Security Health Analytics 和 Web Security Scanner 检测器会生成 Security Command Center 中提供的漏洞发现结果。 在 Security Command Center 中启用这些检测器后,集成服务(例如虚拟机管理器)也会生成漏洞发现结果。
您能否查看和修改发现结果取决于您被分配的 Identity and Access Management (IAM) 角色和权限。如需详细了解 Security Command Center 中的 IAM 角色,请参阅访问权限控制。
检测器与合规性
Security Command Center 会监控您是否符合各种安全标准的控制项所对应的检测器。
对于每项受支持的安全标准,Security Command Center 会检查其中的一部分控制项。对于已检查的控制项,Security Command Center 会显示通过的控制项数量。对于未通过的控制,Security Command Center 会显示一列发现结果,其中描述了控制失败情况。
CIS 已审核并认证了 Security Command Center 检测器与 CIS Google Cloud Foundations Benchmark 的各个受支持版本的映射。 其他合规性映射仅供参考。
Security Command Center 会定期添加对新的基准版本和标准的支持。旧版本仍然受支持,但最终会被弃用。我们建议您使用当前受支持的最新基准或标准。
借助安全状况服务,您可以将组织政策和 Security Health Analytics 检测器映射到适用于您业务的标准和控制措施。创建安全状况后,您可以监控环境的任何更改,以确保不会影响贵组织的合规性。
如需详细了解如何管理合规性,请参阅评估并报告是否符合安全标准。
支持的安全标准
Google Cloud
Security Command Center 将 Google Cloud 的检测器映射到以下一个或多个合规性标准:
- Center for Information Security (CIS) Controls 8.0
- CIS Google Cloud Computing Foundations Benchmark v2.0.0、v1.3.0、v1.2.0、v1.1.0 和 v1.0.0
- CIS Kubernetes 基准 v1.5.1
- Cloud Controls Matrix (CCM) 4
- 健康保险流通与责任法案 (HIPAA)
- 国际标准化组织 (ISO) 27001、2022 和 2013
- 美国国家标准与技术研究院 (NIST) 800-53 R5 和 R4
- 美国国家标准与技术研究院 (NIST) 网络安全框架 (CSF) 1.0
- 开放式 Web 应用安全项目 (OWASP) 十大风险,2021 年和 2017 年
- 支付卡行业数据安全标准 (PCI DSS) 4.0 和 3.2.1
- 系统和组织控制 (SOC) 2 2017 年信任服务标准 (TSC)
AWS
Security Command Center 将 Amazon Web Services (AWS) 的检测器映射到以下一个或多个合规性标准:
如需了解如何查看和导出合规性报告,请参阅评估并报告是否符合安全标准。
修复后停用发现结果
修复漏洞或配置错误发现结果后,检测到发现结果的 Security Command Center 服务会在下次检测服务扫描发现结果时自动将发现结果的状态设置为 INACTIVE。Security Command Center 将修复后的发现结果设置为 INACTIVE 所需的时间取决于检测发现结果的扫描时间表。
如果扫描检测到受发现结果影响的资源被删除,Security Command Center 服务也会将漏洞或配置错误发现结果的状态设置为 INACTIVE。
如需详细了解扫描间隔时间,请参阅以下主题:
发现的 Security Health Analytics 问题
Security Health Analytics 检测器监控 Cloud Asset Inventory (CAI) 中的部分资源,接收资源和 Identity and Access Management (IAM) 政策更改的通知。某些检测器直接调用 Google Cloud API 来检索数据,如本页面后面的表格中所示。
如需详细了解 Security Health Analytics、扫描时间表以及 Security Health Analytics 对内置和自定义模块检测器的支持,请参阅 Security Health Analytics 概览。
下面的表格介绍 Security Health Analytics 检测器、支持的资源和合规标准、用于扫描的设置以及生成的发现结果类型。您可以在 Google Cloud 控制台中的以下页面上按各种属性过滤发现结果:
- 在标准方案和高级方案,前往漏洞页面。
- 在 Enterprise 方案中,前往风险 > 概览页面。选择 CVE 漏洞视图。
如需查看如何修复发现结果和保护您的资源的说明,请参阅修复 Security Health Analytics 发现结果。
API 密钥漏洞发现结果
API_KEY_SCANNER 检测器可识别与云部署中使用的 API 密钥相关的漏洞。
| 检测器 | 摘要 | 资源扫描设置 |
|---|---|---|
|
发现结果说明:有过于广泛使用的 API 密钥。如需解决此问题,请限制 API 密钥的使用,仅允许使用应用需要的 API。 价格层级:付费方案
支持的资产 合规性标准:
|
检索项目中所有 API 密钥的
|
|
发现结果说明:有些 API 密钥可以不受限制地使用,允许任何不受信任的应用使用。 价格层级:付费方案
支持的资源 合规性标准:
|
检索项目中所有 API 密钥的
|
|
发现结果说明:项目使用 API 密钥,而不是标准身份验证。 价格层级:付费方案
支持的资源 合规性标准:
|
检索项目拥有的所有 API 密钥。
|
|
发现结果说明:该 API 密钥超过 90 天未轮替。 价格层级:付费方案
支持的资源 合规性标准:
|
检索所有 API 密钥的
|
Cloud Asset Inventory 漏洞发现结果
此检测器类型的漏洞均与 Cloud Asset Inventory 配置相关,属于 CLOUD_ASSET_SCANNER 类型。
| 检测器 | 摘要 | 资源扫描设置 |
|---|---|---|
|
发现结果说明:Cloud Asset Inventory 捕获 Google Cloud 资源和 IAM 政策可支持安全分析、资源更改跟踪和合规性审核。我们建议为所有项目启用 Cloud Asset Inventory 服务。 此检测器需要额外配置才能启用。如需了解相关说明,请参阅 启用和停用检测器。 价格层级:付费方案
支持的资产 合规性标准:
|
检查 Cloud Asset Inventory 服务是否已启用。
|
存储漏洞发现结果
此检测器类型的漏洞均与 Cloud Storage 存储分区配置相关,并且属于 STORAGE_SCANNER 类型。
| 检测器 | 摘要 | 资源扫描设置 |
|---|---|---|
|
发现结果说明:存储桶未使用客户管理的加密密钥 (CMEK) 进行加密。此检测器需要额外配置才能启用。如需了解相关说明,请参阅启用和停用检测器。 价格层级:付费方案
支持的资产 合规性标准: 此发现结果类别未映射到任何合规性标准控件。 |
检查存储桶元数据中的
|
|
发现结果说明:未配置统一存储桶级访问权限(以前称为“仅限存储桶政策”)。 价格层级:付费方案
支持的资产 合规性标准:
|
检查存储桶中的
|
|
发现结果说明:Cloud Storage 存储桶可公开访问。 价格层级:付费方案或标准方案
支持的资产 合规性标准:
|
检查存储桶的 IAM 允许政策以了解是否有公共角色
|
|
发现结果说明:用作日志接收器的存储桶可公开访问。 此发现结果不适用于项目级激活。 价格层级:付费方案或标准方案
支持的资产 合规性标准:
|
检查存储桶的 IAM 允许政策以找出可授予公开访问权限的主账号
|
计算映像漏洞发现结果
COMPUTE_IMAGE_SCANNER 检测器可识别与Google Cloud 映像配置相关的漏洞。
| 检测器 | 摘要 | 资源扫描设置 |
|---|---|---|
|
发现结果说明:Compute Engine 映像可公开访问。 价格层级:付费方案或标准方案
支持的资源 合规性标准: 此发现结果类别未映射到任何合规性标准控件。 |
检查资源元数据中的 IAM 允许政策以找出可授予公开访问权限的主账号
|
计算实例漏洞发现结果
COMPUTE_INSTANCE_SCANNER 检测器可识别与 Compute Engine 实例配置相关的漏洞。
COMPUTE_INSTANCE_SCANNER 检测器不会报告 GKE 创建的 Compute Engine 实例上的发现结果。此类实例的名称以“gke-”开头,用户无法进行修改。要保护这些实例,请参阅“容器漏洞发现结果”部分。
| 检测器 | 摘要 | 资源扫描设置 |
|---|---|---|
|
发现结果说明:Compute Engine 实例上已停用机密计算。 价格层级:付费方案
支持的资源 合规性标准:
|
检查实例元数据的
|
|
发现结果说明:使用项目范围的 SSH 密钥,允许登录项目中的所有实例。 价格层级:付费方案
支持的资源 合规性标准:
|
检查实例元数据中的
|
|
发现结果说明:此安全强化型虚拟机未启用安全启动。使用安全启动功能可帮助保护虚拟机实例免受 rootkit 和 bootkit 等高级威胁。 价格层级:付费方案 支持的资产 合规性标准: 此发现结果类别未映射到任何合规性标准控件。 |
检查 Compute Engine 实例上的
|
|
发现结果说明:为实例启用串行端口,允许连接到实例的串行控制台。 价格层级:付费方案
支持的资产 合规性标准:
|
检查实例元数据中的
|
|
发现结果说明:实例配置为使用默认服务账号。 价格层级:付费方案
支持的资产 合规性标准:
|
检查实例元数据中任何前缀为
|
|
发现结果说明:此虚拟机上的磁盘未使用客户管理的加密密钥 (CMEK) 进行加密。此检测器需要额外配置才能启用。如需了解相关说明,请参阅启用和停用检测器。 价格层级:付费方案
支持的资产 合规性标准: 此发现结果类别未映射到任何合规性标准控件。 |
在磁盘元数据中检查
|
|
发现结果说明:此虚拟机上的磁盘未使用客户提供的加密密钥 (CSEK) 进行加密。此检测器需要额外配置才能启用。如需了解相关说明,请参阅特殊案例检测器。 价格层级:付费方案
支持的资产 合规性标准:
|
检查 CSEK 资源名称的
|
|
发现结果说明:实例配置为使用具有所有 Google CloudAPI 的完整访问权限的默认服务账号。 价格层级:付费方案
支持的资产 合规性标准:
|
检索
|
|
发现结果说明:实例使用的负载均衡器被配置为使用目标 HTTP 代理,而不是使用目标 HTTPS 代理。 对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。 价格层级:付费方案
支持的资产 合规性标准:
|
确定
|
|
发现结果说明:此实例已停用 OS Login。 对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。 价格层级:付费方案
支持的资产
合规性标准:
|
检查实例的
|
|
发现结果说明:已在实例上启用 IP 转发。 价格层级:付费方案
支持的资产 合规性标准:
|
检查实例的
|
|
发现结果说明:此项目已停用 OS Login。 对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。 价格层级:付费方案
支持的资产 合规性标准:
|
检查项目元数据中的
|
|
发现结果说明:实例具有公共 IP 地址。 价格层级:付费方案或标准方案
支持的资产 合规性标准:
|
检查
|
|
发现结果说明:此实例已停用安全强化型虚拟机。 价格层级:付费方案
支持的资产 合规性标准:
|
检查 Compute Engine 实例中的
|
|
发现结果说明:实例具有弱 SSL 政策。 对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。 价格层级:付费方案
支持的资产 合规性标准:
|
检查资产元数据中的
|
容器漏洞发现结果
这些发现结果类型均与 GKE 容器配置相关,并且属于 CONTAINER_SCANNER 检测器类型。
| 检测器 | 摘要 | 资源扫描设置 |
|---|---|---|
|
发现结果说明:GKE 集群启用了 Alpha 版集群功能。 价格层级:付费方案
支持的资产 合规性标准:
|
检查集群的
|
|
发现结果说明:已停用 GKE 集群的自动修复功能,此功能可使节点保持正常运行状态。 价格层级:付费方案
支持的资产 合规性标准:
|
检查节点池的
|
|
发现结果说明:GKE 集群的自动升级功能已停用,此功能会保持集群和节点池使用 Kubernetes 的最新稳定版。 价格层级:付费方案
支持的资产 合规性标准:
|
检查节点池的
|
|
发现结果说明:Binary Authorization 在 GKE 集群上已停用,或者 Binary Authorization 政策配置为允许部署所有映像。 价格层级:付费方案
支持的资产 合规性标准: 此发现结果类别未映射到任何合规性标准控件。 |
检查以下各项:
|
|
发现结果说明:GKE 集群未启用 Logging。 价格层级:付费方案
支持的资产 合规性标准:
|
检查集群的
|
|
发现结果说明:GKE 集群上已停用 Monitoring。 价格层级:付费方案
支持的资产 合规性标准:
|
检查集群的
|
|
发现结果说明:集群主机未配置为仅使用专用内部 IP 地址来访问 Google API。 对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。 价格层级:付费方案
支持的资产 合规性标准:
|
检查子网的
|
|
发现结果说明:GKE 集群上已停用应用层 Secret 加密。 价格层级:付费方案
支持的资产 合规性标准:
|
检查
|
|
发现结果说明:集群未启用安全强化型 GKE 节点。 价格层级:付费方案
支持的资产 合规性标准:
|
检查
|
|
发现结果说明:Compute Engine 虚拟机未使用为在 Google Cloud 上安全运行 Docker 容器而设计的 Container-Optimized OS。 价格层级:付费方案
支持的资产 合规性标准:
|
检查节点池的
|
|
发现结果说明:GKE 集群已停用完整性监控。 价格层级:付费方案
支持的资产 合规性标准:
|
检查
|
|
发现结果说明:GKE 集群已停用节点内可见性。 价格层级:付费方案
支持的资产 合规性标准:
|
检查
|
|
发现结果说明:创建的 GKE 集群已停用别名 IP 地址范围。 价格层级:付费方案
支持的资产 合规性标准:
|
检查集群中
|
|
发现结果说明:GKE 集群上启用了旧版授权。 价格层级:付费方案或标准方案
支持的资产 合规性标准:
|
检查集群的
|
|
发现结果说明:GKE 集群上启用了旧版元数据。 价格层级:付费方案
支持的资产 合规性标准:
|
检查节点池的
|
|
发现结果说明:GKE 集群上未启用控制平面授权的网络。 价格层级:付费方案
支持的资产 合规性标准:
|
检查集群的
|
|
发现结果说明:GKE 集群上停用了网络政策。 价格层级:付费方案
支持的资产 合规性标准:
|
检查
|
|
发现结果说明:此节点池中的启动磁盘未使用客户管理的加密密钥 (CMEK) 进行加密。此检测器需要额外配置才能启用。如需了解相关说明,请参阅启用和停用检测器。 价格层级:付费方案
支持的资产 合规性标准: 此发现结果类别未映射到任何合规性标准控件。 |
检查节点池的
|
|
发现结果说明:GKE 集群已停用安全启动。 价格层级:付费方案
支持的资产 合规性标准:
|
检查
|
|
发现结果说明:服务账号在集群中的项目访问权限过于广泛。 价格层级:付费方案
支持的资产 合规性标准:
|
评估节点池的
|
|
发现结果说明:节点服务账号具有广泛的访问权限范围。 价格层级:付费方案
支持的资产 合规性标准:
|
检查节点池的 config.oauthScopes 属性中列出的访问权限范围是否为受限服务账号访问权限范围:https://www.googleapis.com/auth/devstorage.read_only、https://www.googleapis.com/auth/logging.write 或 https://www.googleapis.com/auth/monitoring。
