicht mehr im Unternehmen beschäftigt ist, verloren geht. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass MFA für das Root-Nutzerkonto aktiviert ist
|
|
Ergebnisbeschreibung: Die Multi-Faktor-Authentifizierung (MFA) bietet eine zusätzliche Authentifizierungsebene, die über herkömmliche Anmeldedaten hinausgeht. Wenn die MFA aktiviert ist, werden Nutzer bei der Anmeldung in der AWS Console nach ihrem Nutzernamen und Passwort sowie nach einem Authentifizierungscode von ihrem physischen oder virtuellen MFA-Token gefragt. Es wird empfohlen, die MFA für alle Konten zu aktivieren, die ein Console-Passwort haben. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass die Multi-Faktor-Authentifizierung (MFA) für alle IAM-Nutzer aktiviert ist, die ein Console-Passwort haben
|
|
Ergebnisbeschreibung: Die Funktion „Network Access Control List“ (NACL) bietet zustandslose Filterung des ein- und ausgehenden Netzwerk-Traffics zu AWS-Ressourcen. Es wird empfohlen, dass keine NACL uneingeschränkten eingehenden Zugriff auf Remote-Server-Verwaltungsports wie SSH auf Port Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass keine Netzwerk-ACLs eingehenden Traffic von 0.0.0.0/0 an Remote-Serververwaltungsports zulassen
|
|
Ergebnisbeschreibung: Das Root-Nutzerkonto ist der Nutzer mit den meisten Berechtigungen in einem AWS-Konto. AWS-Zugriffsschlüssel ermöglichen den programmgesteuerten Zugriff auf ein bestimmtes AWS-Konto. Es wird empfohlen, alle Zugriffsschlüssel zu löschen, die mit dem Root-Nutzerkonto verknüpft sind. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass kein Zugriffsschlüssel für das Root-Nutzerkonto vorhanden ist
|
|
Ergebnisbeschreibung: Sicherheitsgruppen bieten eine zustandsbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu AWS-Ressourcen. Es wird empfohlen, dass keine Sicherheitsgruppe uneingeschränkten eingehenden Zugriff auf Remote-Serververwaltungsports wie SSH auf Port Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass keine Sicherheitsgruppen eingehenden Traffic von 0.0.0.0/0 an Remote-Serververwaltungsports zulassen
|
|
Ergebnisbeschreibung: Sicherheitsgruppen bieten eine zustandsbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu AWS-Ressourcen. Es wird empfohlen, dass keine Sicherheitsgruppe uneingeschränkten eingehenden Zugriff auf Remote-Serververwaltungsports zulässt, z. B. SSH auf Port Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass keine Sicherheitsgruppen eingehenden Traffic von ::/0 an Remote-Serververwaltungsports zulassen
|
|
Ergebnisbeschreibung: Zugriffsschlüssel sind langfristige Anmeldedaten für einen IAM-Nutzer oder den AWS-Konto-Root-Nutzer. Sie können Zugriffsschlüssel verwenden, um programmatische Anfragen an die AWS CLI oder AWS API (direkt oder über das AWS SDK) zu signieren. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass pro IAM-Nutzer nur ein aktiver Zugriffsschlüssel verfügbar ist
|
|
Ergebnisbeschreibung: Stellen Sie sicher und überprüfen Sie, dass für RDS-Datenbankinstanzen, die in Ihrem AWS-Konto bereitgestellt werden, unbefugter Zugriff eingeschränkt wird, um Sicherheitsrisiken zu minimieren. Wenn Sie den Zugriff auf eine öffentlich zugängliche RDS-Datenbankinstanz einschränken möchten, müssen Sie das Flag „Publicly Accessible“ (Öffentlich zugänglich) der Datenbank deaktivieren und die der Instanz zugeordnete VPC-Sicherheitsgruppe aktualisieren. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass RDS-Instanzen keine öffentliche Zugriffsberechtigung gewährt wird
|
|
Ergebnisbeschreibung: Das erweiterte Monitoring bietet Echtzeitmesswerte zum Betriebssystem, auf dem die RDS-Instanz ausgeführt wird. Dazu wird ein Agent auf der Instanz installiert. Weitere Informationen finden Sie unter Betriebssystemmesswerte mit dem erweiterten Monitoring überwachen. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob erweitertes Monitoring für alle RDS-Datenbankinstanzen aktiviert ist
|
|
Ergebnisbeschreibung: Durch Aktivieren des Instanzlöschschutzes wird eine zusätzliche Schutzebene gegen versehentliches Löschen von Datenbanken oder Löschen durch eine nicht autorisierte Einheit geschaffen. Wenn der Löschschutz aktiviert ist, kann eine RDS-DB-Instanz nicht gelöscht werden. Bevor eine Löschanfrage erfolgreich sein kann, muss der Löschschutz deaktiviert werden. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob für alle RDS-Instanzen der Löschschutz aktiviert ist
|
|
Ergebnisbeschreibung: Bei dieser Prüfung wird bewertet, ob für Amazon RDS-Datenbankinstanzen ein Sicherungsplan vorhanden ist. Diese Prüfung schlägt fehl, wenn für eine RDS-Datenbankinstanz kein Sicherungsplan vorhanden ist. AWS Backup ist ein vollständig verwalteter Sicherungsdienst, der die Sicherung von Daten in AWS-Diensten zentralisiert und automatisiert. Mit AWS Backup können Sie Sicherungsrichtlinien erstellen, die als Sicherungspläne bezeichnet werden. Mit diesen Plänen können Sie Ihre Sicherungsanforderungen definieren, z. B. wie oft Ihre Daten gesichert werden sollen und wie lange diese Sicherungen aufbewahrt werden sollen. Wenn Sie RDS-Datenbankinstanzen in einen Sicherungsplan aufnehmen, können Sie Ihre Daten vor unbeabsichtigtem Verlust oder Löschen schützen. Preisstufe: Enterprise Compliance standards:
|
Für die RDS-Datenbankinstanzen sollte es einen Sicherungsplan geben
|
|
Ergebnisbeschreibung: Damit wird geprüft, ob die folgenden Logs von Amazon RDS aktiviert und an CloudWatch gesendet werden. Für RDS-Datenbanken sollten relevante Logs aktiviert sein. Die Datenbankprotokollierung bietet detaillierte Aufzeichnungen von Anfragen, die an RDS gesendet wurden. Datenbanklogs können bei Sicherheits- und Zugriffsprüfungen helfen und zur Diagnose von Verfügbarkeitsproblemen beitragen. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob exportierte Logs für alle RDS-Datenbankinstanzen aktiviert sind
|
|
Ergebnisbeschreibung: RDS-Datenbankinstanzen sollten für mehrere Verfügbarkeitszonen konfiguriert werden. So wird die Verfügbarkeit der gespeicherten Daten sichergestellt. Multi-AZ-Bereitstellungen ermöglichen einen automatischen Failover, wenn es ein Problem mit der Verfügbarkeit der Verfügbarkeitszone gibt und während der regulären RDS-Wartung. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob die Hochverfügbarkeit für alle RDS-Datenbankinstanzen aktiviert ist
|
|
Ergebnisbeschreibung: Es wird nach wichtigen Elementen eines Redshift-Clusters gesucht: Verschlüsselung ruhender Daten, Logging und Knotentyp. Diese Konfigurationselemente sind wichtig für die Wartung eines sicheren und beobachtbaren Redshift-Clusters. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob für alle Redshift-Cluster die Verschlüsselung ruhender Daten, das Logging und der Knotentyp konfiguriert sind.
