Résultats de failles

Les détecteurs Security Health Analytics et Web Security Scanner génèrent des résultats de failles disponibles dans Security Command Center. Lorsqu'ils sont activés dans Security Command Center, les services intégrés, tels que VM Manager, génèrent également des résultats de failles.

Votre capacité à afficher et à modifier les résultats est déterminée par les rôles et autorisations IAM (Identity and Access Management) qui vous sont attribués. Pour en savoir plus sur les rôles IAM dans Security Command Center, consultez la page Contrôle des accès.

Détecteurs et conformité

Security Command Center surveille votre conformité à l'aide de détecteurs mappés sur les commandes de nombreuses normes de sécurité.

Pour chaque norme de sécurité compatible, Security Command Center vérifie un sous-ensemble des commandes. Pour les contrôles cochés, Security Command Center indique le nombre de contrôles réussis. Pour les contrôles qui ne sont pas acceptés, Security Command Center affiche une liste de résultats qui décrivent les échecs de contrôle.

Le CIS examine et certifie les mises en correspondance des détecteurs Security Command Center avec chaque version compatible du benchmark CIS Google Cloud Foundations. Des mises en correspondance de conformité supplémentaires sont incluses à titre de référence uniquement.

Security Command Center ajoute régulièrement de nouvelles versions et normes de benchmark. Les anciennes versions restent compatibles, mais sont finalement abandonnées. Nous vous recommandons d'utiliser le dernier benchmark ou la dernière norme compatible disponible.

Avec le service d'évaluation de l'état de sécurité, vous pouvez mapper les règles d'administration et les détecteurs Security Health Analytics aux normes et contrôles qui s'appliquent à votre entreprise. Une fois que vous avez créé une posture de sécurité, vous pouvez surveiller toute modification de l'environnement pouvant affecter la conformité de votre entreprise.

Pour en savoir plus sur la gestion de la conformité, consultez la section Évaluer et signaler la conformité aux normes de sécurité.

Normes de sécurité acceptées

Google Cloud

Security Command Center fait correspondre les détecteurs de Google Cloud à une ou plusieurs des normes de conformité suivantes:

AWS

Security Command Center fait correspondre les détecteurs d'Amazon Web Services (AWS) à une ou plusieurs des normes de conformité suivantes:

Pour savoir comment afficher et exporter des rapports de conformité, consultez la section Conformité de Utiliser Security Command Center dans la console Google Cloud.

Détecter la désactivation après la correction

Une fois que vous avez corrigé une faille ou une erreur de configuration, le service Security Command Center qui a détecté le résultat définit automatiquement son état sur INACTIVE la prochaine fois que le service de détection l'analyse. Le délai nécessaire à Security Command Center pour définir un résultat résolu sur INACTIVE dépend de la planification de l'analyse qui détecte le résultat.

Les services Security Command Center définissent également l'état d'un résultat de faille ou de mauvaise configuration sur INACTIVE lorsqu'une analyse détecte que la ressource affectée par le résultat est supprimée.

Pour en savoir plus sur les intervalles d'analyse, consultez les articles suivants:

Résultats de l'analyse de l'état de la sécurité

Les détecteurs de Security Health Analytics surveillent un sous-ensemble de ressources de l'inventaire des éléments cloud (CAI) et reçoivent des notifications concernant les modifications apportées aux règles de gestion des ressources et de gestion de l'authentification et des accès (IAM). Certains détecteurs récupèrent les données en appelant directement les API Google Cloud, comme indiqué dans les tableaux plus loin sur cette page.

Pour en savoir plus sur Security Health Analytics, les planifications d'analyse et la prise en charge de Security Health Analytics pour les détecteurs de modules intégrés et personnalisés, consultez la section Présentation de Security Health Analytics.

Les tableaux suivants décrivent les détecteurs de Security Health Analytics, les éléments et les normes de conformité qu'ils acceptent, les paramètres qu'ils utilisent pour les analyses et les types de résultats qu'ils génèrent. Vous pouvez filtrer les résultats par divers attributs à l'aide de la page Failles de Security Command Center dans la console Google Cloud.

Pour obtenir des instructions sur la résolution des problèmes et la protection de vos ressources, consultez la page Corriger les résultats de Security Health Analytics.

Résultats de failles de clé API

Le détecteur API_KEY_SCANNER identifie les failles liées aux clés API utilisées dans votre déploiement cloud.

Détecteur Résumé Paramètres d'analyse des éléments
API key APIs unrestricted

Nom de la catégorie dans l'API : API_KEY_APIS_UNRESTRICTED

Description du résultat : Certaines clés API sont utilisées de manière trop large. Pour résoudre ce problème, limitez l'utilisation des clés API afin de n'autoriser que les API nécessaires à l'application.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 1.12
  • CIS GCP Foundation 1.1: 1.14
  • CIS GCP Foundation 1.2: 1.14
  • CIS GCP Foundation 1.3: 1.14
  • CIS GCP Foundation 2.0: 1.14
  • NIST 800-53 R5: PL-8, SA-8
  • PCI-DSS v4.0: 2.2.2, 6.2.1
  • ISO-27001 v2022: A.8.27
  • Cloud Controls Matrix 4: DSP-07
  • NIST Cybersecurity Framework 1.0: PR-IP-2
  • CIS Controls 8.0: 16.10

Récupère la propriété restrictions de toutes les clés API d'un projet, en vérifiant si l'une d'entre elles est définie sur cloudapis.googleapis.com.

  • Analyses en temps réel : Non
API key apps unrestricted

Nom de la catégorie dans l'API : API_KEY_APPS_UNRESTRICTED

Description du résultat : certaines clés API sont utilisées de manière illimitée, ce qui permet leur utilisation par toute application non approuvée.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 1.11
  • CIS GCP Foundation 1.1: 1.13
  • CIS GCP Foundation 1.2: 1.13
  • CIS GCP Foundation 1.3: 1.13
  • CIS GCP Foundation 2.0: 1.13

Récupère la propriété restrictions de toutes les clés API d'un projet, en vérifiant si browserKeyRestrictions, serverKeyRestrictions, androidKeyRestrictions ou iosKeyRestrictions est défini.

  • Analyses en temps réel : Non
API key exists

Nom de la catégorie dans l'API : API_KEY_EXISTS

Description du résultat : un projet utilise des clés API au lieu de l'authentification standard.

Niveau de tarification : Premium

Composants compatibles
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 1.10
  • CIS GCP Foundation 1.1: 1.12
  • CIS GCP Foundation 1.2: 1.12
  • CIS GCP Foundation 1.3: 1.12
  • CIS GCP Foundation 2.0: 1.12
  • NIST 800-53 R5: PL-8, SA-8
  • PCI-DSS v4.0: 2.2.2, 6.2.1
  • ISO-27001 v2022: A.8.27
  • Cloud Controls Matrix 4: DSP-07
  • NIST Cybersecurity Framework 1.0: PR-IP-2
  • CIS Controls 8.0: 16.10

Récupère toutes les clés API appartenant à un projet.

  • Analyses en temps réel : Non
API key not rotated

Nom de la catégorie dans l'API : API_KEY_NOT_ROTATED

Description du résultat : La clé API n'a pas été alternée depuis plus de 90 jours.

Niveau de tarification : Premium

Composants compatibles
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 1.13
  • CIS GCP Foundation 1.1: 1.15
  • CIS GCP Foundation 1.2: 1.15
  • CIS GCP Foundation 1.3: 1.15
  • CIS GCP Foundation 2.0: 1.15
  • NIST 800-53 R5: PL-8, SA-8
  • PCI-DSS v4.0: 2.2.2, 6.2.1
  • ISO-27001 v2022: A.8.27
  • Cloud Controls Matrix 4: DSP-07
  • NIST Cybersecurity Framework 1.0: PR-IP-2
  • CIS Controls 8.0: 16.10

Récupère l'horodatage contenu dans la propriété createTime de toutes les clés API, en vérifiant si 90 jours se sont écoulés.

  • Analyses en temps réel : Non

Résultats de l'inventaire des éléments cloud concernant les failles

Les failles de ce type de détecteur sont toutes liées aux configurations de inventaire des éléments cloud et appartiennent au type CLOUD_ASSET_SCANNER.

Détecteur Résumé Paramètres d'analyse des éléments
Cloud Asset API disabled

Nom de la catégorie dans l'API : CLOUD_ASSET_API_DISABLED

Description du résultat:La capture des ressources Google Cloud et des stratégies IAM par inventaire des éléments cloud permet d'effectuer des analyses de sécurité, un suivi des modifications des ressources et des audits de conformité. Nous vous recommandons d'activer le service inventaire des éléments cloud pour tous les projets. Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs.

Niveau de tarification : Premium

Éléments compatibles
pubsub.googleapis.com/Project

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.3: 2.13
  • CIS GCP Foundation 2.0: 2.13
  • NIST 800-53 R5: CM-8, PM-5
  • PCI-DSS v4.0: 11.2.1, 11.2.2, 12.5.1, 9.5.1, 9.5.1.1
  • ISO-27001 v2022: A.5.9, A.8.8
  • Cloud Controls Matrix 4: UEM-04
  • NIST Cybersecurity Framework 1.0: ID-AM-1, PR-DS-3
  • SOC2 v2017: CC3.2.6, CC6.1.1
  • HIPAA: 164.310(d)(2)(iii)
  • CIS Controls 8.0: 1.1, 6.6

Vérifie si le service inventaire des éléments cloud est activé.

  • Analyses en temps réel : Oui

Résultats de failles d'images Compute

Le détecteur COMPUTE_IMAGE_SCANNER identifie les failles liées aux configurations d'image Google Cloud.

Détecteur Résumé Paramètres d'analyse des éléments
Public Compute image

Nom de la catégorie dans l'API : PUBLIC_COMPUTE_IMAGE

Description du résultat : une image Compute Engine est accessible au public.

Niveau de tarification : Premium ou Standard

Éléments compatibles
compute.googleapis.com/Image

Corriger ce résultat 

Normes de conformité:

Cette catégorie de résultats n'est associée à aucune commande de conformité.

Vérifie la stratégie d'autorisation IAM des métadonnées de ressource pour les comptes principaux allUsers ou allAuthenticatedUsers, qui accordent un accès public.

  • Analyses en temps réel : Oui

Résultats de failles d'instance Compute

Le détecteur COMPUTE_INSTANCE_SCANNER identifie les failles liées aux configurations d'instance Compute Engine.

Les détecteurs COMPUTE_INSTANCE_SCANNER ne signalent pas les résultats sur les instances Compute Engine créées par GKE. Les noms de ces instances commencent par "gke-", et les utilisateurs ne peuvent pas modifier cette convention. Pour sécuriser ces instances, reportez-vous à la section "Résultats de failles de conteneur".

Détecteur Résumé Paramètres d'analyse des éléments
Confidential Computing disabled

Nom de la catégorie dans l'API : CONFIDENTIAL_COMPUTING_DISABLED

Description du résultat : l'informatique confidentielle est désactivée sur une instance Compute Engine.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.2: 4.11
  • CIS GCP Foundation 1.3: 4.11
  • CIS GCP Foundation 2.0: 4.11
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Vérifie la propriété confidentialInstanceConfig des métadonnées d'instance pour détecter la paire clé-valeur "enableConfidentialCompute":true.

  • Éléments exclus des analyses :
    • Instances GKE
    • Accès au VPC sans serveur
    • Instances associées aux tâches Dataflow
    • Instances Compute Engine qui ne sont pas de type N2D
  • Analyses en temps réel : Oui
Compute project wide SSH keys allowed

Nom de la catégorie dans l'API : COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

Description du résultat : les clés SSH au niveau du projet sont utilisées. Elles permettent de se connecter à toutes les instances du projet.

Niveau de tarification : Premium

Composants compatibles
compute.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 4.2
  • CIS GCP Foundation 1.1: 4.3
  • CIS GCP Foundation 1.2: 4.3
  • CIS GCP Foundation 1.3: 4.3
  • CIS GCP Foundation 2.0: 4.3
  • NIST 800-53 R5: AC-17, IA-5, SC-8
  • PCI-DSS v4.0: 2.2.7, 4.1.1, 4.2.1, 4.2.1.2, 4.2.2, 8.3.2
  • ISO-27001 v2022: A.5.14
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-2
  • SOC2 v2017: CC6.1.11, CC6.1.3, CC6.1.8, CC6.7.2
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(1), 164.312(e)(2)(i), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.10, 5.2

Vérifie l'objet metadata.items[] dans les métadonnées d'instance pour la paire clé-valeur "key": "block-project-ssh-keys", "value": TRUE.

  • Éléments exclus des analyses : instances GKE, tâche Dataflow, instance Windows
  • Autorisations IAM supplémentaires : roles/compute.Viewer
  • Entrées supplémentaires : lit les métadonnées de Compute Engine.
  • Analyses en temps réel : Non
Compute Secure Boot disabled

Nom de la catégorie dans l'API : COMPUTE_SECURE_BOOT_DISABLED

Description du résultat : Le démarrage sécurisé n'est pas activé sur cette VM protégée. L'utilisation du démarrage sécurisé permet de protéger les instances de machines virtuelles contre les menaces avancées, telles que les rootkits et les bootkits.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité:

Cette catégorie de résultats n'est associée à aucune commande de conformité.

Vérifie la propriété shieldedInstanceConfig sur les instances Compute Engine pour déterminer si enableSecureBoot est défini sur true. Ce détecteur vérifie si les disques associés sont compatibles avec le démarrage sécurisé et si le démarrage sécurisé est activé.

  • Éléments exclus des analyses: instances GKE, disques Compute Engine disposant d'accélérateurs GPU mais n'utilisant pas Container-Optimized OS, accès au VPC sans serveur
  • Analyses en temps réel : Oui
Compute serial ports enabled

Nom de la catégorie dans l'API : COMPUTE_SERIAL_PORTS_ENABLED

Description du résultat : les ports série sont activés pour une instance, ce qui permet de se connecter à la console série de l'instance.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 4.4
  • CIS GCP Foundation 1.1: 4.5
  • CIS GCP Foundation 1.2: 4.5
  • CIS GCP Foundation 1.3: 4.5
  • CIS GCP Foundation 2.0: 4.5
  • NIST 800-53 R5: CM-6, CM-7
  • PCI-DSS v4.0: 1.2.5, 2.2.4, 6.4.1
  • ISO-27001 v2022: A.8.9
  • SOC2 v2017: CC6.6.1, CC6.6.3, CC6.6.4
  • CIS Controls 8.0: 4.8

Vérifie l'objet metadata.items[] dans les métadonnées d'instance pour la paire clé-valeur "key": "serial-port-enable", "value": TRUE.

  • Éléments exclus des analyses : instances GKE
  • Autorisations IAM supplémentaires : roles/compute.Viewer
  • Entrées supplémentaires : lit les métadonnées de Compute Engine.
  • Analyses en temps réel : Oui
Default service account used

Nom de la catégorie dans l'API : DEFAULT_SERVICE_ACCOUNT_USED

Description du résultat : une instance est configurée pour utiliser le compte de service par défaut.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.1: 4.1
  • CIS GCP Foundation 1.2: 4.1
  • CIS GCP Foundation 1.3: 4.1
  • CIS GCP Foundation 2.0: 4.1
  • NIST 800-53 R5: IA-5
  • PCI-DSS v4.0: 2.2.2, 2.3.1
  • ISO-27001 v2022: A.8.2, A.8.9
  • NIST Cybersecurity Framework 1.0: PR-AC-1
  • SOC2 v2017: CC6.3.1, CC6.3.2, CC6.3.3
  • CIS Controls 8.0: 4.7

Vérifie la propriété serviceAccounts dans les métadonnées de l'instance pour rechercher les adresses e-mail du compte de service avec le préfixe PROJECT_NUMBER-compute@developer.gserviceaccount.com, qui indique le compte de service par défaut créé par Google.

  • Éléments exclus des analyses : instances GKE, tâches Dataflow
  • Analyses en temps réel : Oui
Disk CMEK disabled

Nom de la catégorie dans l'API : DISK_CMEK_DISABLED

Description du résultat : les disques de cette VM ne sont pas chiffrés avec les clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Disk

Corriger ce résultat 

Normes de conformité:

Cette catégorie de résultats n'est associée à aucune commande de conformité.

Vérifie le champ kmsKeyName dans l'objet diskEncryptionKey, dans les métadonnées du disque, pour le nom de ressource de votre CMEK.

  • Éléments exclus des analyses: disques associés aux environnements Cloud Composer, aux tâches Dataflow et aux instances GKE
  • Analyses en temps réel : Oui
Disk CSEK disabled

Nom de la catégorie dans l'API : DISK_CSEK_DISABLED

Description du résultat : Les disques de cette VM ne sont pas chiffrés avec les clés de chiffrement fournies par le client (CSEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la section Détecteur de cas particuliers.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Disk

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 4.6
  • CIS GCP Foundation 1.1: 4.7
  • CIS GCP Foundation 1.2: 4.7
  • CIS GCP Foundation 1.3: 4.7
  • CIS GCP Foundation 2.0: 4.7
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Vérifie le champ kmsKeyName dans l'objet diskEncryptionKey pour connaître le nom de ressource de votre CSEK.

  • Éléments exclus des analyses :
    disques Compute Engine sans marque de sécurité enforce_customer_supplied_disk_encryption_keys définie sur true.
  • Autorisations IAM supplémentaires : roles/compute.Viewer
  • Entrées supplémentaires : lit les métadonnées depuis Compute Engine.
  • Analyses en temps réel : Oui
Full API access

Nom de la catégorie dans l'API : FULL_API_ACCESS

Description du résultat : une instance est configurée pour utiliser le compte de service par défaut avec un accès complet à toutes les API Google Cloud.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 4.1
  • CIS GCP Foundation 1.1: 4.2
  • CIS GCP Foundation 1.2: 4.2
  • CIS GCP Foundation 1.3: 4.2
  • CIS GCP Foundation 2.0: 4.2
  • NIST 800-53 R4: AC-6
  • NIST 800-53 R5: IA-5
  • PCI-DSS v3.2.1: 7.1.2
  • PCI-DSS v4.0: 2.2.2, 2.3.1
  • ISO-27001 v2013: A.9.2.3
  • ISO-27001 v2022: A.8.2, A.8.9
  • NIST Cybersecurity Framework 1.0: PR-AC-1
  • SOC2 v2017: CC6.3.1, CC6.3.2, CC6.3.3
  • CIS Controls 8.0: 4.7

Récupère le champ scopes de la propriété serviceAccounts pour vérifier si un compte de service par défaut est utilisé et si le champ d'application cloud-platform lui est attribué.

  • Éléments exclus des analyses : instances GKE, tâches Dataflow
  • Analyses en temps réel : Oui
HTTP load balancer

Nom de la catégorie dans l'API : HTTP_LOAD_BALANCER

Description du résultat : une instance utilise un équilibreur de charge configuré pour utiliser un proxy HTTP cible au lieu d'un proxy HTTPS cible.

Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/TargetHttpProxy

Corriger ce résultat 

Normes de conformité:

  • PCI-DSS v3.2.1: 2.3

Détermine si la propriété selfLink de la ressource targetHttpProxy correspond à l'attribut target de la règle de transfert et si la règle de transfert contient un champ loadBalancingScheme défini sur External.

  • Autorisations IAM supplémentaires : roles/compute.Viewer
  • Entrées supplémentaires : lit les règles de transfert d'un proxy HTTP cible depuis Compute Engine, en recherchant les règles externes.
  • Analyses en temps réel : Oui
Instance OS Login disabled

Nom de la catégorie dans l'API : INSTANCE_OS_LOGIN_DISABLED

Description du résultat : OS Login est désactivé sur cette instance.

Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 4.3
  • CIS GCP Foundation 1.1: 4.4
  • CIS GCP Foundation 1.2: 4.4
  • CIS GCP Foundation 1.3: 4.4
  • CIS GCP Foundation 2.0: 4.4
  • NIST 800-53 R5: AC-2
  • ISO-27001 v2022: A.5.15
  • SOC2 v2017: CC6.1.4, CC6.1.6, CC6.1.8, CC6.1.9
  • CIS Controls 8.0: 5.6, 6.7

Vérifie si la propriété enable-oslogin de l'Custom metadata de l'instance est définie sur TRUE.

  • Éléments exclus des analyses: instances GKE, instances associées aux tâches Dataflow, accès au VPC sans serveur
  • Autorisations IAM supplémentaires : roles/compute.Viewer
  • Entrées supplémentaires: lit les métadonnées de Compute Engine.
  • Analyses en temps réel : Non
IP forwarding enabled

Nom de la catégorie dans l'API : IP_FORWARDING_ENABLED

Description du résultat : Le transfert IP est activé sur les instances.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 4.5
  • CIS GCP Foundation 1.1: 4.6
  • CIS GCP Foundation 1.2: 4.6
  • CIS GCP Foundation 1.3: 4.6
  • CIS GCP Foundation 2.0: 4.6
  • NIST 800-53 R5: CA-9, SC-7
  • PCI-DSS v4.0: 1.2.1, 1.4.1
  • SOC2 v2017: CC6.6.1, CC6.6.4
  • CIS Controls 8.0: 4.4, 4.5

Vérifie si la propriété canIpForward de l'instance est définie sur true.

  • Éléments exclus des analyses: instances GKE, accès au VPC sans serveur
  • Analyses en temps réel : Oui
OS login disabled

Nom de la catégorie dans l'API : OS_LOGIN_DISABLED

Description du résultat : OS Login est désactivé sur cette instance.

Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Project

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 4.3
  • CIS GCP Foundation 1.1: 4.4
  • CIS GCP Foundation 1.2: 4.4
  • CIS GCP Foundation 1.3: 4.4
  • CIS GCP Foundation 2.0: 4.4
  • NIST 800-53 R5: AC-2
  • ISO-27001 v2022: A.5.15
  • SOC2 v2017: CC6.1.4, CC6.1.6, CC6.1.8, CC6.1.9
  • CIS Controls 8.0: 5.6, 6.7

Vérifie l'objet commonInstanceMetadata.items[] dans les métadonnées du projet pour la paire clé/valeur, "key" : "enable-oslogin", "value" : TRUE. Le détecteur vérifie également toutes les instances d'un projet Compute Engine pour déterminer si OS Login est désactivé pour des instances individuelles.

  • Éléments exclus des analyses: instances GKE, instances associées aux tâches Dataflow
  • Autorisations IAM supplémentaires : roles/compute.Viewer
  • Entrées supplémentaires: lit les métadonnées depuis Compute Engine. Le détecteur examine également les instances Compute Engine dans le projet.
  • Analyses en temps réel : Non
Public IP address

Nom de la catégorie dans l'API : PUBLIC_IP_ADDRESS

Description du résultat : une instance possède une adresse IP publique.

Niveau de tarification : Premium ou Standard

Éléments compatibles
compute.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.1: 4.9
  • CIS GCP Foundation 1.2: 4.9
  • CIS GCP Foundation 1.3: 4.9
  • CIS GCP Foundation 2.0: 4.9
  • NIST 800-53 R4: CA-3, SC-7
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Vérifie si la propriété networkInterfaces contient un champ accessConfigs, ce qui indique qu'elle est configurée pour utiliser une adresse IP publique.

  • Éléments exclus des analyses: instances GKE, instances associées aux tâches Dataflow
  • Analyses en temps réel : Oui
Shielded VM disabled

Nom de la catégorie dans l'API : SHIELDED_VM_DISABLED

Description du résultat : La VM protégée est désactivée sur cette instance.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.1: 4.8
  • CIS GCP Foundation 1.2: 4.8
  • CIS GCP Foundation 1.3: 4.8
  • CIS GCP Foundation 2.0: 4.8

Vérifie la propriété shieldedInstanceConfig dans les instances Compute Engine pour déterminer si les champs enableIntegrityMonitoring et enableVtpm sont définis sur true. Les champs indiquent si la VM protégée est activée.

  • Éléments exclus des analyses: instances GKE et accès au VPC sans serveur
  • Analyses en temps réel : Oui
Weak SSL policy

Nom de la catégorie dans l'API : WEAK_SSL_POLICY

Description du résultat : une instance a une règle SSL faible.

Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/TargetHttpsProxy
compute.googleapis.com/TargetSslProxy

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.1: 3.9
  • CIS GCP Foundation 1.2: 3.9
  • CIS GCP Foundation 1.3: 3.9
  • CIS GCP Foundation 2.0: 3.9
  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 4.1
  • ISO-27001 v2013: A.14.1.3

Vérifie si sslPolicy dans les métadonnées de l'asset est vide ou utilise la stratégie par défaut de Google Cloud, et, pour la ressource sslPolicies associée, si profile est défini sur Restricted ou Modern, si minTlsVersion est défini sur TLS 1.2 et si customFeatures est vide ou ne contient pas les algorithmes de chiffrement suivants : TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA et TLS_RSA_WITH_3DES_EDE_CBC_SHA.

  • Autorisations IAM supplémentaires : roles/compute.Viewer
  • Entrées supplémentaires : lit les règles SSL pour le stockage des proxys cibles et recherche les règles faibles.
  • Analyses en temps réel : oui, mais uniquement lorsque le TargetHttpsProxy du TargetSslProxy est mis à jour, et non lorsque la règle SSL est mise à jour.

Résultats de failles de conteneur

Ces types de résultats sont tous liés aux configurations de conteneurs GKE et appartiennent au type de détecteur CONTAINER_SCANNER.

Détecteur Résumé Paramètres d'analyse des éléments
Alpha cluster enabled

Nom de la catégorie dans l'API : ALPHA_CLUSTER_ENABLED

Description du résultat : les fonctionnalités du cluster alpha sont activées pour un cluster GKE.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité:

  • CIS GKE 1.0: 6.10.2

Vérifie si la propriété enableKubernetesAlpha d'un cluster est définie sur true.

  • Analyses en temps réel : Oui
Auto repair disabled

Nom de la catégorie dans l'API : AUTO_REPAIR_DISABLED

Description du résultat : la fonctionnalité de réparation automatique d'un cluster GKE, qui maintient les nœuds en bon état de fonctionnement, est désactivée.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 7.7
  • CIS GKE 1.0: 6.5.2
  • PCI-DSS v3.2.1: 2.2

Vérifie la propriété management d'un pool de nœuds pour détecter la paire clé/valeur, "key":, "autoRepair", "value": true.

  • Analyses en temps réel : Oui
Auto upgrade disabled

Nom de la catégorie dans l'API : AUTO_UPGRADE_DISABLED

Description du résultat : La fonctionnalité de mise à niveau automatique des clusters GKE, qui conserve les clusters et les pools de nœuds sur la dernière version stable de Kubernetes, est désactivée.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 7.8
  • CIS GKE 1.0: 6.5.3
  • PCI-DSS v3.2.1: 2.2

Vérifie la propriété management d'un pool de nœuds pour détecter la paire clé/valeur, "key":, "autoUpgrade", "value": true.

  • Analyses en temps réel : Oui
Binary authorization disabled

Nom de la catégorie dans l'API : BINARY_AUTHORIZATION_DISABLED

Description du résultat:L'autorisation binaire est désactivée sur le cluster GKE ou la stratégie d'autorisation binaire est configurée pour autoriser le déploiement de toutes les images.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité:

Cette catégorie de résultats n'est associée à aucune commande de conformité.

Vérifie les points suivants:

  • Vérifie si la propriété binaryAuthorization contient l'une des paires clé-valeur suivantes :
    • "evaluationMode": "PROJECT_SINGLETON_POLICY_ENFORCE"
    • "evaluationMode": "POLICY_BINDINGS"
    • "evaluationMode": "POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE"
  • Vérifie si la propriété de stratégie defaultAdmissionRule ne contient pas la paire clé-valeur evaluationMode: ALWAYS_ALLOW.

  • Analyses en temps réel : Oui
Cluster logging disabled

Nom de la catégorie dans l'API : CLUSTER_LOGGING_DISABLED

Description du résultat : La journalisation n'est pas activée pour un cluster GKE.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 7.1
  • CIS GKE 1.0: 6.7.1
  • PCI-DSS v3.2.1: 10.2.2, 10.2.7

Vérifie si la propriété loggingService d'un cluster contient l'emplacement que Cloud Logging doit utiliser pour écrire des journaux.

  • Analyses en temps réel : Oui
Cluster monitoring disabled

Nom de la catégorie dans l'API : CLUSTER_MONITORING_DISABLED

Description du résultat : Monitoring est désactivé sur les clusters GKE.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 7.2
  • CIS GKE 1.0: 6.7.1
  • PCI-DSS v3.2.1: 10.1, 10.2

Vérifie si la propriété monitoringService d'un cluster contient l'emplacement que Cloud Monitoring doit utiliser pour écrire des métriques.

  • Analyses en temps réel : Oui
Cluster private Google access disabled

Nom de la catégorie dans l'API : CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED

Description du résultat : les hôtes de cluster ne sont pas configurés pour utiliser uniquement des adresses IP internes privées pour accéder aux API Google.

Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 7.16
  • PCI-DSS v3.2.1: 1.3

Vérifie si la propriété privateIpGoogleAccess d'un sous-réseau est définie sur false.

  • Entrées supplémentaires : lit les sous-réseaux à partir de l'espace de stockage et ne renvoie des résultats que pour les clusters avec sous-réseaux.
  • Analyses en temps réel : oui, mais uniquement si le cluster est mis à jour et pas pour les mises à jour du sous-réseau.
Cluster secrets encryption disabled

Nom de la catégorie dans l'API : CLUSTER_SECRETS_ENCRYPTION_DISABLED

Description du résultat : le chiffrement des secrets au niveau de la couche d'application est désactivé sur un cluster GKE.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité:

  • CIS GKE 1.0: 6.3.1

Vérifie la propriété keyName de l'objet databaseEncryption pour la paire clé-valeur "state": ENCRYPTED.

  • Analyses en temps réel : Oui
Cluster shielded nodes disabled

Nom de la catégorie dans l'API : CLUSTER_SHIELDED_NODES_DISABLED

Description du résultat : les nœuds GKE protégés ne sont pas activés pour un cluster.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité:

  • CIS GKE 1.0: 6.5.5

Vérifie la propriété shieldedNodes pour la paire clé-valeur "enabled": true.

  • Analyses en temps réel : Oui
COS not used

Nom de la catégorie dans l'API : COS_NOT_USED

Description du résultat : Les VM Compute Engine n'utilisent pas la version de Container-Optimized OS conçue pour exécuter des conteneurs Docker sur Google Cloud en toute sécurité.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 7.9
  • CIS GKE 1.0: 6.5.1
  • PCI-DSS v3.2.1: 2.2

Vérifie la propriété config d'un pool de nœuds pour détecter la paire clé/valeur, "imageType": "COS".

  • Analyses en temps réel : Oui
Integrity monitoring disabled

Nom de la catégorie dans l'API : INTEGRITY_MONITORING_DISABLED

Description du résultat : la surveillance de l'intégrité est désactivée pour un cluster GKE.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité:

  • CIS GKE 1.0: 6.5.6

Vérifie la propriété shieldedInstanceConfig de l'objet nodeConfig pour la paire clé-valeur "enableIntegrityMonitoring": true.

  • Analyses en temps réel : Oui
Intranode visibility disabled

Nom de la catégorie dans l'API : INTRANODE_VISIBILITY_DISABLED

Description du résultat : la visibilité intranœud est désactivée pour un cluster GKE.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité:

  • CIS GKE 1.0: 6.6.1

Vérifie la propriété networkConfig pour la paire clé-valeur "enableIntraNodeVisibility": true.

  • Analyses en temps réel : Oui
IP alias disabled

Nom de la catégorie dans l'API : IP_ALIAS_DISABLED

Description du résultat : un cluster GKE a été créé avec des plages d'adresses IP d'alias désactivées.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 7.13
  • CIS GKE 1.0: 6.6.2
  • PCI-DSS v3.2.1: 1.3.4, 1.3.7

Vérifie si le champ useIPAliases de ipAllocationPolicy dans un cluster est défini sur false.

  • Analyses en temps réel : Oui
Legacy authorization enabled

Nom de la catégorie dans l'API : LEGACY_AUTHORIZATION_ENABLED

Description du résultat : l'ancienne autorisation est activée sur les clusters GKE.

Niveau de tarification : Premium ou Standard

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 7.3
  • CIS GKE 1.0: 6.8.3
  • PCI-DSS v3.2.1: 4.1

Vérifie la propriété legacyAbac d'un pool de nœuds pour détecter la paire clé/valeur, "enabled" : true.

  • Analyses en temps réel : Oui
Legacy metadata enabled

Nom de la catégorie dans l'API : LEGACY_METADATA_ENABLED

Description du résultat  Les anciennes métadonnées sont activées sur les clusters GKE.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité:

  • CIS GKE 1.0: 6.4.1

Vérifie la propriété config d'un pool de nœuds pour détecter la paire clé/valeur, "disable-legacy-endpoints" : "false".

  • Analyses en temps réel : Oui
Master authorized networks disabled

Nom de la catégorie dans l'API : MASTER_AUTHORIZED_NETWORKS_DISABLED

Description du résultat : Les réseaux autorisés du plan de contrôle ne sont pas activés sur les clusters GKE.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 7.4
  • CIS GKE 1.0: 6.6.3
  • PCI-DSS v3.2.1: 1.2.1, 1.3.2

Vérifie la propriété masterAuthorizedNetworksConfig d'un pool de nœuds pour détecter la paire clé/valeur, "enabled" : false.

  • Analyses en temps réel : Oui
Network policy disabled

Nom de la catégorie dans l'API : NETWORK_POLICY_DISABLED

Description du résultat : La règle de réseau est désactivée sur les clusters GKE.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 7.11
  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.3
  • ISO-27001 v2013: A.13.1.1

Vérifie le champ networkPolicy de la propriété addonsConfig pour détecter la paire clé/valeur "disabled" : true.

