Security Health Analytics 和 Web Security Scanner 偵測工具會產生安全漏洞發現項目,並顯示在 Security Command Center 中。在 Security Command Center 中啟用後,VM 管理員等整合服務也會產生安全漏洞發現項目。
您能否查看及編輯調查結果,取決於您獲派的身分與存取權管理 (IAM) 角色和權限。如要進一步瞭解 Security Command Center 中的 IAM 角色,請參閱存取權控管。
偵測工具和法規遵循
Security Command Center 會監控您是否符合各種安全標準的控制項,並將偵測工具對應至這些控制項。
針對每個支援的安全性標準,Security Command Center 會檢查部分控制項。Security Command Center 會顯示通過檢查的控制項數量。對於未通過的控制項,Security Command Center 會顯示說明控制項失敗的發現項目清單。
CIS 會審查並認證 Security Command Center 偵測工具與各個支援版本的 CIS Google Cloud 基礎基準的對應關係。僅供參考的其他法規遵循對應。
Security Command Center 會定期新增對新基準版本和標準的支援。舊版仍會受到支援,但最終會遭到淘汰。建議您使用支援的最新基準或標準。
透過安全性狀態服務,您可以將機構政策和安全性狀態分析偵測器,對應至適用於貴商家的標準和控制項。建立安全狀態後,您可以監控環境中的任何變更,以免影響貴商家的法規遵循狀態。
如要進一步瞭解如何管理法規遵循情形,請參閱「評估及回報安全性標準的法規遵循情形」。
支援的安全標準
Google Cloud
Security Command Center 會將偵測工具對應至下列一或多項法規遵循標準: Google Cloud
- 資訊安全中心 (CIS) Controls 8.0
- CIS Google Cloud 運算基礎基準 2.0.0 版、1.3.0 版、1.2.0 版、1.1.0 版和 1.0.0 版
- CIS Kubernetes 基準政策 v1.5.1
- Cloud Controls Matrix (CCM) 4
- 健康保險流通與責任法案 (HIPAA)
- 國際標準化組織 (ISO) 27001 (2022 年和 2013 年版)
- 國家標準暨技術研究院 (NIST) 800-53 R5 和 R4
- 美國國家標準暨技術研究院 (NIST) 網路安全架構 (CSF) 1.0 版
- 開放式網頁應用程式安全計畫 (OWASP) 前十大漏洞,2021 年和 2017 年
- 支付卡產業資料安全標準 (PCI DSS) 4.0 和 3.2.1
- 系統與機構控管 (SOC) 2 2017 年信任服務標準 (TSC)
AWS
Security Command Center 會將 Amazon Web Services (AWS) 的偵測工具對應至下列一或多項法規遵循標準:
如需查看及匯出法規遵循報告的操作說明,請參閱「評估及報告安全標準的法規遵循情形」。
補救後找出停用項目
修正安全漏洞或錯誤設定後,偵測到該項目的 Security Command Center 服務會在下次掃描時,自動將該項目的狀態設為 INACTIVE。Security Command Center 需要多久時間才能將已修正的發現項目設為 INACTIVE,取決於偵測到該發現項目的掃描排程。
如果掃描作業偵測到受發現項目影響的資源已刪除,Security Command Center 服務也會將安全漏洞或設定錯誤發現項目的狀態設為 INACTIVE。
如要進一步瞭解掃描間隔,請參閱下列主題:
安全性狀態分析發現項目
安全狀態分析偵測器會監控 Cloud Asset Inventory (CAI) 中的部分資源,並在資源和 Identity and Access Management (IAM) 政策變更時傳送通知。部分偵測器會直接呼叫 Google Cloud API 來擷取資料,如本頁稍後的表格所示。
如要進一步瞭解安全狀態分析、掃描時間表,以及安全狀態分析對內建和自訂模組偵測器的支援,請參閱「安全狀態分析總覽」。
下表說明安全性狀態分析偵測器、支援的資產和法規遵循標準、掃描使用的設定,以及產生的發現項目類型。您可以在 Google Cloud 控制台的下列頁面,依各種屬性篩選結果:
- 在 Standard 和 Premium 方案中,為「安全漏洞」頁面。
- 在 Enterprise 方案中,前往「風險」>「總覽」頁面。 選取「CVE 漏洞」檢視畫面。
如需修正發現項目和保護資源的操作說明,請參閱「修正安全性狀態分析發現項目」。
API 金鑰安全漏洞發現項目
API_KEY_SCANNER 偵測器會找出雲端部署項目中使用的 API 金鑰相關安全漏洞。
| 偵測工具 | 摘要 | 資產掃描設定 |
|---|---|---|
|
發現說明: API 金鑰的使用範圍過於廣泛。如要解決這個問題,請限制 API 金鑰的使用範圍,只允許應用程式需要的 API。 價格方案: 進階級
支援的資產 法規遵循標準:
|
擷取專案中所有 API 金鑰的
|
|
發現說明: API 金鑰的使用方式不受限制,因此任何不受信任的應用程式都能使用。 價格方案: 進階級
支援的素材資源 法規遵循標準:
|
擷取專案中所有 API 金鑰的
|
|
發現說明: 專案使用 API 金鑰,而非標準驗證。 價格方案: 進階級
支援的素材資源 法規遵循標準:
|
擷取專案擁有的所有 API 金鑰。
|
|
發現說明: API 金鑰已超過 90 天未輪替。 價格方案: 進階
支援的素材資源 法規遵循標準:
|
擷取所有 API 金鑰
|
Cloud Asset Inventory 漏洞發現
這類偵測器發現的所有安全漏洞都與 Cloud Asset Inventory 設定有關,且屬於 CLOUD_ASSET_SCANNER 類型。
| 偵測工具 | 摘要 | 資產掃描設定 |
|---|---|---|
|
發現項目說明: Cloud Asset Inventory 擷取的 Google Cloud 資源和 IAM 政策,可讓您分析安全性、追蹤資源變更,以及稽核法規遵循情況。建議您為所有專案啟用 Cloud Asset Inventory 服務。 如要啟用這項偵測器,必須進行額外設定。如需操作說明,請參閱「 啟用及停用偵測器」。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查是否已啟用 Cloud Asset Inventory 服務。
|
儲存空間安全漏洞發現項目
這類偵測器發現的所有安全漏洞都與 Cloud Storage 儲存空間設定有關,且屬於STORAGE_SCANNER類型。
| 偵測工具 | 摘要 | 資產掃描設定 |
|---|---|---|
|
發現說明:bucket 未使用客戶自行管理的加密金鑰 (CMEK) 加密。如要啟用這項偵測器,必須進行額外設定。如需操作說明,請參閱「 啟用及停用偵測器」。 價格方案: 進階
支援的資產 法規遵循標準: 這個發現項目類別未對應至任何法規遵循標準控制項。 |
檢查 bucket 中繼資料中的
|
|
發現項目說明: 未設定統一值區層級存取權 (先前稱為「僅限值區政策」)。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查值區的
|
|
發現說明: Cloud Storage bucket 可公開存取。 價格層級: 進階或標準
支援的資產 法規遵循標準:
|
檢查值區的 IAM 允許政策是否包含公開角色、
|
|
發現說明: 做為記錄檔接收器的儲存空間 bucket 可公開存取。 這個發現項目不適用於專案層級的啟用作業。 價格層級: 進階或標準
支援的資產 法規遵循標準:
|
檢查值區的 IAM 允許政策,確認主體
|
運算映像檔安全漏洞發現項目
COMPUTE_IMAGE_SCANNER 偵測器會找出與映像檔設定相關的安全漏洞。Google Cloud
| 偵測工具 | 摘要 | 資產掃描設定 |
|---|---|---|
|
發現說明: Compute Engine 映像檔可公開存取。 價格層級: 進階或標準
支援的素材資源 法規遵循標準: 這個發現項目類別未對應至任何法規遵循標準控制項。 |
檢查資源中繼資料的 IAM 允許政策,找出授予公開存取權的主體
|
運算執行個體安全漏洞發現項目
COMPUTE_INSTANCE_SCANNER 偵測器會找出與 Compute Engine 執行個體設定相關的安全漏洞。
COMPUTE_INSTANCE_SCANNER 偵測器不會回報 GKE 建立的 Compute Engine 執行個體相關發現。這類執行個體的名稱開頭為「gke-」,使用者無法編輯。如要保護這些執行個體,請參閱「容器安全漏洞發現」一節。
| 偵測工具 | 摘要 | 資產掃描設定 |
|---|---|---|
|
發現項目說明: Compute Engine 執行個體已停用機密運算。 價格方案: 進階
支援的素材資源 法規遵循標準:
|
檢查執行個體中繼資料的
|
|
發現說明: 使用全專案 SSH 金鑰,可登入專案中的所有執行個體。 價格方案: 進階
支援的素材資源 法規遵循標準:
|
檢查執行個體中繼資料中的
|
|
發現項目說明: 這個受防護的 VM 未啟用安全啟動功能。使用安全啟動功能,有助於保護虛擬機器執行個體免於 Rootkit 和 Bootkit 等進階威脅。 價格方案: 進階 支援的資產 法規遵循標準: 這個發現項目類別未對應至任何法規遵循標準控制項。 |
檢查 Compute Engine 執行個體上的