|
|
发现结果说明:GKE 集群上已停用 PodSecurityPolicy。 对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。 价格层级:付费方案
支持的资产 合规性标准:
|
检查集群的
|
|
发现结果说明:GKE 集群已停用专用集群。 价格层级:付费方案
支持的资产 合规性标准:
|
检查
|
|
发现结果说明:GKE 集群未订阅发布渠道。 价格层级:付费方案
支持的资产 合规性标准:
|
检查
|
|
发现结果说明:已启用 GKE 网页界面(信息中心)。 价格层级:付费方案或标准方案
支持的资产 合规性标准:
|
检查
|
|
发现结果说明:GKE 集群上已停用 Workload Identity。 价格层级:付费方案
支持的资产 合规性标准:
|
检查是否已设置集群的
|
Dataproc 漏洞发现结果
此检测器类型的漏洞均与 Dataproc 相关,并且属于 DATAPROC_SCANNER 检测器类型。
| 检测器 | 摘要 | 资源扫描设置 |
|---|---|---|
|
发现结果说明:创建的 Dataproc 集群未设置加密配置 CMEK。借助 CMEK,您在 Cloud Key Management Service 中创建和管理的密钥会封装 Google Cloud 用于加密数据的密钥,从而使您能够更好地控制对数据的访问。 此检测器需要额外配置才能启用。如需了解相关说明,请参阅 启用和停用检测器。 价格层级:付费方案
支持的资产 合规性标准:
|
检查
|
|
发现结果说明:创建 Dataproc 集群时使用了受 Apache Log4j 2 实用程序(CVE-2021-44228 和 CVE-2021-45046)中的安全漏洞影响的 Dataproc 映像版本。 价格层级:付费方案或标准方案
支持的资产 合规性标准: 此发现结果类别未映射到任何合规性标准控件。 |
检查
|
数据集漏洞发现结果
此检测器类型的漏洞均与 BigQuery 数据集配置相关联,并且属于 DATASET_SCANNER 检测器类型。
| 检测器 | 摘要 | 资源扫描设置 |
|---|---|---|
|
发现结果说明:BigQuery 表未配置为使用客户管理的加密密钥 (CMEK)。此检测器需要额外配置才能启用。如需了解相关说明,请参阅启用和停用检测器。 价格层级:付费方案
支持的资产 合规性标准:
|
检查
|
|
发现结果说明:BigQuery 数据集未配置为使用默认 CMEK。此检测器需要额外配置才能启用。如需了解相关说明,请参阅启用和停用检测器。 价格层级:付费方案
支持的资产 合规性标准:
|
检查
|
|
发现结果说明:数据集已配置为开放给公众访问。 价格层级:付费方案或标准方案
支持的资产 合规性标准:
|
检查资源元数据中的 IAM 允许政策以找出可授予公开访问权限的主账号
|
DNS 漏洞发现结果
此检测器类型的漏洞均与 Cloud DNS 配置相关联,并且属于 DNS_SCANNER 检测器类型。
| 检测器 | 摘要 | 资源扫描设置 |
|---|---|---|
|
发现结果说明:停用了 Cloud DNS 区域的 DNSSEC。 价格层级:付费方案
支持的资产 合规性标准:
|
检查
|
|
发现结果说明:RSASHA1 用于 Cloud DNS 区域中的密钥签名。 价格层级:付费方案
支持的资产 合规性标准:
|
检查
|
防火墙漏洞发现结果
此检测器类型的漏洞均与防火墙配置相关,并且属于 FIREWALL_SCANNER 检测器类型。
| 检测器 | 摘要 | 资源扫描设置 |
|---|---|---|
|
发现结果说明:防火墙上未设置出站流量拒绝规则。出站流量拒绝规则应设置为阻止不必要的出站流量。 对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。 价格层级:付费方案
支持的资产 合规性标准:
|
检查防火墙中的
|
|
发现结果说明:已停用防火墙规则日志记录。应启用防火墙规则日志记录,以便您可以审核网络访问权限。 价格层级:付费方案
支持的资产 合规性标准:
|
检查防火墙元数据中的
|
|
发现结果说明:防火墙已配置为具有允许通用访问的开放 Cassandra 端口。 价格层级:付费方案
支持的资产 合规性标准:
|
检查防火墙元数据中的
|
|
发现结果说明:防火墙已配置为具有允许通用访问的开放 CISCOSECURE_WEBSM 端口。 价格层级:付费方案或标准方案
支持的资产 合规性标准:
|
检查防火墙元数据中的
|
|
发现结果说明:防火墙已配置为具有允许通用访问的开放 DIRECTORY_SERVICES 端口。 价格层级:付费方案或标准方案
支持的资产 合规性标准:
|
检查防火墙元数据中的
|
|
发现结果说明:防火墙已配置为具有允许通用访问的开放 DNS 端口。 价格层级:付费方案
支持的资产 合规性标准:
|
检查防火墙元数据中的
|
|
发现结果说明:防火墙已配置为具有允许通用访问的开放 ELASTICSEARCH 端口。 价格层级:付费方案
支持的资产 合规性标准:
|
检查防火墙元数据中的
|
|
发现结果说明:防火墙已配置为向公共访问开放。 价格层级:付费方案或标准方案
支持的资产 合规性标准:
|
检查
|
|
发现结果说明:防火墙已配置为具有允许通用访问的开放 FTP 端口。 价格层级:付费方案
支持的资产 合规性标准:
|
检查防火墙元数据中的
|
|
发现结果说明:防火墙已配置为具有允许通用访问的开放 HTTP 端口。 价格层级:付费方案
支持的资产 合规性标准:
|
检查防火墙元数据中的
|
|
发现结果说明:防火墙已配置为具有允许通用访问的开放 LDAP 端口。 价格层级:付费方案
支持的资产 合规性标准:
|
检查防火墙元数据中的
|
|
发现结果说明:防火墙已配置为具有允许通用访问的开放 MEMCACHED 端口。 价格层级:付费方案
支持的资产 合规性标准:
|
检查防火墙元数据中的
|
|
发现结果说明:防火墙已配置为具有允许公开访问的开放式 MONGODB 端口。 价格层级:付费方案
支持的资产 合规性标准:
|
检查防火墙元数据中的
|
|
发现结果说明:防火墙已配置为具有允许通用访问的开放 MYSQL 端口。 价格层级:付费方案
支持的资产 合规性标准:
|
检查防火墙元数据中的
|
|
发现结果说明:防火墙已配置为具有允许通用访问的开放 NETBIOS 端口。 价格层级:付费方案
支持的资产 合规性标准:
|
检查防火墙元数据中的
|
|
发现结果说明:防火墙已配置为具有允许公开访问的开放式 ORACLEDB 端口。 价格层级:付费方案
支持的资产 合规性标准:
|
检查防火墙元数据中的
|
|
发现结果说明:防火墙已配置为具有允许通用访问的开放 POP3 端口。 价格层级:付费方案
支持的资产 合规性标准:
|
检查防火墙元数据中的
|
|
发现结果说明:防火墙已配置为具有允许通用访问的开放 PostgreSQL 端口。 价格层级:付费方案
支持的资产 合规性标准:
|
检查防火墙元数据中的
|
|
发现结果说明:防火墙已配置为具有允许通用访问的开放 RDP 端口。 价格层级:付费方案或标准方案
支持的资产 合规性标准:
|
检查防火墙元数据中的
|
|
发现结果说明:防火墙已配置为具有允许通用访问的开放 REDIS 端口。 价格层级:付费方案
支持的资产 合规性标准:
|
检查防火墙元数据中的
|
|
发现结果说明:防火墙已配置为具有允许通用访问的开放 SMTP 端口。 价格层级:付费方案
支持的资产 合规性标准:
|
检查防火墙元数据中的
|
|
发现结果说明:防火墙已配置为具有允许通用访问的开放 SSH 端口。 价格层级:付费方案或标准方案
支持的资产 合规性标准:
|
检查防火墙元数据中的
|
|
发现结果说明:防火墙已配置为具有允许通用访问的开放 TELNET 端口。 价格层级:付费方案或标准方案
支持的资产 合规性标准:
|
检查防火墙元数据中的
|
IAM 漏洞发现结果
此检测器类型的漏洞均与 Identity and Access Management (IAM) 配置相关,并属于 IAM_SCANNER 检测器类型。
| 检测器 | 摘要 | 资源扫描设置 |
|---|---|---|
|
发现结果说明:您的组织已停用 Google Cloud Access Transparency。Access Transparency 会记录 Google Cloud 员工何时访问贵组织中的项目以提供支持。启用 Access Transparency 以记录 Google Cloud 的哪位员工在什么时候、出于何种原因访问您的信息。 价格层级:付费方案
支持的资产 合规性标准:
|
检查您的组织是否已启用 Access Transparency。
|
|
发现结果说明:服务账号具有 Admin、Owner 或 Editor 特权。这些角色不应分配给用户创建的服务账号。 价格层级:付费方案
支持的资产 合规性标准:
|
检查资源元数据中的 IAM 允许政策以找出任何用户创建的分配有
|
|
发现结果说明:您的组织尚未指定个人或群组来接收来自 Google Cloud 有关您 Google Cloud 组织中重要事件(例如攻击、漏洞和数据突发事件)的通知。我们建议您将公司组织中的一个或多个人或群组指定为重要联系人。 价格层级:付费方案
支持的资产 合规性标准:
|
检查是否已针对以下基本联系人类别指定联系人:
|
|
发现结果说明:未实施职责分离,并且存在同时具有以下任何 Cloud Key Management Service (Cloud KMS) 角色的用户:CryptoKey Encrypter/Decrypter、Encrypter 或 Decrypter。 此发现结果不适用于项目级激活。 价格层级:付费方案
支持的资产 合规性标准:
|
检查资源元数据中的 IAM 允许政策,并检索同时分配有以下任何角色的主账号:roles/cloudkms.cryptoKeyEncrypterDecrypter、roles/cloudkms.cryptoKeyEncrypter 和 roles/cloudkms.cryptoKeyDecrypter、roles/cloudkms.signer、roles/cloudkms.signerVerifier、roles/cloudkms.publicKeyViewer。
|
|
发现结果说明:有用户不使用组织凭据。根据 CIS GCP Foundations 1.0,目前只有具有 @gmail.com 电子邮件地址的身份才会触发此检测器。 价格层级:付费方案或标准方案
支持的资产 合规性标准:
|
将 IAM 允许政策元数据中
|
|
发现结果说明:无需批准即可加入的 Google 群组账号将被用作 IAM 允许政策的主账号。 价格层级:付费方案或标准方案
支持的资产 合规性标准: 此发现结果类别未映射到任何合规性标准控件。 |
检查资源元数据中的 IAM 政策,查找包含以 group 为前缀的成员(主账号)的任何绑定。如果该群组是开放的群组,则 Security Health Analytics 会生成此发现结果。
|
|
发现结果说明:用户在项目级层(而不是特定服务账号)拥有 Service Account User 或 Service Account Token Creator 角色。 价格层级:付费方案
支持的资产 合规性标准:
|
检查资源元数据中的 IAM 允许政策以找出任何在项目级层分配有 roles/iam.serviceAccountUser 或 roles/iam.serviceAccountTokenCreator 的主账号。
|
|
发现结果说明:用户具有以下基本角色之一:
这些角色权限过于宽松,不应使用。 价格层级:高级方案
支持的资产 合规性标准:
|
检查资源元数据中的 IAM 允许政策,以找出任何分配有
|
|
发现结果说明:Redis IAM 角色在组织或文件夹级层分配。 此发现结果不适用于项目级激活。 价格层级:付费方案
支持的资产
合规性标准:
|
检查资源元数据中的 IAM 允许政策以找出在组织或文件夹级层分配有
|
|
发现结果说明:用户被分配了 Service Account Admin 和 Service Account User 角色。这违反了“职责分离”原则。 此发现结果不适用于项目级激活。 价格层级:付费方案
支持的资产 合规性标准:
|
检查资源元数据中的 IAM 允许政策以找出任何同时分配有 roles/iam.serviceAccountUser 和 roles/iam.serviceAccountAdmin 的主账号。
|
|
发现结果说明:服务账号密钥超过 90 天未轮替。 价格层级:付费方案
支持的资产 合规性标准:
|
评估服务账号密钥元数据的
|
|
发现结果说明:用户管理服务账号密钥。 价格层级:付费方案
支持的资产 合规性标准:
|
检查服务账号密钥元数据中的
|
KMS 漏洞发现结果
此检测器类型的漏洞均与 Cloud KMS 配置相关联,并且属于 KMS_SCANNER 检测器类型。
| 检测器 | 摘要 | 资源扫描设置 |
|---|---|---|
|
发现结果说明:Cloud KMS 加密密钥上没有配置轮替。应在 90 天的时段内轮替密钥。 价格层级:付费方案
支持的资产 合规性标准:
|
检查资源元数据中是否存在
|
|
发现结果说明:用户对具有加密密钥的项目具有 Owner 权限。 对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。 价格层级:付费方案
支持的资产 合规性标准:
|
检查项目元数据中的 IAM 允许政策以找出分配有
|
|
发现结果说明:Cloud KMS 加密密钥可公开访问。 价格层级:付费方案
支持的资产 合规性标准:
|
检查资源元数据中的 IAM 允许政策以找出可授予公开访问权限的主账号
|
|
发现结果说明:超过 3 个用户使用加密密钥。 对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。 价格层级:付费方案
支持的资产 合规性标准:
|
检查密钥环、项目和组织的 IAM 允许政策,并检索其角色允许其使用 Cloud KMS 密钥对数据进行加密、解密或签名的主账号:roles/owner、roles/cloudkms.cryptoKeyEncrypterDecrypter、roles/cloudkms.cryptoKeyEncrypter、roles/cloudkms.cryptoKeyDecrypter、roles/cloudkms.signer 和 roles/cloudkms.signerVerifier。
|
日志记录漏洞发现结果
此检测器类型的漏洞均与日志记录配置相关,并且属于 LOGGING_SCANNER 检测器类型。
| 检测器 | 摘要 | 资源扫描设置 |
|---|---|---|
|
发现结果说明:已为此资源停用审核日志记录功能。 此发现结果不适用于项目级激活。 价格层级:付费方案
支持的资产 合规性标准:
|
检查资源元数据中的 IAM 允许政策中是否存在
|
|
发现结果说明:存在未启用日志记录功能的存储桶。 价格层级:付费方案
支持的资产 合规性标准:
|
检查存储桶的
|
|
发现结果说明:没有为日志设置锁定的保留政策。 对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。 价格层级:付费方案
支持的资产 合规性标准:
|
检查存储桶的
|
|
发现结果说明:有一个资源没有配置适当的日志接收器。 对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。 价格层级:付费方案
支持的资产
合规性标准:
|
检索项目中的
|
|
发现结果说明:未在配置了接收器的存储桶上启用对象版本控制。 对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。 价格层级:付费方案
支持的资产 合规性标准:
|
检查存储桶的
|
监控漏洞发现结果
此检测器类型的漏洞均与监控配置相关,并且属于 MONITORING_SCANNER 类型。所有 Monitoring 检测器发现结果属性包括:
-
用于创建日志指标的
RecommendedLogFilter。 -
满足建议日志过滤条件中列出的条件的
QualifiedLogMetricNames。 -
AlertPolicyFailureReasons指示是否没有为任何合格日志指标创建提醒政策,或者现有提醒政策是否没有建议的设置。
| 检测器 | 摘要 | 资源扫描设置 |