  • Analyses en temps réel : Oui
Nodepool boot CMEK disabled

Nom de la catégorie dans l'API : NODEPOOL_BOOT_CMEK_DISABLED

Description du résultat : Les disques de démarrage de ce pool de nœuds ne sont pas chiffrés avec les clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité:

Cette catégorie de résultats n'est associée à aucune commande de conformité.

Vérifie la propriété bootDiskKmsKey des pools de nœuds pour identifier le nom de ressource de votre CMEK.

  • Analyses en temps réel : Oui
Nodepool secure boot disabled

Nom de la catégorie dans l'API : NODEPOOL_SECURE_BOOT_DISABLED

Description du résultat : le démarrage sécurisé est désactivé pour un cluster GKE.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité:

  • CIS GKE 1.0: 6.5.7

Vérifie la propriété shieldedInstanceConfig de l'objet nodeConfig pour la paire clé-valeur "enableSecureBoot": true.

  • Analyses en temps réel : Oui
Over privileged account

Nom de la catégorie dans l'API : OVER_PRIVILEGED_ACCOUNT

Description du résultat : Un compte de service bénéficie d'un accès aux projets trop étendu dans un cluster.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 7.17
  • NIST 800-53 R4: AC-6, SC-7
  • CIS GKE 1.0: 6.2.1
  • PCI-DSS v3.2.1: 2.1, 7.1.2
  • ISO-27001 v2013: A.9.2.3

Évalue la propriété config d'un pool de nœuds pour vérifier si aucun compte de service n'est spécifié ou si le compte de service par défaut est utilisé.

  • Analyses en temps réel : Oui
Over privileged scopes

Nom de la catégorie dans l'API : OVER_PRIVILEGED_SCOPES

Description du résultat : un compte de service de nœud possède des champs d'application d'accès étendus.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 7.18
  • CIS GKE 1.0: 6.2.1
Vérifie si le niveau d'accès répertorié dans la propriété config.oauthScopes d'un pool de nœuds est un niveau d'accès limité au compte de service : https://www.googleapis.com/auth/devstorage.read_only, https://www.googleapis.com/auth/logging.write, ou https://www.googleapis.com/auth/monitoring.
  • Analyses en temps réel : Oui
Pod security policy disabled

Nom de la catégorie dans l'API : POD_SECURITY_POLICY_DISABLED

Description du résultat : PodSecurityPolicy est désactivé sur un cluster GKE.

Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 7.14
  • CIS GKE 1.0: 6.10.3

Vérifie la propriété podSecurityPolicyConfig d'un cluster pour détecter la paire clé-valeur "enabled" : false.

  • Autorisations IAM supplémentaires : roles/container.clusterViewer
  • Entrées supplémentaires : lit les informations de cluster à partir de GKE car les règles de sécurité des pods sont une fonctionnalité bêta. PodSecurityPolicy de Kubernetes est officiellement obsolète dans la version 1.21. PodSecurityPolicy sera arrêté dans la version 1.25. Pour en savoir plus sur les alternatives, consultez la page Obsolescence de PodSecurityPolicy.
  • Analyses en temps réel : Non
Private cluster disabled

Nom de la catégorie dans l'API : PRIVATE_CLUSTER_DISABLED

Description du résultat : Un cluster GKE possède un cluster privé désactivé.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 7.15
  • CIS GKE 1.0: 6.6.5
  • PCI-DSS v3.2.1: 1.3.2

Vérifie si le champ enablePrivateNodes de la propriété privateClusterConfig est défini sur false.

  • Analyses en temps réel : Oui
Release channel disabled

Nom de la catégorie dans l'API : RELEASE_CHANNEL_DISABLED

Description du résultat : un cluster GKE n'est pas abonné à un canal de publication.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité:

  • CIS GKE 1.0: 6.5.4

Vérifie la propriété releaseChannel pour la paire clé-valeur "channel": UNSPECIFIED.

  • Analyses en temps réel : Oui
Web UI enabled

Nom de la catégorie dans l'API : WEB_UI_ENABLED

Description du résultat : L'UI Web (tableau de bord) de GKE est activée.

Niveau de tarification : Premium ou Standard

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 7.6
  • CIS GKE 1.0: 6.10.1
  • PCI-DSS v3.2.1: 6.6

Vérifie le champ kubernetesDashboard de la propriété addonsConfig pour détecter la paire clé/valeur "disabled": false.

  • Analyses en temps réel : Oui
Workload Identity disabled

Nom de la catégorie dans l'API : WORKLOAD_IDENTITY_DISABLED

Description du résultat : Workload Identity est désactivé sur un cluster GKE.

Niveau de tarification : Premium

Éléments compatibles
container.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité:

  • CIS GKE 1.0: 6.2.2

Vérifie si la propriété workloadIdentityConfig d'un cluster est définie. Le détecteur vérifie également si la propriété workloadMetadataConfig d'un pool de nœuds est définie sur GKE_METADATA.

  • Autorisations IAM supplémentaires : roles/container.clusterViewer
  • Analyses en temps réel : Oui

Résultats de failles Dataproc

Les failles de ce type de détecteur sont toutes liées à Dataproc et appartiennent au type de détecteur DATAPROC_SCANNER.

Détecteur Résumé Paramètres d'analyse des éléments
Dataproc CMEK disabled

Nom de la catégorie dans l'API : DATAPROC_CMEK_DISABLED

Description du résultat:Un cluster Dataproc a été créé sans configuration de chiffrement CMEK. Avec CMEK, les clés que vous créez et gérez dans Cloud Key Management Service encapsulent les clés utilisées par Google Cloud pour chiffrer vos données, ce qui vous permet de mieux contrôler l'accès à vos données. Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs.

Niveau de tarification : Premium

Éléments compatibles
dataproc.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.3: 1.17
  • CIS GCP Foundation 2.0: 1.17
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Vérifie si le champ kmsKeyName de la propriété encryptionConfiguration est vide.

  • Analyses en temps réel : Oui
Dataproc image outdated

Nom de la catégorie dans l'API : DATAPROC_IMAGE_OUTDATED

Description du résultat : Un cluster Dataproc a été créé avec une version d'image Dataproc affectée par les failles de sécurité dans l'utilitaire Apache Log4j 2 (CVE-2021-44228). et CVE-2021-45046.

Niveau de tarification : Premium ou Standard

Éléments compatibles
dataproc.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité:

Cette catégorie de résultats n'est associée à aucune commande de conformité.

Vérifie si le champ softwareConfig.imageVersion de la propriété config d'un objet Cluster est antérieur à la version 1.3.95. ou est une version de correction des images antérieure à 1.4.77, 1.5.53 ou 2.0.27.

  • Analyses en temps réel : Oui

Résultats de failles d'ensemble de données

Les failles de ce type de détecteur sont toutes liées aux configurations de l'ensemble de données BigQuery et appartiennent au type de détecteur DATASET_SCANNER.

Détecteur Résumé Paramètres d'analyse des éléments
BigQuery table CMEK disabled

Nom de la catégorie dans l'API : BIGQUERY_TABLE_CMEK_DISABLED

Description du résultat : une table BigQuery n'est pas configurée pour utiliser une clé de chiffrement gérée par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs.

Niveau de tarification : Premium

Éléments compatibles
bigquery.googleapis.com/Table

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.2: 7.2
  • CIS GCP Foundation 1.3: 7.2
  • CIS GCP Foundation 2.0: 7.2
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Vérifie si le champ kmsKeyName de la propriété encryptionConfiguration est vide.

  • Analyses en temps réel : Oui
Dataset CMEK disabled

Nom de la catégorie dans l'API : DATASET_CMEK_DISABLED

Description du résultat : un ensemble de données BigQuery n'est pas configuré pour utiliser une clé CMEK par défaut. Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs.

Niveau de tarification : Premium

Éléments compatibles
bigquery.googleapis.com/Dataset

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.2: 7.3
  • CIS GCP Foundation 1.3: 7.3
  • CIS GCP Foundation 2.0: 7.3
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Vérifie si le champ kmsKeyName de la propriété defaultEncryptionConfiguration est vide.

  • Analyses en temps réel : Non
Public dataset

Nom de la catégorie dans l'API : PUBLIC_DATASET

Description du résultat : Un ensemble de données est configuré pour être accessible au public.

Niveau de tarification : Premium ou Standard

Éléments compatibles
bigquery.googleapis.com/Dataset

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.1: 7.1
  • CIS GCP Foundation 1.2: 7.1
  • CIS GCP Foundation 1.3: 7.1
  • CIS GCP Foundation 2.0: 7.1
  • NIST 800-53 R4: AC-2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 7.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.14.1.3, A.8.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Vérifie la stratégie d'autorisation IAM des métadonnées de ressource pour les comptes principaux allUsers ou allAuthenticatedUsers, qui accordent un accès public.

  • Analyses en temps réel : Oui

Résultats de failles DNS

Les failles de ce type de détecteur sont toutes liées aux configurations Cloud DNS et appartiennent au type de détecteur DNS_SCANNER.

Détecteur Résumé Paramètres d'analyse des éléments
DNSSEC disabled

Nom de la catégorie dans l'API : DNSSEC_DISABLED

Description du résultat : DNSSEC est désactivé pour les zones Cloud DNS.

Niveau de tarification : Premium

Éléments compatibles
dns.googleapis.com/ManagedZone

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 3.3
  • CIS GCP Foundation 1.1: 3.3
  • CIS GCP Foundation 1.2: 3.3
  • CIS GCP Foundation 1.3: 3.3
  • CIS GCP Foundation 2.0: 3.3
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2013: A.8.2.3
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

Vérifie si le champ state de la propriété dnssecConfig est défini sur off.

  • Éléments exclus des analyses : zones Cloud DNS qui ne sont pas publiques
  • Analyses en temps réel : Oui
RSASHA1 for signing

Nom de la catégorie dans l'API : RSASHA1_FOR_SIGNING

Description du résultat : RSASHA1 est utilisé pour la signature de clé dans les zones Cloud DNS.

Niveau de tarification : Premium

Éléments compatibles
dns.googleapis.com/ManagedZone

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 3.4, 3.5
  • CIS GCP Foundation 1.1: 3.4, 3.5
  • CIS GCP Foundation 1.2: 3.4, 3.5
  • CIS GCP Foundation 1.3: 3.4, 3.5
  • CIS GCP Foundation 2.0: 3.4, 3.5
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

Vérifie si l'objet defaultKeySpecs.algorithm de la propriété dnssecConfig est défini sur rsasha1.

  • Analyses en temps réel : Oui

Résultats de failles de pare-feu

Les failles de ce type de détecteur sont toutes liées aux configurations de pare-feu et appartiennent au type de détecteur FIREWALL_SCANNER.

Détecteur Résumé Paramètres d'analyse des éléments
Egress deny rule not set

Nom de la catégorie dans l'API : EGRESS_DENY_RULE_NOT_SET

Description du résultat : Une règle de refus du trafic sortant n'est pas définie sur un pare-feu. Vous devez définir des règles de refus du trafic sortant pour bloquer le trafic sortant indésirable.

Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat 

Normes de conformité:

  • PCI-DSS v3.2.1: 7.2

Vérifie si la propriété destinationRanges du pare-feu est définie sur 0.0.0.0/0 et si la propriété denied contient la paire clé/valeur "IPProtocol" : "all".

  • Entrées supplémentaires : lit les pare-feu de sortie pour un projet à partir de l'espace de stockage.
  • Analyses en temps réel : oui, mais uniquement lors des modifications de projet et pas lors des modifications de règles de pare-feu.
Firewall rule logging disabled

Nom de la catégorie dans l'API : FIREWALL_RULE_LOGGING_DISABLED

Description du résultat : la journalisation des règles de pare-feu est désactivée. Activez la journalisation des règles de pare-feu pour pouvoir auditer les accès au réseau.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat 

Normes de conformité:

  • NIST 800-53 R4: SI-4
  • PCI-DSS v3.2.1: 10.1, 10.2
  • ISO-27001 v2013: A.13.1.1

Vérifie la propriété logConfig dans les métadonnées de pare-feu pour voir si elle est vide ou si elle contient la paire clé/valeur "enable" : false.

Open Cassandra port

Nom de la catégorie dans l'API : OPEN_CASSANDRA_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port CASSANDRA ouvert qui autorise un accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat 

Normes de conformité:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Il vérifie la propriété allowed dans les métadonnées du pare-feu pour détecter les protocoles et les ports suivants : TCP:7000-7001, 7199, 8888, 9042, 9160, 61620-61621.

  • Analyses en temps réel : Oui
Open ciscosecure websm port

Nom de la catégorie dans l'API : OPEN_CISCOSECURE_WEBSM_PORT

Description du résultat : un pare-feu est configuré de manière à disposer d'un port CISCOSECURE_WEBSM ouvert qui autorise l'accès générique.

Niveau de tarification : Premium ou Standard

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat 

Normes de conformité:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Il vérifie la propriété allowed dans les métadonnées du pare-feu pour détecter le protocole et le port suivants : TCP:9090.

  • Analyses en temps réel : Oui
Open directory services port

Nom de la catégorie dans l'API : OPEN_DIRECTORY_SERVICES_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port ouvert DIRECTORY_SERVICES permettant un accès générique.

Niveau de tarification : Premium ou Standard

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat 

Normes de conformité:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Vérifie la propriété allowed dans les métadonnées de pare-feu pour détecter les protocoles et ports suivants : TCP:445 et UDP:445.

  • Analyses en temps réel : Oui
Open DNS port

Nom de la catégorie dans l'API : OPEN_DNS_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port DNS ouvert autorisant les accès génériques.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat 

Normes de conformité:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Vérifie la propriété allowed dans les métadonnées de pare-feu pour détecter les protocoles et ports suivants : TCP:53 et UDP:53.

  • Analyses en temps réel : Oui
Open elasticsearch port

Nom de la catégorie dans l'API : OPEN_ELASTICSEARCH_PORT

Description du résultat : un pare-feu est configuré de manière à disposer d'un port ELASTICSEARCH ouvert qui autorise l'accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat 

Normes de conformité:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Il vérifie la propriété allowed dans les métadonnées du pare-feu pour détecter les protocoles et les ports suivants : TCP:9200, 9300.

  • Analyses en temps réel : Oui
Open firewall

Nom de la catégorie dans l'API : OPEN_FIREWALL

Description du résultat : un pare-feu est configuré pour être accessible au public.

Niveau de tarification : Premium ou Standard

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat 

Normes de conformité:

  • PCI-DSS v3.2.1: 1.2.1

Vérifie les propriétés sourceRanges et allowed de l'une des deux configurations :

  • La propriété sourceRanges contient 0.0.0.0/0 et la propriété allowed contient une combinaison de règles incluant tous les éléments protocol ou protocol:port, à l'exception des suivants :
    • icmp
    • tcp:22
    • tcp:443
    • tcp:3389
    • udp:3389
    • sctp:22
  • La propriété sourceRanges contient une combinaison de plages d'adresses IP qui inclut toutes les adresses IP non privées, et la propriété allowed contient une combinaison de règles qui autorisent tous les ports TCP ou UDP.
Open FTP port

Nom de la catégorie dans l'API : OPEN_FTP_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port FTP ouvert autorisant l'accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat 

Normes de conformité:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Il vérifie la propriété allowed dans les métadonnées du pare-feu pour détecter le protocole et le port suivants : TCP:21.

  • Analyses en temps réel : Oui
Open HTTP port

Nom de la catégorie dans l'API : OPEN_HTTP_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port HTTP ouvert qui autorise l'accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat 

Normes de conformité:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Il vérifie la propriété allowed dans les métadonnées du pare-feu pour détecter les protocoles et les ports suivants : TCP:80.

  • Analyses en temps réel : Oui
Open LDAP port

Nom de la catégorie dans l'API : OPEN_LDAP_PORT

Description du résultat : un pare-feu est configuré de manière à disposer d'un port LDAP ouvert qui autorise l'accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat 

Normes de conformité:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Vérifie la propriété allowed dans les métadonnées de pare-feu pour détecter les protocoles et ports suivants : TCP:389, 636 et UDP:389.

  • Analyses en temps réel : Oui
Open Memcached port

Nom de la catégorie dans l'API : OPEN_MEMCACHED_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port MEMCACHED ouvert qui autorise un accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat 

Normes de conformité:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Vérifie la propriété allowed dans les métadonnées de pare-feu pour détecter les protocoles et ports suivants : TCP:11211, 11214-11215 et UDP:11211, 11214-11215.

  • Analyses en temps réel : Oui
Open MongoDB port

Nom de la catégorie dans l'API : OPEN_MONGODB_PORT

Description du résultat : un pare-feu est configuré de manière à disposer d'un port MONGODB ouvert qui autorise l'accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat 

Normes de conformité:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Il vérifie la propriété allowed dans les métadonnées du pare-feu pour détecter les protocoles et les ports suivants : TCP:27017-27019.

  • Analyses en temps réel : Oui
Open MySQL port

Nom de la catégorie dans l'API : OPEN_MYSQL_PORT

Description du résultat : un pare-feu est configuré de manière à disposer d'un port MYSQL ouvert qui autorise l'accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat 

Normes de conformité:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Il vérifie la propriété allowed dans les métadonnées du pare-feu pour détecter le protocole et le port suivants : TCP:3306.

  • Analyses en temps réel : Oui
Open NetBIOS port

Nom de la catégorie dans l'API : OPEN_NETBIOS_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port NETBIOS ouvert autorisant un accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat 

Normes de conformité:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Vérifie la propriété allowed dans les métadonnées de pare-feu pour détecter les protocoles et ports suivants : TCP:137-139 et UDP:137-139.

  • Analyses en temps réel : Oui
Open OracleDB port

Nom de la catégorie dans l'API : OPEN_ORACLEDB_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port ORACLEDB ouvert qui autorise un accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat 

Normes de conformité:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Vérifie la propriété allowed dans les métadonnées de pare-feu pour détecter les protocoles et ports suivants : TCP:1521, 2483-2484 et UDP:2483-2484.

  • Analyses en temps réel : Oui
Open pop3 port

Nom de la catégorie dans l'API : OPEN_POP3_PORT

Description du résultat : un pare-feu est configuré de manière à disposer d'un port POP3 ouvert qui autorise l'accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat 

Normes de conformité:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Il vérifie la propriété allowed dans les métadonnées du pare-feu pour détecter le protocole et le port suivants : TCP:110.

  • Analyses en temps réel : Oui
Open PostgreSQL port

Nom de la catégorie dans l'API : OPEN_POSTGRESQL_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port PostgreSQL ouvert qui autorise l'accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat 

Normes de conformité:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Vérifie la propriété allowed dans les métadonnées de pare-feu pour détecter les protocoles et ports suivants : TCP:5432 et UDP:5432.

  • Analyses en temps réel : Oui
Open RDP port

Nom de la catégorie dans l'API : OPEN_RDP_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port RDP ouvert autorisant l'accès générique.

Niveau de tarification : Premium ou Standard

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 3.7
  • CIS GCP Foundation 1.1: 3.7
  • CIS GCP Foundation 1.2: 3.7
  • CIS GCP Foundation 1.3: 3.7
  • CIS GCP Foundation 2.0: 3.7
  • NIST 800-53 R4: SC-7
  • NIST 800-53 R5: CA-9, SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.2.1, 1.4.1
  • ISO-27001 v2013: A.13.1.1
  • SOC2 v2017: CC6.6.1, CC6.6.4
  • CIS Controls 8.0: 4.4, 4.5

Vérifie la propriété allowed dans les métadonnées de pare-feu pour détecter les protocoles et ports suivants : TCP:3389 et UDP:3389.

  • Analyses en temps réel : Oui
Open Redis port

Nom de la catégorie dans l'API : OPEN_REDIS_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port REDIS ouvert autorisant l'accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat 

Normes de conformité:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Vérifie si la propriété allowed dans les métadonnées de pare-feu contient le protocole et le port suivants : TCP:6379.

  • Analyses en temps réel : Oui
Open SMTP port

Nom de la catégorie dans l'API : OPEN_SMTP_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port SMTP ouvert autorisant l'accès générique.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat 

Normes de conformité:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Vérifie si la propriété allowed dans les métadonnées de pare-feu contient le protocole et le port suivants : TCP:25.

  • Analyses en temps réel : Oui
Open SSH port

Nom de la catégorie dans l'API : OPEN_SSH_PORT

Description du résultat : un pare-feu est configuré pour disposer d'un port SSH ouvert permettant un accès générique.

Niveau de tarification : Premium ou Standard

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 3.6
  • CIS GCP Foundation 1.1: 3.6
  • CIS GCP Foundation 1.2: 3.6
  • CIS GCP Foundation 1.3: 3.6
  • CIS GCP Foundation 2.0: 3.6
  • NIST 800-53 R4: SC-7
  • NIST 800-53 R5: CA-9, SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.2.1, 1.4.1
  • ISO-27001 v2013: A.13.1.1
  • SOC2 v2017: CC6.6.1, CC6.6.4
  • CIS Controls 8.0: 4.4, 4.5

Vérifie si la propriété allowed dans les métadonnées de pare-feu contient les protocoles et ports suivants : TCP:22 et SCTP:22.

  • Analyses en temps réel : Oui
Open Telnet port

Nom de la catégorie dans l'API : OPEN_TELNET_PORT

Description du résultat : un pare-feu est configuré de manière à disposer d'un port TELNET ouvert qui autorise l'accès générique.

Niveau de tarification : Premium ou Standard

Éléments compatibles
compute.googleapis.com/Firewall

Corriger ce résultat 

Normes de conformité:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Vérifie si la propriété allowed dans les métadonnées de pare-feu contient le protocole et le port suivants : TCP:23.

  • Analyses en temps réel : Oui

Résultats de failles IAM

Les failles de ce type de détecteur sont toutes liées à la configuration de la gestion de l'authentification et des accès (IAM) et appartiennent au type de détecteur IAM_SCANNER.

Détecteur Résumé Paramètres d'analyse des éléments
Access Transparency disabled

Nom de la catégorie dans l'API : ACCESS_TRANSPARENCY_DISABLED

Description du résultat:la fonctionnalité Access Transparency de Google Cloud est désactivée pour votre organisation. Access Transparency enregistre les accès des employés Google Cloud aux projets de votre organisation pour vous aider. Activez Access Transparency pour enregistrer qui, dans Google Cloud, accède à vos informations, quand et pourquoi.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Organization

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.3: 2.14
  • CIS GCP Foundation 2.0: 2.14

Vérifie si Access Transparency est activé dans votre organisation.

  • Analyses en temps réel : Non
Admin service account

Nom de la catégorie dans l'API : ADMIN_SERVICE_ACCOUNT

Description du résultat : un compte de service dispose des droits d'administrateur, de propriétaire ou d'éditeur. Ces rôles ne doivent pas être attribués à des comptes de service créés par l'utilisateur.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Organisation
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 1.4
  • CIS GCP Foundation 1.1: 1.5
  • CIS GCP Foundation 1.2: 1.5
  • CIS GCP Foundation 1.3: 1.5
  • CIS GCP Foundation 2.0: 1.5
  • NIST 800-53 R5: AC-6
  • ISO-27001 v2022: A.5.15, A.8.2
  • Cloud Controls Matrix 4: IAM-09
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC6.1.3, CC6.1.4, CC6.1.7, CC6.1.8, CC6.3.1, CC6.3.2, CC6.3.3
  • CIS Controls 8.0: 5.4

Vérifie la stratégie d'autorisation IAM dans les métadonnées de ressource de tous les comptes de service créés par l'utilisateur (indiqués par le préfixe iam.gserviceaccount.com) qui se voient attribuer roles/Owner ou roles/Editor, ou un ID de rôle contenant admin.

  • Éléments exclus des analyses: compte de service Container Registry (containerregistry.iam.gserviceaccount.com) et le compte de service Security Command Center (security-center-api.iam.gserviceaccount.com)
  • Analyses en temps réel : oui, sauf si la mise à jour IAM est effectuée sur un dossier.
Essential Contacts Not Configured

Nom de la catégorie dans l'API : ESSENTIAL_CONTACTS_NOT_CONFIGURED

Description de la constatation:Votre organisation n'a pas désigné de personne ni de groupe pour recevoir des notifications de Google Cloud sur les événements importants tels que les attaques, les failles et les incidents de données dans votre organisation Google Cloud. Nous vous recommandons de désigner une ou plusieurs personnes ou groupes de votre organisation comme contact essentiel.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Organization

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.3: 1.16
  • CIS GCP Foundation 2.0: 1.16
  • NIST 800-53 R5: IR-6
  • ISO-27001 v2022: A.5.20, A.5.24, A.5.5, A.5.6
  • Cloud Controls Matrix 4: SEF-08
  • NIST Cybersecurity Framework 1.0: RS-CO-1
  • SOC2 v2017: CC2.3.1
  • CIS Controls 8.0: 17.2

Vérifie qu'un contact est spécifié pour les catégories de contacts essentiels suivantes:

  • Juridique
  • Sécurité
  • Suspension
  • Technique

  • Analyses en temps réel : Non
KMS role separation

Nom de la catégorie dans l'API : KMS_ROLE_SEPARATION

Description du résultat : la séparation des tâches n'est pas appliquée et il existe un utilisateur disposant simultanément de l'un des rôles Cloud Key Management Service (Cloud KMS) : Chiffreur/Déchiffreur de clés cryptographiques, Chiffreur ou Déchiffreur.

Cette information n'est pas disponible pour les activations au niveau du projet.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Organisation
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 1.9
  • CIS GCP Foundation 1.1: 1.11
  • CIS GCP Foundation 2.0: 1.11
  • NIST 800-53 R4: AC-5
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.10.1.2, A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3
Vérifie les stratégies d'autorisation IAM dans les métadonnées de ressource et récupère en même temps les comptes principaux auxquels l'un des rôles suivants est attribué : roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter, roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer, roles/cloudkms.signerVerifier, roles/cloudkms.publicKeyViewer.
  • Analyses en temps réel : Oui
Non org IAM member

Nom de la catégorie dans l'API : NON_ORG_IAM_MEMBER

Description du résultat : un utilisateur n'utilise pas d'identifiants d'organisation. Conformément aux règles CIS GCP Foundations 1.0, seules les identités disposant d'adresses e-mail @gmail.com déclenchent actuellement ce détecteur.

Niveau de tarification : Premium ou Standard

Éléments compatibles
cloudresourcemanager.googleapis.com/Organisation
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 1.1
  • CIS GCP Foundation 1.1: 1.1
  • CIS GCP Foundation 1.2: 1.1
  • CIS GCP Foundation 1.3: 1.1
  • CIS GCP Foundation 2.0: 1.1
  • NIST 800-53 R4: AC-3
  • PCI-DSS v3.2.1: 7.1.2
  • ISO-27001 v2013: A.9.2.3

Compare les adresses e-mail @gmail.com dans le champ user des métadonnées d'une stratégie d'autorisation IAM à une liste d'identités approuvées pour votre organisation.

  • Analyses en temps réel : Oui
Open group IAM member

Nom de la catégorie dans l'API : OPEN_GROUP_IAM_MEMBER

Description du résultat : Un compte Google Groupes pouvant être associé sans approbation est utilisé comme compte principal de stratégie d'autorisation IAM.

Niveau de tarification : Premium ou Standard

Éléments compatibles
cloudresourcemanager.googleapis.com/Organisation
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat 

Normes de conformité:

Cette catégorie de résultats n'est associée à aucune commande de conformité standard.

Vérifie la stratégie IAM dans les métadonnées de ressource pour toutes les liaisons contenant un membre (entité principale) préfixé par group. Si le groupe est un groupe ouvert, Security Health Analytics génère ce résultat.
  • Entrées supplémentaires: lit les métadonnées Google Groupes pour vérifier si le groupe identifié est un groupe ouvert.
  • Analyses en temps réel : Non
Over privileged service account user

Nom de la catégorie dans l'API : OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Description du résultat : un utilisateur possède le rôle Utilisateur du compte de service ou Créateur de jetons du compte de service au niveau du projet, plutôt que pour un compte de service spécifique.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Organisation
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 1.5
  • CIS GCP Foundation 1.1: 1.6
  • CIS GCP Foundation 1.2: 1.6
  • CIS GCP Foundation 1.3: 1.6
  • CIS GCP Foundation 2.0: 1.6
  • NIST 800-53 R4: AC-6
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 7.1.2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3
Vérifie la stratégie d'autorisation IAM dans les métadonnées de ressource pour tous les comptes principaux auxquels roles/iam.serviceAccountUser ou roles/iam.serviceAccountTokenCreator est attribué au niveau du projet.
  • Éléments exclus des analyses: comptes de service Cloud Build
  • Analyses en temps réel : Oui
Primitive roles used

Nom de la catégorie dans l'API : PRIMITIVE_ROLES_USED

Description du résultat:un utilisateur possède l'un des rôles de base suivants:

  • Propriétaire (roles/owner)
  • Éditeur (roles/editor)
  • Lecteur (roles/viewer)

Ces rôles sont trop permissifs et ne doivent pas être utilisés.

Niveau de tarification:Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Organisation
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat 

Normes de conformité:

  • NIST 800-53 R4: AC-6
  • PCI-DSS v3.2.1: 7.1.2
  • ISO-27001 v2013: A.9.2.3

Vérifie la stratégie d'autorisation IAM dans les métadonnées de ressource pour tous les comptes principaux auxquels un rôle roles/owner, roles/editor ou roles/viewer est attribué.

  • Analyses en temps réel : Oui
Redis role used on org

Nom de la catégorie dans l'API : REDIS_ROLE_USED_ON_ORG

Description du résultat : un rôle IAM Redis est attribué au niveau de l'organisation ou du dossier.

Cette information n'est pas disponible pour les activations au niveau du projet.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Organization

Corriger ce résultat 

Normes de conformité:

  • PCI-DSS v3.2.1: 7.1.2
  • ISO-27001 v2013: A.9.2.3

Vérifie la stratégie d'autorisation IAM dans les métadonnées de ressource pour les comptes principaux auxquels roles/redis.admin, roles/redis.editor, roles/redis.viewer est affecté au niveau de l'organisation ou du dossier.

  • Analyses en temps réel : Oui
Service account role separation

Nom de la catégorie dans l'API : SERVICE_ACCOUNT_ROLE_SEPARATION

Description du résultat : les rôles Administrateur de compte de service et Utilisateur du compte de service ont été attribués à un utilisateur. Cela enfreint le principe de "séparation des tâches".

Cette information n'est pas disponible pour les activations au niveau du projet.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Organisation
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 1.7
  • CIS GCP Foundation 1.1: 1.8
  • CIS GCP Foundation 1.2: 1.8
  • CIS GCP Foundation 1.3: 1.8
  • CIS GCP Foundation 2.0: 1.8
  • NIST 800-53 R4: AC-5
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3
Il vérifie la stratégie d'autorisation IAM dans les métadonnées de ressource pour tous les comptes principaux auxquels roles/iam.serviceAccountUser et roles/iam.serviceAccountAdmin sont affectés simultanément.
  • Analyses en temps réel : Oui
Service account key not rotated

Nom de la catégorie dans l'API : SERVICE_ACCOUNT_KEY_NOT_ROTATED

Description du résultat : une clé de compte de service n'a pas été alternée depuis plus de 90 jours.

Niveau de tarification : Premium

Éléments compatibles
iam.googleapis.com/ServiceAccountKey

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 1.6
  • CIS GCP Foundation 1.1: 1.7
  • CIS GCP Foundation 1.2: 1.7
  • CIS GCP Foundation 1.3: 1.7
  • CIS GCP Foundation 2.0: 1.7

Évalue l'horodatage de la création de clé capturé dans la propriété validAfterTime des métadonnées de clé des comptes de service.

  • Éléments exclus des analyses : clés de compte de service expirées et clés non gérées par les utilisateurs
  • Analyses en temps réel : Oui
User managed service account key

Nom de la catégorie dans l'API : USER_MANAGED_SERVICE_ACCOUNT_KEY

Description du résultat : un utilisateur gère une clé de compte de service.

Niveau de tarification : Premium

Éléments compatibles
iam.googleapis.com/ServiceAccountKey

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 1.3
  • CIS GCP Foundation 1.1: 1.4
  • CIS GCP Foundation 1.2: 1.4
  • CIS GCP Foundation 1.3: 1.4
  • CIS GCP Foundation 2.0: 1.4

Vérifie si la propriété keyType dans les métadonnées de clé de compte de service est définie sur User_Managed.

  • Analyses en temps réel : Oui

Résultats de failles KMS

Les failles de ce type de détecteur sont toutes liées aux configurations Cloud KMS et appartiennent au type de détecteur KMS_SCANNER.

Détecteur Résumé Paramètres d'analyse des éléments
KMS key not rotated

Nom de la catégorie dans l'API : KMS_KEY_NOT_ROTATED

Description du résultat : la rotation n'est pas configurée sur une clé de chiffrement Cloud KMS. Alternez les clés de chiffrement tous les 90 jours.

Niveau de tarification : Premium

Éléments compatibles
cloudkms.googleapis.com/CryptoKey

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 1.8
  • CIS GCP Foundation 1.1: 1.10
  • CIS GCP Foundation 1.2: 1.10
  • CIS GCP Foundation 1.3: 1.10
  • CIS GCP Foundation 2.0: 1.10
  • NIST 800-53 R4: SC-12
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v3.2.1: 3.5
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2013: A.10.1.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Vérifie l'existence de propriétés rotationPeriod ou nextRotationTime dans les métadonnées de ressources.

  • Éléments exclus des analyses : clés asymétriques et clés dont les versions principales sont désactivées ou détruites
  • Analyses en temps réel : Oui
KMS project has owner

Nom de la catégorie dans l'API : KMS_PROJECT_HAS_OWNER

Description du résultat : un utilisateur dispose des autorisations Propriétaire sur un projet disposant de clés cryptographiques.

Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.1: 1.11
  • CIS GCP Foundation 1.2: 1.11
  • CIS GCP Foundation 1.3: 1.11
  • CIS GCP Foundation 2.0: 1.11
  • NIST 800-53 R4: AC-6, SC-12
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 3.5
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.10.1.2, A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Vérifie la stratégie d'autorisation IAM des métadonnées du projet pour les comptes principaux auxquels roles/Owner est affecté.