|
|
尋找說明: 執行個體已啟用序列埠,因此可以連線至執行個體的序列主控台。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查執行個體中繼資料中的
|
|
發現說明: 執行個體已設為使用預設服務帳戶。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查執行個體中繼資料中的
|
|
發現項目說明:這個 VM 上的磁碟未以客戶自行管理的加密金鑰 (CMEK) 加密。如要啟用這個偵測器,必須進行額外設定。如需操作說明,請參閱「 啟用及停用偵測器」。 價格方案: 進階
支援的資產 法規遵循標準: 這個發現項目類別未對應至任何法規遵循標準控制項。 |
檢查磁碟中繼資料的
|
|
發現項目說明: 這個 VM 上的磁碟未以客戶提供的加密金鑰 (CSEK) 加密。如要啟用這項偵測器,必須進行額外設定。如需操作說明,請參閱 特殊情況偵測器。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查
|
|
發現說明: 執行個體已設為使用具備所有 Google Cloud API 完整存取權的預設服務帳戶。 價格方案: 進階
支援的資產 法規遵循標準:
|
擷取
|
|
發現說明: 執行個體使用的負載平衡器設定為使用目標 HTTP Proxy,而非目標 HTTPS Proxy。 如果在專案層級啟用 Security Command Center Premium 方案,只有在父項機構啟用 Standard 方案時,才能使用這項發現項目。 價格方案: 進階
支援的資產 法規遵循標準:
|
判斷
|
|
發現說明: 這個執行個體已停用 OS 登入功能。 如果在專案層級啟用 Security Command Center Premium 方案,只有在父項機構啟用 Standard 方案時,才能使用這項發現項目。 價格方案: 進階
支援的資產
法規遵循標準:
|
檢查執行個體的
|
|
發現說明: 執行個體已啟用 IP 轉送功能。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查執行個體的
|
|
發現項目說明: 這個專案已停用 OS 登入。 如果在專案層級啟用 Security Command Center Premium 方案,只有在父項機構啟用 Standard 方案時,才能使用這項發現項目。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查專案中繼資料中的
|
|
發現說明: 執行個體具有公開 IP 位址。 價格層級: 進階或標準
支援的資產 法規遵循標準:
|
檢查
|
|
發現說明: 這個執行個體已停用受防護的 VM。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查 Compute Engine 執行個體中的
|
|
發現說明: 執行個體的 SSL 政策強度不足。 如果在專案層級啟用 Security Command Center Premium 方案,只有在父項機構啟用 Standard 方案時,才能使用這項發現項目。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查資產中繼資料中的
|
容器安全漏洞發現項目
這些發現類型都與 GKE 容器設定有關,
且屬於 CONTAINER_SCANNER 偵測工具類型。
| 偵測工具 | 摘要 | 資產掃描設定 |
|---|---|---|
|
發現說明: GKE 叢集已啟用 Alpha 版叢集功能。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查叢集的
|
|
發現說明: GKE 叢集的自動修復功能已停用,這項功能可讓節點維持在良好的運作狀態。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查節點集區的
|
|
發現說明: GKE 叢集的自動升級功能已停用,這項功能可讓叢集和節點集區維持在 Kubernetes 最新穩定版本。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查節點集區的
|
|
發現內容說明: GKE 叢集已停用二進位授權,或二進位授權政策已設為允許部署所有映像檔。 價格方案: 進階
支援的資產 法規遵循標準: 這個發現項目類別未對應至任何法規遵循標準控制項。 |
檢查下列事項:
|
|
尋找說明: GKE 叢集未啟用記錄功能。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查叢集的
|
|
發現項目說明: GKE 叢集已停用監控功能。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查叢集的
|
|
發現說明: 叢集主機未設定為僅使用私人內部 IP 位址存取 Google API。 如果在專案層級啟用 Security Command Center Premium 方案,只有在父項機構啟用 Standard 方案時,才能使用這項發現項目。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查子網路的
|
|
發現項目說明: GKE 叢集已停用應用程式層 Secret 加密功能。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查
|
|
發現項目說明: 叢集未啟用 Shielded GKE 節點。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查鍵/值組合
|
|
發現說明: Compute Engine VM 未使用 Container-Optimized OS,這種 OS 專為在 Google Cloud 安全地執行 Docker 容器而設計。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查節點集區的
|
|
發現項目說明: GKE 叢集已停用完整性監控功能。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查
|
|
發現說明: GKE 叢集已停用節點內瀏覽權限。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查鍵/值組合的
|
|
發現說明: 建立 GKE 叢集時,已停用別名 IP 範圍。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查叢集中
|
|
發現說明: GKE 叢集已啟用舊版授權。 價格層級: 進階或標準
支援的資產 法規遵循標準:
|
檢查叢集的
|
|
發現內容說明: GKE 叢集已啟用舊版中繼資料。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查節點集區的
|
|
發現說明: GKE 叢集未啟用控制層授權網路。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查叢集的
|
|
發現說明: GKE 叢集已停用網路政策。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查鍵/值組合的
|
|
發現說明:這個節點集區中的開機磁碟未以客戶自行管理的加密金鑰 (CMEK) 加密。如要啟用這項偵測器,必須進行額外設定。如需操作說明,請參閱「 啟用及停用偵測器」。 價格方案: 進階
支援的資產 法規遵循標準: 這個發現項目類別未對應至任何法規遵循標準控制項。 |
檢查節點集區的
|
|
發現說明: GKE 叢集已停用安全啟動。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查
|
|
發現說明: 服務帳戶在叢集中的專案存取權過於廣泛。 價格方案: 進階
支援的資產 法規遵循標準:
|
評估節點集區的
|
|
發現說明: 節點服務帳戶的存取權範圍很廣。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查節點集區 config.oauthScopes 屬性中列出的存取權範圍,是否為受限的服務帳戶存取權範圍:https://www.googleapis.com/auth/devstorage.read_only、https://www.googleapis.com/auth/logging.write 或 https://www.googleapis.com/auth/monitoring。
|
|
發現項目說明: GKE 叢集已停用 PodSecurityPolicy。 如果在專案層級啟用 Security Command Center Premium 方案,只有在父項機構啟用 Standard 方案時,才能使用這項發現項目。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查叢集的
|
|
發現說明: GKE 叢集已停用私人叢集。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查
|
|
發現說明: GKE 叢集未訂閱發布版本。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查鍵/值組合
|
|
發現說明: 已啟用 GKE 網頁版 UI (資訊主頁)。 價格層級: 進階或標準