|
|
Ergebnisbeschreibung: Automatische Upgrades der Hauptversion erfolgen gemäß dem Wartungsfenster. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob für alle Redshift-Cluster „allowVersionUpgrade“ aktiviert ist und Werte für „preferredMaintenanceWindow“ sowie „automatedSnapshotRetentionPeriod“ festgelegt sind
|
|
Ergebnisbeschreibung: Das Attribut „PubliclyAccessible“ der Amazon Redshift-Clusterkonfiguration gibt an, ob der Cluster öffentlich zugänglich ist. Wenn der Cluster mit „PubliclyAccessible“ auf „true“ konfiguriert ist, handelt es sich um eine öffentlich zugängliche Instanz mit einem öffentlich auflösbaren DNS-Namen, der in eine öffentliche IP-Adresse aufgelöst wird. Wenn der Cluster nicht öffentlich zugänglich ist, handelt es sich um eine interne Instanz mit einem DNS-Namen, der in eine private IP-Adresse aufgelöst wird. Sofern Sie nicht beabsichtigen, dass Ihr Cluster öffentlich zugänglich ist, sollte er nicht mit „PubliclyAccessible“ auf „true“ konfiguriert werden. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob Redshift-Cluster öffentlich zugänglich sind
|
|
Ergebnisbeschreibung: Damit wird geprüft, ob uneingeschränkter eingehender Traffic für die Sicherheitsgruppen auf die angegebenen Ports mit dem höchsten Risiko zugreifen kann. Diese Prüfung schlägt fehl, wenn eine der Regeln in einer Sicherheitsgruppe eingehenden Traffic von „0.0.0.0/0“ oder „::/0“ für diese Ports zulässt. Uneingeschränkter Zugriff (0.0.0.0/0) erhöht die Wahrscheinlichkeit böswilliger Aktivitäten wie Hacking, Denial-of-Service-Angriffe und Datenverlust. Sicherheitsgruppen bieten eine zustandsbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu AWS-Ressourcen. Keine Sicherheitsgruppe sollte uneingeschränkten eingehenden Zugriff auf die folgenden Ports zulassen:
Preisstufe: Enterprise Compliance standards:
|
Sicherheitsgruppen sollten keinen uneingeschränkten Zugriff auf Ports mit hohem Risiko zulassen
|
|
Ergebnisbeschreibung: Sicherheitsgruppen bieten eine zustandsbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu AWS-Ressourcen. Das CIS empfiehlt, dass keine Sicherheitsgruppe uneingeschränkten eingehenden Zugriff auf Port 22 zulässt. Wenn Sie die uneingeschränkte Verbindung zu Remote-Konsolendiensten wie SSH entfernen, verringern Sie das Risiko für einen Server. Preisstufe: Enterprise Compliance standards:
|
Sicherheitsgruppen sollten keinen eingehenden Traffic von 0.0.0.0/0 an Port 22 zulassen
|
|
Ergebnisbeschreibung: Prüft, ob die automatische Schlüsselrotation für jeden Schlüssel aktiviert ist und mit der Schlüssel-ID des vom Kunden erstellten AWS KMS-Schlüssels übereinstimmt. Die Regel ist NON_COMPLIANT, wenn die AWS Config-Recorder-Rolle für eine Ressource nicht die Berechtigung „kms:DescribeKey“ hat. Preisstufe: Enterprise Compliance standards: Diese Ergebniskategorie ist keinen Compliance-Standardkontrollen zugeordnet. |
Achten Sie darauf, dass die Rotation für vom Kunden erstellte CMKs aktiviert ist
|
|
Ergebnisbeschreibung: Mit dem AWS Key Management Service (KMS) können Kunden den zugrunde liegenden Schlüssel rotieren, der das im KMS gespeicherte Schlüsselmaterial ist, das mit der Schlüssel-ID des vom Kunden erstellten Kundenmasterschlüssels (CMK) verknüpft ist. Er wird für kryptografische Vorgänge wie Ver- und Entschlüsselung verwendet. Bei der automatisierten Schlüsselrotation werden derzeit alle vorherigen Sicherungsschlüssel beibehalten, sodass die Entschlüsselung verschlüsselter Daten transparent erfolgen kann. Es wird empfohlen, die CMK-Schlüsselrotation für symmetrische Schlüssel zu aktivieren. Die Schlüsselrotation kann für keinen asymmetrischen CMK aktiviert werden. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass die Rotation für vom Kunden erstellte symmetrische CMKs aktiviert ist
|
|
Ergebnisbeschreibung: Prüft, ob Routentabellen für VPC-Peering nach dem Prinzip der geringsten Berechtigung konfiguriert sind. Preisstufe: Enterprise Compliance standards: Diese Ergebniskategorie ist keinen Compliance-Standardkontrollen zugeordnet. |
Achten Sie darauf, dass Routingtabellen für VPC-Peering den geringsten Zugriff gewähren
|
|
Ergebnisbeschreibung: Amazon S3 Block Public Access bietet Einstellungen für Zugriffspunkte, Buckets und Konten, mit denen Sie den öffentlichen Zugriff auf Amazon S3-Ressourcen verwalten können. Standardmäßig ist für neue Buckets, Zugriffspunkte und Objekte kein öffentlicher Zugriff zulässig. Preisstufe: Enterprise Compliance standards: Diese Ergebniskategorie ist keinen Compliance-Standardkontrollen zugeordnet. |
Prüfen Sie, ob die erforderlichen S3-Einstellungen zum Blockieren des öffentlichen Zugriffs auf Kontoebene konfiguriert sind
|
|
Ergebnisbeschreibung: Amazon S3 bietet Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass S3-Buckets mit
|
|
Ergebnisbeschreibung: Die S3-Bucket-Zugriffsprotokollierung generiert ein Log mit Zugriffsdatensätzen für jede Anfrage, die an Ihren S3-Bucket gesendet wird. Ein Zugriffslog-Eintrag enthält Details zur Anfrage, z. B. den Anfragetyp, die in der Anfrage angegebenen Ressourcen und das Datum und die Uhrzeit, zu der die Anfrage verarbeitet wurde. Es wird empfohlen, das Bucket-Zugriffs-Logging für den CloudTrail S3-Bucket zu aktivieren. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass das S3-Bucket-Zugriffs-Logging im CloudTrail S3-Bucket aktiviert ist
|
|
Ergebnisbeschreibung: Mit der AWS S3-Server-Zugriffslogging-Funktion werden Zugriffsanfragen an Speicher-Buckets aufgezeichnet, was für Sicherheitsprüfungen nützlich ist. Standardmäßig ist das Serverzugriffs-Logging für S3-Buckets nicht aktiviert. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob Logging für alle S3-Buckets aktiviert ist
|
|
Ergebnisbeschreibung: Auf Amazon S3-Bucket-Ebene können Sie Berechtigungen über eine Bucket-Richtlinie konfigurieren, sodass die Objekte nur über HTTPS zugänglich sind. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass die S3-Bucket-Richtlinie auf Ablehnen von HTTP-Anfragen festgelegt ist
|
|
Ergebnisbeschreibung: Mit dieser Regel wird geprüft, ob für einen Amazon S3-Bucket die regionsübergreifende Replikation aktiviert ist. Die Prüfung schlägt fehl, wenn für den Bucket keine regionsübergreifende Replikation aktiviert ist oder wenn auch die Replikation in derselben Region aktiviert ist. Die Replikation ist das automatische, asynchrone Kopieren von Objekten zwischen Buckets in derselben oder in verschiedenen AWS-Regionen. Bei der Replikation werden neu erstellte Objekte und Objektaktualisierungen aus einem Quell-Bucket in einen oder mehrere Ziel-Buckets kopiert. Gemäß den Best Practices von AWS wird die Replikation für Quell- und Ziel-Buckets empfohlen, die demselben AWS-Konto gehören. Neben der Verfügbarkeit sollten Sie auch andere Einstellungen zur Härtung von Systemen in Betracht ziehen. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob die regionsübergreifende Replikation für S3-Buckets aktiviert ist
|
|
Ergebnisbeschreibung: Damit wird geprüft, ob für Ihren S3-Bucket die Amazon S3-Standardverschlüsselung aktiviert ist oder ob die S3-Bucket-Richtlinie PUT-Objektanfragen ohne serverseitige Verschlüsselung explizit ablehnt. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass alle S3-Buckets die Verschlüsselung ruhender Daten verwenden
|
|
Ergebnisbeschreibung: Mit Amazon S3 können Sie mehrere Varianten eines Objekts im selben Bucket speichern und so leichter Daten wiederherstellen, wenn Nutzeraktionen oder Anwendungsfehler auftreten. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob die Versionsverwaltung für alle S3-Buckets aktiviert ist
|
|
Ergebnisbeschreibung: Prüft, ob die Amazon S3-Buckets mit AWS Key Management Service (AWS KMS) verschlüsselt sind Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob alle Buckets mit KMS verschlüsselt sind