  • Entrées supplémentaires : lit les clés cryptographiques d'un projet à partir de l'espace de stockage et ne consigne que les résultats des projets comportant des clés cryptographiques.
  • Analyses en temps réel : oui, mais uniquement sur les modifications apportées aux stratégies d'autorisation IAM et pas sur les modifications apportées aux clés KMS
KMS public key

Nom de la catégorie dans l'API : KMS_PUBLIC_KEY

Description du résultat : une clé cryptographique Cloud KMS est accessible au public.

Niveau de tarification : Premium

Éléments compatibles
cloudkms.googleapis.com/CryptoKey
cloudkms.googleapis.com/KeyRing

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.1: 1.9
  • CIS GCP Foundation 1.2: 1.9
  • CIS GCP Foundation 1.3: 1.9
  • CIS GCP Foundation 2.0: 1.9
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Vérifie la stratégie d'autorisation IAM des métadonnées de ressource pour les comptes principaux allUsers ou allAuthenticatedUsers, qui accordent un accès public.

  • Analyses en temps réel : Oui
Too many KMS users

Nom de la catégorie dans l'API : TOO_MANY_KMS_USERS

Description du résultat : il existe plus de trois utilisateurs de clés cryptographiques.

Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente.

Niveau de tarification : Premium

Éléments compatibles
cloudkms.googleapis.com/CryptoKey

Corriger ce résultat 

Normes de conformité:

  • PCI-DSS v3.2.1: 3.5.2
  • ISO-27001 v2013: A.9.2.3
Vérifie les stratégies d'autorisation IAM pour détecter les trousseaux de clés, les projets et les organisations, puis récupère les comptes principaux dotés de rôles leur permettant de chiffrer, déchiffrer ou signer des données à l'aide de clés Cloud KMS : roles/owner, roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter, roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer et roles/cloudkms.signerVerifier.
  • Entrées supplémentaires : lit les versions d'une clé cryptographique à partir de l'espace de stockage et ne consigne les résultats que pour les clés ayant des versions actives. Le détecteur lit également les stratégies d'autorisation IAM du trousseau de clés, du projet et de l'organisation à partir de l'espace de stockage.
  • Analyses en temps réel : Oui

Résultats de failles de journalisation

Les failles de ce type de détecteur sont toutes liées aux configurations de journalisation et appartiennent au type de détecteur LOGGING_SCANNER.

Détecteur Résumé Paramètres d'analyse des éléments
Audit logging disabled

Nom de la catégorie dans l'API : AUDIT_LOGGING_DISABLED

Description du résultat : la journalisation d'audit a été désactivée pour cette ressource.

Cette information n'est pas disponible pour les activations au niveau du projet.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Organisation
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 2.1
  • CIS GCP Foundation 1.1: 2.1
  • CIS GCP Foundation 1.2: 2.1
  • CIS GCP Foundation 1.3: 2.1
  • CIS GCP Foundation 2.0: 2.1
  • NIST 800-53 R4: AC-2, AU-2
  • NIST 800-53 R5: AU-6, AU-7
  • PCI-DSS v3.2.1: 10.1, 10.2
  • PCI-DSS v4.0: 10.4.1, 10.4.1.1, 10.4.2, 10.4.3
  • ISO-27001 v2013: A.12.4.1, A.16.1.7
  • ISO-27001 v2022: A.5.25
  • Cloud Controls Matrix 4: LOG-05
  • NIST Cybersecurity Framework 1.0: DE-AE-2, PR-PT-1, RS-AN-1
  • SOC2 v2017: CC4.1.1, CC4.1.2, CC4.1.3, CC4.1.4, CC4.1.5, CC4.1.6, CC4.1.7, CC4.1.8, CC7.3.1, CC7.3.2, CC7.3.3, CC7.3.4, CC7.3.5
  • HIPAA: 164.308(a)(1)(ii), 164.312(b)
  • CIS Controls 8.0: 8.11, 8.2

Vérifie l'existence d'un objet auditLogConfigs dans la stratégie d'autorisation IAM des métadonnées de ressource.

  • Analyses en temps réel : Oui
Bucket logging disabled

Nom de la catégorie dans l'API : BUCKET_LOGGING_DISABLED

Description du résultat : il existe un bucket de stockage sans la journalisation activée.

Niveau de tarification : Premium

Éléments compatibles
storage.googleapis.com/Bucket

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 5.3

Vérifie si le champ logBucket de la propriété logging du bucket est vide.

  • Analyses en temps réel : Oui
Locked retention policy not set

Nom de la catégorie dans l'API : LOCKED_RETENTION_POLICY_NOT_SET

Description du résultat : une règle de conservation verrouillée n'est pas configurée pour les journaux.

Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente.

Niveau de tarification : Premium

Éléments compatibles
storage.googleapis.com/Bucket

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.1: 2.3
  • CIS GCP Foundation 1.2: 2.3
  • CIS GCP Foundation 1.3: 2.3
  • CIS GCP Foundation 2.0: 2.3
  • NIST 800-53 R4: AU-11
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 10.5
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.12.4.2, A.18.1.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Vérifie si le champ isLocked de la propriété retentionPolicy du bucket est défini sur true.

  • Entrées supplémentaires : lit le récepteur de journaux (le filtre et la destination du journal) d'un bucket pour déterminer s'il s'agit d'un bucket de journaux.
  • Analyses en temps réel : Oui
Log not exported

Nom de la catégorie dans l'API : LOG_NOT_EXPORTED

Description du résultat : une ressource n'a pas de récepteur de journaux approprié configuré.

Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 2.2
  • CIS GCP Foundation 1.1: 2.2
  • CIS GCP Foundation 1.2: 2.2
  • CIS GCP Foundation 1.3: 2.2
  • CIS GCP Foundation 2.0: 2.2
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2013: A.18.1.3
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.3

Récupère un objet logSink dans un projet en vérifiant que le champ includeChildren est défini sur true, que le champ destination inclut l'emplacement dans lequel écrire les journaux et que le champ filter est renseigné.

  • Entrées supplémentaires : lit le récepteur de journaux (le filtre et la destination du journal) d'un bucket pour déterminer s'il s'agit d'un bucket de journaux.
  • Analyses en temps réel : Oui, mais uniquement lors des modifications de projet et non si l'exportation des journaux est configurée sur un dossier ou une organisation
Object versioning disabled

Nom de la catégorie dans l'API : OBJECT_VERSIONING_DISABLED

Description du résultat : la gestion des versions d'objets n'est pas activée sur un bucket de stockage dans lequel les récepteurs sont configurés.

Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente.

Niveau de tarification : Premium

Éléments compatibles
storage.googleapis.com/Bucket

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 2.3
  • NIST 800-53 R4: AU-11
  • PCI-DSS v3.2.1: 10.5
  • ISO-27001 v2013: A.12.4.2, A.18.1.3

Vérifie si le champ enabled de la propriété versioning du bucket est défini sur true.

  • Éléments exclus des analyses : buckets Cloud Storage avec une règle de conservation verrouillée
  • Entrées supplémentaires : lit le récepteur de journaux (le filtre et la destination du journal) d'un bucket pour déterminer s'il s'agit d'un bucket de journaux.
  • Analyses en temps réel : oui, mais uniquement si la gestion des versions d'objets est modifiée et pas lors de la création de buckets de journaux.

Résultats de failles de surveillance

Les failles de ce type de détecteur sont toutes liées aux configurations de surveillance et appartiennent au type MONITORING_SCANNER. Toutes les propriétés des données de détection Monitoring incluent :

  • La valeur RecommendedLogFilter à utiliser pour créer les statistiques de journal.
  • La valeur QualifiedLogMetricNames qui couvre les conditions répertoriées dans le filtre de journal recommandé.
  • La valeur AlertPolicyFailureReasons, qui indique si le projet ne possède pas de règles d'alerte créées pour l'une des métriques de journal qualifiées, ou si les règles d'alerte existantes ne possèdent pas les paramètres recommandés.
Détecteur Résumé Paramètres d'analyse des éléments
Audit config not monitored

Nom de la catégorie dans l'API : AUDIT_CONFIG_NOT_MONITORED

Description du résultat : les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées à la configuration d'audit.

Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 2.5
  • CIS GCP Foundation 1.1: 2.5
  • CIS GCP Foundation 1.2: 2.5
  • CIS GCP Foundation 1.3: 2.5
  • CIS GCP Foundation 2.0: 2.5
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Vérifie si la propriété filter de la ressource LogsMetric du projet est définie sur protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.auditConfigDeltas:* et, si resource.type est spécifié, que cette valeur est global. Le détecteur recherche également une ressource alertPolicy correspondante, en vérifiant que les propriétés conditions et notificationChannels sont correctement configurées.
  • Autorisations IAM supplémentaires : roles/monitoring.alertPolicyViewer
  • Entrées supplémentaires : lit les métriques de journal du projet à partir de l'espace de stockage. Lit les informations de compte Google Cloud Observability à partir de Google Cloud Observability, afin de consigner uniquement les résultats des projets ayant des comptes actifs
  • Analyses en temps réel : Non
Bucket IAM not monitored

Nom de la catégorie dans l'API : BUCKET_IAM_NOT_MONITORED

Description du résultat : les métriques de journal et les alertes ne sont pas configurées pour surveiller les modifications des autorisations IAM Cloud Storage.

Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 2.10
  • CIS GCP Foundation 1.1: 2.10
  • CIS GCP Foundation 1.2: 2.10
  • CIS GCP Foundation 1.3: 2.10
  • CIS GCP Foundation 2.0: 2.10
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Vérifie si la propriété filter de la ressource LogsMetric du projet est définie sur resource.type=gcs_bucket AND protoPayload.methodName="storage.setIamPermissions". Le détecteur recherche également une ressource alertPolicy correspondante, en vérifiant que les propriétés conditions et notificationChannels sont correctement configurées.
  • Autorisations IAM supplémentaires : roles/monitoring.alertPolicyViewer
  • Entrées supplémentaires : lit les métriques de journal du projet à partir de l'espace de stockage. Lit les informations de compte Google Cloud Observability à partir de Google Cloud Observability, afin de consigner uniquement les résultats des projets ayant des comptes actifs
  • Analyses en temps réel : Non
Custom role not monitored

Nom de la catégorie dans l'API : CUSTOM_ROLE_NOT_MONITORED

Description du résultat : les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées au rôle personnalisé.

Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 2.6
  • CIS GCP Foundation 1.1: 2.6
  • CIS GCP Foundation 1.2: 2.6
  • CIS GCP Foundation 1.3: 2.6
  • CIS GCP Foundation 2.0: 2.6
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Vérifie si la propriété filter de la ressource LogsMetric du projet est définie sur resource.type="iam_role" AND (protoPayload.methodName="google.iam.admin.v1.CreateRole" OR protoPayload.methodName="google.iam.admin.v1.DeleteRole" OR protoPayload.methodName="google.iam.admin.v1.UpdateRole"). Le détecteur recherche également une ressource alertPolicy correspondante, en vérifiant que les propriétés conditions et notificationChannels sont correctement configurées.
  • Autorisations IAM supplémentaires : roles/monitoring.alertPolicyViewer
  • Entrées supplémentaires : lit les métriques de journal du projet à partir de l'espace de stockage. Lit les informations de compte Google Cloud Observability à partir de Google Cloud Observability, afin de consigner uniquement les résultats des projets ayant des comptes actifs
  • Analyses en temps réel : Non
Firewall not monitored

Nom de la catégorie dans l'API : FIREWALL_NOT_MONITORED

Description du résultat : les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées à règle de pare-feu du réseau VPC.

Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 2.7
  • CIS GCP Foundation 1.1: 2.7
  • CIS GCP Foundation 1.2: 2.7
  • CIS GCP Foundation 1.3: 2.7
  • CIS GCP Foundation 2.0: 2.7
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Vérifie si la propriété filter de la ressource LogsMetric du projet est définie sur resource.type="gce_firewall_rule" AND (protoPayload.methodName:"compute.firewalls.insert" OR protoPayload.methodName:"compute.firewalls.patch" OR protoPayload.methodName:"compute.firewalls.delete"). Le détecteur recherche également une ressource alertPolicy correspondante, en vérifiant que les propriétés conditions et notificationChannels sont correctement configurées.
  • Autorisations IAM supplémentaires : roles/monitoring.alertPolicyViewer
  • Entrées supplémentaires : lit les métriques de journal du projet à partir de l'espace de stockage. Lit les informations de compte Google Cloud Observability à partir de Google Cloud Observability, afin de consigner uniquement les résultats des projets ayant des comptes actifs
  • Analyses en temps réel : Non
Network not monitored

Nom de la catégorie dans l'API : NETWORK_NOT_MONITORED

Description du résultat : les métriques de journal et les alertes ne sont pas configurées pour surveiller les modifications du réseau VPC.

Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 2.9
  • CIS GCP Foundation 1.1: 2.9
  • CIS GCP Foundation 1.2: 2.9
  • CIS GCP Foundation 1.3: 2.9
  • CIS GCP Foundation 2.0: 2.9
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Vérifie si la propriété filter de la ressource LogsMetric du projet est définie sur resource.type="gce_network" AND (protoPayload.methodName:"compute.networks.insert" OR protoPayload.methodName:"compute.networks.patch" OR protoPayload.methodName:"compute.networks.delete" OR protoPayload.methodName:"compute.networks.removePeering" OR protoPayload.methodName:"compute.networks.addPeering"). Le détecteur recherche également une ressource alertPolicy correspondante, en vérifiant que les propriétés conditions et notificationChannels sont correctement configurées.
  • Autorisations IAM supplémentaires : roles/monitoring.alertPolicyViewer
  • Entrées supplémentaires : lit les métriques de journal du projet à partir de l'espace de stockage. Lit les informations de compte Google Cloud Observability à partir de Google Cloud Observability, afin de consigner uniquement les résultats des projets ayant des comptes actifs
  • Analyses en temps réel : Non
Owner not monitored

Nom de la catégorie dans l'API : OWNER_NOT_MONITORED

Description du résultat : les métriques et les alertes de journal ne sont pas configurées pour surveiller les attributions ni les modifications de propriété du projet.

Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 2.4
  • CIS GCP Foundation 1.1: 2.4
  • CIS GCP Foundation 1.2: 2.4
  • CIS GCP Foundation 1.3: 2.4
  • CIS GCP Foundation 2.0: 2.4
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2
Vérifie si la propriété filter de la ressource LogsMetric du projet est définie sur (protoPayload.serviceName="cloudresourcemanager.googleapis.com") AND (ProjectOwnership OR projectOwnerInvitee) OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") et, si resource.type est spécifié, que cette valeur est global. Le détecteur recherche également une ressource alertPolicy correspondante, en vérifiant que les propriétés conditions et notificationChannels sont correctement configurées.
  • Autorisations IAM supplémentaires : roles/monitoring.alertPolicyViewer
  • Entrées supplémentaires : lit les métriques de journal du projet à partir de l'espace de stockage. Lit les informations de compte Google Cloud Observability à partir de Google Cloud Observability, afin de consigner uniquement les résultats des projets ayant des comptes actifs
  • Analyses en temps réel : Non
Route not monitored

Nom de la catégorie dans l'API : ROUTE_NOT_MONITORED

Description du résultat : les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées à la route de réseau VPC.

Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 2.8
  • CIS GCP Foundation 1.1: 2.8
  • CIS GCP Foundation 1.2: 2.8
  • CIS GCP Foundation 1.3: 2.8
  • CIS GCP Foundation 2.0: 2.8
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Vérifie si la propriété filter de la ressource LogsMetric du projet est définie sur resource.type="gce_route" AND (protoPayload.methodName:"compute.routes.delete" OR protoPayload.methodName:"compute.routes.insert"). Le détecteur recherche également une ressource alertPolicy correspondante, en vérifiant que les propriétés conditions et notificationChannels sont correctement configurées.
  • Autorisations IAM supplémentaires : roles/monitoring.alertPolicyViewer
  • Entrées supplémentaires : lit les métriques de journal du projet à partir de l'espace de stockage. Lit les informations de compte Google Cloud Observability à partir de Google Cloud Observability, afin de consigner uniquement les résultats des projets ayant des comptes actifs
  • Analyses en temps réel : Non
SQL instance not monitored

SQL_INSTANCE_NOT_MONITORED

Description du résultat : les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées à la configuration des instances Cloud SQL.

Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente.

Niveau de tarification : Premium

Éléments compatibles
cloudresourcemanager.googleapis.com/Project

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 2.8
  • CIS GCP Foundation 1.1: 2.8
  • CIS GCP Foundation 1.2: 2.8
  • CIS GCP Foundation 1.3: 2.8
  • CIS GCP Foundation 2.0: 2.8
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Vérifie si la propriété filter de la ressource LogsMetric du projet est définie sur protoPayload.methodName="cloudsql.instances.update" OR protoPayload.methodName="cloudsql.instances.create" OR protoPayload.methodName="cloudsql.instances.delete" et, si resource.type est spécifié, que cette valeur est global. Le détecteur recherche également une ressource alertPolicy correspondante, en vérifiant que les propriétés conditions et notificationChannels sont correctement configurées.
  • Autorisations IAM supplémentaires : roles/monitoring.alertPolicyViewer
  • Entrées supplémentaires : lit les métriques de journal du projet à partir de l'espace de stockage. Lit les informations de compte Google Cloud Observability à partir de Google Cloud Observability, afin de consigner uniquement les résultats des projets ayant des comptes actifs
  • Analyses en temps réel : Non

Résultats de l'authentification multifacteur

Le détecteur MFA_SCANNER identifie les failles liées à l'authentification multifacteur pour les utilisateurs.

Détecteur Résumé Paramètres d'analyse des éléments
MFA not enforced

Nom de la catégorie dans l'API : MFA_NOT_ENFORCED

Certains utilisateurs n'utilisent pas la validation en deux étapes.

Google Workspace vous permet de définir un délai d'inscription pour les nouveaux utilisateurs au cours duquel ils doivent s'inscrire à la validation en deux étapes. Ce détecteur crée des résultats pour les utilisateurs pendant le délai de grâce d'inscription.

Cette information n'est pas disponible pour les activations au niveau du projet.

Niveau de tarification : Premium ou Standard

Éléments compatibles
cloudresourcemanager.googleapis.com/Organization

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 1.2
  • CIS GCP Foundation 1.1: 1.2
  • CIS GCP Foundation 1.2: 1.2
  • CIS GCP Foundation 1.3: 1.2
  • CIS GCP Foundation 2.0: 1.2
  • NIST 800-53 R4: IA-2
  • PCI-DSS v3.2.1: 8.3
  • ISO-27001 v2013: A.9.4.2
  • ISO-27001 v2022: A.8.5

Évalue les règles de gestion des identités dans les organisations et les paramètres utilisateur des comptes gérés dans Cloud Identity.

  • Éléments exclus des analyses : unités organisationnelles auxquelles sont accordées des exceptions à la règle.
  • Entrées supplémentaires : lit les données à partir de Google Workspace.
  • Analyses en temps réel : Non

Résultats de failles de réseau

Les failles de ce type de détecteur sont toutes liées aux configurations de réseau d'une organisation et appartiennent au typeNETWORK_SCANNER.

Détecteur Résumé Paramètres d'analyse des éléments
Default network

Nom de la catégorie dans l'API : DEFAULT_NETWORK

Description du résultat : le réseau par défaut existe dans un projet.

Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Network

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 3.1
  • CIS GCP Foundation 1.1: 3.1
  • CIS GCP Foundation 1.2: 3.1
  • CIS GCP Foundation 1.3: 3.1
  • CIS GCP Foundation 2.0: 3.1
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

Vérifie si la propriété name dans les métadonnées du réseau est définie sur default.

  • Éléments exclus des analyses : projets pour lesquels l'API Compute Engine est désactivée et les ressources Compute Engine sont bloquées.
  • Analyses en temps réel : Oui
DNS logging disabled

Nom de la catégorie dans l'API : DNS_LOGGING_DISABLED

Description du résultat : la journalisation DNS sur un réseau VPC n'est pas activée.

Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Network
dns.googleapis.com/Policy

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.2: 2.12
  • CIS GCP Foundation 1.3: 2.12
  • CIS GCP Foundation 2.0: 2.12
  • NIST 800-53 R5: AU-6, AU-7
  • PCI-DSS v4.0: 10.4.1, 10.4.1.1, 10.4.2, 10.4.3
  • ISO-27001 v2022: A.5.25
  • Cloud Controls Matrix 4: LOG-05
  • NIST Cybersecurity Framework 1.0: DE-AE-2, PR-PT-1, RS-AN-1
  • SOC2 v2017: CC4.1.1, CC4.1.2, CC4.1.3, CC4.1.4, CC4.1.5, CC4.1.6, CC4.1.7, CC4.1.8, CC7.3.1, CC7.3.2, CC7.3.3, CC7.3.4, CC7.3.5
  • HIPAA: 164.308(a)(1)(ii), 164.312(b)
  • CIS Controls 8.0: 8.11, 8.2, 8.6

Vérifie toutes les règles (policies) associées à un réseau VPC via le champ networks[].networkUrl et recherche au moins une règle pour laquelle enableLogging est défini sur true.

  • Éléments exclus des analyses : projets pour lesquels l'API Compute Engine est désactivée et les ressources Compute Engine sont bloquées.
  • Analyses en temps réel : Oui
Legacy network

Nom de la catégorie dans l'API : LEGACY_NETWORK

Description du résultat : un ancien réseau existe dans un projet.

Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Network

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 3.2
  • CIS GCP Foundation 1.1: 3.2
  • CIS GCP Foundation 1.2: 3.2
  • CIS GCP Foundation 1.3: 3.2
  • CIS GCP Foundation 2.0: 3.2
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

Vérifie l'existence de la propriété IPv4Range dans les métadonnées réseau.

  • Éléments exclus des analyses : projets pour lesquels l'API Compute Engine est désactivée et les ressources Compute Engine sont bloquées.
  • Analyses en temps réel : Oui
Load balancer logging disabled

Nom de la catégorie dans l'API : LOAD_BALANCER_LOGGING_DISABLED

Description du résultat:la journalisation est désactivée pour l'équilibreur de charge.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/BackendServices

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 2.0: 2.16
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2

Vérifie si la propriété enableLogging du service de backend sur l'équilibreur de charge est définie sur true.

  • Analyses en temps réel : Oui

Résultats de failles liées aux règles d'administration

Les failles de ce type de détecteur sont toutes liées aux configurations des contraintes des règles d'administration et appartiennent au type ORG_POLICY.

Détecteur Résumé Paramètres d'analyse des éléments
Org policy Confidential VM policy

Nom de la catégorie dans l'API : ORG_POLICY_CONFIDENTIAL_VM_POLICY

Description du résultat : une ressource Compute Engine n'est pas conforme à la règle d'administration constraints/compute.restrictNonConfidentialComputing. Pour plus d'informations sur cette contrainte de règle d'administration, consultez la section Appliquer des contraintes de règle d'administration sur les VM Confidential VM.

Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité:

Cette catégorie de résultats n'est associée à aucune commande de conformité.

Vérifie si la propriété enableConfidentialCompute d'une instance Compute Engine est définie sur true.

  • Éléments exclus des analyses : instances GKE
  • Autorisations IAM supplémentaires : permissions/orgpolicy.policy.get
  • Entrées supplémentaires : lit la règle d'organisation effective à partir du service de règles d'organisation.
  • Analyses en temps réel : Non
Org policy location restriction

Nom de la catégorie dans l'API : ORG_POLICY_LOCATION_RESTRICTION

Description du résultat : une ressource Compute Engine ne respecte pas la contrainte constraints/gcp.resourceLocations. Pour plus d'informations sur cette contrainte de règle d'administration, consultez la section Appliquer des contraintes de règle d'administration.

Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente.

Niveau de tarification : Premium

Éléments compatibles
Dans la ligne suivante, consultez la section Éléments compatibles avec ORG_POLICY_LOCATION_RESTRICTION.

Corriger ce résultat 

Normes de conformité:

Cette catégorie de résultats n'est associée à aucune commande de conformité.

Vérifie la propriété listPolicy dans les métadonnées des ressources compatibles pour obtenir la liste des emplacements autorisés ou refusés.

  • Autorisations IAM supplémentaires : permissions/orgpolicy.policy.get
  • Entrées supplémentaires : lit la règle d'organisation effective à partir du service de règles d'organisation.
  • Analyses en temps réel : Non

Éléments compatibles avec ORG_POLICY_LOCATION_RESTRICTION

Compute Engine
compute.googleapis.com/Autoscaler
compute.googleapis.com/Address
compute.googleapis.com/Commitment
compute.googleapis.com/Disk
compute.googleapis.com/ForwardingRule
compute.googleapis.com/HealthCheck
compute.googleapis.com/Image
compute.googleapis.com/Instance
compute.googleapis.com/InstanceGroup
compute.googleapis.com/InstanceGroupManager
compute.googleapis.com/InterconnectAttachment
compute.googleapis.com/NetworkEndpointGroup
compute.googleapis.com/NodeGroup
compute.googleapis.com/NodeTemplate
compute.googleapis.com/PacketMirroring
compute.googleapis.com/RegionBackendService
compute.googleapis.com/RegionDisk
compute.googleapis.com/ResourcePolicy
compute.googleapis.com/Reservation
compute.googleapis.com/Router
compute.googleapis.com/Snapshot
compute.googleapis.com/SslCertificate
compute.googleapis.com/Subnetwork
compute.googleapis.com/TargetHttpProxy
compute.google.apis.com/TargetHttpsProxy
compute.googleapis.com/TargetInstance
compute.googleapis.com/TargetPool
compute.googleapis.com/TargetVpnGateway
compute.googleapis.com/UrlMap
compute.googleapis.com/VpnGateway
compute.googleapis.com/VpnTunnel

GKE
container.googleapis.com/Cluster
container.googleapis.com/NodePool

Cloud Storage
storage.googleapis.com/Bucket

Cloud KMS
cloudkms.googleapis.com/CryptoKey1
cloudkms.googleapis.com/CryptoKeyVersion1
cloudkms.googleapis.com/ImportJob2
cloudkms.googleapis.com/KeyRing1

Dataproc
dataproc.googleapis.com/Cluster

BigQuery
bigquery.googleapis.com/Dataset

Dataflow
dataflow.googleapis.com/Job3

Cloud SQL
sqladmin.googleapis.com/Instance

Cloud Composer
composer.googleapis.com/Environment

Journalisation
logging.googleapis.com/LogBucket

Pub/Sub
pubsub.googleapis.com/Topic

Vertex AI
aiplatform.googleapis.com/BatchPredictionJob
aiplatform.googleapis.com/CustomJob
aiplatform.googleapis.com/Dataset
aiplatform.googleapis.com/Endpoint
aiplatform.googleapis.com/HyperparameterTuningJob
aiplatform.googleapis.com/Model
aiplatform.googleapis.com/SpecialistPool
aiplatform.googleapis.com/TrainingPipeline

Artifact Registry
artifactregistry.googleapis.com/Repository

1 Étant donné que les éléments Cloud KMS ne peuvent pas être supprimés, ils ne sont pas considérés comme hors région si leurs données ont été détruites.

2 Étant donné que les tâches d'importation Cloud KMS ont un cycle de vie contrôlé et ne peuvent pas être arrêtées en amont, une tâche d'importation n'est pas considérée comme hors région si elle est arrivée à expiration et ne peut plus être utilisée pour importer des clés.

3 Étant donné que le cycle de vie des tâches Dataflow ne peut pas être géré, une tâche n'est pas considérée comme hors région une fois qu'elle a atteint un état final (arrêt ou drainage) dans lequel elle ne sera plus utilisées pour traiter des données.

Résultats de failles Pub/Sub

Les failles de ce type de détecteur sont toutes liées aux configurations Pub/Sub et appartiennent au type PUBSUB_SCANNER.

Détecteur Résumé Paramètres d'analyse des éléments
Pubsub CMEK disabled

Nom de la catégorie dans l'API : PUBSUB_CMEK_DISABLED

Description du résultat : Un sujet Pub/Sub n'est pas chiffré avec des clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs.

Niveau de tarification : Premium

Éléments compatibles
pubsub.googleapis.com/Topic

Corriger ce résultat 

Normes de conformité:

Cette catégorie de résultats n'est associée à aucune commande de conformité.

Dans le champ kmsKeyName, vérifie le nom de ressource de votre clé CMEK.

  • Analyses en temps réel : Oui

Résultats de failles SQL

Les failles de ce type de détecteur sont toutes liées aux configurations Cloud SQL et appartiennent au type SQL_SCANNER.

Détecteur Résumé Paramètres d'analyse des éléments
AlloyDB auto backup disabled

Nom de la catégorie dans l'API : ALLOYDB_AUTO_BACKUP_DISABLED

Description du résultat:les sauvegardes automatiques ne sont pas activées pour un cluster AlloyDB pour PostgreSQL.

Niveau de tarification : Premium

Éléments compatibles
alloydb.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité:

  • NIST 800-53 R4: CP-9
  • NIST 800-53 R5: CP-10, CP-9
  • ISO-27001 v2013: A.12.3.1
  • ISO-27001 v2022: A.8.13
  • NIST Cybersecurity Framework 1.0: PR-IP-4
  • HIPAA: 164.308(a)(7)(ii)

Vérifie si la propriété automated_backup_policy.enabled dans les métadonnées d'un cluster AlloyDB pour PostgreSQL est définie sur true.

  • Éléments exclus des analyses: clusters secondaires AlloyDB pour PostgreSQL
  • Analyses en temps réel : Oui
AlloyDB backups disabled

Nom de la catégorie dans l'API : ALLOYDB_BACKUPS_DISABLED

Description du résultat:les sauvegardes ne sont pas activées pour un cluster AlloyDB pour PostgreSQL.

Niveau de tarification : Premium

Éléments compatibles
alloydb.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité:

  • NIST 800-53 R4: CP-9
  • NIST 800-53 R5: CP-10, CP-9
  • ISO-27001 v2013: A.12.3.1
  • ISO-27001 v2022: A.8.13
  • NIST Cybersecurity Framework 1.0: PR-IP-4
  • HIPAA: 164.308(a)(7)(ii)

Vérifie si les propriétés automated_backup_policy.enabled ou continuous_backup_policy.enabled des métadonnées d'un cluster AlloyDB pour PostgreSQL sont définies sur true.

  • Éléments exclus des analyses: clusters secondaires AlloyDB pour PostgreSQL
  • Analyses en temps réel : Oui
AlloyDB CMEK disabled

Nom de la catégorie dans l'API : ALLOYDB_CMEK_DISABLED

Description du résultat:un cluster AlloyDB n'est pas chiffré avec des clés de chiffrement gérées par le client (CMEK).

Niveau de tarification : Premium

Éléments compatibles
alloydb.googleapis.com/Cluster

Corriger ce résultat 

Normes de conformité:

  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Vérifie le champ encryption_type dans les métadonnées du cluster pour déterminer si la CMEK est activée.

  • Analyses en temps réel : Oui
AlloyDB log min error statement severity

Nom de la catégorie dans l'API : ALLOYDB_LOG_MIN_ERROR_STATEMENT_SEVERITY

Description du résultat:l'option de base de données log_min_error_statement d'une instance AlloyDB pour PostgreSQL n'est pas définie sur error ni sur une autre valeur recommandée.

Niveau de tarification : Premium

Éléments compatibles
alloydb.googleapis.com/Instances

Corriger ce résultat 

Normes de conformité:

  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3

Pour garantir une couverture adéquate des types de messages dans les journaux, émet une observation si le champ log_min_error_statement de la propriété databaseFlags n'est pas défini sur l'une des valeurs suivantes : debug5, debug4, debug3, debug2, debug1, info, notice, warning ou la valeur par défaut error.

  • Analyses en temps réel : Oui
AlloyDB log min messages

Nom de la catégorie dans l'API : ALLOYDB_LOG_MIN_MESSAGES

Description du résultat:l'option de base de données log_min_messages d'une instance AlloyDB pour PostgreSQL n'est pas définie sur warning ni sur une autre valeur recommandée.

Niveau de tarification : Premium

Éléments compatibles
alloydb.googleapis.com/Instances

Corriger ce résultat 

Normes de conformité:

  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3

Pour garantir une couverture adéquate des types de messages dans les journaux, émet un résultat si le champ log_min_messages de la propriété databaseFlags n'est pas défini sur l'une des valeurs suivantes : debug5, debug4, debug3, debug2, debug1, info, notice ou la valeur par défaut warning.

  • Analyses en temps réel : Oui
AlloyDB log error verbosity

Nom de la catégorie dans l'API : ALLOYDB_LOG_ERROR_VERBOSITY

Description du résultat:l'option de base de données log_error_verbosity d'une instance AlloyDB pour PostgreSQL n'est pas définie sur default ni sur une autre valeur recommandée.

Niveau de tarification : Premium

Éléments compatibles
alloydb.googleapis.com/Instances

Corriger ce résultat 

Normes de conformité:

  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3

Pour garantir une couverture adéquate des types de messages dans les journaux, génère un résultat si le champ log_error_verbosity de la propriété databaseFlags n'est pas défini sur l'une des valeurs suivantes: verbose ou la valeur par défaut default.

  • Analyses en temps réel : Oui
AlloyDB public IP

Nom de la catégorie dans l'API : ALLOYDB_PUBLIC_IP

Description du résultat:une instance de base de données AlloyDB pour PostgreSQL possède une adresse IP publique.

Niveau de tarification : Premium

Éléments compatibles
alloydb.googleapis.com/Instances

Corriger ce résultat 

Normes de conformité:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MA-4, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.2, CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3, 4.6

Vérifie si le champ enablePublicIp de la propriété instanceNetworkConfig est configuré pour autoriser les adresses IP publiques.

  • Analyses en temps réel : Oui
AlloyDB SSL not enforced

Nom de la catégorie dans l'API : ALLOYDB_SSL_NOT_ENFORCED

Description du résultat:une instance de base de données AlloyDB pour PostgreSQL ne nécessite pas que toutes les connexions entrantes utilisent SSL.