支援的資產 法規遵循標準:
|
檢查
|
|
發現說明: GKE 叢集已停用 Workload Identity。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查叢集的
|
Dataproc 安全漏洞發現項目
這類偵測工具的所有安全漏洞都與 Dataproc 相關,且屬於 DATAPROC_SCANNER 偵測工具類型。
| 偵測工具 | 摘要 | 資產掃描設定 |
|---|---|---|
|
發現說明: 建立 Dataproc 叢集時,未設定加密設定 CMEK。如果使用 CMEK,您在 Cloud Key Management Service 建立及管理的金鑰,會包裝 Google Cloud 用於加密資料的金鑰,讓您進一步控管資料存取權。如要啟用這項偵測器,必須進行額外設定。如需操作說明,請參閱「 啟用及停用偵測器」。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查
|
|
發現項目說明: 建立 Dataproc 叢集時使用的 Dataproc 映像檔版本,會受到 Apache Log4j 2 公用程式中的安全漏洞影響 (CVE-2021-44228 和 CVE-2021-45046)。 價格層級: 進階或標準
支援的資產 法規遵循標準: 這個發現項目類別未對應至任何法規遵循標準控制項。 |
檢查
|
資料集安全漏洞發現項目
這類偵測器類型的所有安全漏洞都與 BigQuery 資料集設定有關,且屬於 DATASET_SCANNER 偵測器類型。
| 偵測工具 | 摘要 | 資產掃描設定 |
|---|---|---|
|
發現說明: BigQuery 資料表未設為使用客戶自行管理的加密金鑰 (CMEK)。如要啟用這個偵測器,必須進行額外設定。如需操作說明,請參閱「 啟用及停用偵測器」。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查
|
|
發現說明: BigQuery 資料集未設定為使用預設 CMEK。如要啟用這個偵測器,必須進行額外設定。如需操作說明,請參閱「 啟用及停用偵測器」。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查
|
|
發現說明: 資料集已設為開放公眾存取。 價格層級: 進階或標準
支援的資產 法規遵循標準:
|
檢查資源中繼資料的 IAM 允許政策,找出授予公開存取權的主體
|
DNS 安全漏洞發現項目
這類偵測工具的所有安全漏洞都與 Cloud DNS 設定有關,且屬於 DNS_SCANNER 偵測工具類型。
| 偵測工具 | 摘要 | 資產掃描設定 |
|---|---|---|
|
發現說明: Cloud DNS 區域已停用 DNSSEC。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查
|
|
發現說明: RSASHA1 用於 Cloud DNS 區域的金鑰簽署。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查
|
防火牆安全漏洞發現項目
這類偵測工具的所有安全漏洞都與防火牆設定有關,且屬於 FIREWALL_SCANNER 偵測工具類型。
| 偵測工具 | 摘要 | 資產掃描設定 |
|---|---|---|
|
發現項目說明: 防火牆未設定輸出拒絕規則。應設定輸出拒絕規則,封鎖不必要的輸出流量。 如果在專案層級啟用 Security Command Center Premium 方案,只有在父項機構啟用 Standard 方案時,才能使用這項發現項目。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查防火牆中的
|
|
發現說明: 防火牆規則記錄功能已停用。應啟用防火牆規則記錄功能,以便稽核網路存取情形。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查防火牆中繼資料中的
|
|
發現說明: 防火牆已設定為開放 Cassandra 通訊埠,允許一般存取。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查防火牆中繼資料的
|
|
發現說明: 防火牆已設定為開啟 CISCOSECURE_WEBSM 通訊埠,允許一般存取。 價格層級: 進階或標準
支援的資產 法規遵循標準:
|
檢查防火牆中繼資料的
|
|
發現說明: 防火牆已設定為開放 DIRECTORY_SERVICES 通訊埠,允許一般存取。 價格層級: 進階或標準
支援的資產 法規遵循標準:
|
檢查防火牆中繼資料的
|
|
發現說明: 防火牆已設定為開放 DNS 通訊埠,允許一般存取。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查防火牆中繼資料的
|
|
發現說明: 防火牆已設定為開放 ELASTICSEARCH 通訊埠,允許一般存取。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查防火牆中繼資料的
|
|
發現說明: 防火牆已設為開放公開存取。 價格層級: 進階或標準
支援的資產 法規遵循標準:
|
檢查下列其中一種設定的
|
|
發現說明: 防火牆已設定為開放 FTP 通訊埠,允許一般存取。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查防火牆中繼資料的
|
|
發現說明: 防火牆已設定為開放 HTTP 通訊埠,允許一般存取。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查防火牆中繼資料的
|
|
發現說明: 防火牆已設定為開放 LDAP 通訊埠,允許一般存取。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查防火牆中繼資料的
|
|
發現說明: 防火牆已設定為開放 MEMCACHED 通訊埠,允許一般存取。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查防火牆中繼資料的
|
|
發現說明: 防火牆已設定為開啟 MONGODB 通訊埠,允許一般存取。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查防火牆中繼資料的
|
|
發現說明: 防火牆已設定為開放 MYSQL 通訊埠,允許一般存取。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查防火牆中繼資料的
|
|
發現說明: 防火牆已設定為開放 NETBIOS 通訊埠,允許一般存取。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查防火牆中繼資料的
|
|
發現內容: 防火牆已設定為開放 ORACLEDB 通訊埠,允許一般存取。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查防火牆中繼資料的
|
|
發現說明: 防火牆已設定為開放 POP3 通訊埠,允許一般存取。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查防火牆中繼資料的
|
|
發現說明: 防火牆已設定為開放 PostgreSQL 通訊埠,允許一般存取。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查防火牆中繼資料的
|
|
發現項目說明: 防火牆已設定為開放 RDP 通訊埠,允許一般存取。 價格層級: 進階或標準
支援的資產 法規遵循標準:
|
檢查防火牆中繼資料的
|
|
發現說明: 防火牆已設定為開放 REDIS 通訊埠,允許一般存取。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查防火牆中繼資料的
|
|
發現說明: 防火牆已設定為開放 SMTP 通訊埠,允許一般存取。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查防火牆中繼資料的
|
|
發現項目說明: 防火牆已設定為開放 SSH 通訊埠,允許一般存取。 價格層級: 進階或標準
支援的資產 法規遵循標準:
|
檢查防火牆中繼資料的
|
|
發現說明: 防火牆已設定為開放 TELNET 通訊埠,允許一般存取。 價格層級: 進階或標準
支援的資產 法規遵循標準:
|
檢查防火牆中繼資料的
|
IAM 安全漏洞發現項目
這類偵測器發現的安全漏洞都與身分與存取權管理 (IAM) 設定有關,且屬於 IAM_SCANNER 偵測器類型。
| 偵測工具 | 摘要 | 資產掃描設定 |
|---|---|---|
|
發現項目說明: Google Cloud 貴機構已停用資料存取透明化控管機制。當員工存取貴機構的專案以提供支援時,資料存取透明化控管機制會記錄相關資訊。 Google Cloud 啟用資料存取透明化控管機制,即可記錄 Google Cloud 中哪些使用者存取您的資訊、存取時間和原因。 價格方案: 進階級
支援的資產 法規遵循標準:
|
檢查貴機構是否已啟用資料存取透明化控管機制。
|
|
發現說明: 服務帳戶具有「管理員」、「擁有者」或「編輯者」權限。這些角色不應指派給使用者建立的服務帳戶。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查資源中繼資料中的 IAM 允許政策,找出任何指派