|
|
Ergebnisbeschreibung: Prüft, ob ein AWS Key Management Service-Schlüssel (AWS KMS) für eine Amazon SageMaker-Notebook-Instanz konfiguriert ist. Die Regel ist NON_COMPLIANT, wenn „KmsKeyId“ für die SageMaker-Notebookinstanz nicht angegeben ist. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob für alle SageMaker-Notebookinstanzen die Verwendung von KMS konfiguriert ist
|
|
Ergebnisbeschreibung: Prüft, ob der direkte Internetzugriff für eine SageMaker-Notebookinstanz deaktiviert ist. Dazu wird geprüft, ob das Feld „DirectInternetAccess“ für die Notebook-Instanz deaktiviert ist. Wenn Sie Ihre SageMaker-Instanz ohne VPC konfigurieren, ist standardmäßig der direkte Internetzugriff auf Ihre Instanz aktiviert. Sie sollten Ihre Instanz mit einer VPC konfigurieren und die Standardeinstellung in „Deaktivieren – Über eine VPC auf das Internet zugreifen“ ändern. Wenn Sie Modelle über ein Notebook trainieren oder hosten möchten, benötigen Sie eine Internetverbindung. Damit Internetzugriff möglich ist, muss Ihre VPC ein NAT-Gateway haben und Ihre Sicherheitsgruppe ausgehende Verbindungen zulassen. Weitere Informationen zum Verbinden einer Notebook-Instanz mit Ressourcen in einer VPC finden Sie im Amazon SageMaker Developer Guide unter „Connect a notebook instance to resources in a VPC“. Außerdem sollten Sie dafür sorgen, dass nur autorisierte Nutzer Zugriff auf Ihre SageMaker-Konfiguration haben. Beschränken Sie die IAM-Berechtigungen von Nutzern zum Ändern von SageMaker-Einstellungen und -Ressourcen. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob der direkte Internetzugriff für alle Amazon SageMaker-Notebookinstanzen deaktiviert ist
|
|
Ergebnisbeschreibung: Prüft, ob für ein in AWS Secrets Manager gespeichertes Secret die automatische Rotation konfiguriert ist. Die Prüfung schlägt fehl, wenn für das Secret keine automatische Rotation konfiguriert ist. Wenn Sie einen benutzerdefinierten Wert für den Parameter Mit Secrets Manager können Sie den Sicherheitsstatus Ihrer Organisation verbessern. Secrets umfassen Datenbankanmeldedaten, Passwörter und API-Schlüssel von Drittanbietern. Mit Secrets Manager können Sie Secrets zentral speichern, automatisch verschlüsseln, den Zugriff auf Secrets steuern und Secrets sicher und automatisch rotieren. Secrets Manager kann Secrets rotieren. Durch die Rotation können Sie langfristige Secrets durch kurzfristige ersetzen. Durch das Rotieren von Secrets wird die Zeit begrenzt, in der ein nicht autorisierter Nutzer ein kompromittiertes Secret verwenden kann. Aus diesem Grund sollten Sie Ihre Secrets regelmäßig rotieren. Weitere Informationen zur Rotation finden Sie im AWS Secrets Manager-Nutzerhandbuch unter „Rotating your AWS Secrets Manager secrets“. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob für alle AWS Secrets Manager-Secrets die Rotation aktiviert ist
|
|
Ergebnisbeschreibung: Prüft, ob ein SNS-Thema im Ruhezustand mit AWS KMS verschlüsselt ist. Die Prüfung schlägt fehl, wenn für ein SNS-Thema kein KMS-Schlüssel für die serverseitige Verschlüsselung (SSE) verwendet wird. Durch die Verschlüsselung inaktiver Daten wird das Risiko verringert, dass ein nicht bei AWS authentifizierter Nutzer auf auf der Festplatte gespeicherte Daten zugreift. Außerdem werden zusätzliche Zugriffskontrollen eingeführt, um den Zugriff unbefugter Nutzer auf die Daten einzuschränken. Für das Entschlüsseln der Daten vor dem Lesen sind beispielsweise API-Berechtigungen erforderlich. SNS-Themen sollten für eine zusätzliche Sicherheitsebene im Ruhezustand verschlüsselt werden. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob alle SNS-Themen mit KMS verschlüsselt sind
|
|
Ergebnisbeschreibung: Mit dieser Steuerung wird geprüft, ob die Standardsicherheitsgruppe einer VPC eingehenden oder ausgehenden Traffic zulässt. Die Prüfung schlägt fehl, wenn die Sicherheitsgruppe eingehenden oder ausgehenden Traffic zulässt. Die Regeln für die Standardsicherheitsgruppe lassen den gesamten ausgehenden und eingehenden Traffic von Netzwerkschnittstellen (und den zugehörigen Instanzen) zu, die derselben Sicherheitsgruppe zugewiesen sind. Wir empfehlen, die Standardsicherheitsgruppe nicht zu verwenden. Da die Standardsicherheitsgruppe nicht gelöscht werden kann, sollten Sie die Einstellung für die Standardregeln der Sicherheitsgruppe ändern, um eingehenden und ausgehenden Traffic einzuschränken. Dadurch wird unerwünschter Traffic verhindert, wenn die Standardsicherheitsgruppe versehentlich für Ressourcen wie EC2-Instanzen konfiguriert wird. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass die Standardsicherheitsgruppe jeder VPC den gesamten Traffic einschränkt
|
|
Ergebnisbeschreibung: VPC-Flusslogs sind eine Funktion, mit der Sie Informationen über den IP-Traffic erfassen können, der in Ihrer VPC an Netzwerkschnittstellen ein- oder ausgeht. Nachdem Sie ein Flow-Log erstellt haben, können Sie seine Daten in Amazon CloudWatch Logs ansehen und abrufen. Es wird empfohlen, VPC-Flusslogs für Paketablehnungen für VPCs zu aktivieren. Preisstufe: Enterprise Compliance standards:
|
Achten Sie darauf, dass VPC-Fluss-Logging in allen VPCs aktiviert ist
|
|
Ergebnisbeschreibung: Mit dieser Kontrolle wird geprüft, ob eine Amazon EC2-Sicherheitsgruppe uneingeschränkten eingehenden Traffic von nicht autorisierten Ports zulässt. Der Kontrollstatus wird so bestimmt: Wenn Sie den Standardwert für „authorizedTcpPorts“ verwenden, schlägt die Prüfung fehl, wenn die Sicherheitsgruppe uneingeschränkten eingehenden Traffic von einem anderen Port als Port 80 und Port 443 zulässt. Wenn Sie benutzerdefinierte Werte für „authorizedTcpPorts“ oder „authorizedUdpPorts“ angeben, schlägt die Steuerung fehl, wenn die Sicherheitsgruppe uneingeschränkten eingehenden Traffic von einem nicht aufgeführten Port zulässt. Wenn kein Parameter verwendet wird, schlägt die Prüfung für jede Sicherheitsgruppe fehl, die eine Regel für uneingeschränkten eingehenden Traffic hat. Sicherheitsgruppen bieten eine zustandsbehaftete Filterung des ein- und ausgehenden Netzwerkverkehrs zu AWS. Regeln für Sicherheitsgruppen sollten dem Prinzip der geringsten Berechtigung folgen. Uneingeschränkter Zugriff (IP-Adresse mit dem Suffix „/0“) erhöht das Risiko böswilliger Aktivitäten wie Hacking, DoS-Angriffe (Denial of Service) und Datenverlust. Sofern ein Port nicht ausdrücklich zugelassen ist, sollte er uneingeschränkten Zugriff verweigern. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob Sicherheitsgruppen mit 0.0.0.0/0 von VPCs nur bestimmten eingehenden TCP/UDP-Traffic zulassen
|
|
Ergebnisbeschreibung: Ein VPN-Tunnel ist eine verschlüsselte Verbindung, über die Daten innerhalb einer AWS-Site-to-Site-VPN-Verbindung vom oder zum Kundennetzwerk zu AWS übertragen werden können. Jede VPN-Verbindung umfasst zwei VPN-Tunnel, die Sie gleichzeitig für Hochverfügbarkeit verwenden können. Es ist wichtig, dass beide VPN-Tunnel für eine VPN-Verbindung aktiv sind, um eine sichere und hochverfügbare Verbindung zwischen einer AWS-VPC und Ihrem Remote-Netzwerk zu gewährleisten. Mit dieser Regel wird geprüft, ob beide VPN-Tunnel, die von AWS Site-to-Site VPN bereitgestellt werden, den Status „UP“ haben. Die Steuerung schlägt fehl, wenn sich einer oder beide Tunnel im Status „DOWN“ befinden. Preisstufe: Enterprise Compliance standards:
|
Prüfen Sie, ob beide von AWS Site-to-Site bereitgestellten AWS-VPN-Tunnel den Status UP haben
|
Web Security Scanner-Ergebnisse
Benutzerdefinierte und verwaltete Web Security Scanner-Scans identifizieren die folgenden Ergebnistypen. In der Standardstufe unterstützt Web Security Scanner benutzerdefinierte Scans von bereitgestellten Anwendungen mit öffentlichen URLs und IP-Adressen, die sich nicht hinter einer Firewall befinden.