Niveau de tarification : Premium

Éléments compatibles
alloydb.googleapis.com/Instances

Corriger ce résultat 

Normes de conformité:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 4.1
  • ISO-27001 v2013: A.13.2.1, A.14.1.3, A.8.2.3

Vérifie si la propriété sslMode de l'instance AlloyDB pour PostgreSQL est définie sur ENCRYPTED_ONLY.

  • Analyses en temps réel : Oui
Auto backup disabled

Nom de la catégorie dans l'API : AUTO_BACKUP_DISABLED

Description du résultat : les sauvegardes automatiques ne sont pas activées pour une base de données Cloud SQL.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.1: 6.7
  • CIS GCP Foundation 1.2: 6.7
  • CIS GCP Foundation 1.3: 6.7
  • CIS GCP Foundation 2.0: 6.7
  • NIST 800-53 R4: CP-9
  • NIST 800-53 R5: CP-10, CP-9
  • ISO-27001 v2013: A.12.3.1
  • ISO-27001 v2022: A.8.13
  • NIST Cybersecurity Framework 1.0: PR-IP-4
  • HIPAA: 164.308(a)(7)(ii)
  • CIS Controls 8.0: 11.2

Vérifie si la propriété backupConfiguration.enabled d'une donnée Cloud SQL est définie sur true.

  • Éléments exclus des analyses : instances dupliquées Cloud SQL
  • Entrées supplémentaires : lit les stratégies d'autorisation IAM des ancêtres à partir du stockage des éléments Security Health Analytics.
  • Analyses en temps réel : Oui
Public SQL instance

Nom de la catégorie dans l'API : PUBLIC_SQL_INSTANCE

Description du résultat : une instance de base de données Cloud SQL accepte les connexions de toutes les adresses IP.

Niveau de tarification : Premium ou Standard

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 6.2
  • CIS GCP Foundation 1.1: 6.5
  • CIS GCP Foundation 1.2: 6.5
  • CIS GCP Foundation 1.3: 6.5
  • CIS GCP Foundation 2.0: 6.5
  • NIST 800-53 R4: CA-3, SC-7
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.13.1.3, A.14.1.3, A.8.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Vérifie si la propriété authorizedNetworks des instances Cloud SQL est définie sur une adresse IP unique ou sur une plage d'adresses IP.

  • Analyses en temps réel : Oui
SSL not enforced

Nom de la catégorie dans l'API : SSL_NOT_ENFORCED

Description du résultat : une instance de base de données Cloud SQL ne nécessite pas que toutes les connexions entrantes utilisent SSL.

Niveau de tarification : Premium ou Standard

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 4.1
  • ISO-27001 v2013: A.13.2.1, A.14.1.3, A.8.2.3

Vérifie si la propriété sslMode de l'instance Cloud SQL est définie sur un mode SSL approuvé, ENCRYPTED_ONLY ou TRUSTED_CLIENT_CERTIFICATE_REQUIRED.

  • Analyses en temps réel : Oui
SQL CMEK disabled

Nom de la catégorie dans l'API : SQL_CMEK_DISABLED

Description du résultat : une instance de base de données SQL n'est pas chiffrée avec des clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité:

Cette catégorie de résultats n'est associée à aucune commande de conformité.

Vérifie le champ kmsKeyName de l'objet diskEncryptionKey, dans les métadonnées d'instance, pour trouver le nom de ressource de votre CMEK.

  • Analyses en temps réel : Oui
SQL contained database authentication

Nom de la catégorie dans l'API : SQL_CONTAINED_DATABASE_AUTHENTICATION

Description du résultat : l'option de base de données contained database authentication pour une instance Cloud SQL pour SQL Server n'est pas définie sur off.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.1: 6.3.2
  • CIS GCP Foundation 1.2: 6.3.7
  • CIS GCP Foundation 1.3: 6.3.7
  • CIS GCP Foundation 2.0: 6.3.7
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Vérifie la propriété databaseFlags des métadonnées d'instance pour détecter la paire clé/valeur, "name" : "contained database authentication", "value" : "on" ou si elle est activée par défaut.

  • Analyses en temps réel : Oui
SQL cross DB ownership chaining

Nom de la catégorie dans l'API : SQL_CROSS_DB_OWNERSHIP_CHAINING

Description du résultat : l'option de base de données cross_db_ownership_chaining d'une instance Cloud SQL pour SQL Server n'est pas définie sur off.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.1: 6.3.1
  • CIS GCP Foundation 1.2: 6.3.2
  • CIS GCP Foundation 1.3: 6.3.2
  • CIS GCP Foundation 2.0: 6.3.2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Vérifie la propriété databaseFlags des métadonnées d'instance pour détecter la paire clé/valeur "name" : "cross_db_ownership_chaining", "value": "on".

  • Analyses en temps réel : Oui
SQL external scripts enabled

Nom de la catégorie dans l'API : SQL_EXTERNAL_SCRIPTS_ENABLED

Description du résultat : l'option de base de données external scripts enabled d'une instance Cloud SQL pour SQL Server n'est pas définie sur off.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.2: 6.3.1
  • CIS GCP Foundation 1.3: 6.3.1
  • CIS GCP Foundation 2.0: 6.3.1
  • NIST 800-53 R5: CM-7, SI-7
  • PCI-DSS v4.0: 1.2.5, 2.2.4, 6.4.3
  • NIST Cybersecurity Framework 1.0: PR-IP-1, PR-PT-3
  • SOC2 v2017: CC5.2.1, CC5.2.2, CC5.2.3, CC5.2.4
  • CIS Controls 8.0: 2.7

Vérifie la propriété databaseFlags des métadonnées d'instance pour détecter la paire clé/valeur "name" : "external scripts enabled", "value": "off".

  • Analyses en temps réel : Oui
SQL local infile

Nom de la catégorie dans l'API : SQL_LOCAL_INFILE

Description du résultat : l'option de base de données local_infile d'une instance Cloud SQL pour MySQL n'est pas définie sur off.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.1: 6.1.2
  • CIS GCP Foundation 1.2: 6.1.3
  • CIS GCP Foundation 1.3: 6.1.3
  • CIS GCP Foundation 2.0: 6.1.3
  • NIST 800-53 R5: CM-6, CM-7
  • PCI-DSS v4.0: 2.2.1
  • ISO-27001 v2022: A.8.8
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • CIS Controls 8.0: 16.7

Vérifie la propriété databaseFlags des métadonnées d'instance pour détecter la paire clé/valeur "name" : "local_infile", "value": "on".

  • Analyses en temps réel : Oui
SQL log checkpoints disabled

Nom de la catégorie dans l'API : SQL_LOG_CHECKPOINTS_DISABLED

Description du résultat : l'option de base de données log_checkpoints pour une instance Cloud SQL pour PostgreSQL n'est pas définie sur on.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.1: 6.2.1
  • CIS GCP Foundation 1.2: 6.2.1

Vérifie la propriété databaseFlags des métadonnées d'instance pour détecter la paire clé/valeur "name" : "log_checkpoints", "value": "on".

  • Analyses en temps réel : Oui
SQL log connections disabled

Nom de la catégorie dans l'API : SQL_LOG_CONNECTIONS_DISABLED

Description du résultat : l'option de base de données log_connections pour une instance Cloud SQL pour PostgreSQL n'est pas définie sur on.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.1: 6.2.2
  • CIS GCP Foundation 1.2: 6.2.3
  • CIS GCP Foundation 1.3: 6.2.2
  • CIS GCP Foundation 2.0: 6.2.2
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Vérifie la propriété databaseFlags des métadonnées d'instance pour détecter la paire clé/valeur "name" : "log_connections", "value": "on".

  • Analyses en temps réel : Oui
SQL log disconnections disabled

Nom de la catégorie dans l'API : SQL_LOG_DISCONNECTIONS_DISABLED

Description du résultat : l'option de base de données log_disconnections pour une instance Cloud SQL pour PostgreSQL n'est pas définie sur on.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.1: 6.2.3
  • CIS GCP Foundation 1.2: 6.2.4
  • CIS GCP Foundation 1.3: 6.2.3
  • CIS GCP Foundation 2.0: 6.2.3
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Vérifie la propriété databaseFlags des métadonnées d'instance pour détecter la paire clé/valeur "name" : "log_disconnections", "value": "on".

  • Analyses en temps réel : Oui
SQL log duration disabled

Nom de la catégorie dans l'API : SQL_LOG_DURATION_DISABLED

Description du résultat : l'option de base de données log_duration pour une instance Cloud SQL pour PostgreSQL n'est pas définie sur on.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.2: 6.2.5

Vérifie la propriété databaseFlags des métadonnées d'instance pour détecter la paire clé/valeur "name" : "log_duration", "value": "on".

  • Analyses en temps réel : Oui
SQL log error verbosity

Nom de la catégorie dans l'API : SQL_LOG_ERROR_VERBOSITY

Description du résultat:l'option de base de données log_error_verbosity d'une instance Cloud SQL pour PostgreSQL n'est pas définie sur default ou verbose.

Niveau de tarification : Premium

Composants compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.2: 6.2.2
  • CIS GCP Foundation 1.3: 6.2.1
  • CIS GCP Foundation 2.0: 6.2.1
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Vérifie si la propriété databaseFlags des métadonnées d'instance pour le champ log_error_verbosity est définie sur default ou verbose.

  • Analyses en temps réel : Oui
SQL log lock waits disabled

Nom de la catégorie dans l'API : SQL_LOG_LOCK_WAITS_DISABLED

Description du résultat : l'option de base de données log_lock_waits pour une instance Cloud SQL pour PostgreSQL n'est pas définie sur on.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.1: 6.2.4
  • CIS GCP Foundation 1.2: 6.2.6

Vérifie la propriété databaseFlags des métadonnées d'instance pour détecter la paire clé/valeur "name" : "log_lock_waits", "value": "on".

  • Analyses en temps réel : Oui
SQL log min duration statement enabled

Nom de la catégorie dans l'API : SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

Description du résultat : l'option log_min_duration_statement de la base de données pour une instance Cloud SQL pour PostgreSQL n'est pas définie sur "-1".

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.1: 6.2.7
  • CIS GCP Foundation 1.2: 6.2.16
  • CIS GCP Foundation 1.3: 6.2.8
  • CIS GCP Foundation 2.0: 6.2.7
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Vérifie la propriété databaseFlags des métadonnées d'instance pour détecter la paire clé/valeur "name" : "log_min_duration_statement", "value": "-1".

  • Analyses en temps réel : Oui
SQL log min error statement

Nom de la catégorie dans l'API : SQL_LOG_MIN_ERROR_STATEMENT

Description du résultat : l'option de base de données log_min_error_statement d'une instance Cloud SQL pour PostgreSQL n'est pas définie de manière appropriée.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.1: 6.2.5

Vérifie si le champ log_min_error_statement de databaseFlags est défini sur l'une des valeurs suivantes : debug5 ,debug4 ,debug3 ,debug2 ,debug1 ,info ,notice ,warning ou la valeur par défaut error.

  • Analyses en temps réel : Oui
SQL log min error statement severity

Nom de la catégorie dans l'API : SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

Description du résultat : l'option de base de données log_min_error_statement d'une instance Cloud SQL pour PostgreSQL ne possède pas le niveau de gravité approprié.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.2: 6.2.14
  • CIS GCP Foundation 1.3: 6.2.7
  • CIS GCP Foundation 2.0: 6.2.6
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Vérifie si le champ log_min_error_statement de la propriété databaseFlags est défini sur l'une des valeurs suivantes : error, log, fatal ou panic.

  • Analyses en temps réel : Oui
SQL log min messages

Nom de la catégorie dans l'API : SQL_LOG_MIN_MESSAGES

Description du résultat:l'option de base de données log_min_messages d'une instance Cloud SQL pour PostgreSQL n'est pas définie sur warning ou une autre valeur recommandée.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.2: 6.2.13
  • CIS GCP Foundation 1.3: 6.2.6
  • CIS GCP Foundation 2.0: 6.2.5
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Pour garantir une couverture adéquate des types de messages dans les journaux, émet un résultat si le champ log_min_messages de la propriété databaseFlags n'est pas défini sur l'une des valeurs suivantes : debug5, debug4, debug3, debug2, debug1, info, notice ou la valeur par défaut warning.

  • Analyses en temps réel : Oui
SQL log executor stats enabled

Nom de la catégorie dans l'API : SQL_LOG_EXECUTOR_STATS_ENABLED

Description du résultat : l'option de base de données log_executor_stats pour une instance Cloud SQL pour PostgreSQL n'est pas définie sur off.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.2: 6.2.11

Vérifie si la propriété databaseFlags des métadonnées d'instance pour le champ log_executor_stats est définie sur on.

  • Analyses en temps réel : Oui
SQL log hostname enabled

Nom de la catégorie dans l'API : SQL_LOG_HOSTNAME_ENABLED

Description du résultat : l'option de base de données log_hostname pour une instance Cloud SQL pour PostgreSQL n'est pas définie sur off.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.2: 6.2.8

Vérifie si la propriété databaseFlags des métadonnées d'instance pour le champ log_hostname est définie sur on.

  • Analyses en temps réel : Oui
SQL log parser stats enabled

Nom de la catégorie dans l'API : SQL_LOG_PARSER_STATS_ENABLED

Description du résultat : l'option de base de données log_parser_stats pour une instance Cloud SQL pour PostgreSQL n'est pas définie sur off.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.2: 6.2.9

Vérifie si la propriété databaseFlags des métadonnées d'instance pour le champ log_parser_stats est définie sur on.

  • Analyses en temps réel : Oui
SQL log planner stats enabled

Nom de la catégorie dans l'API : SQL_LOG_PLANNER_STATS_ENABLED

Description du résultat : l'option de base de données log_planner_stats pour une instance Cloud SQL pour PostgreSQL n'est pas définie sur off.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.2: 6.2.10

Vérifie si la propriété databaseFlags des métadonnées d'instance pour le champ log_planner_stats est définie sur on.

  • Analyses en temps réel : Oui
SQL log statement

Nom de la catégorie dans l'API : SQL_LOG_STATEMENT

Description du résultat : l'option de base de données log_statement d'une instance Cloud SQL pour PostgreSQL n'est pas définie sur ddl (toutes les instructions de définition de données).

Niveau de tarification : Premium

Composants compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.2: 6.2.7
  • CIS GCP Foundation 1.3: 6.2.4
  • CIS GCP Foundation 2.0: 6.2.4
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Vérifie si la propriété databaseFlags des métadonnées d'instance pour le champ log_statement est définie sur ddl.

  • Analyses en temps réel : Oui
SQL log statement stats enabled

Nom de la catégorie dans l'API : SQL_LOG_STATEMENT_STATS_ENABLED

Description du résultat : l'option de base de données log_statement_stats pour une instance Cloud SQL pour PostgreSQL n'est pas définie sur off.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.2: 6.2.12

Vérifie si la propriété databaseFlags des métadonnées d'instance pour le champ log_statement_stats est définie sur on.

  • Analyses en temps réel : Oui
SQL log temp files

Nom de la catégorie dans l'API : SQL_LOG_TEMP_FILES

Description du résultat : l'option log_temp_files de la base de données pour une instance Cloud SQL pour PostgreSQL n'est pas définie sur "0".

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.1: 6.2.6
  • CIS GCP Foundation 1.2: 6.2.15

Vérifie la propriété databaseFlags des métadonnées d'instance pour détecter la paire clé/valeur "name" : "log_temp_files", "value": "0".

  • Analyses en temps réel : Oui
SQL no root password

Nom de la catégorie dans l'API : SQL_NO_ROOT_PASSWORD

Description du résultat:une base de données Cloud SQL qui possède une adresse IP publique n'a pas de mot de passe configuré pour le compte racine. Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 6.3
  • CIS GCP Foundation 1.1: 6.1.1
  • CIS GCP Foundation 1.2: 6.1.1
  • CIS GCP Foundation 1.3: 6.1.1
  • CIS GCP Foundation 2.0: 6.1.1
  • NIST 800-53 R4: AC-3
  • PCI-DSS v3.2.1: 2.1
  • ISO-27001 v2013: A.8.2.3, A.9.4.2
  • ISO-27001 v2022: A.8.5

Vérifie si la propriété rootPassword du compte racine est vide.

  • Autorisations IAM supplémentaires : roles/cloudsql.client
  • Entrées supplémentaires : interroge les instances actives
  • Analyses en temps réel : Non
SQL public IP

Nom de la catégorie dans l'API : SQL_PUBLIC_IP

Description du résultat : une base de données Cloud SQL possède une adresse IP publique.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.1: 6.6
  • CIS GCP Foundation 1.2: 6.6
  • CIS GCP Foundation 1.3: 6.6
  • CIS GCP Foundation 2.0: 6.2.9, 6.6
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MA-4, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.2, CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3, 4.6

Vérifie si le type d'adresse IP d'une base de données Cloud SQL est défini sur Primary, ce qui indique qu'elle est publique.

  • Analyses en temps réel : Oui
SQL remote access enabled

Nom de la catégorie dans l'API : SQL_REMOTE_ACCESS_ENABLED

Description du résultat : l'option de base de données remote access d'une instance Cloud SQL pour SQL Server n'est pas définie sur off.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.2: 6.3.5
  • CIS GCP Foundation 1.3: 6.3.5
  • CIS GCP Foundation 2.0: 6.3.5
  • NIST 800-53 R5: CM-6, CM-7
  • PCI-DSS v4.0: 1.2.5, 2.2.4, 6.4.1
  • ISO-27001 v2022: A.8.9
  • SOC2 v2017: CC6.6.1, CC6.6.3, CC6.6.4
  • CIS Controls 8.0: 4.8

Vérifie la propriété databaseFlags des métadonnées d'instance pour détecter la paire clé/valeur "name" : "remote access", "value": "off".

  • Analyses en temps réel : Oui
SQL skip show database disabled

Nom de la catégorie dans l'API : SQL_SKIP_SHOW_DATABASE_DISABLED

Description du résultat : l'option de base de données skip_show_database d'une instance Cloud SQL pour MySQL n'est pas définie sur on.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.2: 6.1.2
  • CIS GCP Foundation 1.3: 6.1.2
  • CIS GCP Foundation 2.0: 6.1.2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Vérifie la propriété databaseFlags des métadonnées d'instance pour détecter la paire clé/valeur "name" : "skip_show_database", "value": "on".

  • Analyses en temps réel : Oui
SQL trace flag 3625

Nom de la catégorie dans l'API : SQL_TRACE_FLAG_3625

Description du résultat : l'option de base de données 3625 (trace flag) d'une instance Cloud SQL pour SQL Server n'est pas définie sur on.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.2: 6.3.6
  • CIS GCP Foundation 2.0: 6.3.6
  • NIST 800-53 R5: CM-1, CM-2, CM-6, CM-7, CM-9, SA-10, SA-3, SA-8
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.1, A.8.9
  • Cloud Controls Matrix 4: CCC-01
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC7.1.2, CC7.1.3, CC7.1.4, CC8.1.1, CC8.1.10, CC8.1.11, CC8.1.12, CC8.1.13, CC8.1.14, CC8.1.15, CC8.1.2, CC8.1.3, CC8.1.4, CC8.1.5, CC8.1.6, CC8.1.7, CC8.1.8, CC8.1.9
  • CIS Controls 8.0: 4.1

Vérifie la propriété databaseFlags des métadonnées d'instance pour détecter la paire clé/valeur "name" : "3625 (trace flag)", "value": "on".

  • Analyses en temps réel : Oui
SQL user connections configured

Nom de la catégorie dans l'API : SQL_USER_CONNECTIONS_CONFIGURED

Description du résultat : l'option de base de données user connections d'une instance Cloud SQL pour SQL Server est configurée.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.2: 6.3.3
  • CIS GCP Foundation 1.3: 6.3.3
  • CIS GCP Foundation 2.0: 6.3.3
  • NIST 800-53 R5: CM-1, CM-2, CM-6, CM-7, CM-9, SA-10, SA-3, SA-8
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.1, A.8.9
  • Cloud Controls Matrix 4: CCC-01
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC7.1.2, CC7.1.3, CC7.1.4, CC8.1.1, CC8.1.10, CC8.1.11, CC8.1.12, CC8.1.13, CC8.1.14, CC8.1.15, CC8.1.2, CC8.1.3, CC8.1.4, CC8.1.5, CC8.1.6, CC8.1.7, CC8.1.8, CC8.1.9
  • CIS Controls 8.0: 4.1

Vérifie la propriété databaseFlags des métadonnées d'instance pour détecter la paire clé/valeur "name" : "user connections", "value": "0".

  • Analyses en temps réel : Oui
SQL user options configured

Nom de la catégorie dans l'API : SQL_USER_OPTIONS_CONFIGURED

Description du résultat : l'option de base de données user options d'une instance Cloud SQL pour SQL Server est configurée.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.2: 6.3.4
  • CIS GCP Foundation 1.3: 6.3.4
  • CIS GCP Foundation 2.0: 6.3.4
  • NIST 800-53 R5: CM-1, CM-2, CM-6, CM-7, CM-9, SA-10, SA-3, SA-8
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.1, A.8.9
  • Cloud Controls Matrix 4: CCC-01
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC7.1.2, CC7.1.3, CC7.1.4, CC8.1.1, CC8.1.10, CC8.1.11, CC8.1.12, CC8.1.13, CC8.1.14, CC8.1.15, CC8.1.2, CC8.1.3, CC8.1.4, CC8.1.5, CC8.1.6, CC8.1.7, CC8.1.8, CC8.1.9
  • CIS Controls 8.0: 4.1

Vérifie la propriété databaseFlags des métadonnées d'instance pour la paire clé/valeur "name" : "user options", "value": "" (vide).

  • Analyses en temps réel : Oui
SQL weak root password

Nom de la catégorie dans l'API : SQL_WEAK_ROOT_PASSWORD

Description du résultat:une base de données Cloud SQL qui possède une adresse IP publique possède également un mot de passe faible configuré pour le compte racine. Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs.

Niveau de tarification : Premium

Éléments compatibles
sqladmin.googleapis.com/Instance

Corriger ce résultat 

Normes de conformité:

Cette catégorie de résultats n'est associée à aucune commande de conformité.

Compare le mot de passe du compte racine de votre base de données Cloud SQL à une liste de mots de passe courants.

  • Autorisations IAM supplémentaires : roles/cloudsql.client
  • Entrées supplémentaires : interroge les instances actives
  • Analyses en temps réel : Non

Résultats de failles de stockage

Les failles de ce type de détecteur sont toutes liées aux configurations de buckets Cloud Storage et appartiennent au typeSTORAGE_SCANNER.

Détecteur Résumé Paramètres d'analyse des éléments
Bucket CMEK disabled

Nom de la catégorie dans l'API : BUCKET_CMEK_DISABLED

Description du résultat : un bucket n'est pas chiffré avec des clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver les détecteurs.

Niveau de tarification : Premium

Éléments compatibles
storage.googleapis.com/Bucket

Corriger ce résultat 

Normes de conformité:

Cette catégorie de résultats n'est associée à aucune commande de conformité.

Vérifie le champ encryption dans les métadonnées du bucket pour trouver le nom de ressource de votre clé CMEK.

  • Analyses en temps réel : Oui
Bucket policy only disabled

Nom de la catégorie dans l'API : BUCKET_POLICY_ONLY_DISABLED

Description du résultat : l'accès uniforme au niveau du bucket, précédemment appelé "Stratégie du bucket seulement", n'est pas configuré.

Niveau de tarification : Premium

Éléments compatibles
storage.googleapis.com/Bucket

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.2: 5.2
  • CIS GCP Foundation 1.3: 5.2
  • CIS GCP Foundation 2.0: 5.2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Vérifie si la propriété uniformBucketLevelAccess d'un bucket est définie sur "enabled":false.

  • Analyses en temps réel : Oui
Public bucket ACL

Nom de la catégorie dans l'API : PUBLIC_BUCKET_ACL

Description du résultat : un bucket Cloud Storage est accessible au public.

Niveau de tarification : Premium ou Standard

Éléments compatibles
storage.googleapis.com/Bucket

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 5.1
  • CIS GCP Foundation 1.1: 5.1
  • CIS GCP Foundation 1.2: 5.1
  • CIS GCP Foundation 1.3: 5.1
  • CIS GCP Foundation 2.0: 5.1
  • NIST 800-53 R4: AC-2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 7.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.14.1.3, A.8.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Vérifie la stratégie d'autorisation IAM d'un bucket pour détecter les rôles publics (allUsers ou allAuthenticatedUsers).

  • Analyses en temps réel : Oui
Public log bucket

Nom de la catégorie dans l'API : PUBLIC_LOG_BUCKET

Description du résultat : un bucket de stockage utilisé comme récepteur de journaux est accessible au public.

Cette information n'est pas disponible pour les activations au niveau du projet.

Niveau de tarification : Premium ou Standard

Éléments compatibles
storage.googleapis.com/Bucket

Corriger ce résultat 

Normes de conformité:

  • NIST 800-53 R4: AU-9
  • PCI-DSS v3.2.1: 10.5
  • ISO-27001 v2013: A.12.4.2, A.18.1.3, A.8.2.3

Vérifie la stratégie d'autorisation IAM d'un bucket pour les comptes principaux allUsers ou allAuthenticatedUsers, qui accordent un accès public.

  • Entrées supplémentaires : lit le récepteur de journaux (le filtre et la destination du journal) d'un bucket pour déterminer s'il s'agit d'un bucket de journaux.
  • Analyses en temps réel : oui, mais uniquement si la stratégie IAM sur le bucket change et pas si le récepteur de journaux est modifié.

Résultats de failles de sous-réseau

Les failles de ce type de détecteur sont toutes liées aux configurations de sous-réseau d'une organisation et appartiennent au typeSUBNETWORK_SCANNER.

Détecteur Résumé Paramètres d'analyse des éléments
Flow logs disabled

Nom de la catégorie dans l'API : FLOW_LOGS_DISABLED

Description du résultat : il existe un sous-réseau VPC dans lequel les journaux de flux sont désactivés.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Subnetwork

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 3.9
  • CIS GCP Foundation 1.1: 3.8
  • CIS GCP Foundation 1.2: 3.8
  • NIST 800-53 R4: SI-4
  • PCI-DSS v3.2.1: 10.1, 10.2
  • ISO-27001 v2013: A.13.1.1

Vérifie si la propriété enableFlowLogs des sous-réseaux Compute Engine est manquante ou définie sur false.

  • Éléments exclus des analyses : accès au VPC sans serveur, sous-réseaux d'équilibreur de charge
  • Analyses en temps réel : Oui

Description du résultat:pour un sous-réseau VPC, les journaux de flux VPC sont désactivés ou ne sont pas configurés conformément aux recommandations du benchmark CIS 1.3. Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs.

Niveau de tarification : Premium

Éléments compatibles
compute.googleapis.com/Subnetwork

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.3: 3.8
  • CIS GCP Foundation 2.0: 3.8
  • NIST 800-53 R5: SI-4
  • ISO-27001 v2022: A.8.15, A.8.16
  • Cloud Controls Matrix 4: IVS-03
  • NIST Cybersecurity Framework 1.0: DE-CM-1
  • SOC2 v2017: CC7.2.1, CC7.2.2, CC7.2.3, CC7.2.4
  • CIS Controls 8.0: 13.6, 8.2

Vérifie si la propriété enableFlowLogs des sous-réseaux VPC est manquante ou définie sur false. Si les journaux de flux VPC sont activés, vérifiez que la propriété Aggregation Interval est définie sur 5 SEC, que Include metadata est défini sur true et que Sample rate est défini sur 100%.

  • Éléments exclus des analyses : accès au VPC sans serveur, sous-réseaux d'équilibreur de charge
  • Analyses en temps réel : Oui
Private Google access disabled

Nom de la catégorie dans l'API : PRIVATE_GOOGLE_ACCESS_DISABLED

Description du résultat : il existe des sous-réseaux privés sans accès aux API publiques Google.

Niveau de tarification : Premium

Éléments compatibles
storage.googleapis.com/Bucket
compute.googleapis.com/Subnetwork

Corriger ce résultat 

Normes de conformité:

  • CIS GCP Foundation 1.0: 3.8

Vérifie si la propriété privateIpGoogleAccess des sous-réseaux Compute Engine est définie sur false.

  • Analyses en temps réel : Oui

Résultats AWS

Détecteur Résumé Paramètres d'analyse des éléments

AWS Cloud Shell Full Access Restricted

Nom de la catégorie dans l'API : ACCESS_AWSCLOUDSHELLFULLACCESS_RESTRICTED

Description du résultat:

AWS CloudShell est un moyen pratique d'exécuter des commandes CLI sur les services AWS. Une stratégie IAM gérée ('AWSCloudShellFullAccess') offre un accès complet à CloudShell, ce qui permet d'importer et de télécharger des fichiers entre le système local d'un utilisateur et l'environnement CloudShell. Dans l'environnement CloudShell, un utilisateur dispose d'autorisations sudo et peut accéder à Internet. Il est donc possible d'installer un logiciel de transfert de fichiers (par exemple) et de déplacer des données de CloudShell vers des serveurs Internet externes.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • CIS AWS Foundation 2.0.0: 1.22

Assurez-vous que l'accès à AWSCloudShellFullAccess est restreint

  • Analyses en temps réel : Non

Access Keys Rotated Every 90 Days or Less

Nom de la catégorie dans l'API : ACCESS_KEYS_ROTATED_90_DAYS_LESS

Description du résultat:

Les clés d'accès se composent d'un ID de clé d'accès et d'une clé d'accès secrète, qui permettent de signer les requêtes programmatiques que vous envoyez à AWS. Les utilisateurs AWS ont besoin de leurs propres clés d'accès pour effectuer des appels programmatiques à AWS à partir de l'interface de ligne de commande AWS (CLI AWS), des outils pour Windows PowerShell, des SDK AWS ou d'appels HTTP directs à l'aide des API de services AWS individuels. Il est recommandé d'alterner régulièrement toutes les clés d'accès.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: AC-3(15)
  • PCI-DSS v3.2.1: 8.2.4
  • CIS AWS Foundation 2.0.0: 1.14
  • CIS Controls 8.0: 5

Assurez-vous que les clés d'accès sont alternées tous les 90 jours au maximum

  • Analyses en temps réel : Non

All Expired Ssl Tls Certificates Stored Aws Iam Removed

Nom de la catégorie dans l'API : ALL_EXPIRED_SSL_TLS_CERTIFICATES_STORED_AWS_IAM_REMOVED

Description du résultat:

Pour activer les connexions HTTPS à votre site Web ou à votre application dans AWS, vous avez besoin d'un certificat de serveur SSL/TLS. Vous pouvez utiliser ACM ou IAM pour stocker et déployer des certificats de serveur.
N'utilisez IAM comme gestionnaire de certificats que lorsque vous devez prendre en charge les connexions HTTPS dans une région non prise en charge par ACM. IAM chiffre de manière sécurisée vos clés privées et stocke la version chiffrée dans le stockage de certificats SSL IAM. IAM permet de déployer des certificats de serveur dans toutes les régions, mais vous devez obtenir votre certificat auprès d'un fournisseur externe pour l'utiliser avec AWS. Vous ne pouvez pas importer un certificat ACM dans IAM. De plus, vous ne pouvez pas gérer vos certificats à partir de la console IAM.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: AU-11, CM-12, SI-12
  • PCI-DSS v4.0: 9.4.2
  • ISO-27001 v2022: A.5.10, A.5.9, A.8.1
  • Cloud Controls Matrix 4: DSP-01
  • NIST Cybersecurity Framework 1.0: PR-IP-6
  • CIS AWS Foundation 2.0.0: 1.19
  • CIS Controls 8.0: 3.1

Assurez-vous de la suppression de tous les certificats SSL/TLS expirés dans AWS IAM

  • Analyses en temps réel : Non

Autoscaling Group Elb Healthcheck Required

Nom de la catégorie dans l'API : AUTOSCALING_GROUP_ELB_HEALTHCHECK_REQUIRED

Description du résultat:

Cette commande vérifie si vos groupes Auto Scaling associés à un équilibreur de charge utilisent des vérifications de l'état d'Elastic Load Balancing.