|
|
發現內容: 貴機構尚未指派人員或群組接收來自 Google Cloud 的通知,瞭解機構內發生的重要事件,例如攻擊、安全漏洞和資料事件。 Google Cloud 建議您在貴商家機構中,指派一或多位人員或群組做為重要聯絡人。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查是否已為下列重要聯絡人類別指定聯絡人:
|
|
發現說明: 系統未強制執行職責分離,且使用者同時具備下列任一 Cloud Key Management Service (Cloud KMS) 角色:加密編譯金鑰加密者/解密者、加密者或解密者。 這個發現項目不適用於專案層級的啟用作業。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查資源中繼資料中的 IAM 允許政策,並同時擷取獲派下列任一角色的主體:roles/cloudkms.cryptoKeyEncrypterDecrypter、roles/cloudkms.cryptoKeyEncrypter、roles/cloudkms.cryptoKeyDecrypter、roles/cloudkms.signer、roles/cloudkms.signerVerifier、roles/cloudkms.publicKeyViewer。
|
|
發現說明: 有使用者未使用機構憑證,根據 CIS GCP Foundations 1.0,目前只有具有 @gmail.com 電子郵件地址的身分會觸發這個偵測工具。 價格層級: 進階或標準
支援的資產 法規遵循標準:
|
比較身分與存取權管理許可政策中「
|
|
發現內容說明: 可加入的 Google 群組帳戶未經核准,即做為 IAM 允許政策主體。 價格層級: 進階或標準
支援的資產 法規遵循標準: 這個發現項目類別未對應至任何法規遵循標準控制項。 |
檢查資源中繼資料中的 IAM 政策,找出含有以 group 為前置字元的成員 (主體) 的任何繫結。如果群組是開放群組,安全狀態分析就會產生這項發現項目。
|
|
發現項目說明: 使用者在專案層級擁有「服務帳戶使用者」或「服務帳戶權杖建立者」角色,而非特定服務帳戶。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查資源中繼資料中的 IAM 允許政策,瞭解專案層級是否已指派任何主體 roles/iam.serviceAccountUser 或 roles/iam.serviceAccountTokenCreator。
|
|
發現說明: 使用者具有下列其中一個基本角色:
這些角色的權限過於寬鬆,不應使用。 價格層級: 進階
支援的資產 法規遵循標準:
|
檢查資源中繼資料中的 IAM 允許政策,找出獲派
|
|
發現項目說明: 在機構或資料夾層級指派 Redis IAM 角色。 這個發現項目不適用於專案層級的啟用作業。 價格方案: 進階
支援的資產
法規遵循標準:
|
檢查資源中繼資料的 IAM 允許政策,瞭解在機構或資料夾層級指派的主體:
|
|
發現說明: 使用者已獲派「服務帳戶管理員」和「服務帳戶使用者」角色。這違反了「職責分離」原則。 這個發現項目不適用於專案層級的啟用作業。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查資源中繼資料中的 IAM 允許政策,找出同時指派 roles/iam.serviceAccountUser 和 roles/iam.serviceAccountAdmin 的任何主體。
|
|
發現說明: 服務帳戶金鑰已超過 90 天未輪替。 價格方案: 進階
支援的資產 法規遵循標準:
|
評估服務帳戶金鑰中繼資料的
|
|
發現說明: 使用者管理服務帳戶金鑰。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查服務帳戶金鑰中繼資料中的
|
KMS 安全漏洞發現項目
這類偵測工具的所有安全漏洞都與 Cloud KMS 設定有關,且屬於 KMS_SCANNER 偵測工具類型。
| 偵測工具 | 摘要 | 資產掃描設定 |
|---|---|---|
|
發現說明: Cloud KMS 加密金鑰未設定輪替。金鑰應在 90 天內輪替。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查資源中繼資料是否有
|
|
發現說明: 使用者對含有加密編譯金鑰的專案具有「擁有者」權限。 如果在專案層級啟用 Security Command Center Premium 方案,只有在父項機構啟用 Standard 方案時,才能使用這項發現項目。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查專案中繼資料中的 IAM 允許政策,瞭解已指派主體的
|
|
發現說明: Cloud KMS 加密編譯金鑰可公開存取。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查資源中繼資料的 IAM 允許政策,找出授予公開存取權的主體
|
|
發現說明: 有超過三位使用者使用加密金鑰。 如果在專案層級啟用 Security Command Center Premium 方案,只有在父項機構啟用 Standard 方案時,才能使用這項發現項目。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查金鑰環、專案和機構的 IAM 允許政策,並擷取具有角色的主體,這些角色允許主體使用 Cloud KMS 金鑰加密、解密或簽署資料:roles/owner、roles/cloudkms.cryptoKeyEncrypterDecrypter、roles/cloudkms.cryptoKeyEncrypter、roles/cloudkms.cryptoKeyDecrypter、roles/cloudkms.signer 和 roles/cloudkms.signerVerifier。
|
記錄安全漏洞發現項目
這類偵測工具的所有安全漏洞都與記錄設定有關,且屬於 LOGGING_SCANNER 偵測工具類型。
| 偵測工具 | 摘要 | 資產掃描設定 |
|---|---|---|
|
發現項目說明: 這項資源已停用稽核記錄。 這個發現項目不適用於專案層級的啟用作業。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查資源中繼資料中的 IAM 允許政策,確認是否存在
|
|
發現項目說明: 有儲存空間值區未啟用記錄。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查 bucket
|
|
發現內容說明: 未設定記錄的鎖定保留政策。 如果在專案層級啟用 Security Command Center Premium 方案,只有在父項機構啟用 Standard 方案時,才能使用這項發現項目。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查值區
|
|
發現說明: 有資源未設定適當的記錄接收器。 如果在專案層級啟用 Security Command Center Premium 方案,只有在父項機構啟用 Standard 方案時,才能使用這項發現項目。 價格方案: 進階
支援的資產
法規遵循標準:
|
在專案中擷取
|
|
發現說明: 已設定接收器的儲存空間 bucket 未啟用物件版本管理功能。 如果在專案層級啟用 Security Command Center Premium 方案,只有在父項機構啟用 Standard 方案時,才能使用這項發現項目。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查值區
|
監控安全漏洞發現項目
這類偵測器發現的安全漏洞都與監控設定有關,且屬於 MONITORING_SCANNER 類型。所有 Monitoring 偵測工具發現項目屬性都包含:
-
用於建立記錄指標的
RecommendedLogFilter。 -
涵蓋建議記錄篩選器所列條件的
QualifiedLogMetricNames。 -
AlertPolicyFailureReasons,指出專案是否沒有為任何符合條件的記錄指標建立快訊政策,或是現有的快訊政策是否沒有建議設定。
| 偵測工具 | 摘要 | 資產掃描設定 |
|---|---|---|
|
發現說明: 系統未設定記錄指標和快訊,以監控稽核設定變更。 如果在專案層級啟用 Security Command Center Premium 方案,只有在父項機構啟用 Standard 方案時,才能使用這項發現項目。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查專案 LogsMetric 資源的 filter 屬性是否設為 protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.auditConfigDeltas:*,以及是否指定 resource.type,且值為 global。偵測器也會搜尋對應的 alertPolicy 資源,檢查 conditions 和 notificationChannels 屬性是否已正確設定。
|
|