| Kategorie | Ergebnisbeschreibung | Ergebniskategorie | OWASP 2017 Top 10 | OWASP 2021 Top 10 |
|---|---|---|---|---|
|
Ein Git-Repository ist öffentlich zugänglich. Um dieses Ergebnis zu beheben, entfernen Sie den unbeabsichtigten öffentlichen Zugriff auf das GIT-Repository. Preisstufe: Premium oder Standard |
Sicherheitslücke | A5 | A01 |
|
Ein SVN-Repository ist öffentlich zugänglich. Um dieses Ergebnis zu beheben, entfernen Sie den unbeabsichtigten öffentlichen Zugriff auf das SVN-Repository. Preisstufe: Premium oder Standard |
Sicherheitslücke | A5 | A01 |
|
Eine ENV-Datei ist öffentlich zugänglich. Um dieses Ergebnis zu beheben, entfernen Sie den unbeabsichtigten öffentlichen Zugriff auf die ENV-Datei. Preisstufe: Premium oder Standard |
Sicherheitslücke | A5 | A01 |
|
In der Webanwendung eingegebene Passwörter können in einem normalen Browser-Cache statt in einem sicheren Passwortspeicher gespeichert werden. Preisstufe: Premium |
Sicherheitslücke | A3 | A04 |
|
Passwörter werden in Klartext übertragen und können abgefangen werden. Um dieses Ergebnis zu beheben, verschlüsseln Sie das über das Netzwerk übertragene Passwort. Preisstufe: Premium oder Standard |
Sicherheitslücke | A3 | A02 |
|
Ein Cross-Site-HTTP- oder -HTTPS-Endpunkt validiert nur ein Suffix des Anfrageheaders Preisstufe: Premium |
Sicherheitslücke | A5 | A01 |
|
Ein Cross-Site-HTTP- oder -HTTPS-Endpunkt validiert nur ein Präfix des Anfrageheaders Preisstufe: Premium |
Sicherheitslücke | A5 | A01 |
|
Die geladene Ressource stimmt nicht mit dem Content-Type HTTP-Header der Antwort überein. Um dieses Ergebnis zu beheben, legen Sie für den HTTP-Header Preisstufe: Premium oder Standard |
Sicherheitslücke | A6 | A05 |
|
Ein Sicherheitsheader hat einen Syntaxfehler und wird von Browsern ignoriert. Legen Sie die HTTP-Sicherheitsheader richtig fest, um das Problem zu beheben. Preisstufe: Premium oder Standard |
Sicherheitslücke | A6 | A05 |
|
Ein Sicherheitsheader hat doppelte, nicht übereinstimmende Werte, was zu nicht definiertem Verhalten führt. Legen Sie die HTTP-Sicherheitsheader richtig fest, um das Problem zu beheben. Preisstufe: Premium oder Standard |
Sicherheitslücke | A6 | A05 |
|
Ein Sicherheitsheader wurde falsch geschrieben und wird ignoriert. Legen Sie die HTTP-Sicherheitsheader richtig fest, um das Problem zu beheben. Preisstufe: Premium oder Standard |
Sicherheitslücke | A6 | A05 |
|
Ressourcen werden über HTTP auf einer HTTPS-Seite bereitgestellt. Achten Sie zur Behebung dieses Problems darauf, dass alle Ressourcen über HTTPS bereitgestellt werden. Preisstufe: Premium oder Standard |
Sicherheitslücke | A6 | A05 |
|
Es wurde eine Bibliothek mit bekannten Sicherheitslücken gefunden. Aktualisieren Sie die Bibliotheken auf eine neuere Version, um dieses Ergebnis zu beheben. Preisstufe: Premium oder Standard |
Sicherheitslücke | A9 | A06 |
|
Es wurde eine serverseitige Fälschungsanfrage (SSRF) erkannt. Verwenden Sie eine Zulassungsliste, um die Domains und IP-Adressen zu beschränken, an die die Webanwendung Anfragen senden kann, und so das Problem zu beheben. Preisstufe: Premium oder Standard |
Sicherheitslücke | Nicht zutreffend | A10 |
|
Bei einer domainübergreifenden Anfrage enthält die Webanwendung die Sitzungs-ID des Nutzers im Anfrageheader Preisstufe: Premium |
Sicherheitslücke | A2 | A07 |
|
Ein potenzielles SQL-Einschleusungsproblem wurde erkannt. Verwenden Sie parametrisierte Abfragen, um zu verhindern, dass Nutzereingaben die Struktur der SQL-Abfrage beeinflussen, um dieses Ergebnis anzusprechen. Preisstufe: Premium |
Sicherheitslücke | A1 | A03 |
|
Die Verwendung einer anfälligen Version von Apache Struts wurde erkannt. Aktualisieren Sie Apache Struts auf die neueste Version, um dieses Ergebnis zu korrigieren. Preisstufe: Premium |
Sicherheitslücke | A8 | A08 |
|
Ein Feld in dieser Webanwendung ist anfällig für einen Cross-Site-Scripting-Angriff (XSS). Um dieses Ergebnis zu beheben, validieren und maskieren Sie nicht vertrauenswürdige vom Nutzer bereitgestellte Daten. Preisstufe: Premium oder Standard |
Sicherheitslücke | A7 | A03 |
|
Ein vom Nutzer bereitgestellter String ist nicht maskiert und AngularJS kann ihn interpolieren. Um dieses Ergebnis zu beheben, validieren und maskieren Sie nicht vertrauenswürdige vom Nutzer bereitgestellte Daten, die vom Angular-Framework verarbeitet werden. Preisstufe: Premium oder Standard |
Sicherheitslücke | A7 | A03 |
|
Ein Feld in dieser Webanwendung ist anfällig für einen Cross-Site-Scripting-Angriff. Um dieses Ergebnis zu beheben, validieren und maskieren Sie nicht vertrauenswürdige vom Nutzer bereitgestellte Daten. Preisstufe: Premium oder Standard |
Sicherheitslücke | A7 | A03 |
|
Eine XXE-Sicherheitslücke (XML External Entity) wurde erkannt. Diese Sicherheitslücke kann dazu führen, dass die Webanwendung eine Datei auf dem Host offenlegt. Konfigurieren Sie Ihre XML-Parser so, dass externe Entitäten nicht zugelassen werden, um dieses Problem zu beheben. Preisstufe: Premium |
Sicherheitslücke | A4 | A05 |
|
Die Anwendung ist anfällig für Prototype Pollution. Diese Sicherheitslücke tritt auf, wenn Attributen des Preisstufe: Premium oder Standard |
Sicherheitslücke | A1 | A03 |
|
Es wurde ein falsch konfigurierter HSTS-Header (HTTP Strict Transport Security) erkannt. Um das Risiko von Downgrades und Abhörangriffen bei HTTP-Verbindungen erheblich zu reduzieren, müssen Sie den falsch konfigurierten HSTS-Header korrigieren. HSTS-Header erzwingen Verbindungen über verschlüsselte Kanäle (TLS), sodass HTTP-Verbindungen im Klartext fehlschlagen. Weitere Informationen zu HSTS-Headern
Preisstufe: Premium |
Fehlerhafte Konfiguration | Nicht zutreffend | Nicht zutreffend |
|
Es wurde ein fehlender Content Security Policy (CSP) HTTP-Antwortheader erkannt. CSP-Header verhindern die Ausnutzung häufiger Websicherheitslücken, insbesondere Cross-Site-Scripting (XSS), indem sie das Laden nicht vertrauenswürdiger Skripts oder Plug-ins verhindern. Es wird empfohlen, einen strengen CSP-Header zu verwenden. Weitere Informationen zu CSP-Headern
Preisstufe: Premium |
Fehlerhafte Konfiguration | Nicht zutreffend | Nicht zutreffend |
|
Es wurde ein falsch konfigurierter HTTP-Antwortheader für die Content Security Policy (CSP) erkannt. CSP-Header können die Ausnutzung häufiger Websicherheitslücken, insbesondere Cross-Site-Scripting (XSS), verhindern, indem sie das Laden nicht vertrauenswürdiger Skripts oder Plug-ins unterbinden. Es wird empfohlen, einen strengen CSP-Header zu verwenden. Weitere Informationen zu CSP-Headern
Preisstufe: Premium |
Fehlerhafte Konfiguration | Nicht zutreffend | Nicht zutreffend |
|
Es wurde ein fehlender HTTP-Header „Cross-Origin-Opener-Policy“ (COOP) erkannt. COOP ist ein Websicherheitsmechanismus, der den Zugriff einer Seite, die in einem neuen Fenster geöffnet wird, auf die Eigenschaften der ursprünglichen Seite einschränkt. COOP bietet eine starke Schutzebene gegen gängige Webangriffe.
Preisstufe: Premium |
Fehlerhafte Konfiguration | Nicht zutreffend | Nicht zutreffend |
|
Es wurde ein fehlender Antwortheader erkannt. Um Clickjacking zu verhindern, implementieren Sie einen HTTP-Antwortheader wie
Preisstufe: Premium |
Fehlerhafte Konfiguration | Nicht zutreffend | Nicht zutreffend |
Ergebnisse von Notebook Security Scanner
Notebook Security Scanner erkennt Sicherheitslücken in Verbindung mit den Python-Paketen, die in Ihren Colab Enterprise-Notebooks verwendet werden, und veröffentlicht sie in der Kategorie Package vulnerability (Sicherheitslücke im Paket).
Ein Ergebnis zu einer Paketlücke enthält die Details der Version eines Pakets mit bekannten Sicherheitslücken. Eine bestimmte Version eines Python-Pakets kann mehrere Ergebnisse zu Paketlücken haben, die jeweils einer anderen bekannten Sicherheitslücke entsprechen.
Um eine gefundene Paketlücke zu beheben, müssen Sie eine andere Version des Pakets verwenden, wie im Abschnitt Nächste Schritte des Ergebnisses empfohlen.
Weitere Informationen finden Sie unter Notebook Security Scanner aktivieren und verwenden.
Ergebnisse des IAM Recommender
In der folgenden Tabelle sind die Security Command Center-Ergebnisse aufgeführt, die von IAM Recommender generiert werden.
Jeder IAM Recommender-Ergebnis enthält spezifische Empfehlungen zum Entfernen oder Ersetzen einer Rolle, die übermäßige Berechtigungen für ein Hauptkonto in IhrerGoogle Cloud -Umgebung enthält.
Die von IAM Recommender generierten Ergebnisse entsprechen den Empfehlungen, die in der Google Cloud -Konsole auf der IAM-Seite des betroffenen Projekts, Ordners oder der betroffenen Organisation angezeigt werden.