Cela permet au groupe de déterminer l'état d'une instance en fonction des tests supplémentaires fournis par l'équilibreur de charge. L'utilisation des vérifications de l'état d'Elastic Load Balancing peut contribuer à assurer la disponibilité des applications qui utilisent des groupes EC2 Auto Scaling.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: SI-2

Vérifie que tous les groupes d'autoscaling associés à un équilibreur de charge utilisent des vérifications de l'état

  • Analyses en temps réel : Non

Auto Minor Version Upgrade Feature Enabled Rds Instances

Nom de la catégorie dans l'API : AUTO_MINOR_VERSION_UPGRADE_FEATURE_ENABLED_RDS_INSTANCES

Description du résultat:

Assurez-vous que l'indicateur de mise à niveau automatique des versions mineures est activé pour les instances de base de données RDS afin qu'elles reçoivent automatiquement les mises à niveau mineures du moteur pendant la période de maintenance spécifiée. Les instances RDS peuvent ainsi bénéficier des nouvelles fonctionnalités, des corrections de bugs et des correctifs de sécurité pour leurs moteurs de base de données.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: RA-5, RA-7, SI-2
  • ISO-27001 v2022: A.8.8
  • Cloud Controls Matrix 4: UEM-03
  • NIST Cybersecurity Framework 1.0: ID-RA-1
  • SOC2 v2017: CC7.1.1, CC7.1.2, CC7.1.3, CC7.1.4, CC7.1.5
  • CIS AWS Foundation 2.0.0: 2.3.2
  • CIS Controls 8.0: 7.4

Assurez-vous que la fonctionnalité de mise à niveau automatique des versions mineures est activée pour les instances RDS

  • Analyses en temps réel : Non

Aws Config Enabled All Regions

Nom de la catégorie dans l'API : AWS_CONFIG_ENABLED_ALL_REGIONS

Description du résultat:

AWS Config est un service Web qui effectue la gestion de la configuration des ressources AWS compatibles dans votre compte et vous envoie des fichiers journaux. Les informations enregistrées incluent l'élément de configuration (ressource AWS), les relations entre les éléments de configuration (ressources AWS) et les modifications de configuration entre les ressources. Nous vous recommandons d'activer AWS Config dans toutes les régions.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: CM-8, PM-5
  • PCI-DSS v4.0: 11.2.1, 11.2.2, 12.5.1, 9.5.1, 9.5.1.1
  • ISO-27001 v2022: A.5.9, A.8.8
  • Cloud Controls Matrix 4: UEM-04
  • NIST Cybersecurity Framework 1.0: ID-AM-1, PR-DS-3
  • SOC2 v2017: CC3.2.6, CC6.1.1
  • HIPAA: 164.310(d)(2)(iii)
  • CIS AWS Foundation 2.0.0: 3.5
  • CIS Controls 8.0: 1.1

Assurez-vous que la configuration AWS est activée dans toutes les régions

  • Analyses en temps réel : Non

Aws Security Hub Enabled

Nom de la catégorie dans l'API : AWS_SECURITY_HUB_ENABLED

Description du résultat:

Security Hub collecte les données de sécurité de tous les comptes, services et produits tiers partenaires compatibles AWS. Il vous aide à analyser vos tendances de sécurité et à identifier les problèmes de sécurité les plus prioritaires. Lorsque vous activez Security Hub, il commence à consommer, agréger, organiser et hiérarchiser les résultats des services AWS que vous avez activés, tels qu'Amazon GuardDuty, Amazon Inspector et Amazon Macie. Vous pouvez également activer les intégrations avec les produits de sécurité des partenaires AWS.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: CA-7
  • PCI-DSS v3.2.1: 11.5
  • CIS AWS Foundation 2.0.0: 4.16

Assurez-vous qu'AWS Security Hub est activé

  • Analyses en temps réel : Non

Cloudtrail Logs Encrypted Rest Using Kms Cmks

Nom de la catégorie dans l'API : CLOUDTRAIL_LOGS_ENCRYPTED_REST_USING_KMS_CMKS

Description du résultat:

AWS CloudTrail est un service Web qui enregistre les appels d'API AWS pour un compte et met ces journaux à la disposition des utilisateurs et des ressources conformément aux règles IAM. AWS Key Management Service (KMS) est un service géré qui permet de créer et de contrôler les clés de chiffrement utilisées pour chiffrer les données de compte. Il utilise des modules de sécurité matériels (HSM) pour protéger la sécurité des clés de chiffrement. Les journaux CloudTrail peuvent être configurés pour exploiter le chiffrement côté serveur (SSE) et les clés principales (CMK) créées par le client KMS afin de mieux protéger les journaux CloudTrail. Nous vous recommandons de configurer CloudTrail pour utiliser SSE-KMS.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: IA-5, SC-28, SI-7(6)
  • PCI-DSS v3.2.1: 10.5.2
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 3.7
  • CIS Controls 8.0: 3.11

Assurez-vous que les journaux CloudTrail sont chiffrés au repos à l'aide de CMK KMS

  • Analyses en temps réel : Non

Cloudtrail Log File Validation Enabled

Nom de la catégorie dans l'API : CLOUDTRAIL_LOG_FILE_VALIDATION_ENABLED

Description du résultat:

La validation des fichiers journaux CloudTrail crée un fichier récapitulatif signé numériquement contenant un hachage de chaque journal que CloudTrail écrit dans S3. Ces fichiers récapitulatifs permettent de déterminer si un fichier journal a été modifié, supprimé ou inchangé après l'envoi du journal par CloudTrail. Nous vous recommandons d'activer la validation des fichiers sur tous les CloudTrails.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: AU-6, AU-7, SI-7(7)
  • PCI-DSS v3.2.1: 11.5
  • PCI-DSS v4.0: 10.4.1, 10.4.1.1, 10.4.2, 10.4.3
  • ISO-27001 v2022: A.5.25
  • Cloud Controls Matrix 4: LOG-05
  • NIST Cybersecurity Framework 1.0: DE-AE-2, PR-PT-1, RS-AN-1
  • SOC2 v2017: CC4.1.1, CC4.1.2, CC4.1.3, CC4.1.4, CC4.1.5, CC4.1.6, CC4.1.7, CC4.1.8, CC7.3.1, CC7.3.2, CC7.3.3, CC7.3.4, CC7.3.5
  • HIPAA: 164.308(a)(1)(ii), 164.312(b)
  • CIS AWS Foundation 2.0.0: 3.2
  • CIS Controls 8.0: 8.11

Assurez-vous que la validation du fichier journal CloudTrail est activée

  • Analyses en temps réel : Non

Cloudtrail Trails Integrated Cloudwatch Logs

Nom de la catégorie dans l'API : CLOUDTRAIL_TRAILS_INTEGRATED_CLOUDWATCH_LOGS

Description du résultat:

AWS CloudTrail est un service Web qui enregistre les appels d'API AWS effectués dans un compte AWS donné. Les informations enregistrées incluent l'identité de l'appelant de l'API, l'heure de l'appel d'API, l'adresse IP source de l'appelant de l'API, les paramètres de requête et les éléments de réponse renvoyés par le service AWS. CloudTrail utilise Amazon S3 pour le stockage et la diffusion des fichiers journaux. Les fichiers journaux sont donc stockés de manière durable. En plus de capturer les journaux CloudTrail dans un bucket S3 spécifié pour une analyse à long terme, vous pouvez effectuer une analyse en temps réel en configurant CloudTrail pour qu'il envoie des journaux à CloudWatch Logs. Pour une piste activée dans toutes les régions d'un compte, CloudTrail envoie les fichiers journaux de toutes ces régions à un groupe de journaux CloudWatch Logs. Il est recommandé d'envoyer les journaux CloudTrail à CloudWatch Logs.

Remarque: L'objectif de cette recommandation est de s'assurer que l'activité du compte AWS est enregistrée, surveillée et signalée de manière appropriée. CloudWatch Logs est une méthode native pour y parvenir à l'aide des services AWS, mais n'exclut pas l'utilisation d'une autre solution.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS AWS Foundation 2.0.0: 3.4
  • CIS Controls 8.0: 8.5, 8.9

Assurez-vous que les pistes CloudTrail sont intégrées aux journaux CloudWatch

  • Analyses en temps réel : Non

Cloudwatch Alarm Action Check

Nom de la catégorie dans l'API : CLOUDWATCH_ALARM_ACTION_CHECK

Description du résultat:

Cette vérification vérifie si Amazon CloudWatch a défini des actions lorsqu'une alarme passe d'un état à un autre (OK, ALARM ou INSUFFICIENT_DATA).

Il est très important de configurer des actions pour l'état ALARM dans les alarmes Amazon CloudWatch afin de déclencher une réponse immédiate lorsque les métriques surveillées dépassent les seuils.
Elle garantit une résolution rapide des problèmes, réduit les temps d'arrêt et permet une correction automatique, ce qui permet de maintenir l'intégrité du système et d'éviter les pannes.

Les alarmes comportent au moins une action.
Les alarmes comportent au moins une action lorsqu'elles passent de l'état "INSUFFICIENT_DATA" à un autre état.
(Facultatif) Les alarmes comportent au moins une action lorsque l'alarme passe à l'état "OK" à partir de n'importe quel autre état.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: SI-20

Vérifie si les alarmes CloudWatch ont au moins une action d'alarme, une action INSUFFICIENT_DATA ou une action OK activée.

  • Analyses en temps réel : Non

Cloudwatch Log Group Encrypted

Nom de la catégorie dans l'API : CLOUDWATCH_LOG_GROUP_ENCRYPTED

Description du résultat:

Cette vérification garantit que les journaux CloudWatch sont configurés avec KMS.

Les données des groupes de journaux sont toujours chiffrées dans CloudWatch Logs. Par défaut, CloudWatch Logs chiffre les données de journal au repos côté serveur. Vous pouvez également utiliser AWS Key Management Service pour ce chiffrement. Dans ce cas, le chiffrement est effectué à l'aide d'une clé AWS KMS. Le chiffrement à l'aide d'AWS KMS est activé au niveau du groupe de journaux en associant une clé KMS à un groupe de journaux, soit lorsque vous le créez, soit après sa création.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • PCI-DSS v3.2.1: 3.4

Vérifiez que tous les groupes de journaux dans Amazon CloudWatch sont chiffrés avec KMS

  • Analyses en temps réel : Non

CloudTrail CloudWatch Logs Enabled

Nom de la catégorie dans l'API : CLOUD_TRAIL_CLOUD_WATCH_LOGS_ENABLED

Description du résultat:

Cette commande vérifie si les pistes CloudTrail sont configurées pour envoyer des journaux à CloudWatch Logs. La vérification échoue si la propriété CloudWatchLogsLogGroupArn de la piste est vide.

CloudTrail enregistre les appels d'API AWS effectués dans un compte donné. Les informations enregistrées incluent les éléments suivants:

  • Identité de l'appelant de l'API
  • Heure de l'appel d'API
  • Adresse IP source de l'appelant de l'API
  • Paramètres de la requête
  • Éléments de réponse renvoyés par le service AWS

CloudTrail utilise Amazon S3 pour le stockage et la diffusion des fichiers journaux. Vous pouvez capturer les journaux CloudTrail dans un bucket S3 spécifié pour une analyse à long terme. Pour effectuer une analyse en temps réel, vous pouvez configurer CloudTrail pour qu'il envoie des journaux à CloudWatch Logs.

Pour une piste activée dans toutes les régions d'un compte, CloudTrail envoie les fichiers journaux de toutes ces régions à un groupe de journaux CloudWatch Logs.

Security Hub vous recommande d'envoyer les journaux CloudTrail à CloudWatch Logs. Notez que cette recommandation vise à s'assurer que l'activité du compte est enregistrée, surveillée et signalée de manière appropriée. Vous pouvez utiliser CloudWatch Logs pour configurer cela avec vos services AWS. Cette recommandation n'exclut pas l'utilisation d'une autre solution.

L'envoi des journaux CloudTrail à CloudWatch Logs facilite la journalisation en temps réel et l'historique des activités en fonction de l'utilisateur, de l'API, de la ressource et de l'adresse IP. Vous pouvez utiliser cette approche pour définir des alarmes et des notifications en cas d'activité inhabituelle ou sensible sur votre compte.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: SI-20
  • PCI-DSS v3.2.1: 10.5.3

Assurez-vous que toutes les pistes CloudTrail sont configurées pour envoyer des journaux à AWS CloudWatch

  • Analyses en temps réel : Non

No AWS Credentials in CodeBuild Project Environment Variables

Nom de la catégorie dans l'API : CODEBUILD_PROJECT_ENVVAR_AWSCRED_CHECK

Description du résultat:

Cette opération vérifie si le projet contient les variables d'environnement AWS_ACCESS_KEY_ID et AWS_SECRET_ACCESS_KEY.

Les identifiants d'authentification AWS_ACCESS_KEY_ID et AWS_SECRET_ACCESS_KEY ne doivent jamais être stockés en texte brut, car cela pourrait entraîner une exposition involontaire des données et un accès non autorisé.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: IA-5, SA-3

Vérifie que tous les projets contenant les variables d'environnement AWS_ACCESS_KEY_ID et AWS_SECRET_ACCESS_KEY ne sont pas en texte brut

  • Analyses en temps réel : Non

Codebuild Project Source Repo Url Check

Nom de la catégorie dans l'API : CODEBUILD_PROJECT_SOURCE_REPO_URL_CHECK

Description du résultat:

Cette vérification vérifie si l'URL du dépôt source Bitbucket d'un projet AWS CodeBuild contient des jetons d'accès personnels ou un nom d'utilisateur et un mot de passe. Le contrôle échoue si l'URL du dépôt source Bitbucket contient des jetons d'accès personnels ou un nom d'utilisateur et un mot de passe.

Les identifiants de connexion ne doivent pas être stockés ni transmis en texte brut, ni apparaître dans l'URL du dépôt source. Au lieu d'utiliser des jetons d'accès personnels ou des identifiants de connexion, vous devez accéder à votre fournisseur de sources dans CodeBuild et modifier l'URL de votre dépôt source pour qu'elle ne contienne que le chemin d'accès à l'emplacement du dépôt Bitbucket. L'utilisation de jetons d'accès personnels ou d'identifiants de connexion peut entraîner une exposition involontaire de données ou un accès non autorisé.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

Cette catégorie de résultats n'est associée à aucune commande de conformité.

Vérifie que tous les projets utilisant GitHub ou Bitbucket comme source ont recours à OAuth

  • Analyses en temps réel : Non

Credentials Unused 45 Days Greater Disabled

Nom de la catégorie dans l'API : CREDENTIALS_UNUSED_45_DAYS_GREATER_DISABLED

Description du résultat:

Les utilisateurs AWS IAM peuvent accéder aux ressources AWS à l'aide de différents types d'identifiants, tels que des mots de passe ou des clés d'accès. Nous vous recommandons de désactiver ou de supprimer tous les identifiants qui n'ont pas été utilisés depuis au moins 45 jours.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: AC-2
  • PCI-DSS v4.0: 8.3.7
  • NIST Cybersecurity Framework 1.0: PR-AC-1
  • CIS AWS Foundation 2.0.0: 1.12
  • CIS Controls 8.0: 5.3

Assurez-vous que les identifiants non utilisés pendant au moins 45 jours sont désactivés

  • Analyses en temps réel : Non

Default Security Group Vpc Restricts All Traffic

Nom de la catégorie dans l'API : DEFAULT_SECURITY_GROUP_VPC_RESTRICTS_ALL_TRAFFIC

Description du résultat:

Un VPC est fourni avec un groupe de sécurité par défaut dont les paramètres initiaux refusent tout trafic entrant, autorisent tout trafic sortant et autorisent tout trafic entre les instances attribuées au groupe de sécurité. Si vous ne spécifiez pas de groupe de sécurité lorsque vous lancez une instance, celle-ci est automatiquement affectée à ce groupe de sécurité par défaut. Les groupes de sécurité fournissent un filtrage basé sur l'état du trafic réseau entrant/sortant vers les ressources AWS. Il est recommandé que le groupe de sécurité par défaut limite tout le trafic.

Le groupe de sécurité par défaut du VPC par défaut de chaque région doit être mis à jour pour être conforme. Tous les VPC nouvellement créés contiennent automatiquement un groupe de sécurité par défaut qui devra être corrigé pour respecter cette recommandation.

REMARQUE:Lorsque vous implémentez cette recommandation, la journalisation des flux VPC est indispensable pour déterminer le niveau d'accès au port le moindre privilège requis par les systèmes pour fonctionner correctement, car elle peut consigner toutes les acceptations et les refus de paquets qui se produisent dans les groupes de sécurité actuels. Cela réduit considérablement la principale barrière à l'ingénierie du moindre privilège : la découverte des ports minimaux requis par les systèmes de l'environnement. Même si la recommandation de journalisation des flux VPC de ce benchmark n'est pas adoptée comme mesure de sécurité permanente, elle doit être utilisée pendant toute période de découverte et d'ingénierie pour les groupes de sécurité les moins privilégiés.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 5.4
  • CIS Controls 8.0: 3.3

Assurez-vous que le groupe de sécurité par défaut de chaque VPC limite tout le trafic

  • Analyses en temps réel : Non

Dms Replication Not Public

Nom de la catégorie dans l'API : DMS_REPLICATION_NOT_PUBLIC

Description du résultat:

Vérifie si les instances de réplication AWS DMS sont publiques. Pour ce faire, il examine la valeur du champ PubliclyAccessible.

Une instance de réplication privée dispose d'une adresse IP privée à laquelle vous ne pouvez pas accéder en dehors du réseau de réplication. Une instance de réplication doit disposer d'une adresse IP privée lorsque les bases de données source et cible se trouvent sur le même réseau. Le réseau doit également être connecté au VPC de l'instance de réplication à l'aide d'un VPN, d'AWS Direct Connect ou d'un appairage VPC. Pour en savoir plus sur les instances de réplication publiques et privées, consultez la section Instances de réplication publiques et privées du guide de l'utilisateur d'AWS Database Migration Service.

Vous devez également vous assurer que l'accès à la configuration de votre instance AWS DMS est limité aux seuls utilisateurs autorisés. Pour ce faire, limitez les autorisations IAM des utilisateurs pour qu'ils ne puissent pas modifier les paramètres et les ressources AWS DMS.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Vérifie si les instances de réplication AWS Database Migration Service sont publiques

  • Analyses en temps réel : Non

Do Setup Access Keys During Initial User Setup All Iam Users Console

Nom de la catégorie dans l'API : DO_SETUP_ACCESS_KEYS_DURING_INITIAL_USER_SETUP_ALL_IAM_USERS_CONSOLE

Description du résultat:

Par défaut, aucune case n'est cochée dans la console AWS lorsque vous créez un utilisateur IAM. Lorsque vous créez les identifiants utilisateur IAM, vous devez déterminer le type d'accès dont ils ont besoin.

Accès programmatique: l'utilisateur IAM peut être amené à effectuer des appels d'API, à utiliser la CLI AWS ou les outils pour Windows PowerShell. Dans ce cas, créez une clé d'accès (ID de clé d'accès et clé d'accès secrète) pour cet utilisateur.

Accès à la console de gestion AWS: si l'utilisateur doit accéder à la console de gestion AWS, créez un mot de passe pour lui.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 1.11
  • CIS Controls 8.0: 3.3, 5.4

Ne configurez pas les clés d'accès lors de la configuration initiale de l'utilisateur pour tous les utilisateurs IAM disposant d'un mot de passe de console

  • Analyses en temps réel : Non

Dynamodb Autoscaling Enabled

Nom de la catégorie dans l'API : DYNAMODB_AUTOSCALING_ENABLED

Description du résultat:

Cette opération vérifie si une table Amazon DynamoDB peut adapter sa capacité de lecture et d'écriture en fonction des besoins. Ce contrôle est accepté si la table utilise le mode de capacité à la demande ou le mode provisionné avec l'autoscaling configuré. Évoluer la capacité en fonction de la demande évite les exceptions de limitation, ce qui permet de maintenir la disponibilité de vos applications.

Les tables DynamoDB en mode capacité à la demande ne sont limitées que par les quotas de table par défaut de débit DynamoDB. Pour augmenter ces quotas, vous pouvez envoyer une demande d'assistance à l'assistance AWS.

Les tables DynamoDB en mode provisionné avec autoscaling ajustent de manière dynamique la capacité de débit provisionnée en fonction des tendances de trafic. Pour en savoir plus sur le débit limité des requêtes DynamoDB, consultez la section "Limitation du débit des requêtes et capacité de pic" dans le guide du développeur Amazon DynamoDB.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: SI-13(5)

Les tables DynamoDB doivent automatiquement adapter la capacité en fonction de la demande

  • Analyses en temps réel : Non

Dynamodb In Backup Plan

Nom de la catégorie dans l'API : DYNAMODB_IN_BACKUP_PLAN

Description du résultat:

Cette vérification évalue si une table DynamoDB est couverte par un plan de sauvegarde. Le contrôle échoue si une table DynamoDB n'est pas couverte par un plan de sauvegarde. Ce contrôle n'évalue que les tables DynamoDB qui sont à l'état "ACTIVE".

Les sauvegardes vous aident à vous remettre plus rapidement d'un incident de sécurité. Elles renforcent également la résilience de vos systèmes. Inclure des tables DynamoDB dans un plan de sauvegarde vous aide à protéger vos données contre toute perte ou suppression accidentelle.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: SI-13(5)

Les tables DynamoDB doivent être couvertes par un plan de sauvegarde

  • Analyses en temps réel : Non

Dynamodb Pitr Enabled

Nom de la catégorie dans l'API : DYNAMODB_PITR_ENABLED

Description du résultat:

La récupération à un moment précis (PITR) est l'un des mécanismes disponibles pour sauvegarder des tables DynamoDB.

Une sauvegarde ponctuelle est conservée pendant 35 jours. Si vous avez besoin d'une durée de conservation plus longue, consultez Configurer des sauvegardes planifiées pour Amazon DynamoDB à l'aide d'AWS Backup dans la documentation AWS.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: SI-13(5)

Vérifie que la récupération à un moment précis (PITR) est activée pour toutes les tables AWS DynamoDB

  • Analyses en temps réel : Non

Dynamodb Table Encrypted Kms

Nom de la catégorie dans l'API : DYNAMODB_TABLE_ENCRYPTED_KMS

Description du résultat:

Vérifie si toutes les tables DynamoDB sont chiffrées avec une clé KMS gérée par le client (non par défaut).

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: SI-7(6)

Vérifie que toutes les tables DynamoDB sont chiffrées avec AWS Key Management Service (KMS)

  • Analyses en temps réel : Non

Ebs Optimized Instance

Nom de la catégorie dans l'API : EBS_OPTIMIZED_INSTANCE

Description du résultat:

Vérifiez si l'optimisation EBS est activée pour vos instances EC2 pouvant être optimisées pour EBS

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: SC-5(2)

Vérifiez que l'optimisation EBS est activée pour toutes les instances compatibles

  • Analyses en temps réel : Non

Ebs Snapshot Public Restorable Check

Nom de la catégorie dans l'API : EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK

Description du résultat:

Vérifie si les instantanés Amazon Elastic Block Store ne sont pas publics. La commande échoue si n'importe qui peut restaurer des instantanés Amazon EBS.

Les instantanés EBS permettent de sauvegarder les données de vos volumes EBS dans Amazon S3 à un moment spécifique. Vous pouvez utiliser les instantanés pour restaurer les états précédents des volumes EBS. Il est rarement acceptable de partager un instantané avec le public. En général, la décision de partager un instantané publiquement a été prise par erreur ou sans comprendre complètement les conséquences. Cette vérification permet de s'assurer que tous ces partages ont été entièrement planifiés et intentionnels.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Les instantanés Amazon EBS ne doivent pas pouvoir être restaurés publiquement

  • Analyses en temps réel : Non

Ebs Volume Encryption Enabled All Regions

Nom de la catégorie dans l'API : EBS_VOLUME_ENCRYPTION_ENABLED_ALL_REGIONS

Description du résultat:

Elastic Compute Cloud (EC2) est compatible avec le chiffrement au repos lorsque vous utilisez le service Elastic Block Store (EBS). Bien qu'il soit désactivé par défaut, le forçage du chiffrement lors de la création d'un volume EBS est accepté.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: IA-5, SC-28, SI-7(6)
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 2.2.1
  • CIS Controls 8.0: 3.11

Assurez-vous que le chiffrement de volume EBS est activé dans toutes les régions

  • Analyses en temps réel : Non

Ec2 Instances In Vpc

Nom de la catégorie dans l'API : EC2_INSTANCES_IN_VPC

Description du résultat:

Amazon VPC offre plus de fonctionnalités de sécurité qu'EC2 Classic. Il est recommandé que tous les nœuds appartiennent à un VPC Amazon.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: SC-7

Vérifiez que toutes les instances appartiennent à un VPC

  • Analyses en temps réel : Non

Ec2 Instance No Public Ip

Nom de la catégorie dans l'API : EC2_INSTANCE_NO_PUBLIC_IP

Description du résultat:

Les instances EC2 disposant d'une adresse IP publique sont plus exposées aux risques de compromission. Il est recommandé de ne pas configurer d'adresse IP publique pour les instances EC2.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Assurez-vous qu'aucune instance ne dispose d'une adresse IP publique

  • Analyses en temps réel : Non

Ec2 Managedinstance Association Compliance Status Check

Nom de la catégorie dans l'API : EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK

Description du résultat:

Une association à State Manager est une configuration attribuée à vos instances gérées. La configuration définit l'état que vous souhaitez conserver sur vos instances. Par exemple, une association peut spécifier qu'un logiciel antivirus doit être installé et exécuté sur vos instances, ou que certains ports doivent être fermés. Les instances EC2 associées à AWS Systems Manager sont gérées par Systems Manager, ce qui facilite l'application des correctifs, la correction des erreurs de configuration et la réponse aux événements de sécurité.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • PCI-DSS v3.2.1: 6.2

Vérifie l'état de conformité de l'association AWS Systems Manager

  • Analyses en temps réel : Non

Ec2 Managedinstance Patch Compliance Status Check

Nom de la catégorie dans l'API : EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK

Description du résultat:

Cette commande vérifie si l'état de conformité de l'association AWS Systems Manager est COMPLIANT ou NON_COMPLIANT après l'exécution de l'association sur une instance. La vérification échoue si l'état de conformité de l'association est NON_COMPLIANT.

Une association à State Manager est une configuration attribuée à vos instances gérées. La configuration définit l'état que vous souhaitez conserver sur vos instances. Par exemple, une association peut spécifier qu'un logiciel antivirus doit être installé et exécuté sur vos instances, ou que certains ports doivent être fermés.

Une fois que vous avez créé une ou plusieurs associations au Gestionnaire d'états, les informations sur l'état de conformité sont immédiatement disponibles. Vous pouvez consulter l'état de conformité dans la console ou en réponse aux commandes AWS CLI ou aux actions de l'API Systems Manager correspondantes. Pour les associations, la colonne "Conformité de la configuration" indique l'état de conformité (conforme ou non conforme). Il indique également le niveau de gravité attribué à l'association, par exemple "Critique" ou "Moyenne".

Pour en savoir plus sur la conformité des associations State Manager, consultez la section À propos de la conformité des associations State Manager dans le guide de l'utilisateur d'AWS Systems Manager.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: SI-2
  • PCI-DSS v3.2.1: 6.2

Vérifie l'état de conformité des correctifs AWS Systems Manager

  • Analyses en temps réel : Non

Ec2 Metadata Service Allows Imdsv2

Nom de la catégorie dans l'API : EC2_METADATA_SERVICE_ALLOWS_IMDSV2

Description du résultat:

Lorsque vous activez le service de métadonnées sur des instances AWS EC2, vous pouvez utiliser la version 1 du service de métadonnées d'instance (IMDSv1, méthode de requête/réponse) ou la version 2 (IMDSv2, méthode orientée session).

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: AC-6
  • CIS AWS Foundation 2.0.0: 5.6

Assurez-vous que seul IMDSv2 est autorisé par le service de métadonnées pour EC2

  • Analyses en temps réel : Non

Ec2 Volume Inuse Check

Nom de la catégorie dans l'API : EC2_VOLUME_INUSE_CHECK

Description du résultat:

Identifiez et supprimez les volumes EBS (Elastic Block Store) non associés (inutilisés) de votre compte AWS afin de réduire le coût de votre facture AWS mensuelle. Supprimer les volumes EBS inutilisés réduit également le risque de fuite de données confidentielles/sensibles depuis vos locaux. En outre, ce contrôle vérifie également si les instances EC2 archivées sont configurées pour supprimer les volumes à l'arrêt.

Par défaut, les instances EC2 sont configurées pour supprimer les données de tous les volumes EBS associés à l'instance, ainsi que le volume EBS racine de l'instance. Toutefois, tous les volumes EBS non racine associés à l'instance, au lancement ou pendant l'exécution, sont conservés après l'arrêt par défaut.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: CM-2

Vérifie si les volumes EBS sont associés aux instances EC2 et configurés pour être supprimés à l'arrêt de l'instance

  • Analyses en temps réel : Non

Efs Encrypted Check

Nom de la catégorie dans l'API : EFS_ENCRYPTED_CHECK

Description du résultat:

Amazon EFS prend en charge deux formes de chiffrement pour les systèmes de fichiers : le chiffrement des données en transit et le chiffrement au repos. Cette vérification permet de vérifier que tous les systèmes de fichiers EFS sont configurés avec le chiffrement au repos dans toutes les régions activées du compte.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: SI-7(6)
  • PCI-DSS v3.2.1: 8.2.1

Vérifie si EFS est configuré pour chiffrer les données de fichiers à l'aide de KMS

  • Analyses en temps réel : Non

Efs In Backup Plan

Nom de la catégorie dans l'API : EFS_IN_BACKUP_PLAN

Description du résultat:

Les bonnes pratiques d'Amazon recommandent de configurer des sauvegardes pour vos systèmes de fichiers élastiques (EFS). Cette commande vérifie si des sauvegardes sont activées pour tous les EFS de toutes les régions activées de votre compte AWS.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: SI-13(5)

Vérifie si les systèmes de fichiers EFS sont inclus dans les plans de sauvegarde AWS

  • Analyses en temps réel : Non

Elb Acm Certificate Required

Nom de la catégorie dans l'API : ELB_ACM_CERTIFICATE_REQUIRED

Description du résultat:

Vérifie si l'équilibreur de charge classique utilise les certificats HTTPS/SSL fournis par AWS Certificate Manager (ACM). La vérification échoue si l'équilibreur de charge classique configuré avec un écouteur HTTPS/SSL n'utilise pas de certificat fourni par ACM.

Pour créer un certificat, vous pouvez utiliser ACM ou un outil compatible avec les protocoles SSL et TLS, comme OpenSSL. Security Hub vous recommande d'utiliser ACM pour créer ou importer des certificats pour votre équilibreur de charge.

ACM s'intègre aux équilibreurs de charge classiques afin que vous puissiez déployer le certificat sur votre équilibreur de charge. Vous devez également renouveler automatiquement ces certificats.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: AC-17, AC-4, IA-5, SC-12, SC-13, SC-23, SC-7, SC-8, SI-7, SI-7(6)

Vérifie que tous les équilibreurs de charge classiques utilisent les certificats SSL fournis par AWS Certificate Manager

  • Analyses en temps réel : Non

Elb Deletion Protection Enabled

Nom de la catégorie dans l'API : ELB_DELETION_PROTECTION_ENABLED

Description du résultat:

Vérifie si la protection contre la suppression est activée pour un équilibreur de charge d'application. La commande échoue si la protection contre la suppression n'est pas configurée.

Activez la protection contre la suppression pour éviter que votre équilibreur de charge d'application ne soit supprimé.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: SC-5(2)

La protection contre la suppression de l'équilibreur de charge d'application doit être activée

  • Analyses en temps réel : Non

Elb Logging Enabled

Nom de la catégorie dans l'API : ELB_LOGGING_ENABLED

Description du résultat:

Cette commande vérifie si la journalisation est activée sur l'équilibreur de charge d'application et l'équilibreur de charge classique. La vérification échoue si access_logs.s3.enabled est défini sur "false".

Elastic Load Balancing fournit des journaux d'accès qui capturent des informations détaillées sur les requêtes envoyées à votre équilibreur de charge. Chaque journal contient des informations telles que l'heure de réception de la requête, l'adresse IP du client, les latences, les chemins de requête et les réponses du serveur. Vous pouvez utiliser ces journaux d'accès pour analyser les tendances de trafic et résoudre les problèmes.

Pour en savoir plus, consultez la section Journaux d'accès de votre équilibreur de charge classique dans le guide de l'utilisateur des équilibreurs de charge classiques.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: SI-7(8)
  • PCI-DSS v3.2.1: 10.3.1

Vérifie si la journalisation est activée sur les équilibreurs de charge classiques et d'application

  • Analyses en temps réel : Non

Elb Tls Https Listeners Only

Nom de la catégorie dans l'API : ELB_TLS_HTTPS_LISTENERS_ONLY

Description du résultat:

Cette vérification garantit que tous les équilibreurs de charge classiques sont configurés pour utiliser des communications sécurisées.

Un écouteur est un processus qui recherche les requêtes de connexion. Il est configuré avec un protocole et un port pour les connexions côté client (client vers équilibreur de charge) et un protocole et un port pour les connexions côté serveur (équilibreur de charge vers instance). Pour en savoir plus sur les ports, les protocoles et les configurations d'écouteurs compatibles avec Elastic Load Balancing, consultez la section Écouteurs pour votre équilibreur de charge classique.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: SI-7(6)

Vérifie que tous les équilibreurs de charge classiques sont configurés avec des écouteurs SSL ou HTTPS

  • Analyses en temps réel : Non

Encrypted Volumes

Nom de la catégorie dans l'API : ENCRYPTED_VOLUMES

Description du résultat:

Vérifie si les volumes EBS associés sont chiffrés. Pour que cette vérification soit effectuée, les volumes EBS doivent être utilisés et chiffrés. Si le volume EBS n'est pas associé, il n'est pas soumis à cette vérification.

Pour renforcer la sécurité de vos données sensibles dans les volumes EBS, vous devez activer le chiffrement au repos EBS. Le chiffrement Amazon EBS offre une solution de chiffrement simple pour vos ressources EBS. Vous n'avez pas besoin de créer, de gérer et de sécuriser votre propre infrastructure de gestion des clés. Il utilise des clés KMS lors de la création de volumes et d'instantanés chiffrés.

Pour en savoir plus sur le chiffrement Amazon EBS, consultez la section "Chiffrement Amazon EBS" du guide de l'utilisateur Amazon EC2 pour les instances Linux.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: SI-7(6)
  • PCI-DSS v3.2.1: 8.2.1

Les volumes Amazon EBS associés doivent être chiffrés au repos

  • Analyses en temps réel : Non

Encryption At Rest Enabled Rds Instances

Nom de la catégorie dans l'API : ENCRYPTION_AT_REST_ENABLED_RDS_INSTANCES

Description du résultat:

Les instances de base de données chiffrées Amazon RDS utilisent l'algorithme de chiffrement AES-256, standard dans l'industrie, pour chiffrer vos données sur le serveur qui héberge vos instances de base de données Amazon RDS. Une fois vos données chiffrées, Amazon RDS gère de manière transparente l'authentification des accès et le déchiffrement de vos données, avec un impact minimal sur les performances.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: IA-5, SC-28, SI-7(6)
  • PCI-DSS v3.2.1: 8.2.1
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 2.3.1
  • CIS Controls 8.0: 3.11

Assurez-vous que le chiffrement au repos est activé pour les instances RDS

  • Analyses en temps réel : Non

Encryption Enabled Efs File Systems

Nom de la catégorie dans l'API : ENCRYPTION_ENABLED_EFS_FILE_SYSTEMS

Description du résultat:

Les données EFS doivent être chiffrées au repos à l'aide d'AWS KMS (Key Management Service).