|---|---|---|
|
发现结果说明:日志指标和提醒未配置为监控审核配置更改。 对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。 价格层级:付费方案
支持的资产 合规性标准:
|
检查项目的 LogsMetric 资源的 filter 属性是否已设置为 protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.auditConfigDeltas:*;如果指定了 resource.type,则值为 global。检测器还会搜索相应的 alertPolicy 资源,并检查 conditions 和 notificationChannels 属性是否正确配置。
|
|
发现结果说明:日志指标和提醒未配置为监控 Cloud Storage IAM 权限更改。 对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。 价格层级:付费方案
支持的资产 合规性标准:
|
检查项目的 LogsMetric 资源的 filter 属性是否已设置为 resource.type=gcs_bucket AND
protoPayload.methodName="storage.setIamPermissions"。检测器还会搜索相应的 alertPolicy 资源,并检查 conditions 和 notificationChannels 属性是否正确配置。
|
|
发现结果说明:日志指标和提醒未配置为监控自定义角色更改。 对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。 价格层级:付费方案
支持的资产 合规性标准:
|
检查项目的 LogsMetric 资源的 filter 属性是否已设置为 resource.type="iam_role" AND
(protoPayload.methodName="google.iam.admin.v1.CreateRole"
OR
protoPayload.methodName="google.iam.admin.v1.DeleteRole"
OR
protoPayload.methodName="google.iam.admin.v1.UpdateRole")。检测器还会搜索相应的 alertPolicy 资源,并检查 conditions 和 notificationChannels 属性是否正确配置。
|
|
发现结果说明:日志指标和提醒未配置为监控 Virtual Private Cloud (VPC) 网络防火墙规则更改。 对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。 价格层级:付费方案
支持的资产 合规性标准:
|
检查项目的 LogsMetric 资源的 filter 属性是否已设置为
resource.type="gce_firewall_rule"
AND (protoPayload.methodName:"compute.firewalls.insert"
OR protoPayload.methodName:"compute.firewalls.patch"
OR protoPayload.methodName:"compute.firewalls.delete")。检测器还会搜索相应的 alertPolicy 资源,并检查 conditions 和 notificationChannels 属性是否正确配置。
|
|
发现结果说明:日志指标和提醒未配置为监控 VPC 网络更改。 对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。 价格层级:付费方案
支持的资产 合规性标准:
|
检查项目的 LogsMetric 资源的 filter 属性是否已设置为
resource.type="gce_network"
AND (protoPayload.methodName:"compute.networks.insert"
OR protoPayload.methodName:"compute.networks.patch"
OR protoPayload.methodName:"compute.networks.delete"
OR protoPayload.methodName:"compute.networks.removePeering"
OR protoPayload.methodName:"compute.networks.addPeering")。检测器还会搜索相应的 alertPolicy 资源,并检查 conditions 和 notificationChannels 属性是否正确配置。
|
|
发现结果说明:日志指标和提醒未配置为监控项目所有权分配或更改。 对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。 价格层级:付费方案
支持的资产 合规性标准:
|
检查项目的 LogsMetric 资源的 filter 属性是否已设置为 (protoPayload.serviceName="cloudresourcemanager.googleapis.com")
AND (ProjectOwnership OR projectOwnerInvitee) OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")
OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner");如果指定了 resource.type,则值为 global。检测器还会搜索相应的 alertPolicy 资源,并检查 conditions 和 notificationChannels 属性是否正确配置。
|
|
发现结果说明:日志指标和提醒未配置为监控 VPC 网络路由更改。 对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。 价格层级:付费方案
支持的资产 合规性标准:
|
检查项目的 LogsMetric 资源的 filter 属性是否已设置为
resource.type="gce_route"
AND (protoPayload.methodName:"compute.routes.delete"
OR protoPayload.methodName:"compute.routes.insert")。检测器还会搜索相应的 alertPolicy 资源,并检查 conditions 和 notificationChannels 属性是否正确配置。
|
|
发现结果说明:日志指标和提醒未配置为监控 Cloud SQL 实例配置更改。 对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。 价格层级:付费方案
支持的资产 合规性标准:
|
检查项目的 LogsMetric 资源的 filter 属性是否已设置为
protoPayload.methodName="cloudsql.instances.update"
OR protoPayload.methodName="cloudsql.instances.create"
OR protoPayload.methodName="cloudsql.instances.delete";如果指定了 resource.type,则值为 global。检测器还会搜索相应的 alertPolicy 资源,并检查 conditions 和 notificationChannels 属性是否正确配置。
|
多重身份验证发现结果
MFA_SCANNER 检测器可标识与用户的多重身份验证相关的漏洞。
| 检测器 | 摘要 | 资源扫描设置 |
|---|---|---|
|
有些用户没有使用两步验证。 Google Workspace 使您可以为新用户指定注册宽限期,在此期间用户必须注册两步验证。此检测器会在注册宽限期内为用户创建发现结果。 此发现结果不适用于项目级激活。 价格层级:付费方案或标准方案
支持的资产 合规性标准:
|
针对 Cloud Identity 中的代管账号评估组织和用户设置中的身份管理政策。
|
网络漏洞发现结果
此检测器类型的漏洞均与组织的网络配置相关,属于 NETWORK_SCANNER 类型。
| 检测器 | 摘要 | 资源扫描设置 |
|---|---|---|
|
发现结果说明:项目中存在默认网络。 对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。 价格层级:付费方案
支持的资产 合规性标准:
|
检查网络元数据中的
|
|
发现结果说明:在 VPC 网络上未启用 DNS 日志记录。 对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。 价格层级:付费方案
支持的资产 合规性标准:
|
通过
|
|
发现结果说明:项目中存在旧版网络。 对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。 价格层级:付费方案
支持的资产 合规性标准:
|
检查网络元数据是否存在
|
|
发现结果说明:已为负载均衡器停用日志记录。 价格层级:付费方案
支持的资产 合规性标准:
|
检查负载均衡器上后端服务的
|
组织政策漏洞发现结果
此检测器类型的漏洞均与组织政策限制条件的配置相关,并且属于 ORG_POLICY 类型。
Pub/Sub 漏洞发现结果
此检测器类型的漏洞均与 Pub/Sub 配置相关,并属于 PUBSUB_SCANNER 类型。
| 检测器 | 摘要 | 资源扫描设置 |
|---|---|---|
|
发现结果说明:Pub/Sub 主题未使用客户管理的加密密钥 (CMEK) 进行加密。此检测器需要额外配置才能启用。如需了解相关说明,请参阅启用和停用检测器。 价格层级:付费方案
支持的资产 合规性标准: 此发现结果类别未映射到任何合规性标准控件。 |
检查
|
SQL 漏洞发现结果
以下部分介绍了 AlloyDB for PostgreSQL 和 Cloud SQL 的漏洞发现。
AlloyDB for PostgreSQL 漏洞发现结果
此检测器类型的漏洞均与 AlloyDB for PostgreSQL 配置相关,并且属于 SQL_SCANNER 类型。
| 检测器 | 摘要 | 资源扫描设置 |
|---|---|---|
|
发现结果说明:AlloyDB for PostgreSQL 集群未启用自动备份。 价格层级:付费方案
支持的资产 合规性标准:
|
检查 AlloyDB for PostgreSQL 集群的元数据中的
|
|
发现结果说明:AlloyDB for PostgreSQL 集群未启用备份。 价格层级:付费方案
支持的资产 合规性标准:
|
检查 AlloyDB for PostgreSQL 集群的元数据中的
|
|
发现结果说明:AlloyDB 集群未使用客户管理的加密密钥 (CMEK) 进行加密。 价格层级:付费方案
支持的资产 合规性标准:
|
检查集群元数据中的
|
|
发现结果说明:AlloyDB for PostgreSQL 实例的 价格层级:付费方案
支持的资产 合规性标准:
|
为确保充分覆盖日志中的消息类型,如果
|
|
发现结果说明:AlloyDB for PostgreSQL 实例的 价格层级:付费方案
支持的资产 合规性标准:
|
为确保充分覆盖日志中的消息类型,如果
|
|
发现结果说明:AlloyDB for PostgreSQL 实例的 价格层级:付费方案
支持的资产 合规性标准:
|
为确保充分覆盖日志中的消息类型,如果
|
|
发现结果说明:AlloyDB for PostgreSQL 数据库实例具有公共 IP 地址。 价格层级:付费方案
支持的资产 合规性标准:
|
检查
|
|
发现结果说明:AlloyDB for PostgreSQL 数据库实例不要求所有传入连接都使用 SSL。 价格层级:付费方案
支持的资产 合规性标准:
|
检查 AlloyDB for PostgreSQL 实例的
|
Cloud SQL 漏洞发现结果
此检测器类型的漏洞均与 Cloud SQL 配置相关,并且属于 SQL_SCANNER 类型。
| 检测器 | 摘要 | 资源扫描设置 |
|---|---|---|
|
发现结果说明:Cloud SQL 数据库未启用自动备份。 价格层级:付费方案
支持的资产 合规性标准:
|
检查 Cloud SQL 数据的
|
|
发现结果说明:Cloud SQL 数据库实例接受来自所有 IP 地址的连接。 价格层级:付费方案或标准方案
支持的资产 合规性标准:
|
检查 Cloud SQL 实例的
|
|
发现结果说明:Cloud SQL 数据库实例不要求所有传入连接使用 SSL。 价格层级:付费方案或标准方案
支持的资产 合规性标准:
|
检查 Cloud SQL 实例的
|
|
发现结果说明:SQL 数据库实例未使用客户管理的加密密钥 (CMEK) 进行加密。此检测器需要额外配置才能启用。如需了解相关说明,请参阅启用和停用检测器。 价格层级:付费方案
支持的资产 合规性标准: 此发现结果类别未映射到任何合规性标准控件。 |
在实例元数据中检查
|
|
发现结果说明:Cloud SQL for SQL Server 实例的 价格层级:付费方案
支持的资产 合规性标准:
|
检查实例元数据的
|
|
发现结果说明:Cloud SQL for SQL Server 实例的 价格层级:付费方案
支持的资源 合规性标准:
|
检查实例元数据的
|
|
发现结果说明:Cloud SQL for SQL Server 实例的 价格层级:付费方案
支持的资产 合规性标准:
|
检查实例元数据的
|
|
发现结果说明:Cloud SQL for MySQL 实例的 价格层级:付费方案
支持的资产 合规性标准:
|
检查实例元数据的
|
|
发现结果说明:Cloud SQL for PostgreSQL 实例的 价格层级:付费方案
支持的资产 合规性标准:
|
检查实例元数据的
|
|
发现结果说明:Cloud SQL for PostgreSQL 实例的 价格层级:付费方案
支持的资产 合规性标准:
|
检查实例元数据的
|
|
发现结果说明:Cloud SQL for PostgreSQL 实例的 价格层级:付费方案
支持的资源 合规性标准:
|
检查实例元数据的
|
|
发现结果说明:Cloud SQL for PostgreSQL 实例的 价格层级:付费方案
支持的资源 合规性标准:
|
检查实例元数据的
|
|
发现结果说明:Cloud SQL for PostgreSQL 实例的 价格层级:付费方案
支持的资源 合规性标准:
|
检查实例元数据的
|
|
发现结果说明:Cloud SQL for PostgreSQL 实例的 价格层级:付费方案
支持的资产 合规性标准:
|
检查实例元数据的
|
|
发现结果说明:Cloud SQL for PostgreSQL 实例的 价格层级:付费方案
支持的资产 合规性标准:
|
检查实例元数据的
|
|
发现结果说明:Cloud SQL for PostgreSQL 实例的 价格层级:付费方案
支持的资产 合规性标准:
|
检查
|
|
发现结果说明:Cloud SQL for PostgreSQL 实例的 价格层级:付费方案
支持的资产 合规性标准:
|
检查
|
|
发现结果说明:Cloud SQL for PostgreSQL 实例的 价格层级:付费方案
支持的资产 合规性标准:
|
为确保充分覆盖日志中的消息类型,如果
|
|
发现结果说明:Cloud SQL for PostgreSQL 实例的 价格层级:付费方案
支持的资产 合规性标准:
|
检查实例元数据的
|
|
发现结果说明:Cloud SQL for PostgreSQL 实例的 价格层级:付费方案
支持的资源 合规性标准:
|
检查实例元数据的
|
|
发现结果说明:Cloud SQL for PostgreSQL 实例的 价格层级:付费方案
支持的资产 合规性标准:
|
检查实例元数据的
|
|
发现结果说明:Cloud SQL for PostgreSQL 实例的 价格层级:付费方案
支持的资产 合规性标准:
|
检查实例元数据的
|
|
发现结果说明:Cloud SQL for PostgreSQL 实例的 价格层级:付费方案
支持的资源 合规性标准:
|
检查实例元数据的
|
|
发现结果说明:Cloud SQL for PostgreSQL 实例的 价格层级:付费方案
支持的资源 合规性标准:
|
检查实例元数据的
|