Weitere Informationen zur Integration des IAM-Recommender in Security Command Center finden Sie unter Sicherheitsquellen.
| Detektor | Zusammenfassung |
|---|---|
|
Ergebnisbeschreibung: IAM Recommender hat ein Dienstkonto erkannt, dem eine oder mehrere IAM-Rollen zugewiesen sind, die dem Nutzerkonto nicht erforderliche Berechtigungen gewähren. Preisstufe: Premium Unterstützte Assets:
Dieses Ergebnis korrigieren : So wenden Sie die empfohlene Korrektur für dieses Ergebnis mit IAM Recommender an:
Nachdem das Problem behoben wurde, aktualisiert IAM Recommender den Status des Ergebnisses innerhalb von 10 Tagen auf |
|
Ergebnisbeschreibung: Der IAM-Recommender hat erkannt, dass die ursprüngliche IAM-Standardrolle, die einem Dienst-Agent gewährt wurde, durch eine der einfachen IAM-Rollen ersetzt wurde: Inhaber, Bearbeiter oder Betrachter. Einfache Rollen sind zu weit gefasste Legacy-Rollen und sollten Dienst-Agents nicht zugewiesen werden. Preisstufe: Premium Unterstützte Assets:
Dieses Ergebnis korrigieren : So wenden Sie die empfohlene Korrektur für dieses Ergebnis mit IAM Recommender an:
Nachdem das Problem behoben wurde, aktualisiert IAM Recommender den Status des Ergebnisses innerhalb von 10 Tagen auf |
|
Ergebnisbeschreibung: Der IAM-Recommender hat erkannt, dass einem Dienst-Agent eine der einfachen IAM-Rollen gewährt wurde: Inhaber, Bearbeiter oder Betrachter. Einfache Rollen sind übermäßig permissive Legacy-Rollen und sollten nicht Dienst-Agents zugewiesen werden. Preisstufe: Premium Unterstützte Assets:
Dieses Ergebnis korrigieren : So wenden Sie die empfohlene Korrektur für dieses Ergebnis mit IAM Recommender an:
Nachdem das Problem behoben wurde, aktualisiert IAM Recommender den Status des Ergebnisses innerhalb von 10 Tagen auf |
|
Ergebnisbeschreibung: Der IAM-Recommender hat ein Nutzerkonto mit einer IAM-Rolle erkannt, die in den letzten 90 Tagen nicht verwendet wurde. Preisstufe: Premium Unterstützte Assets:
Dieses Ergebnis korrigieren : So wenden Sie die empfohlene Korrektur für dieses Ergebnis mit IAM Recommender an:
Nachdem das Problem behoben wurde, aktualisiert IAM Recommender den Status des Ergebnisses innerhalb von 10 Tagen auf |
CIEM-Ergebnisse
In der folgenden Tabelle sind die Security Command Center-Ergebnisse zu Identität und Zugriff für AWS aufgeführt, die von Cloud Infrastructure Entitlement Management (CIEM) generiert werden.
CIEM-Ergebnisse enthalten spezifische Empfehlungen zum Entfernen oder Ersetzen von AWS IAM-Richtlinien mit sehr weit gefassten Berechtigungen, die mit angenommenen Identitäten, Nutzern oder Gruppen in Ihrer AWS-Umgebung verknüpft sind.
Weitere Informationen zu CIEM finden Sie unter Übersicht über Cloud Infrastructure Entitlement Management.
| Detektor | Zusammenfassung |
|---|---|
|
Ergebnisbeschreibung: In Ihrer AWS-Umgebung hat CIEM eine angenommene IAM-Rolle erkannt, die eine oder mehrere Richtlinien mit sehr weitreichenden Berechtigungen enthält, die gegen den Grundsatz der geringsten Berechtigung verstoßen und Sicherheitsrisiken erhöhen. Dieses Ergebnis basiert auf den letzten Nutzungsprotokollen, die 83 bis 90 Tage zurückliegen. Preisstufe: Enterprise Dieses Ergebnis korrigieren : Führen Sie je nach Ergebnis eine der folgenden Abhilfemaßnahmen in der AWS Management Console durch:
Die entsprechenden Schritte zur Fehlerbehebung finden Sie in den Details des Befunds. |
|
Beschreibung des Ergebnisses: In Ihrer AWS-Umgebung hat CIEM eine AWS IAM- oder AWS IAM Identity Center-Gruppe erkannt, die eine oder mehrere Richtlinien mit sehr weitreichenden Berechtigungen enthält, die gegen das Prinzip der geringsten Berechtigung verstoßen und Sicherheitsrisiken erhöhen. Dieses Ergebnis basiert auf den letzten Nutzungsprotokollen, die 83 bis 90 Tage zurückliegen. Preisstufe: Enterprise Dieses Ergebnis korrigieren : Führen Sie je nach Ergebnis eine der folgenden Abhilfemaßnahmen in der AWS Management Console durch:
Die entsprechenden Schritte zur Fehlerbehebung finden Sie in den Details des Befunds. |
|
Beschreibung des Ergebnisses: In Ihrer AWS-Umgebung hat CIEM einen AWS IAM- oder AWS IAM Identity Center-Nutzer erkannt, der eine oder mehrere sehr permissive Richtlinien hat, die gegen das Prinzip der geringsten Berechtigung verstoßen und Sicherheitsrisiken erhöhen. Dieses Ergebnis basiert auf den letzten Nutzungsprotokollen, die 83 bis 90 Tage zurückliegen. Preisstufe: Enterprise Dieses Ergebnis korrigieren : Führen Sie je nach Ergebnis eine der folgenden Abhilfemaßnahmen in der AWS Management Console durch:
Die entsprechenden Schritte zur Fehlerbehebung finden Sie in den Details des Befunds. |
|
Beschreibung des Ergebnisses: In Ihrer AWS-Umgebung hat CIEM einen AWS IAM- oder AWS IAM Identity Center-Nutzer erkannt, der inaktiv ist und eine oder mehrere Berechtigungen hat. Dies verstößt gegen das Prinzip der geringsten Berechtigung und erhöht das Sicherheitsrisiko. Dieses Ergebnis basiert auf den letzten Nutzungsprotokollen, die 83 bis 90 Tage zurückliegen. Preisstufe: Enterprise Dieses Ergebnis korrigieren : Führen Sie je nach Ergebnis eine der folgenden Abhilfemaßnahmen in der AWS Management Console aus:
Die entsprechenden Schritte zur Fehlerbehebung finden Sie in den Details des Befunds. |
|
Beschreibung des Ergebnisses: In Ihrer AWS-Umgebung hat CIEM eine AWS IAM- oder AWS IAM Identity Center-Gruppe erkannt, die inaktiv ist und eine oder mehrere Berechtigungen hat. Dies verstößt gegen das Prinzip der geringsten Berechtigung und erhöht das Sicherheitsrisiko. Dieses Ergebnis basiert auf den letzten Nutzungsprotokollen, die 83 bis 90 Tage zurückliegen. Preisstufe: Enterprise Dieses Ergebnis korrigieren : Führen Sie je nach Ergebnis eine der folgenden Abhilfemaßnahmen in der AWS Management Console aus:
Die entsprechenden Schritte zur Fehlerbehebung finden Sie in den Details des Befunds. |
|
Beschreibung des Ergebnisses: In Ihrer AWS-Umgebung hat CIEM eine übernommene IAM-Rolle erkannt, die inaktiv ist und eine oder mehrere Berechtigungen hat. Dies verstößt gegen das Prinzip der geringsten Berechtigung und erhöht das Sicherheitsrisiko. Dieses Ergebnis basiert auf den letzten Nutzungsprotokollen, die 83 bis 90 Tage zurückliegen. Preisstufe: Enterprise Dieses Ergebnis korrigieren : Führen Sie je nach Ergebnis eine der folgenden Abhilfemaßnahmen in der AWS Management Console aus:
Die entsprechenden Schritte zur Fehlerbehebung finden Sie in den Details des Befunds. |
|
Beschreibung des Ergebnisses: In Ihrer AWS-Umgebung hat CIEM eine zu permissive Trust-Richtlinie für eine AWS IAM-Rolle erkannt, die gegen das Prinzip der geringsten Berechtigung verstößt und Sicherheitsrisiken erhöht. Dieses Ergebnis basiert auf den letzten Nutzungsprotokollen, die 83 bis 90 Tage zurückliegen. Preisstufe: Enterprise Dieses Ergebnis korrigieren : Verwenden Sie die AWS Management Console, um die Berechtigungen in der Trust-Richtlinie zu bearbeiten, die für die AWS-IAM-Rolle erzwungen wird, um das Prinzip der geringsten Berechtigung einzuhalten. Die entsprechenden Schritte zur Fehlerbehebung finden Sie in den Details des Befunds. |
|
Beschreibung des Ergebnisses: In Ihrer AWS-Umgebung hat CIEM eine oder mehrere Identitäten erkannt, die sich durch Identitätsdiebstahl lateral bewegen können. Dieses Ergebnis basiert auf den letzten Nutzungsprotokollen, die 83 bis 90 Tage zurückliegen. Preisstufe: Enterprise Dieses Ergebnis korrigieren : Entfernen Sie mit der AWS Management Console die Richtlinie(n), die an die Identität(en) angehängt sind, die laterale Bewegungen zulassen. Die entsprechenden Schritte zur Fehlerbehebung finden Sie in den Details des Befunds. |
Ergebnisse des Dienstes für den Sicherheitsstatus
In diesem Abschnitt werden die Security Command Center-Ergebnisse aufgeführt, die vom Dienst für Sicherheitskonfigurationen generiert werden.