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 2.4.1
  • CIS Controls 8.0: 3.11

Assurez-vous que le chiffrement est activé pour les systèmes de fichiers EFS

  • Analyses en temps réel : Non

Iam Password Policy

Nom de la catégorie dans l'API : IAM_PASSWORD_POLICY

Description du résultat:

AWS permet d'utiliser des stratégies de mot de passe personnalisées dans votre compte AWS pour spécifier des exigences de complexité et des périodes de rotation obligatoires pour les mots de passe de vos utilisateurs IAM. Si vous ne définissez pas de stratégie de mot de passe personnalisée, les mots de passe des utilisateurs IAM doivent respecter la stratégie de mot de passe AWS par défaut. Les bonnes pratiques de sécurité AWS recommandent les exigences de complexité de mot de passe suivantes:

  • Exiger au moins un caractère majuscule dans le mot de passe
  • Exiger au moins un caractère minuscule dans les mots de passe
  • Exiger au moins un symbole dans les mots de passe
  • Exiger au moins un chiffre dans les mots de passe
  • Exiger une longueur minimale de 14 caractères pour les mots de passe
  • Exiger au moins 24 mots de passe avant d'autoriser la réutilisation
  • Exiger au moins 90 jours avant l'expiration du mot de passe

Cette commande vérifie toutes les exigences de la stratégie de mots de passe spécifiée.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: IA-5(1)
  • PCI-DSS v3.2.1: 8.2.5

Vérifie si la stratégie de mots de passe du compte pour les utilisateurs IAM répond aux exigences spécifiées

  • Analyses en temps réel : Non

Iam Password Policy Prevents Password Reuse

Nom de la catégorie dans l'API : IAM_PASSWORD_POLICY_PREVENTS_PASSWORD_REUSE

Description du résultat:

Les stratégies de mots de passe IAM peuvent empêcher la réutilisation d'un mot de passe donné par le même utilisateur. Nous vous recommandons de configurer la stratégie de mots de passe pour empêcher la réutilisation des mots de passe.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: IA-5
  • PCI-DSS v4.0: 2.2.2, 8.3.5, 8.3.6, 8.6.3
  • ISO-27001 v2022: A.5.17
  • Cloud Controls Matrix 4: IAM-02
  • SOC2 v2017: CC6.1.3, CC6.1.8, CC6.1.9
  • CIS AWS Foundation 2.0.0: 1.9
  • CIS Controls 8.0: 5.2

Assurez-vous que la stratégie de mots de passe IAM empêche de réutiliser des mots de passe

  • Analyses en temps réel : Non

Iam Password Policy Requires Minimum Length 14 Greater

Nom de la catégorie dans l'API : IAM_PASSWORD_POLICY_REQUIRES_MINIMUM_LENGTH_14_GREATER

Description du résultat:

Les règles relatives aux mots de passe servent, en partie, à appliquer des exigences de complexité des mots de passe. Les stratégies de mots de passe IAM peuvent être utilisées pour s'assurer que les mots de passe ont au moins une longueur donnée. Nous vous recommandons de définir une longueur minimale de 14 caractères pour les mots de passe.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • CIS AWS Foundation 2.0.0: 1.8
  • CIS Controls 8.0: 5, 5.2

Assurez-vous que la stratégie de mot de passe IAM nécessite au moins 14 caractères

  • Analyses en temps réel : Non

Iam Policies Allow Full Administrative Privileges Attached

Nom de la catégorie dans l'API : IAM_POLICIES_ALLOW_FULL_ADMINISTRATIVE_PRIVILEGES_ATTACHED

Description du résultat:

Les stratégies IAM permettent d'accorder des droits à des utilisateurs, des groupes ou des rôles. Il est recommandé, et considéré comme un conseil de sécurité standard, d'accorder le moindre privilège, c'est-à-dire de n'accorder que les autorisations nécessaires à l'exécution d'une tâche. Déterminez ce que les utilisateurs doivent faire, puis créez des règles qui leur permettent d'effectuer uniquement ces tâches, au lieu de leur accorder des droits d'administrateur complets.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 1.16
  • CIS Controls 8.0: 3.3

Assurez-vous que des stratégies IAM accordant les droits d'administrateur complets "*:*" ne sont pas associées

  • Analyses en temps réel : Non

Iam Users Receive Permissions Groups

Nom de la catégorie dans l'API : IAM_USERS_RECEIVE_PERMISSIONS_GROUPS

Description du résultat:

Les utilisateurs IAM sont autorisés à accéder aux services, aux fonctions et aux données via des stratégies IAM. Il existe quatre façons de définir des stratégies pour un utilisateur: 1) modifier directement la stratégie utilisateur (également appelée stratégie intégrée ou stratégie utilisateur) ; 2) associer une stratégie directement à un utilisateur ; 3) ajouter l'utilisateur à un groupe IAM associé à une stratégie ; 4) ajouter l'utilisateur à un groupe IAM associé à une stratégie intégrée.

Seule la troisième implémentation est recommandée.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: AC-2, AC-5, AC-6, AU-9
  • PCI-DSS v4.0: 10.3.1, 7.1.1, 7.2.1, 7.2.2, 7.2.4, 7.2.6, 7.3.1, 7.3.2
  • ISO-27001 v2022: A.5.15, A.5.3, A.8.2, A.8.3
  • Cloud Controls Matrix 4: IAM-04
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.3.1, CC6.3.2, CC6.3.3
  • HIPAA: 164.308(a)(3)(ii), 164.308(a)(4)(i), 164.308(a)(4)(ii)
  • CIS AWS Foundation 2.0.0: 1.15
  • CIS Controls 8.0: 6.8

Assurez-vous que les utilisateurs IAM ne reçoivent des autorisations que via des groupes

  • Analyses en temps réel : Non

Iam User Group Membership Check

Nom de la catégorie dans l'API : IAM_USER_GROUP_MEMBERSHIP_CHECK

Description du résultat:

Les utilisateurs IAM doivent toujours faire partie d'un groupe IAM afin de respecter les bonnes pratiques de sécurité IAM.

En ajoutant des utilisateurs à un groupe, vous pouvez partager des règles entre les types d'utilisateurs.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: AC-6

Vérifie si les utilisateurs IAM sont membres d'au moins un groupe IAM

  • Analyses en temps réel : Non

Iam User Mfa Enabled

Nom de la catégorie dans l'API : IAM_USER_MFA_ENABLED

Description du résultat:

L'authentification multifacteur (MFA) est une bonne pratique qui ajoute une couche de protection supplémentaire aux noms d'utilisateur et mots de passe. Avec l'authentification multifacteur, lorsqu'un utilisateur se connecte à la console de gestion AWS, il doit fournir un code d'authentification à expiration limitée, fourni par un appareil virtuel ou physique enregistré.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • PCI-DSS v3.2.1: 8.3.2

Vérifiez que l'authentification multifacteur (MFA) est activée pour les utilisateurs AWS IAM

  • Analyses en temps réel : Non

Iam User Unused Credentials Check

Nom de la catégorie dans l'API : IAM_USER_UNUSED_CREDENTIALS_CHECK

Description du résultat:

Cette commande recherche les mots de passe IAM ou les clés d'accès actives qui n'ont pas été utilisés au cours des 90 derniers jours.

Nous vous recommandons de supprimer, de désactiver ou d'alterner tous les identifiants inutilisés depuis au moins 90 jours. Cela réduit la période pendant laquelle les identifiants associés à un compte compromis ou abandonné peuvent être utilisés.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: AC-6
  • PCI-DSS v3.2.1: 8.1.4

Vérifie que tous les utilisateurs AWS IAM disposent de mots de passe ou de clés d'accès actives qui n'ont pas été utilisés depuis maxCredentialUsageAge jours (90 par défaut)

  • Analyses en temps réel : Non

Kms Cmk Not Scheduled For Deletion

Nom de la catégorie dans l'API : KMS_CMK_NOT_SCHEDULED_FOR_DELETION

Description du résultat:

Ce contrôle vérifie si la suppression de clés KMS est planifiée. La vérification échoue si la suppression d'une clé KMS est planifiée.

Une fois supprimées, les clés KMS ne peuvent plus être récupérées. Les données chiffrées avec une clé KMS ne peuvent pas être récupérées de manière définitive si la clé KMS est supprimée. Si des données importantes ont été chiffrées à l'aide d'une clé KMS programmée pour être supprimée, envisagez de les déchiffrer ou de les chiffrer à nouveau avec une nouvelle clé KMS, sauf si vous effectuez intentionnellement une suppression cryptographique.

Lorsqu'une clé KMS est programmée pour être supprimée, un délai d'attente obligatoire est appliqué pour vous permettre d'annuler la suppression, si elle a été programmée par erreur. La période d'attente par défaut est de 30 jours, mais elle peut être réduite à sept jours maximum lorsque la clé KMS est programmée pour être supprimée. Pendant le délai d'attente, la suppression planifiée peut être annulée et la clé KMS ne sera pas supprimée.

Pour en savoir plus sur la suppression de clés KMS, consultez la section Supprimer des clés KMS dans le guide du développeur AWS Key Management Service.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: SC-12

Vérifie que la suppression de toutes les CMK n'est pas planifiée

  • Analyses en temps réel : Non

Lambda Concurrency Check

Nom de la catégorie dans l'API : LAMBDA_CONCURRENCY_CHECK

Description du résultat:

Vérifie si la fonction Lambda est configurée avec une limite d'exécution simultanée au niveau de la fonction. La règle est NON_COMPLIANT si la fonction Lambda n'est pas configurée avec une limite d'exécution simultanée au niveau de la fonction.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

Cette catégorie de résultats n'est associée à aucune commande de conformité.

Vérifie si les fonctions Lambda sont configurées avec une limite d'exécution simultanée au niveau de la fonction

  • Analyses en temps réel : Non

Lambda Dlq Check

Nom de la catégorie dans l'API : LAMBDA_DLQ_CHECK

Description du résultat:

Vérifie si une fonction Lambda est configurée avec une file d'attente de lettres mortes. La règle est NON_COMPLIANT si la fonction Lambda n'est pas configurée avec une file d'attente de lettres mortes.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: SI-2

Assurez-vous que les fonctions Lambda sont configurées avec une file d'attente de lettres mortes

  • Analyses en temps réel : Non

Lambda Function Public Access Prohibited

Nom de la catégorie dans l'API : LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED

Description du résultat:

Les bonnes pratiques AWS recommandent de ne pas exposer publiquement les fonctions Lambda. Cette règle vérifie toutes les fonctions Lambda déployées dans toutes les régions activées de votre compte et échoue si elles sont configurées pour autoriser l'accès public.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Vérifie si la stratégie associée à la fonction Lambda interdit l'accès public

  • Analyses en temps réel : Non

Lambda Inside Vpc

Nom de la catégorie dans l'API : LAMBDA_INSIDE_VPC

Description du résultat:

Vérifie si une fonction Lambda se trouve dans un VPC. Des résultats d'échec peuvent s'afficher pour les ressources Lambda@Edge.

Il n'évalue pas la configuration de routage du sous-réseau VPC pour déterminer la connectivité publique.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Assurez-vous que les fonctions Lambda existent dans un VPC

  • Analyses en temps réel : Non

Mfa Delete Enabled S3 Buckets

Nom de la catégorie dans l'API : MFA_DELETE_ENABLED_S3_BUCKETS

Description du résultat:

Une fois la suppression MFA activée sur votre bucket S3 sensible et classifié, l'utilisateur doit disposer de deux types d'authentification.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 2.1.2
  • CIS Controls 8.0: 3.3, 6.5

Assurez-vous que la suppression MFA est activée sur les buckets S3

  • Analyses en temps réel : Non

Mfa Enabled Root User Account

Nom de la catégorie dans l'API : MFA_ENABLED_ROOT_USER_ACCOUNT

Description du résultat:

Le compte utilisateur racine est l 'utilisateur le plus privilégié d'un compte AWS. L'authentification multifacteur (MFA) ajoute une couche de protection supplémentaire en plus d'un nom d'utilisateur et d'un mot de passe. Lorsque l'authentification multifacteur est activée, un utilisateur qui se connecte à un site Web AWS doit saisir son nom d'utilisateur et son mot de passe, ainsi qu'un code d'authentification provenant de son appareil MFA AWS.

Remarque:Lorsque l 'MFA virtuelle est utilisée pour les comptes racine, il est recommandé que l'appareil utilisé ne soit PAS un appareil personnel, mais plutôt un appareil mobile dédié (tablette ou téléphone) qui est géré pour être maintenu chargé et sécurisé indépendamment de tout appareil personnel individuel. ("MFA virtuel non personnel") Cela réduit les risques de perdre l'accès à la MFA en cas de perte ou de reprise de l'appareil, ou si la personne à qui appartient l'appareil n'est plus employée dans l'entreprise.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: IA-2, IA-2(8)
  • PCI-DSS v3.2.1: 8.3.2
  • PCI-DSS v4.0: 2.2.7, 8.4.1
  • ISO-27001 v2022: A.8.2
  • Cloud Controls Matrix 4: IAM-10
  • NIST Cybersecurity Framework 1.0: PR-AC-7
  • SOC2 v2017: CC6.1.3, CC6.1.4, CC6.1.6, CC6.1.7, CC6.1.8
  • CIS AWS Foundation 2.0.0: 1.5
  • CIS Controls 8.0: 6.5

Assurez-vous que la MFA est activée pour le compte utilisateur "root"

  • Analyses en temps réel : Non

Multi Factor Authentication Mfa Enabled All Iam Users Console

Nom de la catégorie dans l'API : MULTI_FACTOR_AUTHENTICATION_MFA_ENABLED_ALL_IAM_USERS_CONSOLE

Description du résultat:

L'authentification multifacteur (MFA) ajoute une couche supplémentaire d'assurance d'authentification au-delà des identifiants traditionnels. Lorsque l'authentification multifacteur est activée, un utilisateur doit saisir son nom d'utilisateur et son mot de passe, ainsi qu'un code d'authentification à partir de son jeton MFA physique ou virtuel lorsqu'il se connecte à la console AWS. Nous vous recommandons d'activer l'authentification MFA pour tous les comptes disposant d'un mot de passe de console.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: IA-2, IA-2(8)
  • PCI-DSS v3.2.1: 8.3.2
  • PCI-DSS v4.0: 2.2.7, 8.4.1
  • ISO-27001 v2022: A.8.2
  • Cloud Controls Matrix 4: IAM-10
  • NIST Cybersecurity Framework 1.0: PR-AC-7
  • SOC2 v2017: CC6.1.3, CC6.1.4, CC6.1.6, CC6.1.7, CC6.1.8
  • CIS AWS Foundation 2.0.0: 1.10
  • CIS Controls 8.0: 6.5

Assurez-vous que l'authentification multifacteur (MFA) est activée pour tous les utilisateurs IAM disposant d'un mot de passe de console

  • Analyses en temps réel : Non

No Network Acls Allow Ingress 0 0 0 0 Remote Server Administration

Nom de la catégorie dans l'API : NO_NETWORK_ACLS_ALLOW_INGRESS_0_0_0_0_REMOTE_SERVER_ADMINISTRATION

Description du résultat:

La fonction de liste de contrôle d'accès au réseau (NACL) fournit un filtrage sans état du trafic réseau entrant et sortant vers les ressources AWS. Il est recommandé qu'aucune LCA réseau n'autorise un accès illimité aux ports d'administration du serveur distant, tels que SSH sur le port 22 et RDP sur le port 3389, à l'aide des protocoles TDP (6), UDP (17) ou ALL (-1).

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • CIS AWS Foundation 2.0.0: 5.1

Assurez-vous qu'aucune LCA réseau n'autorise l'entrée depuis la plage 0.0.0.0/0 vers les ports d'administration du serveur distant

  • Analyses en temps réel : Non

No Root User Account Access Key Exists

Nom de la catégorie dans l'API : NO_ROOT_USER_ACCOUNT_ACCESS_KEY_EXISTS

Description du résultat:

Le compte utilisateur racine est l 'utilisateur le plus privilégié d'un compte AWS. Les clés d'accès AWS permettent d'accéder de manière programmatique à un compte AWS donné. Il est recommandé de supprimer toutes les clés d'accès associées au compte utilisateur "root".

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 8.1.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 1.4
  • CIS Controls 8.0: 3.3, 5.4

Assurez-vous qu'aucune clé d'accès n'existe pour le compte utilisateur "root"

  • Analyses en temps réel : Non

No Security Groups Allow Ingress 0 0 0 0 Remote Server Administration

Nom de la catégorie dans l'API : NO_SECURITY_GROUPS_ALLOW_INGRESS_0_0_0_0_REMOTE_SERVER_ADMINISTRATION

Description du résultat:

Les groupes de sécurité fournissent un filtrage avec état du trafic réseau entrant et sortant vers les ressources AWS. Il est recommandé qu'aucun groupe de sécurité n'autorise un accès d'entrée illimité aux ports d'administration du serveur distant, tels que SSH sur le port 22 et RDP sur le port 3389, à l'aide des protocoles TDP (6), UDP (17) ou ALL (-1).

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • CIS AWS Foundation 2.0.0: 5.2

Assurez-vous qu'aucun groupe de sécurité n'autorise le trafic d'entrée provenant de la plage 0.0.0.0/0 vers les ports d'administration du serveur distant

  • Analyses en temps réel : Non

No Security Groups Allow Ingress 0 Remote Server Administration

Nom de la catégorie dans l'API : NO_SECURITY_GROUPS_ALLOW_INGRESS_0_REMOTE_SERVER_ADMINISTRATION

Description du résultat:

Les groupes de sécurité fournissent un filtrage avec état du trafic réseau entrant et sortant vers les ressources AWS. Il est recommandé qu'aucun groupe de sécurité n'autorise un accès d'entrée sans restriction aux ports d'administration du serveur distant, tels que SSH sur le port 22 et RDP sur le port 3389.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • CIS AWS Foundation 2.0.0: 5.3

Assurez-vous qu'aucun groupe de sécurité n'autorise le trafic d'entrée provenant de la plage ::/0 vers les ports d'administration du serveur distant

  • Analyses en temps réel : Non

One Active Access Key Available Any Single Iam User

Nom de la catégorie dans l'API : ONE_ACTIVE_ACCESS_KEY_AVAILABLE_ANY_SINGLE_IAM_USER

Description du résultat:

Les clés d 'accès sont des identifiants à long terme pour un utilisateur IAM ou l'utilisateur racine du compte AWS. Vous pouvez utiliser des clés d'accès pour signer des requêtes programmatiques adressées à la CLI AWS ou à l'API AWS (directement ou à l'aide du SDK AWS).

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • CIS AWS Foundation 2.0.0: 1.13
  • CIS Controls 8.0: 5

Assurez-vous qu'une seule clé d'accès active est disponible par utilisateur IAM

  • Analyses en temps réel : Non

Public Access Given Rds Instance

Nom de la catégorie dans l'API : PUBLIC_ACCESS_GIVEN_RDS_INSTANCE

Description du résultat:

Assurez-vous que les instances de base de données RDS provisionnées dans votre compte AWS limitent les accès non autorisés afin de minimiser les risques de sécurité. Pour limiter l'accès à une instance de base de données RDS accessible au public, vous devez désactiver l'indicateur "Accessible au public" de la base de données et mettre à jour le groupe de sécurité VPC associé à l'instance.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2, SC-7
  • PCI-DSS v3.2.1: 2.2.2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 2.3.3
  • CIS Controls 8.0: 3.3

Assurez-vous qu'aucun accès public n'est accordé pour l'instance RDS

  • Analyses en temps réel : Non

Rds Enhanced Monitoring Enabled

Nom de la catégorie dans l'API : RDS_ENHANCED_MONITORING_ENABLED

Description du résultat:

La surveillance avancée fournit des métriques en temps réel sur le système d'exploitation sur lequel s'exécute l'instance RDS, via un agent installé dans l'instance.

Pour en savoir plus, consultez Surveiller les métriques de l'OS avec la surveillance avancée.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: SI-2

Vérifiez que la surveillance avancée est activée pour toutes les instances de base de données RDS

  • Analyses en temps réel : Non

Rds Instance Deletion Protection Enabled

Nom de la catégorie dans l'API : RDS_INSTANCE_DELETION_PROTECTION_ENABLED

Description du résultat:

L'activation de la protection contre la suppression d'instances constitue une couche de protection supplémentaire contre la suppression accidentelle de bases de données ou la suppression par une entité non autorisée.

Tant que la protection contre la suppression est activée, vous ne pouvez pas supprimer une instance de base de données RDS. Avant qu'une demande de suppression puisse aboutir, la protection contre la suppression doit être désactivée.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: SI-13(5)

Vérifiez que la protection contre la suppression est activée pour toutes les instances RDS

  • Analyses en temps réel : Non

Rds In Backup Plan

Nom de la catégorie dans l'API : RDS_IN_BACKUP_PLAN

Description du résultat:

Cette vérification évalue si les instances de base de données Amazon RDS sont couvertes par un plan de sauvegarde. Cette vérification échoue si une instance de base de données RDS n'est pas couverte par un plan de sauvegarde.

AWS Backup est un service de sauvegarde entièrement géré qui centralise et automatise la sauvegarde des données dans les services AWS. Avec AWS Backup, vous pouvez créer des règles de sauvegarde appelées plans de sauvegarde. Vous pouvez utiliser ces plans pour définir vos exigences de sauvegarde, telles que la fréquence de sauvegarde de vos données et la durée de conservation de ces sauvegardes. Inclure des instances de base de données RDS dans un plan de sauvegarde vous aide à protéger vos données contre toute perte ou suppression accidentelle.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: SI-13(5)

Les instances de base de données RDS doivent être couvertes par un plan de sauvegarde

  • Analyses en temps réel : Non

Rds Logging Enabled

Nom de la catégorie dans l'API : RDS_LOGGING_ENABLED

Description du résultat:

Cette commande vérifie si les journaux suivants d'Amazon RDS sont activés et envoyés à CloudWatch.

Les journaux pertinents doivent être activés pour les bases de données RDS. La journalisation de la base de données fournit des enregistrements détaillés des requêtes envoyées à RDS. Les journaux de base de données peuvent vous aider à effectuer des audits de sécurité et d'accès, et à diagnostiquer les problèmes de disponibilité.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: SI-7(8)

Vérifiez que les journaux exportés sont activés pour toutes les instances de base de données RDS

  • Analyses en temps réel : Non

Rds Multi Az Support

Nom de la catégorie dans l'API : RDS_MULTI_AZ_SUPPORT

Description du résultat:

Les instances de base de données RDS doivent être configurées pour plusieurs zones de disponibilité (AZ). Cela garantit la disponibilité des données stockées. Les déploiements multizones permettent un basculement automatique en cas de problème de disponibilité de la zone de disponibilité et lors de la maintenance régulière de RDS.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: SI-13(5)

Vérifiez que la haute disponibilité est activée pour toutes les instances de base de données RDS

  • Analyses en temps réel : Non

Redshift Cluster Configuration Check

Nom de la catégorie dans l'API : REDSHIFT_CLUSTER_CONFIGURATION_CHECK

Description du résultat:

Cette vérification permet de vérifier les éléments essentiels d'un cluster Redshift: le chiffrement au repos, la journalisation et le type de nœud.

Ces éléments de configuration sont importants pour la maintenance d'un cluster Redshift sécurisé et observable.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: SI-7(8)
  • PCI-DSS v3.2.1: 10.3.1

Vérifiez que tous les clusters Redshift disposent d'un chiffrement au repos, d'une journalisation et d'un type de nœud.

  • Analyses en temps réel : Non

Redshift Cluster Maintenancesettings Check

Nom de la catégorie dans l'API : REDSHIFT_CLUSTER_MAINTENANCESETTINGS_CHECK

Description du résultat:

Les mises à niveau automatiques vers une version majeure se produisent selon l'intervalle de maintenance.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: SI-2

Vérifiez qu'allowVersionUpgrade est activé et que preferredMaintenanceWindow et automatedSnapshotRetentionPeriod sont définis pour tous les clusters Redshift

  • Analyses en temps réel : Non

Redshift Cluster Public Access Check

Nom de la catégorie dans l'API : REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK

Description du résultat:

L'attribut "PubliclyAccessible" de la configuration du cluster Amazon Redshift indique si le cluster est accessible au public. Lorsque le cluster est configuré avec PubliclyAccessible défini sur "true", il s'agit d'une instance exposée sur Internet qui possède un nom DNS public qui se résout en adresse IP publique.

Lorsqu'il n'est pas accessible au public, il s'agit d'une instance interne avec un nom DNS qui se résout en adresse IP privée. Sauf si vous souhaitez que votre cluster soit accessible au public, vous ne devez pas le configurer avec PubliclyAccessible défini sur "true".

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Vérifiez si les clusters Redshift sont accessibles au public

  • Analyses en temps réel : Non

Restricted Common Ports

Nom de la catégorie dans l'API : RESTRICTED_COMMON_PORTS

Description du résultat:

Cette opération vérifie si le trafic entrant illimité des groupes de sécurité est accessible aux ports spécifiés présentant le risque le plus élevé. Ce contrôle échoue si l'une des règles d'un groupe de sécurité autorise le trafic d'entrée depuis '0.0.0.0/0' ou '::/0' pour ces ports.

Un accès illimité (0.0.0.0/0) augmente les possibilités d'activités malveillantes, telles que le piratage, les attaques par déni de service et la perte de données.

Les groupes de sécurité fournissent un filtrage avec état du trafic réseau entrant et sortant vers les ressources AWS. Aucun groupe de sécurité ne doit autoriser un accès illimité aux ports suivants:

  • 20, 21 (FTP)
  • 22 (SSH)
  • 23 (Telnet)
  • 25 (SMTP)
  • 110 (POP3)
  • 135 (RPC)
  • 143 (IMAP)
  • 445 (CIFS)
  • 1433, 1434 (MSSQL)
  • 3 000 (frameworks de développement Web Go, Node.js et Ruby)
  • 3306 (MySQL)
  • 3389 (RDP)
  • 4333 (ahsp)
  • 5 000 (frameworks de développement Web Python)
  • 5432 (postgresql)
  • 5500 (fcp-addr-srvr1)
  • 5601 (tableaux de bord OpenSearch)
  • 8080 (proxy)
  • 8088 (ancien port HTTP)
  • 8888 (port HTTP alternatif)
  • 9200 ou 9300 (OpenSearch)

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Les groupes de sécurité ne doivent pas autoriser un accès illimité aux ports à haut risque

  • Analyses en temps réel : Non

Restricted Ssh

Nom de la catégorie dans l'API : RESTRICTED_SSH

Description du résultat:

Les groupes de sécurité fournissent un filtrage avec état du trafic réseau entrant et sortant vers les ressources AWS.

Le CIS recommande qu'aucun groupe de sécurité n'autorise un accès illimité au port 22. En supprimant la connectivité illimitée aux services de console à distance, tels que SSH, vous réduisez l'exposition d'un serveur aux risques.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Les groupes de sécurité ne doivent pas autoriser le trafic d'entrée de 0.0.0.0/0 vers le port 22

  • Analyses en temps réel : Non

Rotation Customer Created Cmks Enabled

Nom de la catégorie dans l'API : ROTATION_CUSTOMER_CREATED_CMKS_ENABLED

Description du résultat:

Vérifie si la rotation automatique des clés est activée pour chaque clé et si elle correspond à l'ID de clé de la clé AWS KMS créée par le client. La règle est NON_CONFORME si le rôle d'enregistreur AWS Config d'une ressource ne dispose pas de l'autorisation kms:DescribeKey.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

Cette catégorie de résultats n'est associée à aucune commande de conformité standard.

Assurez-vous que la rotation des clés CMK créées par le client est activée

  • Analyses en temps réel : Non

Rotation Customer Created Symmetric Cmks Enabled

Nom de la catégorie dans l'API : ROTATION_CUSTOMER_CREATED_SYMMETRIC_CMKS_ENABLED

Description du résultat:

AWS Key Management Service (KMS) permet aux clients de faire pivoter la clé de sauvegarde, qui est un matériel de clé stocké dans le KMS et associé à l'ID de clé de la clé principale du client (CMK, Customer Master Key) créée par le client. C'est la clé de sauvegarde qui est utilisée pour effectuer des opérations cryptographiques telles que le chiffrement et le déchiffrement. La rotation automatique des clés conserve actuellement toutes les clés de sauvegarde précédentes afin que le déchiffrement des données chiffrées puisse se faire de manière transparente. Il est recommandé d'activer la rotation des clés CMK pour les clés symétriques. La rotation des clés ne peut pas être activée pour une CMK asymétrique.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 3.8
  • CIS Controls 8.0: 3.11

Assurez-vous que la rotation des clés CMK symétriques créées par le client est activée

  • Analyses en temps réel : Non

Routing Tables Vpc Peering Are Least Access

Nom de la catégorie dans l'API : ROUTING_TABLES_VPC_PEERING_ARE_LEAST_ACCESS

Description du résultat:

Vérifie si les tables de routage pour l'appairage de VPC sont configurées avec le principe d'accès limité.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

Cette catégorie de résultats n'est associée à aucune commande de conformité.

Assurez-vous que les tables de routage pour l'appairage de VPC sont en "accès limité"

  • Analyses en temps réel : Non

S3 Account Level Public Access Blocks

Nom de la catégorie dans l'API : S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS

Description du résultat:

Le blocage de l'accès public Amazon S3 fournit des paramètres pour les points d'accès, les buckets et les comptes afin de vous aider à gérer l'accès public aux ressources Amazon S3. Par défaut, les nouveaux buckets, points d'accès et objets n'autorisent pas l'accès public.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

Cette catégorie de résultats n'est associée à aucune commande de conformité.

Vérifiez si les paramètres de blocage de l'accès public S3 requis sont configurés au niveau du compte

  • Analyses en temps réel : Non

S3 Buckets Configured Block Public Access Bucket And Account Settings

Nom de la catégorie dans l'API : S3_BUCKETS_CONFIGURED_BLOCK_PUBLIC_ACCESS_BUCKET_AND_ACCOUNT_SETTINGS

Description du résultat:

Amazon S3 fournit Block public access (bucket settings) et Block public access (account settings) pour vous aider à gérer l'accès public aux ressources Amazon S3. Par défaut, les buckets et les objets S3 sont créés avec l'accès public désactivé. Toutefois, un principal IAM AWS disposant d'autorisations S3 suffisantes peut activer l'accès public au niveau du bucket ou de l'objet. Lorsqu'il est activé, Block public access (bucket settings) empêche un bucket individuel et les objets qu'il contient de devenir accessibles au public. De même, Block public access (account settings) empêche tous les buckets et les objets qu'ils contiennent d'être accessibles au public dans l'ensemble du compte.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2, SC-7
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 2.1.4
  • CIS Controls 8.0: 3.3

Assurez-vous que les buckets S3 sont configurés avec Block public access (bucket settings).

  • Analyses en temps réel : Non

S3 Bucket Access Logging Enabled Cloudtrail S3 Bucket

Nom de la catégorie dans l'API : S3_BUCKET_ACCESS_LOGGING_ENABLED_CLOUDTRAIL_S3_BUCKET

Description du résultat:

La journalisation de l'accès au bucket S3 génère un journal contenant des enregistrements d'accès pour chaque requête envoyée à votre bucket S3. Un enregistrement de journal des accès contient des informations sur la requête, telles que le type de requête, les ressources spécifiées dans la requête et l'heure et la date de traitement de la requête. Il est recommandé d'activer la journalisation de l'accès au bucket sur le bucket CloudTrail S3.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: AC-6, AU-12, AU-2
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1
  • ISO-27001 v2022: A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • SOC2 v2017: CC6.1.1, CC6.1.10, CC6.1.11, CC6.1.12, CC6.1.13, CC6.1.2, CC6.1.3, CC6.1.4, CC6.1.5, CC6.1.6, CC6.1.7, CC6.1.8, CC6.1.9
  • HIPAA: 164.312(b), 164.312(c)(1), 164.312(c)(2)
  • CIS AWS Foundation 2.0.0: 3.6
  • CIS Controls 8.0: 3.14, 8.2

Assurez-vous que la journalisation de l'accès au bucket S3 est activée sur le bucket CloudTrail S3

  • Analyses en temps réel : Non

S3 Bucket Logging Enabled

Nom de la catégorie dans l'API : S3_BUCKET_LOGGING_ENABLED

Description du résultat:

La fonctionnalité de journalisation des accès au serveur AWS S3 enregistre les requêtes d'accès aux buckets de stockage, ce qui est utile pour les audits de sécurité. Par défaut, la journalisation des accès au serveur n'est pas activée pour les buckets S3.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: SI-7(8)
  • PCI-DSS v3.2.1: 10.3.1

Vérifiez si la journalisation est activée sur tous les buckets S3

  • Analyses en temps réel : Non

S3 Bucket Policy Set Deny Http Requests

Nom de la catégorie dans l'API : S3_BUCKET_POLICY_SET_DENY_HTTP_REQUESTS

Description du résultat:

Au niveau du bucket Amazon S3, vous pouvez configurer des autorisations via une stratégie de bucket afin de rendre les objets accessibles uniquement via HTTPS.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: AC-17, IA-5, SC-8
  • PCI-DSS v4.0: 2.2.7, 4.1.1, 4.2.1, 4.2.1.2, 4.2.2, 8.3.2
  • ISO-27001 v2022: A.5.14
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-2
  • SOC2 v2017: CC6.1.11, CC6.1.3, CC6.1.8, CC6.7.2
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(1), 164.312(e)(2)(i), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 2.1.1
  • CIS Controls 8.0: 3.10

Assurez-vous que la stratégie de bucket S3 est définie pour refuser les requêtes HTTP

  • Analyses en temps réel : Non

S3 Bucket Replication Enabled

Nom de la catégorie dans l'API : S3_BUCKET_REPLICATION_ENABLED

Description du résultat:

Cette vérification vérifie si la réplication interrégionale est activée pour un bucket Amazon S3. La vérification échoue si la réplication interrégionale n'est pas activée pour le bucket ou si la réplication dans la même région est également activée.