|
发现结果说明:Cloud SQL for PostgreSQL 实例的 价格层级:付费方案
支持的资产 合规性标准:
|
检查实例元数据的
|
|
发现结果说明:具有公共 IP 地址的 Cloud SQL 数据库没有为根账号配置密码。此检测器需要额外配置才能启用。如需了解相关说明,请参阅启用和停用检测器。 价格层级:付费方案
支持的资源 合规性标准:
|
检查根账号的
|
|
发现结果说明:Cloud SQL 数据库具有公共 IP 地址。 价格层级:付费方案
支持的资源 合规性标准:
|
检查 Cloud SQL 数据库的 IP 地址类型是否设置为
|
|
发现结果说明:Cloud SQL for SQL Server 实例的 价格层级:付费方案
支持的资源 合规性标准:
|
检查实例元数据的
|
|
发现结果说明:Cloud SQL for MySQL 实例的 价格层级:付费方案
支持的资产 合规性标准:
|
检查实例元数据的
|
|
发现结果说明:Cloud SQL for SQL Server 实例的 价格层级:付费方案
支持的资产 合规性标准:
|
检查实例元数据的
|
|
发现结果说明:已配置 Cloud SQL for SQL Server 实例的 价格层级:付费方案
支持的资产 合规性标准:
|
检查实例元数据的
|
|
发现结果说明:已配置 Cloud SQL for SQL Server 实例的 价格层级:付费方案
支持的资产 合规性标准:
|
检查实例元数据的
|
|
发现结果说明:具有公共 IP 地址的 Cloud SQL 数据库为根账号配置了安全系数低的密码。此检测器需要额外配置才能启用。如需了解相关说明,请参阅启用和停用检测器。 价格层级:付费方案
支持的资产 合规性标准: 此发现结果类别未映射到任何合规性标准控件。 |
将 Cloud SQL 数据库的根账号的密码与常用密码列表进行比较。
|
子网漏洞发现结果
此检测器类型的漏洞均与组织的子网配置相关,属于 SUBNETWORK_SCANNER 类型。
| 检测器 | 摘要 | 资源扫描设置 |
|---|---|---|
|
发现结果说明:有一个 VPC 子网已停用流日志。 价格层级:付费方案
支持的资产 合规性标准:
|
检查 Compute Engine 子网的
|
|
发现结果说明:对于 VPC 子网,VPC 流日志已关闭,或者未根据 CIS 基准 1.3 建议进行配置。 此检测器需要额外配置才能启用。如需了解相关说明,请参阅启用和停用检测器。 价格层级:付费方案
支持的资产 合规性标准:
|
检查 VPC 子网的
|
|
发现结果说明:有一些专用子网无权访问 Google 公共 API。 价格层级:付费方案
支持的资产 合规性标准:
|
检查 Compute Engine 子网的
|
AWS 发现结果
| 检测器 | 摘要 | 资源扫描设置 |
|---|---|---|
|
发现结果说明: AWS CloudShell 是一种方便的对 AWS 服务运行 CLI 命令的方式;托管式 IAM 政策 ('AWSCloudShellFullAccess') 可提供对 CloudShell 的完全访问权限,从而允许在用户的本地系统和 CloudShell 环境之间进行文件上传和下载。在 CloudShell 环境中,用户具有 sudo 权限,并且可以访问互联网。因此,您可以安装文件传输软件,并将数据从 CloudShell 移至外部互联网服务器。 价格层级:企业 合规性标准:
|
确保已限制 AWSCloudShellFullAccess 访问权限
|
|
发现结果说明: 访问密钥由访问密钥 ID 和私有访问密钥组成,用于对您发送给 AWS 的程序化请求进行签名。AWS 用户需要使用自己的访问密钥,才能通过 AWS 命令行界面 (AWS CLI)、Tools for Windows PowerShell、AWS SDK 或使用各个 AWS 服务的 API 进行直接 HTTP 调用,以程序化方式向 AWS 发出调用。建议定期轮替所有访问密钥。 价格层级:企业 合规性标准:
|
确保访问密钥每 90 天(或更短周期)轮替一次
|
|
发现结果说明: 如需启用与 AWS 中网站或应用的 HTTPS 连接,您需要 SSL/TLS 服务器证书。您可以使用 ACM 或 IAM 存储和部署服务器证书。 价格层级:企业 合规性标准:
|
确保移除 AWS IAM 中存储的所有过期的 SSL/TLS 证书
|
|
发现结果说明: 此命令会检查与负载均衡器关联的自动扩缩组是否使用 Elastic Load Balancing 健康检查。 这样可确保该组能够根据负载均衡器提供的其他测试来确定实例的运行状况。使用 Elastic Load Balancing 健康检查有助于支持使用 EC2 自动扩缩组的应用的可用性。 价格层级:企业 合规性标准:
|
检查与负载均衡器相关的所有自动扩缩组是否使用健康检查
|
|
发现结果说明: 确保 RDS 数据库实例已启用“自动次要版本升级”标志,以便在指定的维护窗口内自动接收次要引擎升级。因此,RDS 实例可以为其数据库引擎获取新功能、bug 修复和安全补丁。 价格层级:企业 合规性标准:
|
确保已针对 RDS 实例启用次要版本自动升级功能
|
|
发现结果说明: AWS Config 是一项 Web 服务,可对您账号中受支持的 AWS 资源执行配置管理,并向您提供日志文件。记录的信息包括配置项(AWS 资源)、配置项(AWS 资源)之间的关系以及资源之间的任何配置更改。建议在所有区域中启用 AWS Config。 价格层级:企业 合规性标准:
|
确保已在所有区域中启用 AWS Config
|
|
发现结果说明: Security Hub 会从各种 AWS 账号、服务和支持的第三方合作伙伴产品中收集安全数据,并帮助您分析安全趋势和识别优先级最高的安全问题。当您启用 Security Hub 后,它会开始使用、汇总、整理和优先处理您已启用的 AWS 服务(例如 Amazon GuardDuty、Amazon Inspector 和 Amazon Macie)的发现结果。您还可以启用与 AWS 合作伙伴安全产品的集成。 价格层级:企业 合规性标准:
|
确保已启用 AWS Security Hub
|
|
发现结果说明: AWS CloudTrail 是一项 Web 服务,可为账号记录 AWS API 调用,并根据 IAM 政策向用户和资源提供这些日志。AWS Key Management Service (KMS) 是一项托管式服务,可帮助您创建和控制用于加密账号数据的加密密钥,并使用硬件安全模块 (HSM) 来保护加密密钥的安全。CloudTrail 日志可以配置为利用服务器端加密 (SSE) 和 KMS 客户创建的主密钥 (CMK),以进一步保护 CloudTrail 日志。建议将 CloudTrail 配置为使用 SSE-KMS。 价格层级:企业 合规性标准:
|
确保使用 KMS CMK 对 CloudTrail 日志进行静态加密
|
|
发现结果说明: CloudTrail 日志文件验证会创建一个数字签名摘要文件,其中包含 CloudTrail 写入 S3 的每个日志的哈希值。这些摘要文件可用于确定日志文件在 CloudTrail 传送日志后是更改、删除还是未更改。建议在所有 CloudTrail 上启用文件验证。 价格层级:企业 合规性标准:
|
确保已启用 CloudTrail 日志文件验证
|
|
发现结果说明: AWS CloudTrail 是一项 Web 服务,用于记录在给定 AWS 账号中发出的 AWS API 调用。记录的信息包括 API 调用方身份、API 调用时间、API 调用方源 IP 地址、请求参数以及 AWS 服务返回的响应元素。CloudTrail 使用 Amazon S3 存储和传送日志文件,因此日志文件会永久存储。除了在指定的 S3 存储桶中捕获 CloudTrail 日志以进行长期分析之外,还可以通过将 CloudTrail 配置为将日志发送到 CloudWatch Logs 来执行实时分析。对于在账号的所有区域中启用的跟踪记录,CloudTrail 会将所有这些区域中的日志文件发送到 CloudWatch Logs 日志组。建议将 CloudTrail 日志发送到 CloudWatch Logs。 注意:此建议旨在确保 AWS 账号活动能够被捕获、监控和适当发出警报。CloudWatch Logs 是使用 AWS 服务实现此目的的原生方式,但并不排除使用其他解决方案。 价格层级:企业 合规性标准:
|
确保 CloudTrail 跟踪记录与 CloudWatch 日志集成
|
|
发现结果说明: 此检查会检查 Amazon Cloudwatch 在警报在“OK”“ALARM”和“INSUFFICIENT_DATA”状态之间转换时是否有定义操作。 在 Amazon CloudWatch 警报中为 ALARM 状态配置操作非常重要,以便在监控的指标超出阈值时触发即时响应。 警报至少包含一项操作。 价格层级:企业 合规性标准:
|
检查 CloudWatch 警报至少已启用一项警报操作、一项 INSUFFICIENT_DATA 操作或一项 OK 操作。
|
|
发现结果说明: 此检查可确保 CloudWatch 日志已使用 KMS 进行配置。 日志组数据在 CloudWatch Logs 中始终处于加密状态。默认情况下,CloudWatch Logs 会对静态存储的日志数据使用服务器端加密。或者,您也可以使用 AWS Key Management Service 进行此加密。如果您选择使用 AWS KMS 密钥,则系统会使用 AWS KMS 密钥进行加密。使用 AWS KMS 进行加密是在日志组级别启用的,方法是将 KMS 密钥与日志组相关联,无论是在创建日志组时还是在日志组存在后。 价格层级:企业 合规性标准:
|
检查是否使用 KMS 对 Amazon CloudWatch Logs 中的所有日志组进行了加密
|
|
发现结果说明: 此控件会检查 CloudTrail 跟踪记录是否已配置为将日志发送到 CloudWatch Logs。如果轨迹的 CloudWatchLogsLogGroupArn 属性为空,则控制失败。 CloudTrail 会记录在指定账号中发出的 AWS API 调用。记录的信息包括:
CloudTrail 使用 Amazon S3 存储和传送日志文件。您可以在指定的 S3 存储桶中捕获 CloudTrail 日志,以进行长期分析。如需执行实时分析,您可以将 CloudTrail 配置为将日志发送到 CloudWatch Logs。 对于在账号的所有区域中启用的跟踪记录,CloudTrail 会将所有这些区域中的日志文件发送到 CloudWatch Logs 日志组。 Security Hub 建议您将 CloudTrail 日志发送到 CloudWatch Logs。请注意,此建议旨在确保捕获、监控和适当发出账号活动警报。您可以使用 CloudWatch Logs 通过 AWS 服务进行设置。此建议并不排除使用其他解决方案的可能性。 将 CloudTrail 日志发送到 CloudWatch Logs 有助于根据用户、API、资源和 IP 地址记录实时和历史活动。您可以使用此方法为异常或敏感的账号活动设置提醒和通知。 价格层级:企业 合规性标准:
|
检查是否已将所有 CloudTrail 跟踪记录配置为向 AWS CloudWatch 发送日志
|
|
发现结果说明: 这会检查项目是否包含环境变量 身份验证凭证 价格层级:企业 合规性标准:
|
确保所有项目中的环境变量 AWS_ACCESS_KEY_ID 和 AWS_SECRET_ACCESS_KEY 都未采用明文格式
|
|
发现结果说明: 此检查会检查 AWS CodeBuild 项目 Bitbucket 源代码库网址是否包含个人访问令牌或用户名和密码。如果 Bitbucket 源代码库网址包含个人访问令牌或用户名和密码,则控制失败。 登录凭证不应以明文形式存储或传输,也不应显示在源代码库网址中。您应该在 CodeBuild 中访问源代码提供程序,而不是使用个人访问令牌或登录凭证,并更改源代码库网址,使其仅包含 Bitbucket 代码库位置的路径。使用个人访问令牌或登录凭证可能会导致意外的数据暴露或未经授权的访问。 价格层级:企业 合规性标准: 此发现结果类别未映射到任何合规性标准控件。 |
检查使用 GitHub 或 Bitbucket 作为源代码库的所有项目是否都使用了 OAuth
|
|
发现结果说明: AWS IAM 用户可以使用不同类型的凭证(例如密码或访问密钥)访问 AWS 资源。建议停用或移除 45 天或更长时间未使用的所有凭证。 价格层级:企业 合规性标准:
|
确保已停用 45 天或更长时间未使用的凭据
|
|
发现结果说明: VPC 附带一个默认安全组,其初始设置为拒绝所有入站流量、允许所有出站流量,以及允许分配给该安全组的实例之间的所有流量。如果您在启动实例时未指定安全组,系统会自动将该实例分配到此默认安全组。安全群组可对入站/出站 AWS 资源的网络流量进行有状态的过滤。建议默认安全群组对所有流量进行限制。 每个区域的默认 VPC 都应更新其默认安全群组以符合此要求。任何新创建的 VPC 都会自动包含一个默认安全组,需要进行修复才能遵循此建议。 注意:在实施此建议时,VPC 流日志记录对于确定系统正常运行所需的最小权限端口访问权限非常有用,因为它可以记录当前安全群组中发生的所有数据包接受和拒绝情况。这大大降低了最小权限工程的主要障碍 - 发现环境中系统所需的最小端口。即使未将此基准中的 VPC 流日志记录建议作为永久性安全措施采用,在发现和设计最小特权安全群组的任何阶段,也应使用此建议。 价格层级:企业 合规性标准:
|
确保每个 VPC 的默认安全群组对所有流量进行限制
|
|
发现结果说明: 检查 AWS DMS 复制实例是否可公开访问。为此,它会检查 专用复制实例具有专用 IP 地址,您无法在复制网络之外访问该地址。当源数据库和目标数据库位于同一网络中时,复制实例应具有专用 IP 地址。该网络还必须使用 VPN、AWS Direct Connect 或 VPC 对等互连连接到复制实例的 VPC。如需详细了解公共和专用复制实例,请参阅 AWS Database Migration Service 用户指南中的公共和专用复制实例。 您还应确保仅授权用户才能访问 AWS DMS 实例配置。为此,请限制用户的 IAM 权限,以便他们能够修改 AWS DMS 设置和资源。 价格层级:企业 合规性标准:
|
检查 AWS Database Migration Service 复制实例是否可公开访问
|
|
发现结果说明: 创建新的 IAM 用户时,AWS 控制台默认未选中任何复选框。创建 IAM 用户凭证时,您必须确定用户需要哪种访问权限。 程序化访问权限:IAM 用户可能需要进行 API 调用、使用 AWS CLI 或使用 Tools for Windows PowerShell。在这种情况下,请为该用户创建访问密钥(访问密钥 ID 和秘密访问密钥)。 AWS 管理控制台访问权限:如果用户需要访问 AWS 管理控制台,请为用户创建密码。 价格层级:企业 合规性标准:
|
请勿在初始用户设置期间为所有具有控制台密码的 IAM 用户设置访问密钥
|
|
发现结果说明: 此测试会检查 Amazon DynamoDB 表能否根据需要扩缩读写容量。如果表使用的是按需容量模式或已预配模式且已配置自动扩缩,则此控件会通过。根据需求扩缩容量可避免出现节流异常,从而有助于维持应用的可用性。 按需容量模式下的 DynamoDB 表仅受 DynamoDB 吞吐量默认表配额的限制。如需提高这些配额,您可以通过 AWS 支持提交支持服务工单。 处于预配模式且启用了自动扩缩功能的 DynamoDB 表会根据流量模式动态调整预配的吞吐量容量。如需详细了解 DynamoDB 请求节流,请参阅 Amazon DynamoDB 开发者指南中的“请求节流和突发容量”。 价格层级:企业 合规性标准:
|
DynamoDB 表应根据需求自动扩缩容量
|
|
发现结果说明: 此控件会评估 DynamoDB 表是否纳入备份方案中。如果 DynamoDB 表未纳入备份方案,则控制会失败。此控件仅评估处于 ACTIVE 状态的 DynamoDB 表。 备份有助于您更快地从安全事件中恢复。它们还可以增强系统的弹性。将 DynamoDB 表添加到备份计划中有助于保护您的数据免遭意外丢失或删除。 价格层级:企业 合规性标准:
|
DynamoDB 表应纳入备份方案中
|
|
发现结果说明: 时间点恢复 (PITR) 是备份 DynamoDB 表可用的机制之一。 系统会保留 35 天的某个时间点备份。如果您需要更长的保留期限,请参阅 AWS 文档中的使用 AWS Backup 为 Amazon DynamoDB 设置定期备份。 价格层级:企业 合规性标准:
|
检查是否对所有 AWS DynamoDB 表启用了时间点恢复 (PITR)
|
|
发现结果说明: 检查是否使用客户管理的 KMS 密钥(非默认密钥)对所有 DynamoDB 表进行了加密。 价格层级:企业 合规性标准:
|
检查是否使用 AWS Key Management Service (KMS) 对所有 DynamoDB 表进行了加密
|
|
发现结果说明: 检查是否为可进行 EBS 优化的 EC2 实例启用了 EBS 优化 价格层级:企业 合规性标准:
|
检查是否对所有支持 EBS 优化的实例启用了 EBS 优化
|
|
发现结果说明: 检查 Amazon Elastic Block Store 快照是否不允许公开访问。如果任何人都可以恢复 Amazon EBS 快照,则控制失败。 EBS 快照用于在特定时间点将 EBS 卷中的数据备份到 Amazon S3。您可以使用快照来恢复 EBS 卷的先前状态。很少有情况允许与公众共享快照。通常,公开共享快照的决定是错误的,或者没有完全了解相关影响。此检查有助于确保所有此类共享都是经过充分计划和有意为之的。 价格层级:企业 合规性标准:
|
Amazon EBS 快照不应是可公共恢复的
|
|
发现结果说明: Elastic Compute Cloud (EC2) 在使用 Elastic Block Store (EBS) 服务时支持静态加密。虽然默认情况下处于停用状态,但支持在创建 EBS 卷时强制执行加密。 价格层级:企业 合规性标准:
|
确保已在所有区域中启用 EBS 卷加密
|
|
发现结果说明: Amazon VPC 提供的安全功能比 EC2 Classic 多。建议所有节点都属于 Amazon VPC。 价格层级:企业 合规性标准:
|
确保所有实例都属于 VPC
|
|
发现结果说明: 具有公共 IP 地址的 EC2 实例面临的攻击风险会增加。建议不要为 EC2 实例配置公共 IP 地址。 价格层级:企业 合规性标准:
|
确保没有实例拥有公共 IP
|
|
发现结果说明: 状态管理器关联是分配给您的托管式实例的配置。配置定义了您要在实例上维护的状态。例如,关联可以指定必须在实例上安装并运行杀毒软件,或者必须关闭某些端口。与 AWS Systems Manager 关联的 EC2 实例由 Systems Manager 管理,这有助于更轻松地应用补丁、修正配置错误和响应安全事件。 价格层级:企业 合规性标准:
|
确认 AWS 系统管理器关联的合规状态
|
|
发现结果说明: 此控件会在关联在实例上运行后检查 AWS Systems Manager 关联合规性的状态是 COMPLIANT 还是 NON_COMPLIANT。如果关联合规状态为 NON_COMPLIANT,则控制失败。 状态管理器关联是分配给您的托管式实例的配置。配置定义了您要在实例上维护的状态。例如,关联可以指定必须在实例上安装并运行杀毒软件,或者必须关闭某些端口。 创建一个或多个 State Manager 关联后,您可以立即查看合规性状态信息。您可以在控制台中查看合规性状态,也可以在响应 AWS CLI 命令或相应的 Systems Manager API 操作时查看合规性状态。对于关联,配置法规遵从状态会显示法规遵从状态(法规遵从或不遵从法规)。它还会显示关联的严重级别,例如“严重”或“中等”。 如需详细了解 State Manager 关联合规性,请参阅《AWS Systems Manager 用户指南》中的State Manager 关联合规性简介。 价格层级:企业 合规性标准:
|
检查 AWS Systems Manager 补丁合规性的状态
|
|
发现结果说明: 在 AWS EC2 实例上启用元数据服务时,用户可以选择使用实例元数据服务版本 1 (IMDSv1;请求/响应方法) 或实例元数据服务版本 2 (IMDSv2;面向会话的方法)。 价格层级:企业 合规性标准:
|
确保 EC2 元数据服务只允许使用 IMDSv2
|
|
发现结果说明: 识别并移除 AWS 账号中未附加(未使用)的 Elastic Block Store (EBS) 卷,以降低每月 AWS 账单费用。删除未使用的 EBS 卷还可以降低机密/敏感数据离开您场所的风险。此外,此控件还会检查是否有归档的 EC2 实例配置为在终止时删除卷。 默认情况下,EC2 实例会配置为删除与实例关联的任何 EBS 卷中的数据,以及删除实例的根 EBS 卷。不过,在启动或执行期间附加到实例的任何非根 EBS 卷在默认情况下会在终止后保留。 价格层级:企业 合规性标准:
|
检查 EBS 卷是否挂接到 EC2 实例以及是否配置为在实例终止时删除
|
|
发现结果说明: Amazon EFS 支持对文件系统进行两种形式的加密:对传输中的数据进行加密和对静态数据进行加密。此命令会检查所有 EFS 文件系统是否已在账号中已启用的所有区域内配置了静态数据加密。 价格层级:企业 合规性标准:
|
检查 EFS 是否配置为使用 KMS 对文件数据进行加密
|
|
发现结果说明: Amazon 最佳实践建议为 Elastic File System (EFS) 配置备份。这会检查您的 AWS 账号中所有已启用区域中的所有 EFS 是否已启用备份。 价格层级:企业 合规性标准:
|
检查 EFS 文件系统是否纳入了 AWS 备份方案
|
|
发现结果说明: 检查传统负载均衡器是否使用了 AWS Certificate Manager (ACM) 提供的 HTTPS/SSL 证书。如果使用 HTTPS/SSL 监听器配置的传统负载均衡器不使用 ACM 提供的证书,则控制失败。 如需创建证书,您可以使用 ACM 或支持 SSL 和 TLS 协议的工具(例如 OpenSSL)。Security Hub 建议您使用 ACM 为负载均衡器创建或导入证书。 ACM 与经典版负载均衡器集成,以便您可以在负载均衡器上部署证书。您还应自动续订这些证书。 价格层级:企业 合规性标准:
|
检查是否所有传统负载均衡器都使用了 AWS Certificate Manager 提供的 SSL 证书
|
|
发现结果说明: 检查应用负载均衡器是否已启用删除防护。如果未配置删除保护,则控件会失败。 启用删除保护,以防止应用负载均衡器被删除。 价格层级:企业 合规性标准:
|
应启用应用负载均衡器删除防护
|
|
发现结果说明: 这会检查应用负载均衡器和传统负载均衡器是否已启用日志记录。如果 access_logs.s3.enabled 为 false,则控制失败。 Elastic Load Balancing 提供访问日志,用于捕获有关发送到负载均衡器的请求的详细信息。每个日志都包含一些信息,例如收到请求的时间、客户端的 IP 地址、延迟时间、请求路径和服务器响应。您可以使用这些访问日志来分析流量模式并排查问题。 如需了解详情,请参阅《传统负载均衡器用户指南》中的传统负载均衡器的访问日志。 价格层级:企业 合规性标准:
|
检查是否对传统负载均衡器和应用负载均衡器启用了日志记录
|
|
发现结果说明: 此检查可确保所有传统负载均衡器都已配置为使用安全通信。 监听器是一个用于检查连接请求的进程。它会针对前端(客户端到负载均衡器)连接配置协议和端口,并针对后端(负载均衡器到实例)连接配置协议和端口。如需了解 Elastic Load Balancing 支持的端口、协议和监听器配置,请参阅经典版负载均衡器的监听器。 价格层级:企业 合规性标准:
|
检查是否对所有传统负载均衡器配置了 SSL 或 HTTPS 监听器
|
|
发现结果说明: 检查处于已挂接状态的 EBS 卷是否已加密。若要通过此检查,EBS 卷必须处于使用状态且已加密。如果 EBS 卷未挂载,则不受此检查的约束。 如需为 EBS 卷中的敏感数据添加一层额外的安全保护,您应启用静态 EBS 加密。Amazon EBS 加密为您的 EBS 资源提供了一种简单的加密解决方案,无需您构建、维护和保护自己的密钥管理基础架构。在创建加密卷和快照时,它会使用 KMS 密钥。 如需详细了解 Amazon EBS 加密,请参阅《适用于 Linux 实例的 Amazon EC2 用户指南》中的 Amazon EBS 加密。 价格层级:企业 合规性标准:
|
应对挂接的 Amazon EBS 卷进行静态加密
|
|
发现结果说明: Amazon RDS 加密数据库实例使用业界标准 AES-256 加密算法在托管 Amazon RDS 数据库实例的服务器上加密您的数据。数据加密后,Amazon RDS 会透明地处理数据访问身份验证和数据解密,对性能的影响最小。 价格层级:企业 合规性标准:
|
确保 RDS 实例已启用静态加密
|
|
发现结果说明: 应使用 AWS KMS(密钥管理服务)对 EFS 数据进行静态加密。 价格层级:企业 合规性标准:
|
确保已针对 EFS 文件系统启用加密
|
|
发现结果说明: AWS 允许您在 AWS 账号中设置自定义密码政策,以指定 IAM 用户密码的复杂性要求和强制性轮替周期。如果您未设置自定义密码政策,IAM 用户密码必须符合默认的 AWS 密码政策。AWS 安全最佳实践建议满足以下密码复杂性要求:
此控件会检查所有指定的密码政策要求。 价格层级:企业 合规性标准:
|
检查 IAM 用户的账号密码政策是否符合规定的要求
|
|
发现结果说明: IAM 密码政策可以防止同一用户重复使用给定密码。建议密码政策禁止重复使用密码。 价格层级:企业 合规性标准:
|
确保 IAM 密码政策可防止密码重复使用
|
|
发现结果说明: 密码政策的部分用途是强制执行密码复杂度要求。IAM 密码政策可用于确保密码至少达到指定长度。建议密码政策要求密码长度不低于 14 个字符。 价格层级:企业 合规性标准:
|
确保 IAM 密码政策要求最小长度为 14 个字符
|
|
发现结果说明: IAM 政策是向用户、群组或角色授予权限的一种方式。建议您遵循标准安全建议,即授予最小权限,也就是仅授予执行任务所需的权限。确定用户需要执行的任务,然后为他们制定政策,让他们仅执行这些任务,而不是授予完整的管理权限。 价格层级:企业 合规性标准:
|
确保未关联允许完整“*:*”管理员权限的 IAM 政策
|
|
发现结果说明: IAM 用户通过 IAM 政策获得对服务、函数和数据的访问权限。有四种方法可以为用户定义政策:1) 直接修改用户政策(也称为内嵌政策或用户政策);2) 将政策直接附加到用户;3) 将用户添加到已附加政策的 IAM 群组;4) 将用户添加到具有内嵌政策的 IAM 群组。 我们建议您仅使用第三种实现方式。 价格层级:企业 合规性标准:
|
确保 IAM 用户仅通过群组接收权限
|
|
发现结果说明: 为了遵循 IAM 安全最佳实践,IAM 用户应始终属于某个 IAM 群组。 通过将用户添加到群组,可以让不同类型的用户共享政策。 价格层级:企业 合规性标准:
|
检查 IAM 用户是否至少是一个 IAM 群组的成员
|
|
发现结果说明: 多重身份验证 (MFA) 是一种最佳实践,可在用户名和密码的基础上再增加一层保护。使用多重身份验证时,当用户登录 AWS 管理控制台时,需要提供由已注册的虚拟设备或实体设备提供的、具有时间敏感性的身份验证码。 价格层级:企业 合规性标准:
|
检查 AWS IAM 用户是否启用了多重身份验证 (MFA)
|
|
发现结果说明: 此检查会查找在过去 90 天内未使用过的任何 IAM 密码或有效访问密钥。 最佳实践建议您移除、停用或轮替所有 90 天或更长时间内未使用的凭证。这样可以缩短与被盗用或被废弃的账号相关的凭证被使用的机会窗口。 价格层级:企业 合规性标准:
|
检查是否所有 AWS IAM 用户都有未在 maxCredentialUsageAge 天(默认值为 90)内使用过的密码或有效访问密钥
|
|
发现结果说明: 此控件用于检查是否已安排删除 KMS 密钥。如果 KMS 密钥已安排删除,则控制失败。 KMS 密钥一经删除,便无法恢复。如果 KMS 密钥被删除,则使用该密钥加密的数据也将永久无法恢复。如果有意义的数据已使用已安排删除的 KMS 密钥进行加密,请考虑使用新的 KMS 密钥解密数据或对数据重新加密,除非您有意执行加密擦除。 在安排删除 KMS 密钥时,系统会强制执行等待期,以便在错误安排删除时有时间撤消删除。默认等待期为 30 天,但在计划删除 KMS 密钥时,该等待期可缩短至最短 7 天。在等待期内,您可以取消已安排的删除操作,并且 KMS 密钥不会被删除。 如需了解有关删除 KMS 密钥的更多信息,请参阅《AWS 密钥管理服务开发者指南》中的删除 KMS 密钥。 价格层级:企业 合规性标准:
|
检查是否所有 CMK 都未安排删除
|
|
发现结果说明: 检查 Lambda 函数是否配置了函数级并发执行限制。如果 Lambda 函数未配置函数级并发执行限制,则规则为 NON_COMPLIANT。 价格层级:企业 合规性标准: 此发现结果类别未映射到任何合规性标准控件。 |
检查 Lambda 函数是否配置了函数级并发执行限制
|
|
发现结果说明: 检查 Lambda 函数是否配置了死信队列。如果 Lambda 函数未配置死信队列,则规则为 NON_COMPLIANT。 价格层级:企业 合规性标准:
|
检查 Lambda 函数是否配置了死信队列
|
|
发现结果说明: AWS 最佳实践建议不要公开提供 Lambda 函数。此政策会检查在您账号中所有已启用区域部署的所有 Lambda 函数,如果这些函数已配置为允许公开访问,则会失败。 价格层级:企业 合规性标准:
|
检查与 Lambda 函数关联的政策是否禁止了公共访问权限
|
|
发现结果说明: 检查 Lambda 函数是否位于 VPC 中。您可能会看到 Lambda@Edge 资源的发现结果失败。 它不会评估 VPC 子网路由配置以确定公共可访问性。 价格层级:企业 合规性标准:
|
检查 Lambda 函数是否存在于 VPC 中
|
|
发现结果说明: 在敏感和机密 S3 存储桶上启用 MFA 删除功能后,用户必须通过两种形式的身份验证。 价格层级:企业 合规性标准:
|
确保已针对 S3 存储桶启用 MFA 删除功能
|
|
发现结果说明: “root”用户账号是 AWS 账号中权限最高的用户。多重身份验证 (MFA) 在用户名和密码的基础上增加了一层额外的保护。启用 MFA 后,当用户登录 AWS 网站时,系统会提示他们输入用户名和密码,以及通过 AWS MFA 设备获取身份验证码。 注意:将虚拟多重身份验证方法用于“root”账号时,建议使用的设备不是个人设备,而是专用的移动设备(平板电脑或手机),并且该设备会被管理以确保充足电量和安全性,而与任何个人设备无关。(“非个人虚拟 MFA”)这样可以降低因设备丢失、设备以旧换新或设备所有者不再在公司任职而无法使用 MFA 的风险。 价格层级:企业 合规性标准:
|
确保已针对“root”用户账号启用 MFA
|
|
发现结果说明: 多重身份验证 (MFA) 在传统凭证的基础上增加了一层身份验证保障。启用 MFA 后,当用户登录 AWS 控制台时,系统会提示他们输入用户名和密码,以及通过实体或虚拟 MFA 令牌提供的身份验证码。建议为所有拥有控制台密码的账号启用 MFA。 价格层级:企业 合规性标准:
|
确保已针对拥有控制台密码的所有 IAM 用户启用多重身份验证 (MFA)
|
|
发现结果说明: 网络访问控制列表 (NACL) 函数可对流向 AWS 资源的入站和出站网络流量进行无状态过滤。建议不允许任何 NACL 使用 TDP (6)、UDP (17) 或 ALL (-1) 协议,以 SSH 连接到端口 价格层级:企业 合规性标准:
|
确保任何网络 ACL 都不允许从 0.0.0.0/0 到远程服务器管理端口的入站流量
|
|
发现结果说明: “root”用户账号是 AWS 账号中权限最高的用户。AWS 访问密钥可让您以程序化方式访问指定的 AWS 账号。建议删除与“root”用户账号关联的所有访问密钥。 价格层级:企业 合规性标准:
|
确保不存在“root”用户账号访问密钥
|
|
发现结果说明: 安全群组可对进入和离开 AWS 资源的网络流量进行有状态的过滤。建议任何安全组都不要允许对远程服务器管理端口(例如 SSH 端口 价格层级:企业 合规性标准:
|
确保任何安全群组都不允许从 0.0.0.0/0 传输到远程服务器管理端口的入站流量
|
|
发现结果说明: 安全群组可对进入和离开 AWS 资源的网络流量进行有状态的过滤。建议任何安全群组都不允许对远程服务器管理端口(例如 SSH 到端口 价格层级:企业 合规性标准:
|
确保任何安全群组都不允许从 ::/0 传输到远程服务器管理端口的入站流量
|
|
发现结果说明: 访问密钥是 IAM 用户或 AWS 账号“root”用户的长期凭证。您可以使用访问密钥(直接或使用 AWS SDK)为对 AWS CLI 或 AWS API 的程序化请求签名 价格层级:企业 合规性标准:
|
确保任何单个 IAM 用户只有一个有效的访问密钥
|
|
发现结果说明: 确保并验证您在 AWS 账号中预配的 RDS 数据库实例确实限制了未经授权的访问,以尽可能降低安全风险。如需限制对任何可公开访问的 RDS 数据库实例的访问权限,您必须停用数据库“可公开访问”标记,并更新与该实例关联的 VPC 安全群组。 价格层级:企业 合规性标准:
|
确保没有向 RDS 实例提供公开访问权限
|
|
发现结果说明: 增强型监控可通过在实例中安装的代理,针对 RDS 实例运行的操作系统提供实时指标。 如需了解详情,请参阅使用增强型监控监控操作系统指标。 价格层级:企业 合规性标准:
|
检查是否为所有 RDS 数据库实例启用了增强监控功能
|
|
发现结果说明: 启用实例删除防护可提供额外的保护层,以防止意外删除数据库或被未经授权的实体删除数据库。 在启用防删除保护的情况下,RDS 数据库实例无法删除。必须先停用删除防护,然后删除请求才能成功。 价格层级:企业 合规性标准:
|
检查是否所有 RDS 实例都启用了删除保护
|
|
发现结果说明: 此检查会评估 Amazon RDS 数据库实例是否纳入备份方案中。如果 RDS 数据库实例未纳入备份方案,则此控件会失败。 AWS Backup 是一项全托管式备份服务,可集中管理并自动化跨 AWS 服务的数据备份。借助 AWS Backup,您可以创建备份政策,即备份方案。您可以使用这些方案来定义备份要求,例如备份数据的频率以及保留这些备份的时长。将 RDS 数据库实例纳入备份方案有助于保护您的数据免遭意外丢失或删除。 价格层级:企业 合规性标准:
|
RDS 数据库实例应纳入备份方案中
|
|
发现结果说明: 这会检查是否已启用并将以下 Amazon RDS 日志发送到 CloudWatch。 RDS 数据库应启用相关日志。数据库日志记录会提供有关向 RDS 发出的请求的详细记录。数据库日志可协助进行安全性和访问权限审核,并有助于诊断可用性问题。 价格层级:企业 合规性标准:
|
检查是否为所有 RDS 数据库实例启用了导出日志功能
|
|
发现结果说明: 应为 RDS 数据库实例配置多个可用区 (AZ)。这样可以确保存储的数据可用。在可用区可用性出现问题以及定期进行 RDS 维护时,多 AZ 部署可实现自动故障切换。 价格层级:企业 合规性标准:
|
检查是否为所有 RDS 数据库实例启用了高可用性
|
|
发现结果说明: 此检查会检查 Redshift 集群的基本元素:静态加密、日志记录和节点类型。 这些配置项对于维护安全且可观察的 Redshift 集群非常重要。 价格层级:企业 合规性标准:
|
检查是否所有 Redshift 集群都进行了静态加密、已启用日志记录且具有节点类型。
|
|
发现结果说明: 自动主要版本升级会根据维护窗口进行 价格层级:企业 合规性标准:
|
检查是否对所有 Redshift 集群都启用了 allowVersionUpgrade 并设置了 preferredMaintenanceWindow 和 automatedSnapshotRetentionPeriod
|
|
发现结果说明: Amazon Redshift 集群配置的 PubliclyAccessible 属性指示集群是否可公开访问。如果将 PubliclyAccessible 配置为 true,则集群是一个面向互联网的实例,具有可公开解析的 DNS 名称,该名称会解析为公共 IP 地址。 如果集群无法公开访问,则它是一个内部实例,其 DNS 名称会解析为专用 IP 地址。除非您打算公开访问集群,否则不应将 PubliclyAccessible 配置为 true。 价格层级:企业 合规性标准:
|
检查是否可以公开访问 Redshift 集群
|
|
发现结果说明: 这会检查安全群组的不受限制的传入流量是否可访问风险最高的指定端口。如果安全组中的任何规则允许针对这些端口从 '0.0.0.0/0' 或 '::/0' 传入流量,则此控制失败。 不受限制的访问权限 (0.0.0.0/0) 会增加发生恶意活动的机会,例如黑客攻击、拒绝服务攻击和数据丢失。 安全群组可对进入和离开 AWS 资源的网络流量进行有状态的过滤。任何安全群组都不应允许对以下端口进行不受限制的入站访问:
价格层级:企业 合规性标准:
|
安全群组不得允许对具有高风险的端口进行不受限制的访问
|
|
发现结果说明: 安全群组可对进入和离开 AWS 资源的网络流量进行有状态的过滤。 CIS 建议任何安全群组都不允许对端口 22 进行不受限制的入站访问。移除与 SSH 等远程控制台服务的无限制连接,可降低服务器面临的风险。 价格层级:企业 合规性标准:
|
安全群组不得允许来自 0.0.0.0/0 的入站流量流向端口 22
|
|
发现结果说明: 检查是否为每个密钥启用了自动密钥轮替,并与客户创建的 AWS KMS 密钥的密钥 ID 进行匹配。如果资源的 AWS Config 记录器角色不具有 kms:DescribeKey 权限,则规则为 NON_COMPLIANT。 价格层级:企业 合规性标准: 此发现结果类别未映射到任何合规性标准控件。 |
确保已为客户创建的 CMK 启用轮替
|
|
发现结果说明: AWS Key Management Service (KMS) 允许客户轮替后备密钥,后者是存储在 KMS 中的密钥材料,与客户创建的客户主密钥 (CMK) 的密钥 ID 相关联。它是用于执行加密和解密等加密操作的后备密钥。自动密钥轮替目前会保留所有先前的备用密钥,以便对加密数据进行解密。建议为对称密钥启用 CMK 密钥轮替。无法为任何非对称 CMK 启用密钥轮替。 价格层级:企业 合规性标准:
|
确保已为客户创建的对称 CMK 启用轮替
|
|
发现结果说明: 检查 VPC 对等互连的路由表是否使用最小权限的正文进行配置。 价格层级:企业 合规性标准: 此发现结果类别未映射到任何合规性标准控件。 |
确保 VPC 对等互连的路由表拥有“最小权限”
|
|
发现结果说明: Amazon S3 禁止公开访问功能为接入点、存储桶和账号提供了设置,以帮助您管理对 Amazon S3 资源的公开访问。默认情况下,新的存储桶、访问点和对象不允许公开访问。 价格层级:企业 合规性标准: 此发现结果类别未映射到任何合规性标准控件。 |
确认已在账号级别配置所需的 S3 公开访问屏蔽设置
|
|
发现结果说明: Amazon S3 提供 价格层级:企业 合规性标准:
|
确保 S3 存储桶已配置为使用
|
|
发现结果说明: S3 存储桶访问日志记录会生成一个日志,其中包含对您的 S3 存储桶发出的每个请求的访问记录。访问日志记录包含有关请求的详细信息,例如请求类型、请求中指定的资源以及请求的处理时间和日期。建议在 CloudTrail S3 存储桶中启用存储桶访问日志记录功能。 价格层级:企业 合规性标准:
|
确保已针对 CloudTrail S3 存储桶启用 S3 存储桶访问日志记录功能
|
|
发现结果说明: AWS S3 服务器访问日志记录功能会记录对存储桶的访问请求,这对于安全审计非常有用。默认情况下,S3 存储桶不会启用服务器访问日志记录。 价格层级:企业 合规性标准:
|
检查是否对所有 S3 存储桶启用了日志记录
|
|
发现结果说明: 在 Amazon S3 存储桶级别,您可以通过存储桶政策配置权限,使对象只能通过 HTTPS 访问。 价格层级:企业 合规性标准:
|
确保将 S3 存储桶政策设置为拒绝 HTTP 请求
|
|
发现结果说明: 此控件会检查 Amazon S3 存储桶是否已启用跨区域复制。如果存储桶未启用跨区域复制,或者同时启用了跨区域复制和同一区域复制,则控制失败。 复制是指在同一 AWS 区域或不同 AWS 区域的存储桶之间自动异步复制对象。复制会将新创建的对象和对象更新从源存储桶复制到目标存储桶。AWS 最佳实践建议,对于由同一 AWS 账号拥有的源存储桶和目标存储桶,应进行复制。除了可用性之外,您还应考虑其他系统强化设置。 价格层级:企业 合规性标准:
|
检查是否对 S3 存储桶启用了跨区域复制
|
|
发现结果说明: 此检查会检查您的 S3 存储桶是否已启用 Amazon S3 默认加密,或者 S3 存储桶政策是否明确拒绝未经服务器端加密的 PutObject 请求。 价格层级:企业 合规性标准:
|
确保所有 S3 存储桶都采用了静态加密
|
|
发现结果说明: Amazon S3 是一种将对象的多个变体保存在同一存储桶中的方法,可帮助您更轻松地从意外的用户操作和应用故障中恢复。 价格层级:企业 合规性标准:
|
检查是否对所有 S3 存储桶启用了版本控制
|
|
发现结果说明: 检查是否使用 AWS Key Management Service (AWS KMS) 对 Amazon S3 存储桶进行了加密 价格层级:企业 合规性标准:
|
检查是否使用 KMS 对所有存储桶进行了加密
|
|
发现结果说明: 检查是否为 Amazon SageMaker 笔记本实例配置了 AWS Key Management Service (AWS KMS) 密钥。如果未为 SageMaker 笔记本实例指定“KmsKeyId”,则规则为 NON_COMPLIANT。 价格层级:企业 合规性标准:
|
检查是否所有 SageMaker 笔记本实例都配置为使用 KMS
|
|
发现结果说明: 检查是否禁止 SageMaker 笔记本实例直接访问互联网。为此,它会检查是否已为笔记本实例停用 DirectInternetAccess 字段。 如果您在没有 VPC 的情况下配置 SageMaker 实例,则默认情况下,您的实例会启用直接互联网访问。您应使用 VPC 配置实例,并将默认设置更改为“停用 - 通过 VPC 访问互联网”。 如需通过笔记本训练或托管模型,您需要连接到互联网。如需启用互联网访问权限,请确保您的 VPC 具有 NAT 网关,并且您的安全群组允许出站连接。如需详细了解如何将笔记本实例连接到 VPC 中的资源,请参阅 Amazon SageMaker 开发者指南中的“将笔记本实例连接到 VPC 中的资源”。 您还应确保只有获得授权的用户才能访问您的 SageMaker 配置。限制用户的 IAM 权限,以便他们只能修改 SageMaker 设置和资源。 价格层级:企业 合规性标准:
|
检查是否禁止所有 Amazon SageMaker 笔记本实例直接访问互联网
|
|
发现结果说明: 检查存储在 AWS Secrets Manager 中的密钥是否已配置自动轮替。如果未为 Secret 配置自动轮替,则控制会失败。如果您为 Secret Manager 可帮助您提升组织的安全状况。Secret 包括数据库凭证、密码和第三方 API 密钥。您可以使用 Secret Manager 集中存储密钥、自动加密密钥、控制对密钥的访问权限,以及安全地自动轮替密钥。 Secret Manager 可以轮替密钥。您可以使用轮替功能将长期密钥替换为短期密钥。轮替 Secret 可限制未经授权的用户使用已泄露 Secret 的时间。因此,您应经常轮替密钥。如需详细了解轮替,请参阅《AWS Secrets Manager 用户指南》中的“轮替 AWS Secrets Manager 密钥”。 价格层级:企业 合规性标准:
|
检查是否对所有 AWS Secrets Manager 密钥都启用了轮替
|
|
发现结果说明: 检查 SNS 主题是否使用 AWS KMS 进行了静态加密。如果 SNS 主题不使用 KMS 密钥进行服务器端加密 (SSE),则控制功能会失败。 对静态数据进行加密可降低未经 AWS 身份验证的用户访问存储在磁盘上的数据的风险。它还添加了另一组访问权限控制,以限制未经授权的用户访问数据。例如,需要使用 API 权限才能解密数据,然后才能读取数据。应对 SNS 主题进行静态加密,以增强安全性。 价格层级:企业 合规性标准:
|
检查是否所有 SNS 主题都使用 KMS 进行了加密
|
|
发现结果说明: 此控件会检查 VPC 的默认安全组是否允许入站或出站流量。如果安全群组允许入站或出站流量,则控制失败。 默认安全组的规则允许来自分配到同一安全组的网络接口(及其关联实例)的所有出站和入站流量。我们建议您不要使用默认安全组。由于默认安全组无法删除,因此您应更改默认安全组规则设置,以限制入站和出站流量。这样可以防止意外为 EC2 实例等资源配置默认安全群组时出现意外流量。 价格层级:企业 合规性标准:
|
确保每个 VPC 的默认安全群组对所有流量进行限制
|
|
发现结果说明: VPC 流日志是一项功能,可让您捕获有关进出 VPC 网络接口的 IP 流量的信息。创建数据流日志后,您可以在 Amazon CloudWatch Logs 中查看和检索其数据。建议为 VPC 的“拒绝”数据包启用 VPC 流日志。 价格层级:企业 合规性标准:
|
确保已在所有 VPC 中启用 VPC 流日志记录
|
|
发现结果说明: 此控件会检查 Amazon EC2 安全组是否允许来自未经授权端口的流量不受限制地传入。控制状态的确定方式如下: 如果您使用 authorizedTcpPorts 的默认值,当安全组允许来自 80 和 443 端口以外的任何端口的无限制入站流量时,控制会失败。 如果您为 authorizedTcpPorts 或 authorizedUdpPorts 提供自定义值,则如果安全组允许来自任何未列出的端口的无限制入站流量,则控制会失败。 如果未使用任何参数,则对于具有不受限制的入站流量规则的任何安全群组,控制操作都会失败。 安全群组可对到 AWS 的入站和出站网络流量进行有状态的过滤。安全组规则应遵循最小权限访问原则。不受限制的访问权限(带有 /0 后缀的 IP 地址)会增加黑客攻击、拒绝服务攻击和数据丢失等恶意活动的机会。除非明确允许某个端口,否则该端口应拒绝不受限制的访问。 价格层级:企业 合规性标准:
|
检查任何 VPC 的具有 0.0.0.0/0 的任何安全群组是否仅允许特定的入站 TCP/UDP 流量
|
|
发现结果说明: VPN 隧道是一种加密链接,数据可以在 AWS 站点到站点 VPN 连接中从客户网络传输到 AWS 或从 AWS 传输到客户网络。每个 VPN 连接都包含两个 VPN 隧道,您可以同时使用这两个隧道来实现高可用性。确保两个 VPN 隧道均已启用 VPN 连接对于确认 AWS VPC 与远程网络之间的连接安全且具有高可用性非常重要。 此控件会检查 AWS 站点到站点 VPN 提供的两个 VPN 隧道是否都处于运行状态。如果一个或两个隧道处于 DOWN 状态,则控制失败。 价格层级:企业 合规性标准:
|
确认 AWS 站点到站点 VPN 提供的两个 AWS VPN 隧道都处于运行状态
|
Web Security Scanner 发现结果
Web Security Scanner 自定义和代管式扫描可识别以下发现结果类型。 在标准方案中,Web Security Scanner 支持对公共网址和 IP 不受防火墙保护的已部署应用进行自定义扫描。
| 类别 | 发现结果说明 | 发现结果类别 | OWASP 2017 年排名前 10 | OWASP 2021 年排名前 10 |
|---|---|---|---|---|
|
Git 代码库被公开。如需解决此发现结果,请移除对 Git 代码库的意外公开访问权限。 价格层级:高级方案或标准方案 |
漏洞 | A5 | A01 |
|
SVN 代码库会公开。要解决此发现结果,请移除对 SVN 代码库的意外公开访问权限。 价格层级:高级方案或标准方案 |
漏洞 | A5 | A01 |
|
ENV 文件会公开。要解决此发现结果,请移除对 ENV 文件的意外公开访问权限。 价格层级:高级方案或标准方案 |
漏洞 | A5 | A01 |
|
在 Web 应用中输入的密码可以缓存在常规浏览器的缓存中,而不是安全的密码存储空间中。 价格层级:高级方案 |
漏洞 | A3 | A04 |
|
密码以明文形式传输,可以被拦截。要解决此发现结果,请对通过网络传输的密码进行加密。 价格层级:高级方案或标准方案 |
漏洞 | A3 | A02 |
|
跨站 HTTP 或 HTTPS 端点仅验证 价格层级:高级方案 |
漏洞 | A5 | A01 |
|
跨站 HTTP 或 HTTPS 端点仅验证 价格层级:高级方案 |
漏洞 | A5 | A01 |
|
加载的资源与响应的 Content-Type HTTP 标头不匹配。 如需解决此发现结果,请使用正确的值设置 价格层级:高级方案或标准方案 |
漏洞 | A6 | A05 |
|
安全标头存在语法错误,因此被浏览器忽略。要解决此发现结果,请正确设置 HTTP 安全标头。 价格层级:高级方案或标准方案 |
漏洞 | A6 | A05 |
|