Der Dienst für den Sicherheitsstatus generiert die folgenden Gruppen von Ergebniskategorien:
- Abweichung von einem bereitgestellten Sicherheitsstatus
- Ressource, die gegen einen bereitgestellten Sicherheitsstatus verstößt
Abweichung von einem bereitgestellten Sicherheitsstatus
In der folgenden Tabelle sind die Ergebnisse zum Sicherheitsstatus aufgeführt, die eine Abweichung von Ihrem definierten Sicherheitsstatus erkennen.
| Ergebnis | Zusammenfassung |
|---|---|
|
Beschreibung des Ergebnisses: Der Dienst für die Sicherheitslage hat eine Änderung an einem Security Health Analytics-Detektor erkannt, die außerhalb einer Aktualisierung der Sicherheitslage aufgetreten ist. Preisstufe: Premium
Dieses Ergebnis korrigieren : In diesem Fall müssen Sie die Änderung akzeptieren oder rückgängig machen, damit die Einstellungen des Sensors in Ihrer Körperhaltung und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu beheben: Sie können den Security Health Analytics-Detektor oder die Konfiguration und die Bereitstellung der Konfiguration aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie den Security Health Analytics-Detektor in der Google Cloud -Konsole. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren. So akzeptieren Sie die Änderung:
|
|
Beschreibung des Ergebnisses: Der Dienst für die Sicherheitslage hat eine Änderung an einem benutzerdefinierten Modul von Security Health Analytics erkannt, die außerhalb einer Aktualisierung der Sicherheitslage erfolgt ist. Preisstufe: Premium Dieses Ergebnis korrigieren : In diesem Fall müssen Sie die Änderung akzeptieren oder rückgängig machen, damit die benutzerdefinierten Moduleinstellungen in Ihrer Haltung und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu beheben: Sie können das benutzerdefinierte Security Health Analytics-Modul oder die Konfiguration und die Bereitstellung der Konfiguration aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie das benutzerdefinierte Security Health Analytics-Modul in der Google Cloud -Konsole. Eine Anleitung dazu finden Sie unter Benutzerdefiniertes Modul aktualisieren. So akzeptieren Sie die Änderung:
|
|
Beschreibung des Ergebnisses: Der Dienst für die Sicherheitslage hat erkannt, dass ein benutzerdefiniertes Modul von Security Health Analytics gelöscht wurde. Diese Löschung erfolgte außerhalb eines Haltungsupdates. Preisstufe: Premium Dieses Ergebnis korrigieren : In diesem Fall müssen Sie die Änderung akzeptieren oder rückgängig machen, damit die benutzerdefinierten Moduleinstellungen in Ihrer Haltung und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Ergebnis zu beheben: Sie können das benutzerdefinierte Security Health Analytics-Modul oder die Konfiguration und die Bereitstellung der Konfiguration aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie das benutzerdefinierte Security Health Analytics-Modul in der Google Cloud -Konsole. Eine Anleitung dazu finden Sie unter Benutzerdefiniertes Modul aktualisieren. So akzeptieren Sie die Änderung:
|
|
Ergebnisbeschreibung: Der Dienst für Sicherheitsstatus hat eine Änderung an einer Organisationsrichtlinie erkannt, die außerhalb eines Statusupdates erfolgt ist. Preisstufe: Premium Dieses Ergebnis korrigieren : In diesem Fall müssen Sie die Änderung akzeptieren oder rückgängig machen, damit die Definitionen der Organisationsrichtlinien in Ihrer Konfiguration und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die Organisationsrichtlinie oder die Konfiguration und Bereitstellung der Konfiguration aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie die Organisationsrichtlinie in der Google Cloud -Konsole. Eine Anleitung finden Sie unter Richtlinien erstellen und bearbeiten. So akzeptieren Sie die Änderung:
|
|
Ergebnisbeschreibung: Der Dienst für Sicherheitsstatus hat erkannt, dass eine Organisationsrichtlinie gelöscht wurde. Diese Löschung erfolgte außerhalb eines Positionsupdates. Preisstufe: Premium Dieses Ergebnis korrigieren : In diesem Fall müssen Sie die Änderung akzeptieren oder rückgängig machen, damit die Definitionen der Organisationsrichtlinien in Ihrer Konfiguration und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die Organisationsrichtlinie oder die Konfiguration und Bereitstellung der Konfiguration aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie die Organisationsrichtlinie in der Google Cloud -Konsole. Eine Anleitung finden Sie unter Richtlinien erstellen und bearbeiten. So akzeptieren Sie die Änderung:
|
|
Ergebnisbeschreibung: Der Dienst für den Sicherheitsstatus hat eine Änderung an einer benutzerdefinierten Organisationsrichtlinie erkannt, die außerhalb eines Statusupdates erfolgt ist. Preisstufe: Premium Dieses Ergebnis korrigieren : In diesem Fall müssen Sie die Änderung akzeptieren oder rückgängig machen, damit die benutzerdefinierten Organisationsrichtliniendefinitionen in Ihrer Konfiguration und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die benutzerdefinierte Organisationsrichtlinie oder die Sicherheitskonfiguration und die Bereitstellung der Sicherheitskonfiguration aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie die benutzerdefinierte Organisationsrichtlinie in der Google Cloud -Konsole. Eine Anleitung hierzu finden Sie unter Benutzerdefinierte Einschränkung aktualisieren. So akzeptieren Sie die Änderung:
|
|
Ergebnisbeschreibung: Der Dienst für den Sicherheitsstatus hat erkannt, dass eine benutzerdefinierte Organisationsrichtlinie gelöscht wurde. Diese Löschung erfolgte außerhalb eines Positionsupdates. Preisstufe: Premium Dieses Ergebnis korrigieren : In diesem Fall müssen Sie die Änderung akzeptieren oder rückgängig machen, damit die benutzerdefinierten Organisationsrichtliniendefinitionen in Ihrer Konfiguration und Ihrer Umgebung übereinstimmen. Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die benutzerdefinierte Organisationsrichtlinie oder die Sicherheitskonfiguration und die Bereitstellung der Sicherheitskonfiguration aktualisieren. Wenn Sie die Änderung rückgängig machen möchten, aktualisieren Sie die benutzerdefinierte Organisationsrichtlinie in der Google Cloud -Konsole. Eine Anleitung hierzu finden Sie unter Benutzerdefinierte Einschränkung aktualisieren. So akzeptieren Sie die Änderung:
|
Ressource, die gegen eine bereitgestellte Sicherheitskonfiguration verstößt
Der Dienst für den Sicherheitsstatus und Security Health Analytics generieren die folgenden Ergebnisse, in denen Instanzen von Ressourcen, die gegen Ihren definierten Sicherheitsstatus verstoßen, identifiziert werden.
| Ergebnis | Zusammenfassung |
|---|---|
|
Ergebnisbeschreibung: Der Dienst für die Sicherheitslage hat erkannt, dass für ein Subnetzwerk eine externe IPv6-Adresse aktiviert ist. Preisstufe: Premium Dieses Ergebnis korrigieren : Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die Ressource, die gegen die Richtlinien verstößt, löschen oder die Konfiguration aktualisieren und neu bereitstellen. So löschen Sie die Ressource:
Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Haltung aktualisieren. So aktualisieren Sie die Haltung:
|
|
Ergebnisbeschreibung: Der Dienst für die Sicherheitskonfiguration hat erkannt, dass für ein Subnetz eine interne IPv6-Adresse aktiviert ist. Preisstufe: Premium Dieses Ergebnis korrigieren : Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die Ressource, die gegen die Richtlinien verstößt, löschen oder die Konfiguration aktualisieren und neu bereitstellen. So löschen Sie die Ressource:
Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Haltung aktualisieren. So aktualisieren Sie die Haltung:
|
|
Ergebnisbeschreibung: Der Dienst für die Sicherheitskonfiguration hat erkannt, dass OS Login in einer VM-Instanz deaktiviert ist. Preisstufe: Premium Dieses Ergebnis korrigieren : Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die Ressource, die den Verstoß verursacht, aktualisieren oder die Konfiguration aktualisieren und noch einmal bereitstellen. So aktualisieren Sie die Ressource:
Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Haltung aktualisieren. So aktualisieren Sie die Haltung:
|
|
Ergebnisbeschreibung: Der Dienst für die Sicherheitslage hat erkannt, dass einer SQL-Instanz ein autorisiertes Netzwerk hinzugefügt wurde. Preisstufe: Premium Dieses Ergebnis korrigieren : Sie müssen den Verstoß beheben oder die Konfiguration aktualisieren. Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die Ressource, die den Verstoß verursacht, aktualisieren oder die Konfiguration aktualisieren und noch einmal bereitstellen. So aktualisieren Sie die Ressource:
Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Haltung aktualisieren. So aktualisieren Sie die Haltung:
|
|
Ergebnisbeschreibung: Der Dienst für die Sicherheitslage hat erkannt, dass ein VPC-Connector für eine Cloud Run-Funktionsinstanz nicht aktiviert ist. Preisstufe: Premium Dieses Ergebnis korrigieren : Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die Ressource, die den Verstoß verursacht, aktualisieren oder die Konfiguration aktualisieren und noch einmal bereitstellen. So aktualisieren Sie die Ressource:
Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Haltung aktualisieren. So aktualisieren Sie die Haltung:
|
|
Ergebnisbeschreibung: Der Security Posture Service hat erkannt, dass der Zugriff auf serielle Ports für eine VM-Instanz aktiviert ist. Preisstufe: Premium Dieses Ergebnis korrigieren : Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die Ressource, die den Verstoß verursacht, aktualisieren oder die Konfiguration aktualisieren und noch einmal bereitstellen. So aktualisieren Sie die Ressource:
Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Haltung aktualisieren. So aktualisieren Sie die Haltung:
|
|
Ergebnisbeschreibung: Der Dienst für die Sicherheitslage hat erkannt, dass ein Standardnetzwerk erstellt wurde. Preisstufe: Premium Dieses Ergebnis korrigieren : Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die Ressource, die gegen die Richtlinien verstößt, löschen oder die Konfiguration aktualisieren und neu bereitstellen. So löschen Sie die Ressource:
Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Haltung aktualisieren. So aktualisieren Sie die Haltung:
|
|
Ergebnisbeschreibung: Der Dienst für die Sicherheitskonfiguration hat erkannt, dass ein Cloud Run-Dienst nicht den angegebenen Einstellungen für eingehenden Traffic entspricht. Preisstufe: Premium Dieses Ergebnis korrigieren : Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die Ressource, die den Verstoß verursacht, aktualisieren oder die Konfiguration aktualisieren und noch einmal bereitstellen. So aktualisieren Sie die Ressource:
Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Haltung aktualisieren. So aktualisieren Sie die Haltung:
|
|
Ergebnisbeschreibung: Der Dienst für die Sicherheitslage hat erkannt, dass der Zugriff auf Bucket-Ebene detailliert statt einheitlich ist. Preisstufe: Premium Dieses Ergebnis korrigieren : Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die Ressource, die den Verstoß verursacht, aktualisieren oder die Konfiguration aktualisieren und noch einmal bereitstellen. So aktualisieren Sie die Ressource:
Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Haltung aktualisieren. So aktualisieren Sie die Haltung:
|
|
Ergebnisbeschreibung: Der Dienst für die Sicherheitskonfiguration hat erkannt, dass ein Cloud Run-Dienst nicht den angegebenen Einstellungen für ausgehenden Traffic entspricht. Preisstufe: Premium Dieses Ergebnis korrigieren : Sie haben zwei Möglichkeiten, dieses Problem zu beheben: Sie können die Ressource, die den Verstoß verursacht, aktualisieren oder die Konfiguration aktualisieren und noch einmal bereitstellen. So aktualisieren Sie die Ressource:
Wenn Sie die Ressource in derselben Konfiguration beibehalten möchten, müssen Sie die Haltung aktualisieren. So aktualisieren Sie die Haltung:
|
Model Armor
Model Armor ist ein vollständig verwalteter Google Cloud Dienst, der die Sicherheit von KI-Anwendungen verbessert, indem er LLM-Prompts und ‑Antworten auf verschiedene Sicherheitsrisiken prüft.