發現項目說明: 系統未設定記錄指標和快訊,因此無法監控 Cloud Storage IAM 權限變更。 如果在專案層級啟用 Security Command Center Premium 方案,只有在父項機構啟用 Standard 方案時,才能使用這項發現項目。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查專案 LogsMetric 資源的 filter 屬性是否設為 resource.type=gcs_bucket AND
protoPayload.methodName="storage.setIamPermissions"。
偵測器也會搜尋對應的 alertPolicy 資源,檢查 conditions 和 notificationChannels 屬性是否已正確設定。
|
|
發現內容: 系統未設定記錄指標和快訊,以監控自訂角色變更。 如果在專案層級啟用 Security Command Center Premium 方案,只有在父項機構啟用 Standard 方案時,才能使用這項發現項目。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查專案 LogsMetric 資源的 filter 屬性是否設為 resource.type="iam_role" AND
(protoPayload.methodName="google.iam.admin.v1.CreateRole"
OR
protoPayload.methodName="google.iam.admin.v1.DeleteRole"
OR
protoPayload.methodName="google.iam.admin.v1.UpdateRole")。
偵測器也會搜尋對應的 alertPolicy 資源,檢查 conditions 和 notificationChannels 屬性是否已正確設定。
|
|
發現項目說明: 系統未設定記錄指標和快訊,以監控虛擬私有雲 (VPC) 網路防火牆規則變更。 如果在專案層級啟用 Security Command Center Premium 方案,只有在父項機構啟用 Standard 方案時,才能使用這項發現項目。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查專案 LogsMetric 資源的 filter 屬性是否設為
resource.type="gce_firewall_rule"
AND (protoPayload.methodName:"compute.firewalls.insert"
OR protoPayload.methodName:"compute.firewalls.patch"
OR protoPayload.methodName:"compute.firewalls.delete")。
偵測器也會搜尋對應的 alertPolicy 資源,檢查 conditions 和 notificationChannels 屬性是否已正確設定。
|
|
發現內容說明: 系統未設定記錄指標和快訊,以監控虛擬私有雲網路變更。 如果在專案層級啟用 Security Command Center Premium 方案,只有在父項機構啟用 Standard 方案時,才能使用這項發現項目。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查專案 LogsMetric 資源的 filter 屬性是否設為
resource.type="gce_network"
AND (protoPayload.methodName:"compute.networks.insert"
OR protoPayload.methodName:"compute.networks.patch"
OR protoPayload.methodName:"compute.networks.delete"
OR protoPayload.methodName:"compute.networks.removePeering"
OR protoPayload.methodName:"compute.networks.addPeering")。
偵測器也會搜尋對應的 alertPolicy 資源,檢查 conditions 和 notificationChannels 屬性是否已正確設定。
|
|
發現項目說明: 記錄檔指標和快訊未設定為監控專案擁有權指派或變更。 如果在專案層級啟用 Security Command Center Premium 方案,只有在父項機構啟用 Standard 方案時,才能使用這項發現項目。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查專案 LogsMetric 資源的 filter 屬性是否設為 (protoPayload.serviceName="cloudresourcemanager.googleapis.com")
AND (ProjectOwnership OR projectOwnerInvitee) OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")
OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner"),以及是否指定 resource.type,且值為 global。偵測器也會搜尋對應的 alertPolicy 資源,檢查 conditions 和 notificationChannels 屬性是否已正確設定。
|
|
發現項目說明: 系統未設定記錄指標和快訊,以監控虛擬私有雲網路路徑變更。 如果在專案層級啟用 Security Command Center Premium 方案,只有在父項機構啟用 Standard 方案時,才能使用這項發現項目。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查專案 LogsMetric 資源的 filter 屬性是否設為
resource.type="gce_route"
AND (protoPayload.methodName:"compute.routes.delete"
OR protoPayload.methodName:"compute.routes.insert")。
偵測器也會搜尋對應的 alertPolicy 資源,檢查 conditions 和 notificationChannels 屬性是否已正確設定。
|
|
發現內容說明: 系統未設定記錄指標和快訊,以監控 Cloud SQL 執行個體設定變更。 如果在專案層級啟用 Security Command Center Premium 方案,只有在父項機構啟用 Standard 方案時,才能使用這項發現項目。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查專案 LogsMetric 資源的 filter 屬性是否設為
protoPayload.methodName="cloudsql.instances.update"
OR protoPayload.methodName="cloudsql.instances.create"
OR protoPayload.methodName="cloudsql.instances.delete",以及是否指定 resource.type,且值為 global。偵測器也會搜尋對應的 alertPolicy 資源,檢查 conditions 和 notificationChannels 屬性是否已正確設定。
|
多重驗證調查結果
MFA_SCANNER 偵測器會找出與使用者多重要素驗證相關的安全漏洞。
| 偵測工具 | 摘要 | 資產掃描設定 |
|---|---|---|
|
部分使用者未啟用兩步驟驗證。 Google Workspace 可讓您為新使用者指定註冊寬限期,他們必須在期限內完成兩步驟驗證註冊。不過,這個偵測器會在註冊寬限期內為使用者建立調查結果。 這個發現項目不適用於專案層級的啟用作業。 價格層級: 進階或標準
支援的資產 法規遵循標準:
|
評估機構中的身分管理政策,以及 Cloud Identity 中受管理帳戶的使用者設定。
|
網路安全漏洞發現項目
這類偵測器發現的安全漏洞都與機構的網路設定有關,且屬於 NETWORK_SCANNER 類型。
| 偵測工具 | 摘要 | 資產掃描設定 |
|---|---|---|
|
發現說明: 專案中存在預設網路。 如果在專案層級啟用 Security Command Center Premium 方案,只有在父項機構啟用 Standard 方案時,才能使用這項發現項目。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查網路中繼資料中的
|
|
發現內容說明: 虛擬私有雲網路未啟用 DNS 記錄功能。 如果在專案層級啟用 Security Command Center Premium 方案,只有在父項機構啟用 Standard 方案時,才能使用這項發現項目。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查透過
|
|
發現說明: 專案中存在舊版網路。 如果在專案層級啟用 Security Command Center Premium 方案,只有在父項機構啟用 Standard 方案時,才能使用這項發現項目。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查網路中繼資料,確認是否存在
|
|
發現項目說明: 負載平衡器的記錄功能已停用。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查負載平衡器後端服務的