安全标头具有重复的、不匹配的值,这会导致未定义的行为。 要解决此发现结果,请正确设置 HTTP 安全标头。 价格层级:高级方案或标准方案 |
漏洞 | A6 | A05 |
|
安全标头拼写错误并且被忽略。要解决此发现结果,请正确设置 HTTP 安全标头。 价格层级:高级方案或标准方案 |
漏洞 | A6 | A05 |
|
资源是通过 HTTPS 页面上的 HTTP 提供的。要解决此发现结果,请确保所有资源通过 HTTPS 传送。 价格层级:高级方案或标准方案 |
漏洞 | A6 | A05 |
|
检测到有已知漏洞的库。要解决此发现结果,请将库升级到新版本。 价格层级:高级方案或标准方案 |
漏洞 | A9 | A06 |
|
检测到服务器端请求伪造 (SSRF) 漏洞。要解决此发现结果,请使用许可名单限制 Web 应用可以向其发出请求的网域和 IP 地址。 价格层级:高级方案或标准方案 |
漏洞 | 不适用 | A10 |
|
在发出跨网域的请求时,Web 应用的 价格层级:高级方案 |
漏洞 | A2 | A07 |
|
检测到潜在的 SQL 注入漏洞。如需解决此发现结果,请使用参数化查询以防止用户输入影响 SQL 查询的结构。 价格层级:高级方案 |
漏洞 | A1 | A03 |
|
检测到使用易受攻击的 Apache Struts 版本。如需解决此发现结果,请将 Apache Strut 升级到最新版本。 价格层级:高级方案 |
漏洞 | A8 | A08 |
|
此 Web 应用中的字段容易受到跨站脚本 (XSS) 攻击。要解决此发现结果,请验证和转义不受信任的用户提供的数据。 价格层级:高级方案或标准方案 |
漏洞 | A7 | A03 |
|
用户提供的字符串没有转义,并且 AngularJS 可以对其进行插入。要解决此发现结果,请验证和转义 Angular 框架处理的不受信任用户提供的数据。 价格层级:高级方案或标准方案 |
漏洞 | A7 | A03 |
|
此 Web 应用中的字段容易受到跨站脚本攻击。要解决此发现结果,请验证和转义不受信任的用户提供的数据。 价格层级:高级方案或标准方案 |
漏洞 | A7 | A03 |
|
检测到 XML 外部实体 (XXE) 漏洞。此漏洞可能会导致 Web 应用泄露主机上的文件。如需解决此发现结果,请配置 XML 解析器以禁止外部实体。 价格层级:高级方案 |
漏洞 | A4 | A05 |
|
应用容易受到原型污染的影响。如果可以为 价格层级:高级方案或标准方案 |
漏洞 | A1 | A03 |
|
检测到 HTTP 严格传输安全协议 (HSTS) 标头配置错误。如需显著降低 HTTP 连接降级和窃听攻击的风险,请解决配置错误的 HSTS 标头问题。HSTS 标头会强制通过加密通道 (TLS) 进行连接,以使明文 HTTP 连接失败。详细了解 HSTS 标头
价格层级:高级方案 |
配置错误 | 不适用 | 不适用 |
|
检测到缺少内容安全政策 (CSP) HTTP 响应标头。CSP 标头可通过阻止加载不受信任的脚本或插件来缓解常见网络漏洞(尤其是跨站脚本攻击 XSS)的利用。建议使用严格的 CSP 标头。详细了解 CSP 标头
价格层级:高级方案 |
配置错误 | 不适用 | 不适用 |
|
检测到内容安全政策 (CSP) HTTP 响应标头配置错误。CSP 标头可通过阻止加载不受信任的脚本或插件来缓解常见 Web 漏洞(尤其是跨站脚本攻击 XSS)的利用。建议使用严格的 CSP 标头。详细了解 CSP 标头
价格层级:高级方案 |
配置错误 | 不适用 | 不适用 |
|
检测到缺少 Cross-Origin-Opener-Policy (COOP) HTTP 标头。COOP 是一种网络安全机制,可限制在新窗口中打开的网页访问其源网页中的媒体资源。COOP 可提供一层强大的保护,以防范常见的网络攻击。
价格层级:高级方案 |
配置错误 | 不适用 | 不适用 |
|
检测到缺少响应标头。如需防止点击劫持,请实现
价格层级:高级方案 |
配置错误 | 不适用 | 不适用 |
Notebook Security Scanner 发现结果
笔记本安全扫描器可检测与 Colab Enterprise 笔记本中使用的 Python 软件包相关的漏洞,并将其发布到软件包漏洞类别中。
软件包漏洞发现结果会显示存在已知漏洞的软件包版本的详细信息。Python 软件包的指定版本可能存在多个软件包漏洞发现结果,每个结果都对应于不同的已知漏洞。
如需解决软件包漏洞发现结果,您需要使用发现结果的后续步骤部分中建议的其他版本的软件包。
如需了解详情,请参阅启用和使用 Notebook Security Scanner。
IAM Recommender 发现结果
下表列出了 IAM Recommender 生成的 Security Command Center 发现结果。
每个 IAM Recommender 发现结果都包含特定的建议,用于在Google Cloud 环境中移除或替换主账号中包含过多权限的角色。
IAM Recommender 生成的发现结果与 Google Cloud 控制台中受影响项目、文件夹或组织的 IAM 页面上显示的建议相对应。
如需详细了解如何将 IAM Recommender 与 Security Command Center 集成,请参阅安全来源。
| 检测器 | 摘要 |
|---|---|
|
发现结果说明:IAM Recommender 检测到一个服务账号,其包含会向用户账号授予过多权限的一个或多个 IAM 角色。 价格层级:高级 支持的资产:
修正此发现结果 : 使用 IAM Recommender 按照以下步骤应用此发现结果的建议修复方法:
问题解决后,IAM Recommender 会在 10 天内将发现结果状态更新为 |
|
发现结果说明:IAM Recommender 检测到授予服务代理的原始默认 IAM 角色被替换为基本 IAM 角色之一:Owner、Editor 或 Viewer。基本角色是权限过多的旧角色,不应授予服务代理。 价格层级:高级 支持的资产:
修正此发现结果 : 使用 IAM Recommender 按照以下步骤应用此发现结果的建议修复方法:
问题解决后,IAM Recommender 会在 10 天内将发现结果状态更新为 |
|
发现结果说明:IAM Recommender 检测到为服务代理授予下列基本 IAM 角色之一:Owner、Editor 或 Viewer。 基本角色是权限过多的旧角色,不应授予服务代理。 价格层级:高级 支持的资产:
修正此发现结果 : 使用 IAM Recommender 按照以下步骤应用此发现结果的建议修复方法:
问题解决后,IAM Recommender 会在 10 天内将发现结果状态更新为 |
|
发现结果说明:IAM Recommender 检测到一个用户账号,其具有在过去 90 天内未使用过的 IAM 角色。 价格层级:高级 支持的资产:
修正此发现结果 : 使用 IAM Recommender 按照以下步骤应用此发现结果的建议修复方法:
问题解决后,IAM Recommender 会在 10 天内将发现结果状态更新为 |
CIEM 调查结果
下表列出了由 Cloud Infrastructure Entitlement Management (CIEM) 生成的 Security Command Center 身份和访问权限发现结果。
CIEM 发现结果包含有关移除或替换与您的 AWS 环境中的假定身份、用户或群组关联的高度宽松的 AWS IAM 政策的具体建议。
如需详细了解 CIEM,请参阅云基础设施授权管理概览。
| 检测器 | 摘要 |
|---|---|
|
发现结果说明:在您的 AWS 环境中,CIEM 检测到一个假定 IAM 角色,该角色具有一个或多个高度宽松的政策,这些政策违反了最小权限原则,并增加了安全风险。此发现结果基于最近 83 到 90 天的最新使用日志。 价格层级:企业 修正此发现结果 : 根据发现的问题,使用 AWS 管理控制台执行以下修复任务之一:
如需了解具体修复步骤,请参阅相应发现的详细信息。 |
|
发现结果说明:在您的 AWS 环境中,CIEM 检测到一个 AWS IAM 或 AWS IAM Identity Center 组,该组包含一个或多个权限过大的政策,这些政策违反了最小权限原则,并增加了安全风险。此发现结果基于最近 83 到 90 天的最新使用日志。 价格层级:企业 修正此发现结果 : 根据发现的问题,使用 AWS 管理控制台执行以下修复任务之一:
如需了解具体修复步骤,请参阅相应发现的详细信息。 |
|
发现结果说明:在您的 AWS 环境中,CIEM 检测到 AWS IAM 或 AWS IAM Identity Center 用户拥有一个或多个权限过大的政策,这些政策违反了最小特权原则,并增加了安全风险。此发现结果基于最近 83 到 90 天的最新使用日志。 价格层级:企业 修正此发现结果 : 根据发现的问题,使用 AWS 管理控制台执行以下修复任务之一:
如需了解具体修复步骤,请参阅相应发现的详细信息。 |
|
发现结果说明:在您的 AWS 环境中,CIEM 检测到一个 AWS IAM 或 AWS IAM Identity Center 用户处于非活跃状态,但拥有一个或多个权限。这违反了最小权限原则,并会增加安全风险。此发现结果基于最近 83 到 90 天的最新使用日志。 价格层级:企业 修正此发现结果 : 根据发现的问题,使用 AWS 管理控制台执行以下修复任务之一:
如需了解具体修复步骤,请参阅相应发现的详细信息。 |
|
发现结果说明:在您的 AWS 环境中,CIEM 检测到一个 AWS IAM 或 AWS IAM Identity Center 组处于非活跃状态,但具有一个或多个权限。这违反了最小权限原则,并会增加安全风险。此发现结果基于最近 83 到 90 天的最新使用日志。 价格层级:企业 修正此发现结果 : 根据发现的问题,使用 AWS 管理控制台执行以下修复任务之一:
如需了解具体修复步骤,请参阅相应发现的详细信息。 |
|
发现结果说明:在您的 AWS 环境中,CIEM 检测到一个处于非活跃状态且具有一项或多项权限的假定 IAM 角色。这违反了最小权限原则,并会增加安全风险。此发现结果基于最近 83 到 90 天的最新使用日志。 价格层级:企业 修正此发现结果 : 根据发现的问题,使用 AWS 管理控制台执行以下修复任务之一:
如需了解具体修复步骤,请参阅相应发现的详细信息。 |
|
发现结果问题说明:在您的 AWS 环境中,CIEM 检测到对 AWS IAM 角色强制执行的过于宽松的信任政策,该政策违反了最小权限原则,并增加了安全风险。此发现结果基于最近 83 到 90 天的最新使用日志。 价格层级:企业 修正此发现结果 : 使用 AWS 管理控制台修改对 AWS IAM 角色强制执行的信任政策中的权限,以遵循最小权限原则。 如需了解具体修复步骤,请参阅相应发现的详细信息。 |
|
发现结果说明:在您的 AWS 环境中,CIEM 检测到一个或多个身份可以通过模拟横向移动。此发现结果基于最近 83 到 90 天的最新使用日志。 价格层级:企业 修正此发现结果 : 使用 AWS Management Console 移除附加到允许横向移动的身份的政策。 如需了解具体修复步骤,请参阅相应发现的详细信息。 |
安全状况服务发现结果
本部分列出了安全状况服务生成的 Security Command Center 发现结果。
安全状况服务会生成以下一系列的发现类别:
偏离已部署的安全状况
下表列出了安全状况发现结果,这些发现结果可识别与您定义的安全状况不符的情况。
| 发现结果 | 摘要 |
|---|---|
|
发现结果说明:安全状况服务检测到 Security Health Analytics 检测器发生了变更,而该变更发生在状况更新之外。 价格层级:高级
修正此发现结果 : 此发现结果要求您接受或撤消更改,以便您的状况和环境中的检测器设置匹配。您可以通过以下两种方式解决此发现结果:更新 Security Health Analytics 检测器,或者更新状况和状况部署。 如需还原更改,请在 Google Cloud 控制台中更新 Security Health Analytics 检测器。 如需了解相关说明,请参阅启用和停用检测器。 如需接受更改,请完成以下操作:
|
|
发现结果说明:安全状况服务检测到 Security Health Analytics 自定义模块发生了变更,而该变更发生在状况更新之外。 价格层级:高级 修正此发现结果 : 此发现结果要求您接受或还原更改,以便您的状况和环境中的自定义模块设置匹配。您可以通过以下两种方式解决此发现结果:更新 Security Health Analytics 自定义模块,或者更新状况和状况部署。 如需还原更改,请在 Google Cloud 控制台中更新 Security Health Analytics 自定义模块。如需了解相关说明,请参阅更新自定义模块。 如需接受更改,请完成以下操作:
|
|
发现结果说明:安全状况服务检测到 Security Health Analytics 自定义模块已删除。此删除操作发生在状况更新之外。 价格层级:高级 修正此发现结果 : 此发现结果要求您接受或还原更改,以便您的状况和环境中的自定义模块设置匹配。您可以通过以下两种方式解决此发现结果:更新 Security Health Analytics 自定义模块,或者更新状况和状况部署。 如需还原更改,请在 Google Cloud 控制台中更新 Security Health Analytics 自定义模块。如需了解相关说明,请参阅更新自定义模块。 如需接受更改,请完成以下操作:
|
|
发现结果说明:安全状况服务检测到组织政策发生了变更,而该变更发生在状况更新之外。 价格层级:高级 修正此发现结果 : 此发现结果要求您接受或撤消更改,以便您的状况和环境中的组织政策定义保持一致。您可以通过以下两种方式解决此发现结果:更新组织政策,或者更新状况和状况部署。 如需还原更改,请在 Google Cloud 控制台中更新组织政策。如需了解相关说明,请参阅创建和修改政策。 如需接受更改,请完成以下操作:
|
|
发现结果说明:安全状况服务检测到某个组织政策已删除。此删除操作发生在状况更新之外。 价格层级:高级 修正此发现结果 : 此发现结果要求您接受或撤消更改,以便您的状况和环境中的组织政策定义保持一致。您可以通过以下两种方式解决此发现结果:更新组织政策,或者更新状况和状况部署。 如需还原更改,请在 Google Cloud 控制台中更新组织政策。如需了解相关说明,请参阅创建和修改政策。 如需接受更改,请完成以下操作:
|
|
发现结果说明:安全状况服务检测到自定义组织政策发生了变更,但该变更并非在状况更新之外发生。 价格层级:高级 修正此发现结果 : 此发现结果要求您接受或还原更改,以便您的状况和环境中的自定义组织政策定义匹配。您可以通过以下两种方式解决此发现结果:更新自定义组织政策,或者更新状况和状况部署。 如需还原更改,请在 Google Cloud 控制台中更新自定义组织政策。如需了解相关说明,请参阅更新自定义限制条件。 如需接受更改,请完成以下操作:
|
|
发现结果说明:安全状况服务检测到自定义组织政策已删除。此删除操作发生在状况更新之外。 价格层级:高级 修正此发现结果 : 此发现结果要求您接受或还原更改,以便您的状况和环境中的自定义组织政策定义匹配。您可以通过以下两种方式解决此发现结果:更新自定义组织政策,或者更新状况和状况部署。 如需还原更改,请在 Google Cloud 控制台中更新自定义组织政策。如需了解相关说明,请参阅更新自定义限制条件。 如需接受更改,请完成以下操作:
|
资源违反已部署的安全状况
安全状况服务和 Security Health Analytics 会生成以下发现结果,以便识别违反您定义的安全状况的资源实例。
| 发现结果 | 摘要 |
|---|---|
|
发现结果说明:安全状况服务检测到子网已启用外部 IPv6 地址。 价格层级:高级方案 修正此发现结果 : 您可以通过以下两种方式解决此发现:删除违规资源,或者更新态势并重新部署态势。 如需删除资源,请完成以下步骤:
如果您想让资源保持在相同的配置中,则需要更新态势。如需更新姿态,请完成以下步骤:
|
|
发现结果说明:安全状况服务检测到子网已启用内部 IPv6 地址。 价格层级:高级方案 修正此发现结果 : 您可以通过以下两种方式解决此发现:删除违规资源,或者更新态势并重新部署态势。 如需删除资源,请完成以下步骤:
如果您想让资源保持在相同的配置中,则需要更新态势。如需更新姿态,请完成以下步骤:
|
|
发现结果说明:安全状况服务检测到虚拟机实例中已停用 OS Login。 价格层级:高级方案 修正此发现结果 : 您可以通过以下两种方式解决此问题:更新违规资源,或者更新态势并重新部署态势。 如需更新资源,请完成以下步骤:
如果您想让资源保持在相同的配置中,则需要更新态势。如需更新姿态,请完成以下步骤:
|
|
发现结果说明:安全状况服务检测到已向 SQL 实例添加授权网络。 价格层级:高级方案 修正此发现结果 : 此发现结果要求您修正违规行为或更新安全状况。您可以通过以下两种方式解决此问题:更新违规资源,或者更新态势并重新部署态势。 如需更新资源,请完成以下步骤:
如果您想让资源保持在相同的配置中,则需要更新态势。如需更新姿态,请完成以下步骤:
|
|
发现结果说明:安全状况服务检测到未为 Cloud Run 函数实例启用 VPC 连接器。 价格层级:高级方案 修正此发现结果 : 您可以通过以下两种方式解决此问题:更新违规资源,或者更新态势并重新部署态势。 如需更新资源,请完成以下步骤:
如果您想让资源保持在相同的配置中,则需要更新态势。如需更新姿态,请完成以下步骤:
|
|
发现结果说明:安全状况服务检测到已启用对虚拟机实例的串行端口访问。 价格层级:高级方案 修正此发现结果 : 您可以通过以下两种方式解决此问题:更新违规资源,或者更新态势并重新部署态势。 如需更新资源,请完成以下步骤:
如果您想让资源保持在相同的配置中,则需要更新态势。如需更新姿态,请完成以下步骤:
|
|
发现结果说明:安全状况服务检测到已创建默认网络。 价格层级:高级方案 修正此发现结果 : 您可以通过以下两种方式解决此发现:删除违规资源,或者更新态势并重新部署态势。 如需删除资源,请完成以下步骤:
如果您想让资源保持在相同的配置中,则需要更新态势。如需更新姿态,请完成以下步骤:
|
|
发现结果说明:安全状况服务检测到某个 Cloud Run 服务不符合指定的入口设置。 价格层级:高级方案 修正此发现结果 : 您可以通过以下两种方式解决此问题:更新违规资源,或者更新态势并重新部署态势。 如需更新资源,请完成以下步骤:
如果您想让资源保持在相同的配置中,则需要更新态势。如需更新姿态,请完成以下步骤:
|
|
发现结果说明:安全状况服务检测到存储桶级访问权限是精细的,而不是统一的。 价格层级:高级方案 修正此发现结果 : 您可以通过以下两种方式解决此问题:更新违规资源,或者更新态势并重新部署态势。 如需更新资源,请完成以下步骤:
如果您想让资源保持在相同的配置中,则需要更新态势。如需更新姿态,请完成以下步骤:
|
|
发现结果说明:安全状况服务检测到某个 Cloud Run 服务不符合指定的出站设置。 价格层级:高级方案 修正此发现结果 : 您可以通过以下两种方式解决此问题:更新违规资源,或者更新态势并重新部署态势。 如需更新资源,请完成以下步骤:
如果您想让资源保持在相同的配置中,则需要更新态势。如需更新姿态,请完成以下步骤:
|
Model Armor
Model Armor 是一项全托管式 Google Cloud 服务,可通过过滤 LLM 提示和响应中的各种安全和保障风险来增强 AI 应用的安全性和保障性。
Model Armor 发现结果
下表列出了 Model Armor 生成的 Security Command Center 发现结果。
| 发现结果 | 摘要 |
|---|---|
|
发现结果说明:当 Model Armor 模板未达到资源层次结构下限设置定义的最低安全标准时,就会发生下限设置违规。 价格层级:高级
此问题需要您更新 Model Armor 模板,使其符合在资源层次结构中定义的下限设置。 |
在 Google Cloud 控制台中查看发现结果
- 在 Google Cloud 控制台中,前往 Security Command Center 的发现结果页面。
- 选择您的 Google Cloud 项目或组织。
- 在快速过滤条件部分的来源显示名称子部分中,选择 Model Armor。发现结果的查询结果会更新为仅显示此来源的发现结果。
- 如需查看特定发现结果的详情,请点击类别列中的发现结果名称。系统会打开发现结果的详细信息面板,并显示摘要标签页。
- 在摘要标签页上,查看有关发现结果的详细信息,包括有关检测到的内容、受影响的资源以及您可以采取的修复发现结果的步骤。
- 可选:如需查看发现结果的完整 JSON 定义,请点击 JSON 标签页。
针对 Model Armor 发现结果采取补救措施
FLOOR_SETTINGS_VIOLATION 结果表明,Model Armor 模板未达到资源层次结构下限设置定义的最低安全标准。
如需修复此发现结果,请执行以下操作:
- 在 Google Cloud 控制台中,前往模型防护页面。
- 确认您正在查看的是已启用模型防护的项目。系统会显示“Model Armor”页面,其中列出了为您的项目创建的模板。
- 点击要修改的模板。
- 根据在资源层次结构中定义的楼层设置修改模板。
- 点击保存。
虚拟机管理器
虚拟机管理器是一套工具,可用于管理在 Compute Engine 上运行 Windows 和 Linux 的大型虚拟机舰队的操作系统。
如果您在组织级层中使用 Security Command Center 高级方案启用虚拟机管理器,则虚拟机管理器会将其漏洞报告(预览版)的发现结果写入 Security Command Center。这些报告可识别虚拟机上安装的操作系统中的漏洞,包括常见漏洞和披露 (CVE)。
如需将虚拟机管理器与 Security Command Center 高级方案的项目级激活搭配使用,请在父级组织中激活 Security Command Center 标准方案。
Security Command Center 标准方案不提供漏洞报告。
发现结果可以简化使用虚拟机管理器的补丁程序合规性功能(预览版)的过程。通过此功能,您可以在组织级层为所有项目执行补丁程序管理。
从虚拟机管理器收到的漏洞发现结果严重级别始终为 CRITICAL 或 HIGH。
虚拟机管理器发现结果
此类漏洞均与受支持的 Compute Engine 虚拟机中已安装的操作系统软件包相关。
| 检测器 | 摘要 | 资源扫描设置 |
|---|---|---|
|
发现结果说明:虚拟机管理器在 Compute Engine 虚拟机的安装操作系统 (OS) 软件包中检测到漏洞。 价格层级:高级 支持的资源 |
虚拟机管理器漏洞报告详细介绍 Compute Engine 虚拟机已安装的操作系统软件包中的漏洞,包括常见漏洞和披露 (CVE)。 如需查看受支持的操作系统的完整列表,请参阅操作系统详细信息。 发现漏洞后,系统会立即在 Security Command Center 中显示发现结果。 系统会按以下方式在虚拟机管理器中生成漏洞报告:
|
在控制台中查看调查结果
标准或优质
- 在 Google Cloud 控制台中,前往 Security Command Center 的发现结果页面。
- 选择您的 Google Cloud 项目或组织。
- 在快速过滤条件部分的来源显示名称子部分中,选择 虚拟机管理器。发现结果查询结果已更新,仅显示来自此来源的发现结果。
- 如需查看特定发现结果的详细信息,请点击类别列中的发现结果名称。 系统会打开发现结果的详细信息面板,并显示摘要标签页。
- 在摘要标签页上,查看发现结果的详细信息,包括有关检测到的内容、受影响的资源的信息,以及您可以采取的修复该发现结果的步骤(如果有)。
- 可选:如需查看发现结果的完整 JSON 定义,请点击 JSON 标签页。
企业
- 在 Google Cloud 控制台中,前往 Security Command Center 的发现结果页面。
- 选择您的 Google Cloud 组织。
- 在汇总部分中,点击以展开来源显示名称子部分。
- 选择虚拟机管理器。发现结果查询结果已更新,仅显示来自此来源的发现结果。
- 如需查看特定发现结果的详情,请点击类别列中的发现结果名称。 系统会打开发现结果的详细信息面板,并显示摘要标签页。
- 在摘要标签页上,查看发现结果的详细信息,包括有关检测到的内容、受影响的资源的信息,以及您可以采取的修复该发现结果的步骤(如果有)。
- 可选:如需查看发现结果的完整 JSON 定义,请点击 JSON 标签页。
修复虚拟机管理器发现结果
OS_VULNERABILITY 发现结果表示虚拟机管理器在 Compute Engine 虚拟机中安装的操作系统软件包中发现了漏洞。
如需修复此发现结果,请执行以下操作:
复制
externalUri字段的值。此值是安装了有漏洞的操作系统的 Compute Engine 虚拟机实例的操作系统信息页面的 URI。应用基本信息部分中显示的操作系统的所有相应补丁程序。如需了解如何部署补丁,请参阅创建补丁作业。
了解此发现结果类型支持的资产和扫描设置。
忽略虚拟机管理器发现的结果
如果发现结果与您的安全要求无关,您可能需要在 Security Command Center 中隐藏部分或所有虚拟机管理器发现结果。
您可以通过创建屏蔽规则并添加与您要隐藏的虚拟机管理器结果相关的查询属性来隐藏虚拟机管理器发现结果。
如需了解如何创建忽略规则,请参阅创建忽略规则。
例如,如果您想在虚拟机管理器漏洞发现结果中隐藏特定 CVE ID,请依次选择漏洞 > CVE ID,然后选择要隐藏的 CVE ID。
静音规则的查找查询字段类似于以下内容:
parent_display_name="VM Manager"
AND vulnerability.cv.id="CVE-2025-26923" OR vulnerability.cve.id="CVE-2025-27635"
Artifact Registry 漏洞评估结果
下表列出了会提醒您在容器映像中检测到潜在漏洞的结果。这些发现仅针对存储在 Artifact Registry 中并部署到以下某项资产的易受攻击的容器映像生成:
- Google Kubernetes Engine 集群
- Cloud Run 服务
- Cloud Run 作业
- App Engine
这些发现结果会被归类为 HIGH 或 CRITICAL 严重程度。
如需了解如何在 Google Cloud 控制台中启用、停用和查看 Artifact Registry 漏洞评估发现结果,请参阅 Artifact Registry 漏洞评估检测服务。
| 检测器 | 摘要 |
|---|---|
|
API 中的类别名称: |
发现结果说明:在 Artifact Registry 中扫描的容器映像中检测到漏洞。此图片会部署到以下资产之一:
价格层级:标准、高级或 Enterprise 修正此发现结果 : 根据运行时资源类型,执行以下操作:
如需了解具体修复步骤,请参阅发现结果的详细信息,并根据相应的运行时资源进行操作。 对于标准层级客户,不支持使用 Cloud Asset Inventory 的资产查询功能来确定存在漏洞的容器映像的部署位置。建议您升级到高级方案或 Enterprise 方案,以获取更详细的信息。 |
敏感数据保护
本部分介绍 Sensitive Data Protection 生成的漏洞发现结果、它们支持的合规性标准以及如何修复发现结果。
Sensitive Data Protection 还会将观察结果发送到 Security Command Center。如需详细了解观察结果和 Sensitive Data Protection,请参阅 Sensitive Data Protection。
如需了解如何查看发现结果,请参阅在 Google Cloud 控制台中查看 Sensitive Data Protection 发现结果。
Sensitive Data Protection 发现结果的漏洞
Sensitive Data Protection 发现服务可帮助您确定自己是否存储了未受保护的高度敏感数据。
| 类别 | 摘要 |
|---|---|
|
发现结果说明:指定的资源包含高敏感度数据,所有互联网用户都可以访问。 支持的资产:
修复: 对于 Google Cloud 数据,请从数据资产的 IAM 政策中移除 对于 Amazon S3 数据,请配置“禁止公开访问”设置或更新对象的 ACL 以拒绝公开读取权限。如需了解详情,请参阅 AWS 文档中的为 S3 存储桶配置“禁止公开访问”设置和配置 ACL。 对于 Azure Blob Storage 数据,请移除对容器和 Blob 的公开访问权限。如需了解详情,请参阅 Azure 文档中的概览:修复 blob 数据的匿名读取访问权限。 合规性标准:未映射 |
|
发现结果说明:环境变量中存在 Secret(例如密码、身份验证令牌和 Google Cloud 凭证)。 如需启用此检测器,请参阅 Sensitive Data Protection 文档中的向 Security Command Center 报告环境变量中的 Secret。 支持的资源: 修复: 对于 Cloud Run functions 环境变量,请从环境变量中移除 Secret,并改为将其存储在 Secret Manager 中。 对于 Cloud Run 服务修订版本环境变量,请将所有流量从修订版本中移出,然后删除该修订版本。 合规性标准:
|
|
发现结果说明:指定资源中存在 Secret(例如密码、身份验证令牌和云凭证)。 支持的资产:
修复:
合规性标准:未映射 |
Sensitive Data Protection 发现结果的配置错误
Sensitive Data Protection 发现服务可帮助您确定是否存在可能泄露敏感数据的错误配置。
| 类别 | 摘要 |
|---|---|
|
发现结果说明:指定的资源包含高敏感度或中敏感度数据,但未使用客户管理的加密密钥 (CMEK)。 支持的资产:
修复:
合规性标准:未映射 |
Policy Controller
Policy Controller 支持为注册为舰队成员的 Kubernetes 集群应用并强制执行可编程政策。这些政策可充当“安全措施”,有助于实现集群和舰队的最佳实践、安全性和合规性管理。
本页面未列出所有 Policy Controller 发现结果,但有关 Policy Controller 写入 Security Command Center 的 Misconfiguration 类发现结果的信息与为每个 Policy Controller 包记录的集群违规行为相同。各个 Policy Controller 发现结果类型的文档位于以下政策控制器包中:
CIS Kubernetes 基准 v1.5.1:一组用于配置 Kubernetes 以支持可靠的安全状况的建议。您还可以在
cis-k8s-v1.5.1的 GitHub 代码库中查看有关此包的信息。PCI-DSS v3.2.1:根据支付卡行业数据安全标准 (PCI-DSS) v3.2.1 的某些方面评估集群资源合规性的一个包。您还可以在
pci-dss-v3的 GitHub 代码库中查看有关此包的信息。
此功能与 Stackdriver API 周围的 VPC Service Controls 服务边界不兼容。
查找并修复 Policy Controller 发现结果
Policy Controller 类别对应于 Policy Controller 包文档中列出的限制条件名称。例如,require-namespace-network-policies 发现结果表明命名空间违反了集群中的每个命名空间都具有 NetworkPolicy 的政策。
如需修复发现结果,请执行以下操作:
标准或优质
- 在 Google Cloud 控制台中,前往 Security Command Center 的发现结果页面。
- 选择您的 Google Cloud 项目或组织。
- 在快速过滤条件部分的来源显示名称子部分中,选择集群上的 Policy Controller。发现结果查询结果已更新,仅显示来自此来源的发现结果。
- 如需查看特定发现结果的详细信息,请点击类别列中的发现结果名称。 系统会打开发现结果的详细信息面板,并显示摘要标签页。
- 在摘要标签页上,查看发现结果的详细信息,包括有关检测到的内容、受影响的资源的信息,以及您可以采取的修复该发现结果的步骤(如果有)。
- 可选:如需查看发现结果的完整 JSON 定义,请点击 JSON 标签页。
企业
- 在 Google Cloud 控制台中,前往 Security Command Center 的发现结果页面。
- 选择您的 Google Cloud 组织。
- 在汇总部分中,点击以展开来源显示名称子部分。
- 选择 Policy Controller On-Cluster。发现结果查询结果已更新,仅显示来自此来源的发现结果。
- 如需查看特定发现结果的详情,请点击类别列中的发现结果名称。 系统会打开发现结果的详细信息面板,并显示摘要标签页。
- 在摘要标签页上,查看发现结果的详细信息,包括有关检测到的内容、受影响的资源的信息,以及您可以采取的修复该发现结果的步骤(如果有)。
- 可选:如需查看发现结果的完整 JSON 定义,请点击 JSON 标签页。