Model Armor-Ergebnisse
In der folgenden Tabelle sind die Security Command Center-Ergebnisse aufgeführt, die von Model Armor generiert werden.
| Ergebnis | Zusammenfassung |
|---|---|
|
Ergebnisbeschreibung: Ein Verstoß gegen die Mindesteinstellungen, der auftritt, wenn eine Model Armor-Vorlage die Mindestsicherheitsstandards, die durch die Mindesteinstellungen der Ressourcenhierarchie definiert sind, nicht erfüllt. Preisstufe: Premium
Für diesen Befund müssen Sie die Model Armor-Vorlage so aktualisieren, dass sie den in der Ressourcenhierarchie definierten Mindesteinstellungen entspricht. |
Ergebnisse in der Google Cloud -Console ansehen
- Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.
- Wählen Sie Ihr Google Cloud Projekt oder Ihre Organisation aus.
- Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option Model Armor aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
- Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um die Details eines bestimmten Ergebnisses aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
- Sehen Sie sich auf dem Tab Zusammenfassung die Details des Ergebnisses an, einschließlich Informationen dazu, was erkannt wurde, welche Ressource betroffen ist und welche Schritte Sie unternehmen können, um das Problem zu beheben.
- Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.
Model Armor-Ergebnisse bereinigen
Der Befund FLOOR_SETTINGS_VIOLATION weist darauf hin, dass die Model Armor-Vorlage die Mindestsicherheitsstandards, die in den Mindesteinstellungen der Ressourcenhierarchie definiert sind, nicht erfüllt.
So können Sie dieses Ergebnis beheben:
- Rufen Sie in der Google Cloud Console die Seite Model Armor auf.
- Prüfen Sie, ob Sie das Projekt aufrufen, für das Sie Model Armor aktiviert haben. Die Seite „Model Armor“ wird angezeigt und enthält eine Liste der für Ihr Projekt erstellten Vorlagen.
- Klicken Sie auf die Vorlage, die Sie ändern möchten.
- Passen Sie die Vorlage an die Etagen-Einstellungen an, die in der Ressourcenhierarchie definiert sind.
- Klicken Sie auf Speichern.
VM Manager
VM Manager besteht aus Tools zur Verwaltung von Betriebssystemen für eine große Anzahl von VM-Flotten (virtuelle Maschine), auf denen Windows und Linux in Compute Engine ausgeführt werden.
Wenn Sie VM Manager mit Security Command Center Premium auf Organisationsebene aktivieren, schreibt VM Manager Ergebnisse aus seinen Berichten zu Sicherheitslücken, die sich in der Vorschau befinden, in Security Command Center. Die Berichte enthalten Informationen zu Sicherheitslücken in Betriebssystemen, die auf VMs installiert sind, einschließlich Häufige Sicherheitslücken (Common Vulnerabilities and Exposures, CVEs).
Wenn Sie VM Manager mit Aktivierungen auf Projektebene von Security Command Center Premium verwenden möchten, aktivieren Sie Security Command Center Standard in der übergeordneten Organisation.
Berichte zu Sicherheitslücken sind für Security Command Center Standard nicht verfügbar.
Die Ergebnisse vereinfachen den Prozess zur Verwendung des Patch-Compliance-Features von VM Manager, das sich in der Vorschau befindet. Mit diesem Feature können Sie die Patchverwaltung auf Organisationsebene für alle Projekte vornehmen.
Der Schweregrad der Sicherheitslücken, die von VM Manager empfangen werden, ist immer entweder CRITICAL oder HIGH.
VM Manager-Ergebnisse
Sicherheitslücken dieses Typs beziehen sich alle auf installierte Betriebssystempakete in unterstützten Compute Engine-VMs.
| Detektor | Fazit | Asset-Scaneinstellungen |
|---|---|---|
|
Ergebnisbeschreibung: VM Manager hat eine Sicherheitslücke im installierten Betriebssystempaket für eine Compute Engine-VM erkannt. Preisstufe: Premium Unterstützte Assets |
Die Berichte zu Sicherheitslücken von VM Manager enthalten detaillierte Informationen zu Sicherheitslücken in installierten Betriebssystempaketen für Compute Engine-VMs, einschließlich Häufige Sicherheitslücken (Common Vulnerabilities and Exposures, CVEs). Eine vollständige Liste der unterstützten Betriebssysteme finden Sie unter Details zu Betriebssystemen. Die Ergebnisse werden kurz nach dem Erkennen der Sicherheitslücken in Security Command Center angezeigt. Berichte zu Sicherheitslücken werden in VM Manager so erstellt:
|
Ergebnisse in der Console ansehen
Standard oder Premium
- Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.
- Wählen Sie Ihr Google Cloud Projekt oder Ihre Organisation aus.
- Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option VM Manager aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
- Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um die Details eines bestimmten Ergebnisses aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
- Sehen Sie sich auf dem Tab Zusammenfassung die Details des Ergebnisses an, einschließlich Informationen dazu, was erkannt wurde, welche Ressource betroffen ist und – falls verfügbar – welche Schritte Sie unternehmen können, um das Problem zu beheben.
- Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.
Unternehmen
- Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.
- Wählen Sie Ihre Google Cloud Organisation aus.
- Klicken Sie im Abschnitt Aggregationen, um den Unterabschnitt Anzeigename der Quelle zu maximieren.
- Wählen Sie VM Manager aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
- Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um die Details eines bestimmten Ergebnisses aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
- Sehen Sie sich auf dem Tab Zusammenfassung die Details des Ergebnisses an, einschließlich Informationen dazu, was erkannt wurde, welche Ressource betroffen ist und – falls verfügbar – welche Schritte Sie unternehmen können, um das Problem zu beheben.
- Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.
Korrekturmaßnahmen für VM-Manager-Ergebnisse
Ein OS_VULNERABILITY-Ergebnis gibt an, dass VM Manager eine Sicherheitslücke in den installierten Betriebssystempaketen in einer Compute Engine-VM gefunden hat.
So können Sie dieses Ergebnis beheben:
OS vulnerability-Ergebnis öffnen und JSON-Definition ansehenKopieren Sie den Wert des Felds
externalUri. Dieser Wert ist der URI für die Seite OS-Informationen der Compute Engine-VM-Instanz, auf der das anfällige Betriebssystem installiert ist.Wenden Sie alle entsprechenden Patches für das Betriebssystem an, das im Abschnitt Grundlegende Informationen angezeigt wird. Eine Anleitung zum Bereitstellen von Patches finden Sie unter Patch-Jobs erstellen.
Weitere Informationen zu den unterstützten Assets und Scaneinstellungen für diesen Ergebnistyp.
VM Manager-Ergebnisse ausblenden
Möglicherweise möchten Sie einige oder alle VM Manager-Ergebnisse in Security Command Center ausblenden, wenn sie für Ihre Sicherheitsanforderungen nicht relevant sind.
Sie können VM Manager-Ergebnisse ausblenden, indem Sie eine Stummschaltungsregel erstellen und Abfrageattribute hinzufügen, die sich auf die VM Manager-Ergebnisse beziehen, die Sie ausblenden möchten.
Informationen zum Erstellen einer Ausblendungsregel finden Sie unter Regel zum Ausblenden erstellen.