La réplication consiste à copier automatiquement et de manière asynchrone des objets dans des buckets d'une même région AWS ou de régions différentes. La réplication copie les objets nouvellement créés et les mises à jour d'objets d'un bucket source vers un ou plusieurs buckets de destination. Les bonnes pratiques AWS recommandent la réplication pour les buckets source et de destination appartenant au même compte AWS. En plus de la disponibilité, vous devez envisager d'autres paramètres de renforcement des systèmes.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: SI-13(5)

Vérifiez si la réplication interrégionale est activée sur les buckets S3

  • Analyses en temps réel : Non

S3 Bucket Server Side Encryption Enabled

Nom de la catégorie dans l'API : S3_BUCKET_SERVER_SIDE_ENCRYPTION_ENABLED

Description du résultat:

Cette vérification vérifie que le chiffrement par défaut Amazon S3 est activé pour votre bucket S3 ou que la stratégie de bucket S3 refuse explicitement les requêtes put-object sans chiffrement côté serveur.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: SI-7(6)
  • PCI-DSS v3.2.1: 10.5.2

Assurez-vous que tous les buckets S3 appliquent le chiffrement au repos

  • Analyses en temps réel : Non

S3 Bucket Versioning Enabled

Nom de la catégorie dans l'API : S3_BUCKET_VERSIONING_ENABLED

Description du résultat:

Amazon S3 vous permet de conserver plusieurs variantes d'un objet dans le même bucket. Il peut vous aider à récupérer plus facilement à la suite d'actions involontaires de l'utilisateur ou de défaillances de l'application.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: SI-13(5)
  • PCI-DSS v3.2.1: 10.5.5

Vérifiez que la gestion des versions est activée pour tous les buckets S3

  • Analyses en temps réel : Non

S3 Default Encryption Kms

Nom de la catégorie dans l'API : S3_DEFAULT_ENCRYPTION_KMS

Description du résultat:

Vérifie si les buckets Amazon S3 sont chiffrés avec AWS Key Management Service (AWS KMS)

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: SI-7(6)

Vérifiez que tous les buckets sont chiffrés avec KMS

  • Analyses en temps réel : Non

Sagemaker Notebook Instance Kms Key Configured

Nom de la catégorie dans l'API : SAGEMAKER_NOTEBOOK_INSTANCE_KMS_KEY_CONFIGURED

Description du résultat:

Vérifie si une clé AWS Key Management Service (KMS) est configurée pour une instance de notebook Amazon SageMaker. La règle est NON_COMPLIANT si "KmsKeyId" n'est pas spécifié pour l'instance de notebook SageMaker.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: SI-7(6)
  • PCI-DSS v3.2.1: 8.2.1

Vérifiez que toutes les instances de notebook SageMaker sont configurées pour utiliser KMS

  • Analyses en temps réel : Non

Sagemaker Notebook No Direct Internet Access

Nom de la catégorie dans l'API : SAGEMAKER_NOTEBOOK_NO_DIRECT_INTERNET_ACCESS

Description du résultat:

Vérifie si l'accès direct à Internet est désactivé pour une instance de notebook SageMaker. Pour ce faire, il vérifie si le champ "DirectInternetAccess" est désactivé pour l'instance de notebook.

Si vous configurez votre instance SageMaker sans VPC, l'accès direct à Internet est activé par défaut sur votre instance. Vous devez configurer votre instance avec un VPC et définir le paramètre par défaut sur "Désactiver" (Accéder à Internet via un VPC).

Pour entraîner ou héberger des modèles à partir d'un notebook, vous avez besoin d'un accès à Internet. Pour activer l'accès à Internet, assurez-vous que votre VPC dispose d'une passerelle NAT et que votre groupe de sécurité autorise les connexions sortantes. Pour savoir comment connecter une instance de notebook à des ressources dans un VPC, consultez la section "Connecter une instance de notebook à des ressources dans un VPC" du guide du développeur Amazon SageMaker.

Vous devez également vous assurer que l'accès à votre configuration SageMaker est limité aux seuls utilisateurs autorisés. Limitez les autorisations IAM des utilisateurs pour qu'ils ne puissent pas modifier les paramètres et les ressources SageMaker.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Vérifiez si l'accès direct à Internet est désactivé pour toutes les instances de notebook Amazon SageMaker

  • Analyses en temps réel : Non

Secretsmanager Rotation Enabled Check

Nom de la catégorie dans l'API : SECRETSMANAGER_ROTATION_ENABLED_CHECK

Description du résultat:

Vérifie si un secret stocké dans AWS Secrets Manager est configuré avec une rotation automatique. La vérification échoue si le secret n'est pas configuré avec une rotation automatique. Si vous fournissez une valeur personnalisée pour le paramètre maximumAllowedRotationFrequency, le contrôle ne passe que si le secret est automatiquement remplacé dans la période spécifiée.

Secret Manager vous aide à améliorer la stratégie de sécurité de votre organisation. Les secrets incluent les identifiants de base de données, les mots de passe et les clés API tierces. Vous pouvez utiliser Secret Manager pour stocker des secrets de manière centralisée, les chiffrer automatiquement, contrôler l'accès à ces secrets et les faire pivoter de manière sécurisée et automatique.

Secret Manager peut faire tourner les secrets. Vous pouvez utiliser la rotation pour remplacer les secrets à long terme par des secrets à court terme. La rotation de vos secrets limite la durée pendant laquelle un utilisateur non autorisé peut utiliser un secret compromis. C'est pourquoi vous devez effectuer une rotation fréquente de vos secrets. Pour en savoir plus sur la rotation, consultez la section "Rotation des secrets AWS Secrets Manager" du guide de l'utilisateur AWS Secrets Manager.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: AC-3(15)
  • PCI-DSS v3.2.1: 8.2.4

Vérifiez que la rotation de tous les secrets AWS Secrets Manager est activée

  • Analyses en temps réel : Non

Sns Encrypted Kms

Nom de la catégorie dans l'API : SNS_ENCRYPTED_KMS

Description du résultat:

Vérifie si un sujet SNS est chiffré au repos à l'aide d'AWS KMS. Les commandes échouent si un sujet SNS n'utilise pas de clé KMS pour le chiffrement côté serveur (SSE).

Le chiffrement des données au repos réduit le risque d'accès aux données stockées sur un disque par un utilisateur non authentifié auprès d'AWS. Il ajoute également un autre ensemble de contrôles d'accès pour limiter l'accès des utilisateurs non autorisés aux données. Par exemple, des autorisations d'API sont requises pour déchiffrer les données avant de pouvoir les lire. Pour renforcer la sécurité, les sujets SNS doivent être chiffrés au repos.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: SI-7(6)

Vérifiez que tous les sujets SNS sont chiffrés avec KMS

  • Analyses en temps réel : Non

Vpc Default Security Group Closed

Nom de la catégorie dans l'API : VPC_DEFAULT_SECURITY_GROUP_CLOSED

Description du résultat:

Ce contrôle vérifie si le groupe de sécurité par défaut d'un VPC autorise le trafic entrant ou sortant. Le contrôle échoue si le groupe de sécurité autorise le trafic entrant ou sortant.

Les règles du groupe de sécurité par défaut autorisent tout trafic sortant et entrant provenant des interfaces réseau (et de leurs instances associées) attribuées au même groupe de sécurité. Nous vous recommandons de ne pas utiliser le groupe de sécurité par défaut. Étant donné que le groupe de sécurité par défaut ne peut pas être supprimé, vous devez modifier le paramètre des règles de groupe de sécurité par défaut pour limiter le trafic entrant et sortant. Cela empêche le trafic involontaire si le groupe de sécurité par défaut est accidentellement configuré pour des ressources telles que des instances EC2.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Assurez-vous que le groupe de sécurité par défaut de chaque VPC limite tout le trafic

  • Analyses en temps réel : Non

Vpc Flow Logging Enabled All Vpcs

Nom de la catégorie dans l'API : VPC_FLOW_LOGGING_ENABLED_ALL_VPCS

Description du résultat:

Les journaux de flux VPC sont une fonctionnalité qui vous permet de capturer des informations sur le trafic IP entre les différentes interfaces réseau de votre VPC. Une fois le journal de flux créé, vous pouvez consulter et récupérer ses données dans les journaux Amazon CloudWatch. Il est recommandé d'activer les journaux de flux VPC pour les "Refus" de paquets pour les VPC.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: SI-4, SI-7(8)
  • PCI-DSS v3.2.1: 10.3.1
  • ISO-27001 v2022: A.8.15, A.8.16
  • Cloud Controls Matrix 4: IVS-03
  • NIST Cybersecurity Framework 1.0: DE-CM-1
  • SOC2 v2017: CC7.2.1, CC7.2.2, CC7.2.3, CC7.2.4
  • CIS AWS Foundation 2.0.0: 3.9
  • CIS Controls 8.0: 13.6, 8.2

Assurez-vous que la journalisation de flux VPC est activée dans tous les VPC

  • Analyses en temps réel : Non

Vpc Sg Open Only To Authorized Ports

Nom de la catégorie dans l'API : VPC_SG_OPEN_ONLY_TO_AUTHORIZED_PORTS

Description du résultat:

Cette vérification vérifie si un groupe de sécurité Amazon EC2 autorise le trafic entrant illimité à partir de ports non autorisés. L'état de la commande est déterminé comme suit:

Si vous utilisez la valeur par défaut pour authorizedTcpPorts, le contrôle échoue si le groupe de sécurité autorise le trafic entrant sans restriction à partir de n'importe quel port autre que les ports 80 et 443.

Si vous fournissez des valeurs personnalisées pour authorizedTcpPorts ou authorizedUdpPorts, la vérification échoue si le groupe de sécurité autorise le trafic entrant illimité à partir de n'importe quel port non listé.

Si aucun paramètre n'est utilisé, le contrôle échoue pour tous les groupes de sécurité disposant d'une règle de trafic entrant sans restriction.

Les groupes de sécurité fournissent un filtrage avec état du trafic réseau entrant et sortant vers AWS. Les règles de groupe de sécurité doivent respecter le principe du moindre privilège. L'accès illimité (adresse IP avec un suffixe /0) augmente les risques d'activités malveillantes telles que le piratage, les attaques par déni de service et la perte de données. Sauf si un port est spécifiquement autorisé, il doit refuser tout accès illimité.

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Vérifiez que les groupes de sécurité avec la plage 0.0.0.0/0 de n'importe quel VPC autorisent uniquement le trafic TCP/UDP entrant spécifique

  • Analyses en temps réel : Non

Both VPC VPN Tunnels Up

Nom de la catégorie dans l'API : VPC_VPN_2_TUNNELS_UP

Description du résultat:

Un tunnel VPN est un lien chiffré par lequel les données peuvent passer du réseau client vers ou depuis AWS dans une connexion VPN de site à site AWS. Chaque connexion VPN comprend deux tunnels VPN que vous pouvez utiliser simultanément pour assurer la haute disponibilité. Il est important de s'assurer que les deux tunnels VPN sont actifs pour une connexion VPN afin de confirmer une connexion sécurisée et à disponibilité élevée entre un VPC AWS et votre réseau distant.

Cette commande vérifie que les deux tunnels VPN fournis par AWS Site-to-Site VPN sont activés. Le contrôle échoue si l'un ou les deux tunnels sont en état "DOWN".

Niveau de tarification: Entreprise

Corriger ce résultat

Normes de conformité:

  • NIST 800-53 R5: SI-13(5)

Vérifiez que les deux tunnels VPN AWS fournis par AWS site à site sont activés

  • Analyses en temps réel : Non

Résultats de Web Security Scanner

Les analyses personnalisées et gérées de Web Security Scanner identifient les types de résultats suivants. Au niveau Standard, Web Security Scanner accepte les analyses personnalisées des applications déployées avec des URL et des adresses IP publiques qui ne sont pas protégées par un pare-feu.

Catégorie Description du résultat OWASP 2017 Top 10 OWASP 2021 Top 10

Accessible Git repository

Nom de la catégorie dans l'API : ACCESSIBLE_GIT_REPOSITORY

Un dépôt GIT est exposé publiquement. Pour résoudre ce problème, supprimez l'accès public involontaire au dépôt GIT.

Niveau de tarification: Premium ou Standard

Corriger ce résultat

A5 A01

Accessible SVN repository

Nom de la catégorie dans l'API : ACCESSIBLE_SVN_REPOSITORY

Un dépôt SVN est exposé publiquement. Pour résoudre ce problème, supprimez l'accès public involontaire au dépôt SVN.

Niveau de tarification: Premium ou Standard

Corriger ce résultat

A5 A01

Cacheable password input

Nom de la catégorie dans l'API : CACHEABLE_PASSWORD_INPUT

Les mots de passe saisis dans l'application Web peuvent être mis en cache dans un cache de navigateur standard au lieu d'un espace de stockage sécurisé.

Niveau de tarification: Premium

Corriger ce résultat

A3 A04

Clear text password

Nom de la catégorie dans l'API : CLEAR_TEXT_PASSWORD

Les mots de passe sont transmis en texte clair et peuvent être interceptés. Pour résoudre ce problème, chiffrez les mots de passe transmis sur le réseau.

Niveau de tarification: Premium ou Standard

Corriger ce résultat

A3 A02

Insecure allow origin ends with validation

Nom de la catégorie dans l'API : INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION

Un point de terminaison HTTP ou HTTPS intersites ne valide qu'un suffixe de l'en-tête de requête Origin avant de le refléter dans l'en-tête de réponse Access-Control-Allow-Origin. Pour corriger ce résultat, vérifiez que le domaine racine attendu fait partie de la valeur d'en-tête Origin avant de le refléter dans l'en-tête de réponse Access-Control-Allow-Origin. Pour les caractères génériques de sous-domaine, ajoutez le point au domaine racine, par exemple .endsWith(".google.com").

Niveau de tarification: Premium

Corriger ce résultat

A5 A01

Insecure allow origin starts with validation

Nom de la catégorie dans l'API : INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION

Un point de terminaison HTTP ou HTTPS intersites ne valide qu'un préfixe de l'en-tête de requête Origin avant de le refléter dans l'en-tête de réponse Access-Control-Allow-Origin. Pour corriger ce résultat, vérifiez que le domaine attendu correspond entièrement à la valeur de l'en-tête Origin avant de le refléter dans l'en-tête de réponse Access-Control-Allow-Origin (par exemple, .equals(".google.com")).

Niveau de tarification: Premium

Corriger ce résultat

A5 A01

Invalid content type

Nom de la catégorie dans l'API : INVALID_CONTENT_TYPE

Une des ressources chargées ne correspond pas à l'en-tête HTTP "Content-Type" de la réponse. Pour résoudre ce problème, définissez l'en-tête HTTP X-Content-Type-Options sur la valeur correcte.

Niveau de tarification: Premium ou Standard

Corriger ce résultat

A6 A05

Invalid header

Nom de la catégorie dans l'API : INVALID_HEADER

Un en-tête de sécurité contient une erreur de syntaxe et est ignoré par les navigateurs. Pour résoudre ce problème, définissez correctement les en-têtes de sécurité HTTP.

Niveau de tarification: Premium ou Standard

Corriger ce résultat

A6 A05

Mismatching security header values

Nom de la catégorie dans l'API : MISMATCHING_SECURITY_HEADER_VALUES

Un en-tête de sécurité contient des valeurs en double incompatibles et non concordantes, ce qui entraîne un comportement indéfini. Pour résoudre ce problème, définissez correctement les en-têtes de sécurité HTTP.

Niveau de tarification: Premium ou Standard

Corriger ce résultat

A6 A05

Misspelled security header name

Nom de la catégorie dans l'API : MISSPELLED_SECURITY_HEADER_NAME

Un en-tête de sécurité est mal orthographié et ignoré. Pour résoudre ce problème, définissez correctement les en-têtes de sécurité HTTP.

Niveau de tarification: Premium ou Standard

Corriger ce résultat

A6 A05

Mixed content

Nom de la catégorie dans l'API : MIXED_CONTENT

Les ressources sont diffusées via HTTP sur une page HTTPS. Pour résoudre ce problème, assurez-vous que toutes les ressources sont diffusées via HTTPS.

Niveau de tarification: Premium ou Standard

Corriger ce résultat

A6 A05

Outdated library

Nom de la catégorie dans l'API : OUTDATED_LIBRARY

Une bibliothèque contenant des failles connues a été détectée. Pour résoudre ce problème, mettez à niveau les bibliothèques vers une version plus récente.

Niveau de tarification: Premium ou Standard

Corriger ce résultat

A9 A06

Server side request forgery

Nom de la catégorie dans l'API : SERVER_SIDE_REQUEST_FORGERY

Une faille SSRF (Server Side Request Forgery, falsification de requête côté serveur) a été détectée. Pour résoudre ce résultat, utilisez une liste d'autorisation pour limiter les domaines et les adresses IP auxquels l'application Web peut envoyer des requêtes.

Niveau de tarification: Premium ou Standard

Corriger ce résultat

Non applicable A10

Session ID leak

Nom de la catégorie dans l'API : SESSION_ID_LEAK

Lors d'une requête interdomaine, l'application Web inclut l'identifiant de session de l'utilisateur dans son en-tête de requête Referer. Cette faille donne au domaine destinataire la possibilité d'accéder à l'identifiant de session, qui peut servir à emprunter l'identité de l'utilisateur ou à l'identifier de manière unique.

Niveau de tarification: Premium

Corriger ce résultat

A2 A07

SQL injection

Nom de la catégorie dans l'API : SQL_INJECTION

Une faille potentielle d'injection SQL a été détectée. Pour résoudre ce résultat, utilisez des requêtes paramétrées afin d'empêcher les entrées utilisateur d'affecter la structure de la requête SQL.

Niveau de tarification: Premium

Corriger ce résultat

A1 A03

Struts insecure deserialization

Nom de la catégorie dans l'API : STRUTS_INSECURE_DESERIALIZATION

L'utilisation d'une version vulnérable d'Apache Struts a été détectée. Pour résoudre ce résultat, mettez à niveau Apache Struts vers la dernière version.

Niveau de tarification: Premium

Corriger ce résultat

A8 A08

XSS

Nom de la catégorie dans l'API : XSS

Un champ dans cette application Web est vulnérable aux attaques de script intersites (XSS). Pour résoudre ce problème, validez les données fournies par l'utilisateur non approuvées et faites-les échapper.

Niveau de tarification: Premium ou Standard

Corriger ce résultat

A7 A03

XSS angular callback

Nom de la catégorie dans l'API : XSS_ANGULAR_CALLBACK

Une chaîne fournie par l'utilisateur n'est pas échappée et AngularJS peut l'interpoler. Pour résoudre ce problème, validez les données fournies par l'utilisateur non approuvées qui sont gérées par le framework Angular et faites-les échapper.

Niveau de tarification: Premium ou Standard

Corriger ce résultat

A7 A03

XSS error

Nom de la catégorie dans l'API : XSS_ERROR

Un champ dans cette application Web est vulnérable aux attaques de script intersites. Pour résoudre ce problème, validez les données fournies par l'utilisateur non approuvées et faites-les échapper.

Niveau de tarification: Premium ou Standard

Corriger ce résultat

A7 A03

XXE reflected file leakage

Nom de la catégorie dans l'API : XXE_REFLECTED_FILE_LEAKAGE

Une faille XML External Entity (XXE) a été détectée. Cette faille peut entraîner la fuite d'un fichier sur l'hôte par l'application Web. Pour corriger ce résultat, configurez vos analyseurs XML de manière à interdire les entités externes.

Niveau de tarification: Premium

Corriger ce résultat

A4 A05

Prototype pollution

Nom de la catégorie dans l'API : PROTOTYPE_POLLUTION

L'application est vulnérable à la pollution des prototypes. Cette faille survient lorsque des valeurs qu'un pirate informatique peut contrôler peuvent être attribuées aux propriétés de l'objet Object.prototype. Il est universellement admis que des valeurs introduites dans ces prototypes peuvent se traduire en scripts intersites ou en failles similaires côté client, ainsi qu'en bugs logiques.

Niveau de tarification: Premium ou Standard

Corriger ce résultat

A1 A03

Résultats de l'outil de recommandation IAM

Le tableau suivant liste les résultats de Security Command Center générés par le recommandeur IAM.

Chaque résultat de l'outil de recommandation IAM contient des recommandations spécifiques pour supprimer ou remplacer un rôle qui inclut des autorisations excessives d'un principal dans votre environnement Google Cloud.

Les résultats générés par le recommender IAM correspondent aux recommandations qui s'affichent dans la console Google Cloud sur la page IAM du projet, du dossier ou de l'organisation concernés.

Pour en savoir plus sur l'intégration de l'outil de recommandation IAM à Security Command Center, consultez la section Sources de sécurité.

Détecteur Résumé

IAM role has excessive permissions

Nom de la catégorie dans l'API : IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS

Description du résultat: le recommender IAM a détecté un compte de service qui possède un ou plusieurs rôles IAM qui accordent des autorisations excessives au compte utilisateur.

Niveau de tarification: Premium

Composants compatibles:

Corriger ce résultat :

Utilisez l'outil de recommandation IAM pour appliquer la solution recommandée à ce problème en procédant comme suit:

  1. Dans la section Étapes suivantes des détails de la recherche dans la console Google Cloud, copiez et collez l'URL de la page IAM dans la barre d'adresse d'un navigateur, puis appuyez sur Entrée. La page IAM se charge.
  2. En haut de la page IAM, à droite, cliquez sur Afficher les recommandations dans un tableau. Les recommandations s'affichent dans un tableau.
  3. Dans la colonne Insights sur la sécurité, cliquez sur une recommandation liée à des autorisations en excès. Le panneau des détails de la recommandation s'ouvre.
  4. Consultez la recommandation pour connaître les actions que vous pouvez effectuer pour résoudre le problème.
  5. Cliquez sur Appliquer.

Une fois le problème résolu, le recommender IAM met à jour l'état de la découverte sur INACTIVE dans un délai de 10 jours.

Service agent role replaced with basic role

Nom de la catégorie dans l'API : SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE

Description du résultat: L'outil de recommandation IAM a détecté que le rôle IAM par défaut d'origine attribué à un agent de service a été remplacé par l'un des rôles IAM de base: Propriétaire, Éditeur ou Lecteur. Les rôles de base sont des rôles anciens excessivement permissifs et ne doivent pas être attribués aux agents de service.

Niveau de tarification: Premium

Composants compatibles:

Corriger ce résultat :

Utilisez l'outil de recommandation IAM pour appliquer la solution recommandée à ce problème en procédant comme suit:

  1. Dans la section Étapes suivantes des détails de la recherche dans la console Google Cloud, copiez et collez l'URL de la page IAM dans la barre d'adresse d'un navigateur, puis appuyez sur Entrée. La page IAM se charge.
  2. En haut de la page IAM, à droite, cliquez sur Afficher les recommandations dans un tableau. Les recommandations s'affichent dans un tableau.
  3. Dans la colonne Insights sur la sécurité, cliquez sur une autorisation liée à des autorisations en excès. Le panneau des détails de la recommandation s'ouvre.
  4. Examinez les autorisations en excès.
  5. Cliquez sur Appliquer.

Une fois le problème résolu, le recommender IAM met à jour l'état de la découverte sur INACTIVE dans un délai de 10 jours.

Service agent granted basic role

Nom de la catégorie dans l'API : SERVICE_AGENT_GRANTED_BASIC_ROLE

Description du résultat : l'outil de recommandation IAM a détecté qu'un agent de service avait reçu l'un des rôles IAM de base: Propriétaire, Éditeur ou Lecteur. Les rôles de base sont des rôles anciens excessivement permissifs et ne doivent pas être attribués aux agents de service.

Niveau de tarification: Premium

Composants compatibles:

Corriger ce résultat :

Utilisez l'outil de recommandation IAM pour appliquer la solution recommandée à ce problème en procédant comme suit:

  1. Dans la section Étapes suivantes des détails de la recherche dans la console Google Cloud, copiez et collez l'URL de la page IAM dans la barre d'adresse d'un navigateur, puis appuyez sur Entrée. La page IAM se charge.
  2. En haut de la page IAM, à droite, cliquez sur Afficher les recommandations dans un tableau. Les recommandations s'affichent dans un tableau.
  3. Dans la colonne Insights sur la sécurité, cliquez sur une autorisation liée à des autorisations en excès. Le panneau des détails de la recommandation s'ouvre.
  4. Examinez les autorisations en excès.
  5. Cliquez sur Appliquer.

Une fois le problème résolu, le recommender IAM met à jour l'état de la découverte sur INACTIVE dans un délai de 10 jours.

Unused IAM role

Nom de la catégorie dans l'API : UNUSED_IAM_ROLE

Description du résultat: l'outil de recommandation IAM a détecté un compte utilisateur dont le rôle IAM n'a pas été utilisé au cours des 90 derniers jours.

Niveau de tarification: Premium

Composants compatibles:

Corriger ce résultat :

Utilisez l'outil de recommandation IAM pour appliquer la solution recommandée à ce problème en procédant comme suit:

  1. Dans la section Étapes suivantes des détails de la recherche dans la console Google Cloud, copiez et collez l'URL de la page IAM dans la barre d'adresse d'un navigateur, puis appuyez sur Entrée. La page IAM se charge.
  2. En haut de la page IAM, à droite, cliquez sur Afficher les recommandations dans un tableau. Les recommandations s'affichent dans un tableau.
  3. Dans la colonne Insights sur la sécurité, cliquez sur une autorisation liée à des autorisations en excès. Le panneau des détails de la recommandation s'ouvre.
  4. Examinez les autorisations en excès.
  5. Cliquez sur Appliquer.

Une fois le problème résolu, le recommender IAM met à jour l'état de la découverte sur INACTIVE dans un délai de 10 jours.

Résultats de l'analyse CIEM

Le tableau suivant répertorie les résultats d'identité et d'accès de Security Command Center pour AWS générés par la gestion des droits d'accès de l'infrastructure cloud (CIEM, Cloud Infrastructure Entitlement Management).

Les résultats de l'analyse CIEM contiennent des recommandations spécifiques pour supprimer ou remplacer les stratégies IAM AWS très permissives associées à des identités, des utilisateurs ou des groupes supposés dans votre environnement AWS.

Pour en savoir plus sur la gestion des droits d'accès à l'infrastructure cloud, consultez la section Présentation de la gestion des droits d'accès à l'infrastructure cloud.

Détecteur Résumé

Assumed identity has excessive permissions

Nom de la catégorie dans l'API : ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS

Description du résultat: Dans votre environnement AWS, CIEM a détecté un rôle IAM supposé qui comporte une ou plusieurs stratégies très permissives qui enfreignent le principe du moindre privilège et augmentent les risques de sécurité.

Niveau de tarification: Entreprise

Corriger ce résultat :

Selon la découverte, utilisez la console de gestion AWS pour effectuer l'une des tâches de correction suivantes:

  • Supprimez la règle très permissive.
  • Créez une règle avec les autorisations minimales requises pour l'utilisateur, le groupe ou le rôle. Associez ensuite la nouvelle stratégie à l'utilisateur, au groupe ou au rôle, puis supprimez la stratégie très permissive.

Reportez-vous aux détails de l'anomalie pour connaître les étapes de correction spécifiques.

Group has excessive permissions

Nom de la catégorie dans l'API : GROUP_HAS_EXCESSIVE_PERMISSIONS

Description du résultat: Dans votre environnement AWS, le CIEM a détecté un groupe IAM qui comporte une ou plusieurs stratégies très permissives qui enfreignent le principe du moindre privilège et augmentent les risques de sécurité.

Niveau de tarification: Entreprise

Corriger ce résultat :

Selon la découverte, utilisez la console de gestion AWS pour effectuer l'une des tâches de correction suivantes:

  • Supprimez la règle très permissive.
  • Créez une règle avec les autorisations minimales requises pour l'utilisateur, le groupe ou le rôle. Associez ensuite la nouvelle stratégie à l'utilisateur, au groupe ou au rôle, puis supprimez la stratégie très permissive.

Reportez-vous aux détails de l'anomalie pour connaître les étapes de correction spécifiques.

User has excessive permissions

Nom de la catégorie dans l'API : USER_HAS_EXCESSIVE_PERMISSIONS

Description du résultat: Dans votre environnement AWS, le CIEM a détecté un utilisateur IAM disposant d'une ou de plusieurs stratégies très permissives qui enfreignent le principe du moindre privilège et augmentent les risques de sécurité.

Niveau de tarification: Entreprise

Corriger ce résultat :

Selon la découverte, utilisez la console de gestion AWS pour effectuer l'une des tâches de correction suivantes:

  • Supprimez la règle très permissive.
  • Créez une règle avec les autorisations minimales requises pour l'utilisateur, le groupe ou le rôle. Associez ensuite la nouvelle stratégie à l'utilisateur, au groupe ou au rôle, puis supprimez la stratégie très permissive.

Reportez-vous aux détails de l'anomalie pour connaître les étapes de correction spécifiques.

User is inactive

Nom de la catégorie dans l'API : INACTIVE_USER

Description du résultat: Dans votre environnement AWS, CIEM a détecté un utilisateur IAM inactif disposant d'une ou de plusieurs autorisations. Cela enfreint le principe du moindre privilège et augmente les risques de sécurité.

Niveau de tarification: Entreprise

Corriger ce résultat :

Selon la découverte, utilisez la console de gestion AWS pour effectuer l'une des tâches de correction suivantes:

  • Supprimez la ou les stratégies associées à l'utilisateur AWS IAM.
  • Supprimez l'utilisateur AWS IAM si vous êtes sûr que l'identité n'est plus nécessaire.

Reportez-vous aux détails de l'anomalie pour connaître les étapes de correction spécifiques.

Group is inactive

Nom de la catégorie dans l'API : INACTIVE_GROUP

Description du résultat: Dans votre environnement AWS, CIEM a détecté un groupe IAM inactif disposant d'une ou de plusieurs autorisations. Cela enfreint le principe du moindre privilège et augmente les risques de sécurité.

Niveau de tarification: Entreprise

Corriger ce résultat :

Selon la découverte, utilisez la console de gestion AWS pour effectuer l'une des tâches de correction suivantes:

  • Supprimez la ou les stratégies associées au groupe AWS IAM.
  • Supprimez certains ou tous les utilisateurs IAM AWS qui composent le groupe si vous êtes sûr que ces identités ne sont plus nécessaires.

Reportez-vous aux détails de l'anomalie pour connaître les étapes de correction spécifiques.

Assumed identity is inactive

Nom de la catégorie dans l'API : INACTIVE_ASSUMED_IDENTITY

Description de la découverte: Dans votre environnement AWS, CIEM a détecté un rôle IAM assumé qui est inactif et dispose d'une ou de plusieurs autorisations. Cela enfreint le principe du moindre privilège et augmente les risques de sécurité.

Niveau de tarification: Entreprise

Corriger ce résultat :

Selon la découverte, utilisez la console de gestion AWS pour effectuer l'une des tâches de correction suivantes:

  • Supprimez la ou les stratégies associées au rôle AWS IAM.
  • Supprimez l'identité fictive si vous êtes sûr qu'elle n'est plus nécessaire.

Reportez-vous aux détails de l'anomalie pour connaître les étapes de correction spécifiques.

Overly permissive trust policy enforced on assumed identity

Nom de la catégorie dans l'API : OVERLY_PERMISSIVE_TRUST_POLICY_ENFORCED_ON_ASSUMED_IDENTITY

Description de la découverte: Dans votre environnement AWS, CIEM a détecté une stratégie de confiance trop permissive appliquée à un rôle IAM AWS qui ne respecte pas le principe du moindre privilège et augmente les risques de sécurité.

Niveau de tarification: Entreprise

Corriger ce résultat :

Utilisez la console de gestion AWS pour modifier les autorisations de la stratégie de confiance appliquée au rôle IAM AWS afin de respecter le principe du moindre privilège.

Reportez-vous aux détails de l'anomalie pour connaître les étapes de correction spécifiques.

Assumed identity has lateral movement risk

Nom de la catégorie dans l'API : ASSUMED_IDENTITY_HAS_LATERAL_MOVEMENT_RISK

Description de la découverte: Dans votre environnement AWS, le CIEM a détecté une ou plusieurs identités pouvant se déplacer latéralement par usurpation d'identité.

Niveau de tarification: Entreprise

Corriger ce résultat :

Utilisez la console de gestion AWS pour supprimer la ou les règles associées à l'identité ou aux identités qui autorisent le transfert latéral.

Reportez-vous aux détails de l'anomalie pour connaître les étapes de correction spécifiques.

Résultats du service d'évaluation de la sécurité

Le tableau suivant liste les résultats de Security Command Center générés par le service d'évaluation de la posture de sécurité.

Chaque résultat du service d'évaluation de la posture de sécurité identifie une instance de dérive par rapport à la posture de sécurité que vous avez définie.

Résultat Résumé

SHA Canned Module Drifted

Nom de la catégorie dans l'API : SECURITY_POSTURE_DETECTOR_DRIFT

Description du résultat: Le service d'état de sécurité a détecté une modification d'un détecteur Security Health Analytics qui s'est produite en dehors d'une mise à jour de l'état.

Niveau de tarification: Premium

Corriger ce résultat :

Cette constatation vous oblige à accepter ou à annuler la modification afin que les paramètres du détecteur dans votre posture et votre environnement correspondent. Pour résoudre ce problème, vous avez deux options: vous pouvez mettre à jour le détecteur Security Health Analytics ou la posture et le déploiement de la posture.

Pour annuler la modification, mettez à jour le détecteur Security Health Analytics dans la console Google Cloud. Pour obtenir des instructions, consultez la section Activer et désactiver des détecteurs.

Pour accepter la modification, procédez comme suit:

  1. Mettez à jour le fichier posture.yaml avec la modification.
  2. Exécutez la commande gcloud scc postures update. Pour obtenir des instructions, consultez la section Modifier les définitions de stratégie dans une posture.
  3. Déployez la posture mise à jour avec le nouvel ID de révision. Pour obtenir des instructions, consultez la page Mettre à jour un déploiement de posture.