|
組織政策安全漏洞發現項目
這類偵測器發現的所有安全漏洞都與機構政策限制相關,且屬於 ORG_POLICY 類型。
Pub/Sub 安全漏洞發現項目
這類偵測工具的所有安全漏洞都與 Pub/Sub 設定有關,且屬於 PUBSUB_SCANNER 類型。
| 偵測工具 | 摘要 | 資產掃描設定 |
|---|---|---|
|
發現項目說明: Pub/Sub 主題未以客戶自行管理的加密金鑰 (CMEK) 加密。 如要啟用這個偵測器,必須進行額外設定。如需操作說明,請參閱「 啟用及停用偵測器」。 價格方案: 進階
支援的資產 法規遵循標準: 這個發現項目類別未對應至任何法規遵循標準控制項。 |
檢查
|
SQL 安全漏洞發現項目
以下各節說明 AlloyDB for PostgreSQL 和 Cloud SQL 的安全漏洞發現結果。
AlloyDB for PostgreSQL 漏洞調查結果
這類偵測器發現的所有安全漏洞都與 AlloyDB for PostgreSQL 設定有關,且屬於 SQL_SCANNER 類型。
| 偵測工具 | 摘要 | 資產掃描設定 |
|---|---|---|
|
發現說明: PostgreSQL 適用的 AlloyDB 叢集未啟用自動備份功能。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查 PostgreSQL 適用的 AlloyDB 叢集的中繼資料中,
|
|
發現說明: PostgreSQL 適用的 AlloyDB 叢集未啟用備份功能。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查 AlloyDB for PostgreSQL 集群中繼資料的
|
|
發現說明:AlloyDB 叢集未以客戶自行管理的加密金鑰 (CMEK) 加密。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查叢集的中繼資料中的
|
|
發現內容說明:
AlloyDB for PostgreSQL 執行個體的 價格方案: 進階
支援的資產 法規遵循標準:
|
為確保記錄中涵蓋足夠的訊息類型,如果
|
|
發現內容:
AlloyDB for PostgreSQL 執行個體的 價格方案: 進階
支援的資產 法規遵循標準:
|
為確保記錄中涵蓋足夠的訊息類型,如果
|
|
發現內容說明:
AlloyDB for PostgreSQL 執行個體的 價格方案: 進階
支援的資產 法規遵循標準:
|
為確保記錄中涵蓋足夠的訊息類型,如果
|
|
發現說明: AlloyDB for PostgreSQL 資料庫執行個體具有公開 IP 位址。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查
|
|
發現說明:PostgreSQL 適用的 AlloyDB 資料庫執行個體未要求所有連入連線都使用 SSL。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查 AlloyDB for PostgreSQL 執行個體的
|
Cloud SQL 弱點發現
這類偵測器發現的所有安全漏洞都與 Cloud SQL 設定有關,且屬於 SQL_SCANNER 類型。
| 偵測工具 | 摘要 | 資產掃描設定 |
|---|---|---|
|
發現說明: Cloud SQL 資料庫未啟用自動備份功能。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查 Cloud SQL 資料的
|
|
發現內容說明: Cloud SQL 資料庫執行個體接受來自所有 IP 位址的連線。 價格層級: 進階或標準
支援的資產 法規遵循標準:
|
檢查 Cloud SQL 執行個體的
|
|
發現項目說明: Cloud SQL 資料庫執行個體未要求所有連入連線都使用 SSL。 價格層級: 進階或標準
支援的資產 法規遵循標準:
|
檢查 Cloud SQL 執行個體的
|
|
發現說明:SQL 資料庫執行個體未以客戶自行管理的加密金鑰 (CMEK) 加密。如要啟用這個偵測器,必須進行額外設定。如需操作說明,請參閱「 啟用及停用偵測器」。 價格方案: 進階
支援的資產 法規遵循標準: 這個發現項目類別未對應至任何法規遵循標準控制項。 |
檢查執行個體中繼資料的
|
|
發現說明:
Cloud SQL for SQL Server 執行個體的 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查執行個體中繼資料的
|
|
發現內容說明:
Cloud SQL for SQL Server 執行個體的 價格方案: 進階
支援的素材資源 法規遵循標準:
|
檢查執行個體中繼資料的
|
|
發現內容說明:
Cloud SQL for SQL Server 執行個體的 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查執行個體中繼資料的
|
|
發現說明:
Cloud SQL for MySQL 執行個體的 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查執行個體中繼資料的
|
|
發現項目說明:
Cloud SQL for PostgreSQL 執行個體的 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查執行個體中繼資料的
|
|
發現項目說明:
Cloud SQL for PostgreSQL 執行個體的 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查執行個體中繼資料的
|
|
發現項目說明:
Cloud SQL for PostgreSQL 執行個體的 價格方案: 進階
支援的素材資源 法規遵循標準:
|
檢查執行個體中繼資料的
|
|
發現項目說明:
Cloud SQL for PostgreSQL 執行個體的 價格方案: 進階
支援的素材資源 法規遵循標準:
|
檢查執行個體中繼資料的
|
|
發現項目說明:
Cloud SQL for PostgreSQL 執行個體的 價格方案: 進階
支援的素材資源 法規遵循標準:
|
檢查
|
|
發現項目說明:
Cloud SQL for PostgreSQL 執行個體的 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查執行個體中繼資料的
|
|
發現說明:
Cloud SQL for PostgreSQL 執行個體的 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查執行個體中繼資料的
|
|
發現說明:
Cloud SQL for PostgreSQL 執行個體的 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查
|
|
發現說明:
Cloud SQL for PostgreSQL 執行個體的 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查
|
|
發現項目說明:
Cloud SQL for PostgreSQL 執行個體的 價格方案: 進階
支援的資產 法規遵循標準:
|
為確保記錄中涵蓋足夠的訊息類型,如果
|
|
發現項目說明:
Cloud SQL for PostgreSQL 執行個體的 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查執行個體中繼資料的
|
|
發現項目說明:
Cloud SQL for PostgreSQL 執行個體的 價格方案: 進階
支援的素材資源 法規遵循標準:
|
檢查執行個體中繼資料的
|
|
發現項目說明:
Cloud SQL for PostgreSQL 執行個體的 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查執行個體中繼資料的
|
|
發現項目說明:
Cloud SQL for PostgreSQL 執行個體的 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查執行個體中繼資料的
|
|
發現說明:
Cloud SQL for PostgreSQL 執行個體的 價格方案: 進階
支援的素材資源 法規遵循標準:
|
檢查執行個體中繼資料的
|
|
發現項目說明:
Cloud SQL for PostgreSQL 執行個體的 價格方案: 進階
支援的素材資源 法規遵循標準:
|
檢查執行個體中繼資料的
|
|
發現說明:
Cloud SQL for PostgreSQL 執行個體的 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查執行個體中繼資料的
|
|
發現項目說明:具有公開 IP 位址的 Cloud SQL 資料庫,未為根帳戶設定密碼。如要啟用這項偵測器,必須進行額外設定。如需操作說明,請參閱「 啟用及停用偵測器」。 價格方案: 進階
支援的素材資源 法規遵循標準:
|
檢查根帳戶的
|
|
發現說明: Cloud SQL 資料庫具有公開 IP 位址。 價格方案: 進階
支援的素材資源 法規遵循標準:
|
檢查 Cloud SQL 資料庫的 IP 位址類型是否設為
|
|
發現說明:
Cloud SQL for SQL Server 執行個體的 價格方案: 進階