Wenn Sie beispielsweise bestimmte CVE-IDs in den Ergebnissen zu VM Manager-Sicherheitslücken ausblenden möchten, wählen Sie Sicherheitslücke > CVE-ID aus und wählen Sie dann die CVE-IDs aus, die Sie ausblenden möchten.
Das Feld Ergebnisabfrage für Ihre Stummschaltungsregel sieht in etwa so aus:
parent_display_name="VM Manager"
AND vulnerability.cv.id="CVE-2025-26923" OR vulnerability.cve.id="CVE-2025-27635"
Ergebnisse der Sicherheitslückenbewertung von Artifact Registry
In der folgenden Tabelle sind die Ergebnisse aufgeführt, die Sie auf potenzielle Sicherheitslücken in Ihren Container-Images hinweisen. Diese Ergebnisse werden nur für anfällige Container-Images generiert, die in Artifact Registry gespeichert und in einem der folgenden Assets bereitgestellt werden:
- Google Kubernetes Engine-Cluster
- Cloud Run-Dienst
- Cloud Run-Job
- App Engine
Diese Ergebnisse werden als HIGH oder CRITICAL eingestuft.
Informationen zum Aktivieren, Deaktivieren und Ansehen der Ergebnisse der Artifact Registry-Sicherheitslückenbewertung in der Google Cloud -Konsole finden Sie unter Artifact Registry-Sicherheitslückenbewertungsdienst.
| Detektor | Zusammenfassung |
|---|---|
|
Kategoriename in der API: |
Ergebnisbeschreibung: In einem Container-Image, das in Artifact Registry gescannt wurde, wurde eine Sicherheitslücke erkannt. Dieses Bild wird für eines der folgenden Assets bereitgestellt:
Preisstufe: Standard, Premium oder Enterprise Dieses Ergebnis korrigieren : Gehen Sie je nach Laufzeitressourcentyp so vor:
In den Details des Ergebnisses finden Sie spezifische Schritte zur Fehlerbehebung basierend auf der entsprechenden Laufzeitressource. Für Kunden mit dem Standard-Tarif wird die Verwendung der Asset-Abfragefunktion von Cloud Asset Inventory, um zu ermitteln, wo das anfällige Container-Image bereitgestellt wird, nicht unterstützt. Wir empfehlen ein Upgrade auf die Premium- oder Enterprise-Stufe, um detailliertere Informationen zu erhalten. |
Schutz sensibler Daten
In diesem Abschnitt werden die Ergebnisse zu Sicherheitslücken beschrieben, die von Sensitive Data Protection generiert werden, welche Compliance-Standards unterstützt werden und wie Sie die Ergebnisse beheben können.
Sensitive Data Protection sendet auch Beobachtungsergebnisse an Security Command Center. Weitere Informationen zu den Beobachtungsergebnissen und zum Schutz sensibler Daten finden Sie unter Schutz sensibler Daten.
Informationen zum Ansehen der Ergebnisse finden Sie unter Ergebnisse des Schutzes sensibler Daten in der Google Cloud -Konsole ansehen.
Ergebnisse zu Sicherheitslücken aus Sensitive Data Protection
Der Sensitive Data Protection-Erkennungsdienst hilft Ihnen, festzustellen, ob Sie höchst sensible Daten speichern, die nicht geschützt sind.
| Kategorie | Zusammenfassung |
|---|---|
|
Ergebnisbeschreibung: Die angegebene Ressource enthält Daten mit hoher Vertraulichkeit, auf die jeder im Internet zugreifen kann. Unterstützte Assets:
Abhilfemaßnahmen: Entfernen Sie für Google Cloud Daten Konfigurieren Sie für Amazon S3-Daten die Einstellungen zum Blockieren des öffentlichen Zugriffs oder aktualisieren Sie die ACL des Objekts, um den öffentlichen Lesezugriff zu verweigern. Weitere Informationen finden Sie in der AWS-Dokumentation unter Einstellungen zum Blockieren des öffentlichen Zugriffs für Ihre S3-Buckets konfigurieren und ACLs konfigurieren. Entfernen Sie für Azure Blob Storage-Daten den öffentlichen Zugriff auf den Container und die Blobs. Weitere Informationen finden Sie in der Azure-Dokumentation unter Übersicht: Beheben des anonymen Lesezugriffs für Blob-Daten. Compliancestandards: Nicht zugeordnet |
|
Ergebnisbeschreibung: Es gibt Secrets, z. B. Passwörter, Authentifizierungstokens und Google Cloud Anmeldedaten, in Umgebungsvariablen. Informationen zum Aktivieren dieses Detektors finden Sie in der Dokumentation zum Schutz sensibler Daten unter Geheimnisse in Umgebungsvariablen an Security Command Center melden. Unterstützte Assets: Abhilfemaßnahmen: Entfernen Sie bei Umgebungsvariablen für Cloud Run Functions das Secret aus der Umgebungsvariable und speichern Sie es stattdessen in Secret Manager. Bei Umgebungsvariablen für Cloud Run-Dienstüberarbeitungen müssen Sie den gesamten Traffic von der Überarbeitung weg migrieren und sie dann löschen. Compliance standards:
|
|
Ergebnisbeschreibung: In der angegebenen Ressource sind Secrets vorhanden, z. B. Passwörter, Authentifizierungstokens und Cloud-Anmeldedaten. Unterstützte Assets:
Abhilfemaßnahmen:
Compliancestandards: Nicht zugeordnet |
Ergebnisse zu fehlerhaften Konfigurationen aus Sensitive Data Protection
Der Sensitive Data Protection-Erkennungsdienst hilft Ihnen, Fehlkonfigurationen zu erkennen, die sensible Daten offenlegen könnten.
| Kategorie | Zusammenfassung |
|---|---|
|
Ergebnisbeschreibung: Die angegebene Ressource enthält Daten mit hoher oder mittlerer Sensibilität und verwendet keinen vom Kunden verwalteten Verschlüsselungsschlüssel (CMEK). Unterstützte Assets:
Abhilfemaßnahmen:
Compliancestandards: Nicht zugeordnet |
Policy Controller
Policy Controller ermöglicht die Anwendung und Erzwingung programmierbarer Richtlinien für Ihre als Flottenmitglieder registrierten Kubernetes-Cluster. Richtlinien dienen als Schutzmaßnahmen und können Sie beim Verwalten von Best Practices, der Sicherheit und der Compliance in Ihren Clustern und Ihrer Flotte unterstützen.
Auf dieser Seite werden nicht alle einzelnen Policy Controller-Ergebnisse aufgeführt. Die Informationen zu den Ergebnissen der Klasse Misconfiguration, die von Policy Controller in Security Command Center geschrieben werden, sind jedoch dieselben wie die für jedes Policy Controller-Bundle dokumentierten Clusterverstöße. Die Dokumentation für die einzelnen Policy Controller-Ergebnistypen finden Sie in den folgenden Policy Controller-Bundles:
CIS-Kubernetes-Benchmark v1.5.1, eine Reihe von Empfehlungen für die Konfiguration von Kubernetes, um ein hohes Sicherheitsniveau zu gewährleisten. Informationen zu diesem Bundle finden Sie auch im GitHub-Repository für
cis-k8s-v1.5.1.PCI-DSS v3.2.1: Ein Bundle, mit dem die Compliance Ihrer Clusterressourcen mit einigen Aspekten des Payment Card Industry Data Security Standard (PCI-DSS) v3.2.1 bewertet wird. Informationen zu diesem Bundle finden Sie auch im GitHub-Repository für
pci-dss-v3.
Diese Funktion ist nicht mit VPC Service Controls-Dienstperimetern für die Stackdriver API kompatibel.
Policy Controller-Ergebnisse finden und beheben
Die Policy Controller-Kategorien entsprechen den Einschränkungsnamen, die in der Dokumentation zu Policy Controller-Bundles aufgeführt sind. Ein require-namespace-network-policies-Ergebnis gibt beispielsweise an, dass ein Namespace gegen die Richtlinie verstößt, dass jeder Namespace in einem Cluster eine NetworkPolicy hat.
So beheben Sie ein Ergebnis:
Standard oder Premium
- Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.
- Wählen Sie Ihr Google Cloud Projekt oder Ihre Organisation aus.
- Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option Policy Controller On-Cluster aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
- Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um die Details eines bestimmten Ergebnisses aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
- Sehen Sie sich auf dem Tab Zusammenfassung die Details des Ergebnisses an, einschließlich Informationen dazu, was erkannt wurde, welche Ressource betroffen ist und – falls verfügbar – welche Schritte Sie unternehmen können, um das Problem zu beheben.
- Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.
Unternehmen
- Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.
- Wählen Sie Ihre Google Cloud Organisation aus.
- Klicken Sie im Abschnitt Aggregationen, um den Unterabschnitt Anzeigename der Quelle zu maximieren.
- Wählen Sie Policy Controller On-Cluster aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
- Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um die Details eines bestimmten Ergebnisses aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
- Sehen Sie sich auf dem Tab Zusammenfassung die Details des Ergebnisses an, einschließlich Informationen dazu, was erkannt wurde, welche Ressource betroffen ist und – falls verfügbar – welche Schritte Sie unternehmen können, um das Problem zu beheben.
- Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.
Nächste Schritte
Vorschläge zur Behebung von Security Health Analytics-Ergebnissen und zur Behebung von Web Security Scanner-Ergebnissen