SHA Custom Module Drifted

Nom de la catégorie dans l'API : SECURITY_POSTURE_DETECTOR_DRIFT

Description du résultat: Le service d'état de sécurité a détecté une modification d'un module personnalisé Security Health Analytics qui s'est produite en dehors d'une mise à jour de l'état.

Niveau de tarification: Premium

Corriger ce résultat :

Cette constatation vous oblige à accepter ou à annuler la modification afin que les paramètres du module personnalisé dans votre posture et votre environnement correspondent. Pour résoudre ce problème, vous avez deux options: vous pouvez mettre à jour le module personnalisé Security Health Analytics ou la posture et le déploiement de la posture.

Pour annuler la modification, mettez à jour le module personnalisé Security Health Analytics dans la console Google Cloud. Pour savoir comment procéder, consultez Mettre à jour un module personnalisé.

Pour accepter la modification, procédez comme suit:

  1. Mettez à jour le fichier posture.yaml avec la modification.
  2. Exécutez la commande gcloud scc postures update. Pour obtenir des instructions, consultez la section Modifier les définitions de stratégie dans une posture.
  3. Déployez la posture mise à jour avec le nouvel ID de révision. Pour obtenir des instructions, consultez la page Mettre à jour un déploiement de posture.

SHA Custom Module Deleted

Nom de la catégorie dans l'API : SECURITY_POSTURE_DETECTOR_DELETE

Description du résultat: Le service d'état de sécurité a détecté qu'un module personnalisé Security Health Analytics a été supprimé. Cette suppression s'est produite en dehors d'une mise à jour de la posture.

Niveau de tarification: Premium

Corriger ce résultat :

Cette constatation vous oblige à accepter ou à annuler la modification afin que les paramètres du module personnalisé dans votre posture et votre environnement correspondent. Pour résoudre ce problème, vous avez deux options: vous pouvez mettre à jour le module personnalisé Security Health Analytics ou la posture et le déploiement de la posture.

Pour annuler la modification, mettez à jour le module personnalisé Security Health Analytics dans la console Google Cloud. Pour savoir comment procéder, consultez Mettre à jour un module personnalisé.

Pour accepter la modification, procédez comme suit:

  1. Mettez à jour le fichier posture.yaml avec la modification.
  2. Exécutez la commande gcloud scc postures update. Pour obtenir des instructions, consultez la section Modifier les définitions de stratégie dans une posture.
  3. Déployez la posture mise à jour avec le nouvel ID de révision. Pour obtenir des instructions, consultez la page Mettre à jour un déploiement de posture.

Org Policy Canned Constraint Drifted

Nom de la catégorie dans l'API : SECURITY_POSTURE_POLICY_DRIFT

Description du résultat: Le service d'évaluation de la sécurité a détecté une modification d'une règle d'administration qui s'est produite en dehors d'une mise à jour de l'évaluation.

Niveau de tarification: Premium

Corriger ce résultat :

Cette constatation vous oblige à accepter ou à annuler la modification afin que les définitions des règles d'administration de votre posture et de votre environnement correspondent. Vous avez deux options pour résoudre ce problème: vous pouvez mettre à jour la règle d'administration de l'organisation ou la posture et le déploiement de la posture.

Pour annuler la modification, mettez à jour la règle de l'organisation dans la console Google Cloud. Pour obtenir des instructions, consultez la section Créer et modifier des règles.

Pour accepter la modification, procédez comme suit:

  1. Mettez à jour le fichier posture.yaml avec la modification.
  2. Exécutez la commande gcloud scc postures update. Pour obtenir des instructions, consultez la section Modifier les définitions de stratégie dans une posture.
  3. Déployez la posture mise à jour avec le nouvel ID de révision. Pour obtenir des instructions, consultez la page Mettre à jour un déploiement de posture.

Org Policy Canned Constraint Deleted

Nom de la catégorie dans l'API : SECURITY_POSTURE_POLICY_DELETE

Description du résultat: Le service d'état de sécurité a détecté qu'une règle d'administration a été supprimée. Cette suppression s'est produite en dehors d'une mise à jour de la posture.

Niveau de tarification: Premium

Corriger ce résultat :

Cette constatation vous oblige à accepter ou à annuler la modification afin que les définitions des règles d'administration de votre posture et de votre environnement correspondent. Vous avez deux options pour résoudre ce problème: vous pouvez mettre à jour la règle d'administration de l'organisation ou la posture et le déploiement de la posture.

Pour annuler la modification, mettez à jour la règle de l'organisation dans la console Google Cloud. Pour obtenir des instructions, consultez la section Créer et modifier des règles.

Pour accepter la modification, procédez comme suit:

  1. Mettez à jour le fichier posture.yaml avec la modification.
  2. Exécutez la commande gcloud scc postures update. Pour obtenir des instructions, consultez la section Modifier les définitions de stratégie dans une posture.
  3. Déployez la posture mise à jour avec le nouvel ID de révision. Pour obtenir des instructions, consultez la page Mettre à jour un déploiement de posture.

Org Policy Custom Constraint Drifted

Nom de la catégorie dans l'API : SECURITY_POSTURE_POLICY_DRIFT

Description du résultat: Le service d'état de sécurité a détecté une modification d'une règle d'administration personnalisée qui s'est produite en dehors d'une mise à jour de l'état.

Niveau de tarification: Premium

Corriger ce résultat :

Cette constatation vous oblige à accepter ou à annuler la modification afin que les définitions personnalisées des règles d'administration de votre posture et de votre environnement correspondent. Pour résoudre ce problème, vous avez deux options: vous pouvez mettre à jour la règle d'administration personnalisée ou la posture et le déploiement de la posture.

Pour annuler la modification, mettez à jour la règle d'administration personnalisée dans la console Google Cloud. Pour obtenir des instructions, consultez la section Modifier une contrainte personnalisée.

Pour accepter la modification, procédez comme suit:

  1. Mettez à jour le fichier posture.yaml avec la modification.
  2. Exécutez la commande gcloud scc postures update. Pour obtenir des instructions, consultez la section Modifier les définitions de stratégie dans une posture.
  3. Déployez la posture mise à jour avec le nouvel ID de révision. Pour obtenir des instructions, consultez la page Mettre à jour un déploiement de posture.

Org Policy Custom Constraint Deleted

Nom de la catégorie dans l'API : SECURITY_POSTURE_POLICY_DELETE

Description du résultat: Le service d'évaluation de la sécurité a détecté qu'une règle d'administration personnalisée a été supprimée. Cette suppression s'est produite en dehors d'une mise à jour de la posture.

Niveau de tarification: Premium

Corriger ce résultat :

Cette constatation vous oblige à accepter ou à annuler la modification afin que les définitions personnalisées des règles d'administration de votre posture et de votre environnement correspondent. Pour résoudre ce problème, vous avez deux options: vous pouvez mettre à jour la règle d'administration personnalisée ou la posture et le déploiement de la posture.

Pour annuler la modification, mettez à jour la règle d'administration personnalisée dans la console Google Cloud. Pour obtenir des instructions, consultez la section Modifier une contrainte personnalisée.

Pour accepter la modification, procédez comme suit:

  1. Mettez à jour le fichier posture.yaml avec la modification.
  2. Exécutez la commande gcloud scc postures update. Pour obtenir des instructions, consultez la section Modifier les définitions de stratégie dans une posture.
  3. Déployez la posture mise à jour avec le nouvel ID de révision. Pour obtenir des instructions, consultez la page Mettre à jour un déploiement de posture.

Le tableau suivant liste les résultats de l'état de sécurité qui identifient les cas de non-respect des ressources par rapport à l'état de sécurité défini.

Résultat Résumé

Disable VPC External IPv6

Nom de la catégorie dans l'API : DISABLE_VPC_EXTERNAL_IP_V6_ORG_POLICY

Description du résultat: Le service d'évaluation de la sécurité a détecté qu'une adresse IPv6 externe était activée sur un sous-réseau.

Niveau de tarification: Premium

Corriger ce résultat :

Vous avez deux options pour résoudre ce problème: vous pouvez supprimer la ressource non conforme ou mettre à jour la posture et la redéployer.

Pour supprimer la ressource, procédez comme suit:

  1. Ouvrez le résumé des résultats.
  2. Consultez la section sur les ressources concernées et recherchez le nom complet de la ressource qui ne respecte pas la stratégie de posture.
  3. Cliquez sur le nom complet de la ressource pour ouvrir ses informations détaillées.
  4. Supprimez la ressource.

Si vous souhaitez conserver la ressource dans la même configuration, vous devez mettre à jour la posture. Pour modifier la posture, procédez comme suit:

  1. Mettez à jour le fichier posture.yaml avec la modification.
  2. Exécutez la commande gcloud scc postures update. Pour obtenir des instructions, consultez la section Modifier les définitions de stratégie dans une posture.
  3. Déployez la posture mise à jour avec le nouvel ID de révision. Pour obtenir des instructions, consultez la page Mettre à jour un déploiement de posture.

Disable VPC Internal IPv6

Nom de la catégorie dans l'API : DISABLE_VPC_INTERNAL_IP_V6_ORG_POLICY

Description du résultat: Le service d'évaluation de la sécurité a détecté qu'une adresse IPv6 interne était activée sur un sous-réseau.

Niveau de tarification: Premium

Corriger ce résultat :

Vous avez deux options pour résoudre ce problème: vous pouvez supprimer la ressource non conforme ou mettre à jour la posture et la redéployer.

Pour supprimer la ressource, procédez comme suit:

  1. Ouvrez le résumé des résultats.
  2. Consultez la section sur les ressources concernées et recherchez le nom complet de la ressource qui ne respecte pas la stratégie de posture.
  3. Cliquez sur le nom complet de la ressource pour ouvrir ses informations détaillées.
  4. Supprimez la ressource.

Si vous souhaitez conserver la ressource dans la même configuration, vous devez mettre à jour la posture. Pour modifier la posture, procédez comme suit:

  1. Mettez à jour le fichier posture.yaml avec la modification.
  2. Exécutez la commande gcloud scc postures update. Pour obtenir des instructions, consultez la section Modifier les définitions de stratégie dans une posture.
  3. Déployez la posture mise à jour avec le nouvel ID de révision. Pour obtenir des instructions, consultez la page Mettre à jour un déploiement de posture.

Require OS Login

Nom de la catégorie dans l'API : REQUIRE_OS_LOGIN_ORG_POLICY

Description du résultat: Le service d'état de sécurité a détecté que l'OS Login est désactivée dans une instance de VM.

Niveau de tarification: Premium

Corriger ce résultat :

Vous avez deux options pour résoudre ce problème: vous pouvez mettre à jour la ressource non conforme ou mettre à jour la posture et la redéployer.

Pour mettre à jour la ressource, procédez comme suit:

  1. Ouvrez le résumé des résultats.
  2. Consultez la section sur les ressources concernées et recherchez le nom complet de la ressource qui ne respecte pas la stratégie de posture.
  3. Cliquez sur le nom complet de la ressource pour ouvrir ses informations détaillées.
  4. Modifiez la ressource. Recherchez la section des métadonnées, puis remplacez l'entrée avec la clé enable-oslogin par TRUE.
  5. Enregistrez la ressource.

Si vous souhaitez conserver la ressource dans la même configuration, vous devez mettre à jour la posture. Pour modifier la posture, procédez comme suit:

  1. Mettez à jour le fichier posture.yaml avec la modification.
  2. Exécutez la commande gcloud scc postures update. Pour obtenir des instructions, consultez la section Modifier les définitions de stratégie dans une posture.
  3. Déployez la posture mise à jour avec le nouvel ID de révision. Pour obtenir des instructions, consultez la page Mettre à jour un déploiement de posture.

Restrict Authorized Networks

Nom de la catégorie dans l'API : RESTRICT_AUTHORIZED_NETWORKS_ORG_POLICY

Description du résultat: Le service d'état de sécurité a détecté qu'un réseau autorisé a été ajouté à une instance SQL.

Niveau de tarification: Premium

Corriger ce résultat :

Pour résoudre ce problème, vous devez corriger le non-respect ou mettre à jour la posture. Vous avez deux options pour résoudre ce problème: vous pouvez mettre à jour la ressource non conforme ou mettre à jour la posture et la redéployer.

Pour mettre à jour la ressource, procédez comme suit:

  1. Ouvrez le résumé des résultats.
  2. Consultez la section sur les ressources concernées et recherchez le nom complet de la ressource qui ne respecte pas la stratégie de posture.
  3. Cliquez sur le nom complet de la ressource pour ouvrir ses informations détaillées.
  4. Modifiez la ressource. Recherchez la section "Réseau autorisé" sous la section "Connexions", puis supprimez toutes ses entrées.
  5. Enregistrez la ressource.

Si vous souhaitez conserver la ressource dans la même configuration, vous devez mettre à jour la posture. Pour modifier la posture, procédez comme suit:

  1. Mettez à jour le fichier posture.yaml avec la modification.
  2. Exécutez la commande gcloud scc postures update. Pour obtenir des instructions, consultez la section Modifier les définitions de stratégie dans une posture.
  3. Déployez la posture mise à jour avec le nouvel ID de révision. Pour obtenir des instructions, consultez la page Mettre à jour un déploiement de posture.

Require VPC Connector

Nom de la catégorie dans l'API : REQUIRE_VPC_CONNECTOR_ORG_POLICY

Description du résultat: Le service d'état de sécurité a détecté qu'un connecteur VPC n'est pas activé pour une instance de fonction Cloud Run.

Niveau de tarification: Premium

Corriger ce résultat :

Vous avez deux options pour résoudre ce problème: vous pouvez mettre à jour la ressource non conforme ou mettre à jour la posture et la redéployer.

Pour mettre à jour la ressource, procédez comme suit:

  1. Ouvrez le résumé des résultats.
  2. Consultez la section sur les ressources concernées et recherchez le nom complet de la ressource qui ne respecte pas la stratégie de posture.
  3. Cliquez sur le nom complet de la ressource pour ouvrir ses informations détaillées.
  4. Cliquez sur Modifier.
  5. Cliquez sur l'onglet Connexions.
  6. Accédez à la section Paramètres de sortie. Dans le menu Network (Réseau), sélectionnez un connecteur VPC approprié.
  7. Cliquez sur Suivant.
  8. Cliquez sur Déployer.

Si vous souhaitez conserver la ressource dans la même configuration, vous devez mettre à jour la posture. Pour mettre à jour la posture, procédez comme suit:

  1. Mettez à jour le fichier posture.yaml avec la modification.
  2. Exécutez la commande gcloud scc postures update. Pour obtenir des instructions, consultez la section Modifier les définitions de stratégie dans une posture.
  3. Déployez la posture mise à jour avec le nouvel ID de révision. Pour obtenir des instructions, consultez la page Mettre à jour un déploiement de posture.

Disabled Serial Port Access

Nom de la catégorie dans l'API : DISABLED_SERIAL_PORT_ACCESS_ORG_POLICY

Description du résultat: Le service d'état de sécurité a détecté que l'accès au port série d'une instance de VM est activé.

Niveau de tarification: Premium

Corriger ce résultat :

Vous avez deux options pour résoudre ce problème: vous pouvez mettre à jour la ressource non conforme ou mettre à jour la posture et la redéployer.

Pour mettre à jour la ressource, procédez comme suit:

  1. Ouvrez le résumé des résultats.
  2. Consultez la section sur les ressources concernées et recherchez le nom complet de la ressource qui ne respecte pas la stratégie de posture.
  3. Cliquez sur le nom complet de la ressource pour ouvrir ses informations détaillées.
  4. Modifiez la ressource. Recherchez la section "Accès à distance", puis décochez la case Activer la connexion aux ports série.
  5. Enregistrez la ressource.

Si vous souhaitez conserver la ressource dans la même configuration, vous devez mettre à jour la posture. Pour modifier la posture, procédez comme suit:

  1. Mettez à jour le fichier posture.yaml avec la modification.
  2. Exécutez la commande gcloud scc postures update. Pour obtenir des instructions, consultez la section Modifier les définitions de stratégie dans une posture.
  3. Déployez la posture mise à jour avec le nouvel ID de révision. Pour obtenir des instructions, consultez la page Mettre à jour un déploiement de posture.

Skip Default Network Creation

Nom de la catégorie dans l'API : SKIP_DEFAULT_NETWORK_CREATION_ORG_POLICY

Description du résultat: Le service d'état de sécurité a détecté qu'un réseau par défaut était créé.

Niveau de tarification: Premium

Corriger ce résultat :

Vous avez deux options pour résoudre ce problème: vous pouvez supprimer la ressource non conforme ou mettre à jour la posture et la redéployer.

Pour supprimer la ressource, procédez comme suit:

  1. Ouvrez le résumé des résultats.
  2. Consultez la section sur les ressources concernées et recherchez le nom complet de la ressource qui ne respecte pas la stratégie de posture.
  3. Cliquez sur le nom complet de la ressource pour ouvrir ses informations détaillées.
  4. Supprimez la ressource.

Si vous souhaitez conserver la ressource dans la même configuration, vous devez mettre à jour la posture. Pour modifier la posture, procédez comme suit:

  1. Mettez à jour le fichier posture.yaml avec la modification.
  2. Exécutez la commande gcloud scc postures update. Pour obtenir des instructions, consultez la section Modifier les définitions de stratégie dans une posture.
  3. Déployez la posture mise à jour avec le nouvel ID de révision. Pour obtenir des instructions, consultez la page Mettre à jour un déploiement de posture.

Allowed Ingress

Nom de la catégorie dans l'API : ALLOWED_INGRESS_ORG_POLICY

Description du résultat: Le service d'évaluation de la sécurité a détecté qu'un service Cloud Run ne respectait pas les paramètres d'entrée spécifiés.

Niveau de tarification: Premium

Corriger ce résultat :

Vous avez deux options pour résoudre ce problème: vous pouvez mettre à jour la ressource non conforme ou mettre à jour la posture et la redéployer.

Pour mettre à jour la ressource, procédez comme suit:

  1. Ouvrez le résumé des résultats.
  2. Consultez la section sur les ressources concernées et recherchez le nom complet de la ressource qui ne respecte pas la stratégie de posture.
  3. Cliquez sur le nom complet de la ressource pour ouvrir ses informations détaillées.
  4. Cliquez sur l'onglet Réseau. Modifiez les paramètres pour qu'ils correspondent à la stratégie d'entrée autorisée.
  5. Enregistrez la ressource.

Si vous souhaitez conserver la ressource dans la même configuration, vous devez mettre à jour la posture. Pour modifier la posture, procédez comme suit:

  1. Mettez à jour le fichier posture.yaml avec la modification.
  2. Exécutez la commande gcloud scc postures update. Pour obtenir des instructions, consultez la section Modifier les définitions de stratégie dans une posture.
  3. Déployez la posture mise à jour avec le nouvel ID de révision. Pour obtenir des instructions, consultez la page Mettre à jour un déploiement de posture.

Uniform Bucket Level Access

Nom de la catégorie dans l'API : UNIFORM_BUCKET_LEVEL_ACCESS_ORG_POLICY

Description du résultat: Le service d'état de sécurité a détecté qu'un accès au niveau du bucket est précis au lieu d'être uniforme.

Niveau de tarification: Premium

Corriger ce résultat :

Vous avez deux options pour résoudre ce problème: vous pouvez mettre à jour la ressource non conforme ou mettre à jour la posture et la redéployer.

Pour mettre à jour la ressource, procédez comme suit:

  1. Ouvrez le résumé des résultats.
  2. Consultez la section sur les ressources concernées et recherchez le nom complet de la ressource qui ne respecte pas la stratégie de posture.
  3. Cliquez sur le nom complet de la ressource pour ouvrir ses informations détaillées.
  4. Cliquez sur l'onglet Autorisations. Dans la fiche Contrôle des accès, cliquez sur Passer aux autorisations uniformes.
  5. Sélectionnez l'uniforme et enregistrez.

Si vous souhaitez conserver la ressource dans la même configuration, vous devez mettre à jour la posture. Pour mettre à jour la posture, procédez comme suit:

  1. Mettez à jour le fichier posture.yaml avec la modification.
  2. Exécutez la commande gcloud scc postures update. Pour obtenir des instructions, consultez la section Modifier les définitions de stratégie dans une posture.
  3. Déployez la posture mise à jour avec le nouvel ID de révision. Pour obtenir des instructions, consultez la page Mettre à jour un déploiement de posture.

Allowed VPC Egress

Nom de la catégorie dans l'API : ALLOWED_VPC_EGRESS_ORG_POLICY

Description du résultat: Le service d'évaluation de la sécurité a détecté qu'un service Cloud Run ne respectait pas les paramètres de sortie spécifiés.

Niveau de tarification: Premium

Corriger ce résultat :

Vous avez deux options pour résoudre ce problème: vous pouvez mettre à jour la ressource non conforme ou mettre à jour la posture et la redéployer.

Pour mettre à jour la ressource, procédez comme suit:

  1. Ouvrez le résumé des résultats.
  2. Consultez la section sur les ressources concernées et recherchez le nom complet de la ressource qui ne respecte pas la stratégie de posture.
  3. Cliquez sur le nom complet de la ressource pour ouvrir ses informations détaillées.
  4. Cliquez sur Modifier et déployer la nouvelle révision, puis sur l'onglet Mise en réseau. Modifiez le paramètre Acheminement du trafic dans la section Se connecter à un VPC pour le trafic sortant afin qu'il corresponde à la règle de sortie autorisée.
  5. Déployez la ressource.

Si vous souhaitez conserver la ressource dans la même configuration, vous devez mettre à jour la posture. Pour modifier la posture, procédez comme suit:

  1. Mettez à jour le fichier posture.yaml avec la modification.
  2. Exécutez la commande gcloud scc postures update. Pour obtenir des instructions, consultez la section Modifier les définitions de stratégie dans une posture.
  3. Déployez la posture mise à jour avec le nouvel ID de révision. Pour obtenir des instructions, consultez la page Mettre à jour un déploiement de posture.

VM Manager

VM Manager est une suite d'outils qui permet de gérer les systèmes d'exploitation des grands parcs de machines virtuelles (VM) exécutant Windows et Linux sur Compute Engine.

Si vous activez VM Manager avec Security Command Center Premium au niveau de l'organisation, VM Manager écrit les résultats dans ses rapports de failles en version bêta dans Security Command Center. Les rapports identifient les failles dans les systèmes d'exploitation installés sur les VM, y compris les failles CVE courantes (Common Vulnerabilities and Exposures).

Pour utiliser VM Manager avec des activations au niveau du projet de Security Command Center Premium, activez Security Command Center Standard dans l'organisation parente.

Les rapports de failles ne sont pas disponibles dans le niveau Standard de Security Command Center.

Les résultats simplifient l'utilisation de la fonctionnalité de conformité des correctifs de VM Manager, qui est en version bêta. Cette fonctionnalité vous permet de gérer les correctifs au niveau de l'organisation dans tous vos projets.

La gravité des résultats de failles reçus de VM Manager est toujours CRITICAL ou HIGH.

Résultats de VM Manager

Les failles de ce type concernent toutes les packages de système d'exploitation installés dans les VM Compute Engine compatibles.

Détecteur Résumé Paramètres d'analyse des éléments

OS vulnerability

Nom de la catégorie dans l'API : OS_VULNERABILITY

Description du résultat: VM Manager a détecté une faille dans le package du système d'exploitation (OS) installé pour une VM Compute Engine.

Niveau de tarification: Premium

Composants compatibles

compute.googleapis.com/Instance

Corriger ce résultat

Les rapports de failles de VM Manager détaillent les failles dans les packages de système d'exploitation installés pour les VM Compute Engine, y compris les failles CVE courantes.

Pour obtenir la liste complète des systèmes d'exploitation compatibles, consultez la section Détails des systèmes d'exploitation.

Des résultats s'affichent dans Security Command Center peu de temps après la détection de failles. Dans VM Manager, les rapports de failles sont générés comme suit :

  • Lorsqu'un package est installé ou mis à jour dans le système d'exploitation d'une VM, vous pouvez vous attendre à voir les informations sur les failles et risques courants (CVE) de la VM dans Security Command Center dans un délai de deux heures après la modification.
  • Lorsque de nouveaux avis de sécurité sont publiés pour un système d'exploitation, les failles CVE mises à jour sont généralement disponibles dans les 24 heures suivant la publication de l'avis par le fournisseur du système d'exploitation.

Examiner les résultats dans la console

Console Google Cloud

  1. Dans la console Google Cloud, accédez à la page Résultats de Security Command Center.

    Accéder

  2. Sélectionnez votre projet ou votre organisation Google Cloud.
  3. Dans la sous-section Nom à afficher pour la source de la section Filtres rapides, sélectionnez VM Manager. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats de cette source.
  4. Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la colonne Catégorie. Le panneau d'informations du résultat s'ouvre et affiche l'onglet Résumé.
  5. Dans l'onglet Récapitulatif, examinez les détails de l'anomalie, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les mesures que vous pouvez prendre pour corriger l'anomalie.
  6. Facultatif: Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.

Console Security Operations

  1. Dans la console Security Operations, accédez à la page Résultats.
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    Remplacez CUSTOMER_SUBDOMAIN par votre identifiant client.

  2. Dans la section Agrégations, cliquez pour développer la sous-section Nom à afficher de la source.
  3. Sélectionnez VM Manager. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats de cette source.
  4. Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la colonne Catégorie. Le panneau d'informations du résultat s'ouvre et affiche l'onglet Résumé.
  5. Dans l'onglet Récapitulatif, examinez les détails de l'anomalie, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les mesures que vous pouvez prendre pour corriger l'anomalie.
  6. Facultatif: Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.

Corriger les résultats de VM Manager

Un résultat OS_VULNERABILITY indique que VM Manager a détecté une faille dans les packages du système d'exploitation installés dans une VM Compute Engine.

Pour corriger ce résultat, procédez comme suit :

  1. Ouvrez un résultat OS vulnerability et affichez sa définition JSON.

  2. Copiez la valeur du champ externalUri. Cette valeur correspond à l'URI de la page Informations sur l'OS de l'instance de VM Compute Engine sur laquelle le système d'exploitation vulnérable est installé.

  3. Appliquez tous les correctifs appropriés pour l'OS indiqué dans la section Informations générales. Pour obtenir des instructions sur le déploiement des correctifs, consultez la section Créer des jobs d'application de correctifs.

En savoir plus sur les éléments et les paramètres d'analyse compatibles de ce type de résultat.

Ignorer les résultats de VM Manager

Vous pouvez masquer tout ou partie des résultats de VM Manager dans Security Command Center s'ils ne sont pas pertinents par rapport à vos exigences de sécurité.

Vous pouvez masquer les résultats de VM Manager en créant une règle de masquage et en ajoutant des attributs de requête spécifiques aux résultats de VM Manager que vous souhaitez masquer.

Pour créer une règle de masquage pour VM Manager à l'aide de la console Google Cloud, procédez comme suit:

  1. Dans la console Google Cloud, accédez à la page Résultats de Security Command Center.

    Accéder

  2. Si nécessaire, sélectionnez votre projet ou votre organisation GooglenCloud.

  3. Cliquez sur Ignorer les options, puis sélectionnez Créer une règle de blocage.

  4. Saisissez un ID de règle de blocage. Veuillez indiquer une valeur.

  5. Saisissez une description de la règle de blocage qui fournit des informations sur la raison pour laquelle les résultats sont ignorés. Cette valeur est facultative, mais recommandée.

  6. Vérifiez le champ d'application de la règle de masquage en consultant la valeur Ressource parente.

  7. Dans le champ Requête sur les résultats, créez vos instructions de requête en cliquant sur Ajouter un filtre. Vous pouvez également saisir manuellement les instructions de requête.

    1. Dans la boîte de dialogue Select filter (Sélectionner un filtre), sélectionnez Finding > Source display name > VM Manager (Recherche > Nom à afficher pour la source > VM Manager).

    2. Cliquez sur Appliquer.

    3. Répétez l'opération jusqu'à ce que la requête de masquage contienne tous les attributs que vous souhaitez masquer.

    Par exemple, si vous souhaitez masquer des ID CVE spécifiques dans les résultats de failles de VM Manager, sélectionnez Faille > ID CVE, puis les ID CVE que vous souhaitez masquer.

    La requête de recherche se présente comme suit:

    Ignorer les résultats de VM Manager

  8. Cliquez sur Prévisualiser les résultats correspondants.

    Une table affiche les résultats correspondant à votre requête.

  9. Cliquez sur Enregistrer.

Sensitive Data Protection

Cette section décrit les résultats de failles générés par la protection des données sensibles, les normes de conformité qu'ils respectent et la manière de les corriger.

La protection des données sensibles envoie également les résultats d'observation à Security Command Center. Pour en savoir plus sur les résultats des observations et sur Sensitive Data Protection, consultez Sensitive Data Protection.

Pour savoir comment afficher les résultats, consultez la section Examiner les résultats de Sensitive Data Protection dans la console Google Cloud.

Le service de découverte Sensitive Data Protection vous aide à déterminer si vous stockez des données hautement sensibles qui ne sont pas protégées.

Catégorie Résumé

Public sensitive data

Nom de la catégorie dans l'API:

PUBLIC_SENSITIVE_DATA

Description du résultat: La ressource spécifiée contient des données hautement sensibles auxquelles n'importe qui peut accéder sur Internet.

Composants compatibles:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket Amazon S3

Correction:

Pour les données Google Cloud, supprimez allUsers et allAuthenticatedUsers de la stratégie IAM de l'asset de données.

Pour les données Amazon S3, configurez les paramètres de blocage de l'accès public ou mettez à jour la LCA de l'objet pour refuser l'accès en lecture public.

Normes de conformité: non mappées

Secrets in environment variables

Nom de la catégorie dans l'API:

SECRETS_IN_ENVIRONMENT_VARIABLES

Description du résultat: Des secrets (mots de passe, jetons d'authentification et identifiants Google Cloud, par exemple) sont présents dans les variables d'environnement.

Pour activer ce détecteur, consultez la section Signaler les secrets dans les variables d'environnement à Security Command Center dans la documentation sur Sensitive Data Protection.

Composants compatibles:

Correction:

Pour les variables d'environnement des fonctions Cloud Run, supprimez le secret de la variable d'environnement et stockez-le dans Secret Manager à la place.

Pour les variables d'environnement de révision du service Cloud Run, déplacez tout le trafic hors de la révision, puis supprimez-la.

Normes de conformité:

  • CIS GCP Foundation 1.3: 1.18
  • CIS GCP Foundation 2.0: 1.18

Secrets in storage

Nom de la catégorie dans l'API:

SECRETS_IN_STORAGE

Description du résultat: la ressource spécifiée contient des secrets (mots de passe, jetons d'authentification et identifiants cloud, par exemple).

Composants compatibles:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket Amazon S3

Correction:

  1. Pour les données Google Cloud, utilisez la protection des données sensibles pour exécuter une analyse approfondie de la ressource spécifiée afin d'identifier toutes les ressources concernées. Pour les données Cloud SQL, exportez-les vers un fichier CSV ou AVRO dans un bucket Cloud Storage, puis exécutez une analyse approfondie du bucket.

    Pour les données Amazon S3, inspectez manuellement le bucket spécifié.

  2. Supprimez les secrets détectés.
  3. Envisagez de réinitialiser les identifiants.
  4. Pour les données Google Cloud, envisagez plutôt de stocker les secrets détectés dans Secret Manager.

Normes de conformité: non mappées

Policy Controller

Policy Controller permet d'appliquer des règles programmables pour vos clusters Kubernetes enregistrés en tant que membres de parc. Ces règles servent de garde-fous et peuvent vous aider à appliquer les bonnes pratiques, ainsi qu'à gérer la sécurité et la conformité de vos clusters et de votre parc.

Cette page ne liste pas tous les résultats individuels de Policy Controller, mais les informations sur les résultats de la classe Misconfiguration que Policy Controller écrit dans Security Command Center sont les mêmes que les cas de non-respect des clusters documentés pour chaque bundle Policy Controller. La documentation des types de résultats de Policy Controller se trouve dans les groupes Policy Controller suivants:

Cette fonctionnalité n'est pas compatible avec les périmètres de service VPC Service Controls autour de l'API Stackdriver.

Rechercher et résoudre les problèmes identifiés par Policy Controller

Les catégories Policy Controller correspondent aux noms de contraintes listés dans la documentation des groupes Policy Controller. Par exemple, un résultat require-namespace-network-policies indique qu'un espace de noms ne respecte pas la règle selon laquelle chaque espace de noms d'un cluster doit avoir un NetworkPolicy.

Pour corriger un résultat, procédez comme suit:

Console Google Cloud

  1. Dans la console Google Cloud, accédez à la page Résultats de Security Command Center.

    Accéder

  2. Sélectionnez votre projet ou votre organisation Google Cloud.
  3. Dans la section Filtres rapides, dans la sous-section Nom à afficher pour la source, sélectionnez Policy Controller On-Cluster. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats de cette source.
  4. Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la colonne Catégorie. Le panneau d'informations du résultat s'ouvre et affiche l'onglet Résumé.
  5. Dans l'onglet Récapitulatif, examinez les détails de l'anomalie, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les mesures que vous pouvez prendre pour corriger l'anomalie.
  6. Facultatif: Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.

Console Security Operations

  1. Dans la console Security Operations, accédez à la page Résultats.
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    Remplacez CUSTOMER_SUBDOMAIN par votre identifiant client.

  2. Dans la section Agrégations, cliquez pour développer la sous-section Nom à afficher de la source.
  3. Sélectionnez Policy Controller sur le cluster. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats de cette source.
  4. Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la colonne Catégorie. Le panneau d'informations du résultat s'ouvre et affiche l'onglet Résumé.
  5. Dans l'onglet Récapitulatif, examinez les détails de l'anomalie, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les mesures que vous pouvez prendre pour corriger l'anomalie.
  6. Facultatif: Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.

Étape suivante