支援的素材資源 法規遵循標準:
|
檢查執行個體中繼資料的
|
|
發現說明:
Cloud SQL for MySQL 執行個體的 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查執行個體中繼資料的
|
|
發現說明:
Cloud SQL for SQL Server 執行個體的 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查執行個體中繼資料的
|
|
發現說明:
Cloud SQL for SQL Server 執行個體的 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查執行個體中繼資料的
|
|
發現說明:
Cloud SQL for SQL Server 執行個體的 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查執行個體中繼資料的
|
|
發現項目說明:Cloud SQL 資料庫具有公開 IP 位址,且根帳戶設定的密碼強度較弱。如要啟用這項偵測器,必須進行額外設定。如需操作說明,請參閱「 啟用及停用偵測器」。 價格方案: 進階
支援的資產 法規遵循標準: 這個發現項目類別未對應至任何法規遵循標準控制項。 |
將 Cloud SQL 資料庫根帳戶的密碼與常見密碼清單進行比較。
|
子網路安全漏洞發現項目
這類偵測工具的所有安全漏洞都與機構的子網路設定有關,且屬於SUBNETWORK_SCANNER類型。
| 偵測工具 | 摘要 | 資產掃描設定 |
|---|---|---|
|
發現說明: 虛擬私有雲子網路已停用流程記錄。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查 Compute Engine 子網路的
|
|
發現項目說明: 虛擬私有雲子網路的虛擬私有雲流量記錄為停用狀態,或是未按照 CIS 基準 1.3 建議設定。如要啟用這項偵測器,必須進行額外設定。如需操作說明,請參閱「 啟用及停用偵測器」。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查虛擬私有雲子網路的
|
|
發現說明: 有無法存取 Google 公開 API 的私有子網路。 價格方案: 進階
支援的資產 法規遵循標準:
|
檢查 Compute Engine 子網路的
|
AWS 發現項目
| 偵測工具 | 摘要 | 資產掃描設定 |
|---|---|---|
|
發現項目的說明: AWS CloudShell 方便您對 AWS 服務執行 CLI 指令;受管理的 IAM 政策 (「AWSCloudShellFullAccess」) 提供 CloudShell 的完整存取權,讓使用者可在本機系統和 CloudShell 環境之間上傳及下載檔案。使用者在 Cloud Shell 環境中擁有 sudo 權限,且可存取網際網路。因此,您可以安裝檔案傳輸軟體 (例如),然後將資料從 Cloud Shell 移至外部網際網路伺服器。 價格層級:Enterprise 法規遵循標準:
|
確保 AWSCloudShellFullAccess 存取權受到限制
|
|
發現項目的說明: 存取金鑰包含存取金鑰 ID 和存取密鑰,可用於簽署您向 AWS 發出的程式輔助要求。AWS 使用者需要自己的存取金鑰,才能透過 AWS Command Line Interface (AWS CLI)、適用於 Windows PowerShell 的工具、AWS SDK,或使用個別 AWS 服務的 API 進行直接 HTTP 呼叫,以程式方式呼叫 AWS。建議定期輪替所有存取金鑰。 價格層級:Enterprise 法規遵循標準:
|
確保存取金鑰最多每 90 天輪替一次
|
|
發現項目的說明: 如要在 AWS 中啟用網站或應用程式的 HTTPS 連線,您需要 SSL/TLS 伺服器憑證。您可以使用 ACM 或 IAM 儲存及部署伺服器憑證。 價格層級:Enterprise 法規遵循標準:
|
確保儲存於 AWS IAM 的所有過期 SSL/TLS 憑證已移除
|
|
發現項目的說明: 這項檢查會確認與負載平衡器相關聯的自動調度資源群組是否使用彈性負載平衡健康狀態檢查。 這可確保群組能根據負載平衡器提供的額外測試,判斷執行個體的健康狀態。使用彈性負載平衡健康狀態檢查,有助於支援使用 EC2 自動調度資源群組的應用程式可用性。 價格層級:Enterprise 法規遵循標準:
|
檢查與負載平衡器相關聯的所有自動調度資源群組,確認是否使用健康狀態檢查
|
|
發現項目的說明: 請確保 RDS 資料庫執行個體已啟用子版本自動升級標記,以便在指定維護時段內自動升級引擎子版本。因此,RDS 執行個體可以取得資料庫引擎的新功能、錯誤修正和安全性修補程式。 價格層級:Enterprise 法規遵循標準:
|
確保 RDS 執行個體已啟用子版本自動升級功能
|
|
發現項目的說明: AWS Config 是一項網路服務,可對帳戶中支援的 AWS 資源執行設定管理,並將記錄檔傳送給您。記錄的資訊包括設定項目 (AWS 資源)、設定項目 (AWS 資源) 之間的關係,以及資源之間的任何設定變更。建議您在所有區域啟用 AWS Config。 價格層級:Enterprise 法規遵循標準:
|
確保所有區域都已啟用 AWS Config
|
|
發現項目的說明: Security Hub 會從 AWS 帳戶、服務和支援的第三方合作夥伴產品收集安全性資料,協助您分析安全性趨勢,並找出優先順序最高的安全性問題。啟用 Security Hub 後,系統會開始取用、彙整、整理及優先處理您已啟用的 AWS 服務 (例如 Amazon GuardDuty、Amazon Inspector 和 Amazon Macie) 發現的問題。您也可以啟用與 AWS 合作夥伴安全產品的整合功能。 價格層級:Enterprise 法規遵循標準:
|
確保已啟用 AWS Security Hub
|
|
發現項目的說明: AWS CloudTrail 是一項網路服務,可記錄帳戶的 AWS API 呼叫,並根據 IAM 政策,向使用者和資源提供這些記錄。AWS Key Management Service (KMS) 是一項代管服務,可協助建立及控管用於加密帳戶資料的加密金鑰,並使用硬體安全模組 (HSM) 保護加密金鑰的安全。您可以設定 CloudTrail 日誌,使用伺服器端加密 (SSE) 和 KMS 客戶建立的主金鑰 (CMK),進一步保護 CloudTrail 日誌。建議將 CloudTrail 設為使用 SSE-KMS。 價格層級:Enterprise 法規遵循標準:
|
確保 CloudTrail 日誌使用 KMS CMK 加密靜態資料
|
|
發現項目的說明: CloudTrail 記錄檔驗證功能會建立數位簽章摘要檔,其中包含 CloudTrail 寫入 S3 的每個記錄的雜湊。這些摘要檔案可用於判斷 CloudTrail 傳送記錄後,記錄檔是否經過變更、刪除或未變更。建議您在所有 CloudTrail 上啟用檔案驗證功能。 價格層級:Enterprise 法規遵循標準:
|
確保 CloudTrail 記錄檔驗證功能已啟用
|
|
發現項目的說明: AWS CloudTrail 是一項網路服務,可記錄特定 AWS 帳戶中發出的 AWS API 呼叫。記錄的資訊包括 API 呼叫者的身分、API 呼叫時間、API 呼叫者的來源 IP 位址、要求參數,以及 AWS 服務傳回的回應元素。CloudTrail 使用 Amazon S3 儲存及傳送記錄檔,因此記錄檔會永久儲存。除了在指定的 S3 儲存空間中擷取 CloudTrail 記錄以供長期分析,您也可以將 CloudTrail 設為將記錄傳送至 CloudWatch Logs,進行即時分析。如果帳戶中所有區域都已啟用追蹤,CloudTrail 會將所有這些區域的記錄檔傳送至 CloudWatch Logs 記錄檔群組。建議您將 CloudTrail 記錄傳送至 CloudWatch Logs。 注意:這項最佳化建議的目的是確保系統能擷取、監控 AWS 帳戶活動,並適時發出警報。CloudWatch Logs 是使用 AWS 服務完成這項作業的原生方式,但不排除使用替代解決方案。 價格層級:Enterprise 法規遵循標準:
|
確保 CloudTrail 追蹤已與 CloudWatch 日誌整合
|
|
發現項目的說明: 這項檢查會確認 Amazon CloudWatch 是否已定義警示在「OK」、「ALARM」和「INSUFFICIENT_DATA」狀態之間轉換時的動作。 在 Amazon CloudWatch 警報中設定 ALARM 狀態的動作非常重要,因為這樣一來,監控指標超出閾值時,系統就會立即觸發回應。 警示至少有一項動作。 價格層級:Enterprise 法規遵循標準:
|
檢查 CloudWatch 警示,確認是否至少啟用了一項 ALRAM 動作、一項 INSUFFICIENT_DATA 動作,或是一項 OK 動作。
|
|
發現項目的說明: 這項檢查可確保 CloudWatch 日誌已設定 KMS。 CloudWatch Logs 一律會加密日誌群組資料。根據預設,CloudWatch Logs 會對靜態記錄資料使用伺服器端加密。您也可以使用 AWS Key Management Service 進行這項加密作業。如果啟用,系統會使用 AWS KMS 金鑰進行加密。如要使用 AWS KMS 加密,請在建立記錄群組時或建立後,將 KMS 金鑰與記錄群組建立關聯,即可在記錄群組層級啟用加密功能。 價格層級:Enterprise 法規遵循標準:
|
請確認已使用 KMS 為 Amazon CloudWatch Logs 中所有記錄檔群組加密
|
|
發現項目的說明: 這項控制項會檢查 CloudTrail 追蹤是否已設為將記錄傳送至 CloudWatch Logs。如果追蹤記錄的 CloudWatchLogsLogGroupArn 屬性為空白,控制項就會失敗。 CloudTrail 會記錄特定帳戶中發出的 AWS API 呼叫。記錄的資訊包括:
CloudTrail 會使用 Amazon S3 儲存及傳送記錄檔。您可以擷取指定 S3 儲存貯體中的 CloudTrail 記錄,以供長期分析。如要執行即時分析,您可以將 CloudTrail 設為將記錄傳送至 CloudWatch Logs。 如果帳戶中所有區域都已啟用追蹤,CloudTrail 會將所有這些區域的記錄檔傳送至 CloudWatch Logs 記錄群組。 Security Hub 建議您將 CloudTrail 記錄檔傳送至 CloudWatch Logs。請注意,這項最佳化建議的目的是確保系統能擷取及監控帳戶活動,並在適當的時機發出警報。您可以使用 CloudWatch Logs,透過 AWS 服務設定這項功能。這項建議並不排除使用其他解決方案。 將 CloudTrail 記錄傳送至 CloudWatch Logs,有助於根據使用者、API、資源和 IP 位址,記錄即時和歷史活動。您可以運用這種方法,針對異常或敏感的帳戶活動設定警報和通知。 價格層級:Enterprise 法規遵循標準:
|
確認所有 CloudTrail 追蹤都設為將日誌傳送至 AWS CloudWatch
|
|
發現項目的說明: 這會檢查專案是否包含環境變數 驗證憑證 價格層級:Enterprise 法規遵循標準:
|
確認所有專案中的環境變數 AWS_ACCESS_KEY_ID 和 AWS_SECRET_ACCESS_KEY 都不是明文
|
|
發現項目的說明: 這項檢查會確認 AWS CodeBuild 專案的 Bitbucket 來源存放區網址是否含有個人存取權杖,或使用者名稱和密碼。如果 Bitbucket 來源存放區網址包含個人存取權杖,或是使用者名稱和密碼,控制項就會失敗。 登入憑證不應以純文字形式儲存或傳輸,也不應出現在來源存放區網址中。您應該在 CodeBuild 中存取來源供應商,並變更來源存放區網址,只包含 Bitbucket 存放區位置的路徑,而非個人存取權杖或登入憑證。使用個人存取權杖或登入憑證可能會導致資料意外曝光或未經授權存取。 價格層級:Enterprise 法規遵循標準: 這個發現項目類別未對應至任何法規遵循標準控制項。 |
確認使用 GitHub 或 Bitbucket 做為來源的所有專案都使用 OAuth
|
|
發現項目的說明: AWS IAM 使用者可以使用不同類型的憑證 (例如密碼或存取金鑰) 存取 AWS 資源。建議停用或移除 45 天以上未使用的所有憑證。 價格層級:Enterprise 法規遵循標準:
|
確保 45 天以上未使用的憑證已停用
|
|
發現項目的說明: 虛擬私有雲隨附預設安全性群組,其初始設定會拒絕所有傳入流量、允許所有傳出流量,並允許指派給安全性群組的執行個體之間的所有流量。如果您在啟動執行個體時未指定安全性群組,系統會自動將執行個體指派給這個預設安全性群組。安全性群組會對 AWS 資源的輸入/輸出網路流量進行有狀態的篩選。建議預設安全性群組限制所有流量。 每個區域的預設虛擬私有雲都應更新預設安全性群組,以符合規定。新建立的 VPC 會自動包含預設安全群組,您必須修正這些群組,才能符合這項建議。 注意:實作這項建議時,虛擬私有雲流量記錄功能可記錄目前安全群組下發生的所有封包接受和拒絕情況,因此有助於判斷系統正常運作所需的最低權限連接埠存取權。這項功能可大幅降低最低權限工程的主要障礙,也就是找出環境中系統所需的最低連接埠。即使您並未將本基準中的虛擬私有雲流量記錄建議做為永久安全措施,在探索和工程期間,也應使用這項建議,以取得最低權限安全群組。 價格層級:Enterprise 法規遵循標準:
|
確保各個虛擬私有雲的預設安全性群組會限制所有流量
|
|
發現項目的說明: 檢查 AWS DMS 複製執行個體是否為公開資源。為此,系統會檢查 私人複寫執行個體具有私人 IP 位址,您無法從複寫網路外部存取。如果來源和目標資料庫位於相同網路,複寫執行個體應具備私人 IP 位址。網路也必須使用 VPN、AWS Direct Connect 或 VPC 對等互連,連線至複寫執行個體的 VPC。如要進一步瞭解公開和私有複製執行個體,請參閱 AWS Database Migration Service 使用者指南中的「公開和私有複製執行個體」。 此外,您也應確保只有授權使用者可以存取 AWS DMS 執行個體設定。如要這麼做,請限制使用者修改 AWS DMS 設定和資源的 IAM 權限。 價格層級:Enterprise 法規遵循標準:
|
檢查 AWS Database Migration Service 的複製執行個體是否為公開資源
|
|
發現項目的說明: 建立新的 IAM 使用者時,AWS 主控台預設不會選取任何核取方塊。建立 IAM 使用者憑證時,您必須決定使用者需要的存取權類型。 程式存取權:IAM 使用者可能需要呼叫 API、使用 AWS CLI 或使用適用於 Windows PowerShell 的工具。在這種情況下,請為該使用者建立存取金鑰 (存取金鑰 ID 和存取密鑰)。 AWS 管理主控台存取權:如果使用者需要存取 AWS 管理主控台,請為使用者建立密碼。 價格層級:Enterprise 法規遵循標準:
|
執行初始使用者設定步驟時,不要為擁有控制台密碼的任何 IAM 使用者設定存取金鑰
|
|
發現項目的說明: 這項檢查會確認 Amazon DynamoDB 資料表是否能視需要調整讀取和寫入容量。如果資料表使用隨選容量模式,或已設定自動調整資源配置的佈建模式,這項控制項就會通過。根據需求調度容量可避免發生節流例外狀況,有助於維持應用程式的可用性。 採用隨需容量模式的 DynamoDB 資料表只會受到 DynamoDB 預設資料表配額的總處理量限制。如要提高這些配額,請透過 AWS Support 提交支援單。 在佈建模式下,如果 DynamoDB 資料表啟用自動調度資源功能,系統會根據流量模式動態調整佈建的輸送量容量。如要進一步瞭解 DynamoDB 請求節流,請參閱 Amazon DynamoDB 開發人員指南中的「請求節流和爆量容量」。 價格層級:Enterprise 法規遵循標準:
|
應將 DynamoDB 資料表設為視需求自動調整容量配置
|
|
發現項目的說明: 這項控制項會評估 DynamoDB 資料表是否在備份方案的涵蓋範圍內。如果 DynamoDB 資料表不在備份方案的涵蓋範圍內,這項控制項就會失敗。這項控制項只會評估處於 ACTIVE 狀態的 DynamoDB 資料表。 備份有助於在發生安全性事件後更快復原。同時提升系統的復原力。在備份計畫中加入 DynamoDB 表格,有助於保護資料,避免意外遺失或刪除。 價格層級:Enterprise 法規遵循標準:
|
DynamoDB 資料表應在備份方案的涵蓋範圍內
|
|
發現項目的說明: 時間點復原 (PITR) 是備份 DynamoDB 資料表的機制之一。 時間點備份會保留 35 天。如果需要較長的保留期限,請參閱 AWS 說明文件中的「使用 AWS Backup 設定 Amazon DynamoDB 的排程備份」。 價格層級:Enterprise 法規遵循標準:
|
檢查所有 AWS DynamoDB 資料表,確認是否已啟用時間點復原 (PITR) 功能
|
|
發現項目的說明: 檢查所有 DynamoDB 資料表是否都使用客戶自行管理的 KMS 金鑰 (非預設)。 價格層級:Enterprise 法規遵循標準:
|
檢查所有 DynamoDB 資料表,確認是否已透過 AWS Key Management Service (KMS) 加密
|
|
發現項目的說明: 檢查可進行 EBS 最佳化的 EC2 執行個體是否已啟用 EBS 最佳化功能 價格層級:Enterprise 法規遵循標準:
|
檢查支援 EBS 最佳化的所有執行個體是否已啟用 EBS 最佳化功能
|
|
發現項目的說明: 檢查 Amazon Elastic Block Store 快照是否未公開。如果任何人都能還原 Amazon EBS 快照,這項控制項就會失敗。 EBS 快照可用於在特定時間點將 EBS 磁碟區的資料備份至 Amazon S3。您可以使用快照還原 EBS 磁碟區的先前狀態。通常不適合公開分享快照。通常是誤判或未完全瞭解影響,才決定公開分享快照。這項檢查可確保所有這類共用行為都是經過完整規劃且有意為之。 價格層級:Enterprise 法規遵循標準:
|
Amazon EBS 快照不應設為可公開還原
|
|
發現項目的說明: 使用 Elastic Block Store (EBS) 服務時,Elastic Compute Cloud (EC2) 支援靜態資料加密。雖然預設為停用,但系統支援在建立 EBS 磁碟區時強制加密。 價格層級:Enterprise 法規遵循標準:
|
確保所有區域都已啟用 EBS 磁碟區加密功能
|
|
發現項目的說明: Amazon VPC 提供的安全性功能比 EC2 Classic 更多。建議所有節點都屬於 Amazon VPC。 價格層級:Enterprise 法規遵循標準:
|
確保所有執行個體都在虛擬私有雲中
|
|
發現項目的說明: 具有公開 IP 位址的 EC2 執行個體遭到入侵的風險較高。建議不要為 EC2 執行個體設定公開 IP 位址。 價格層級:Enterprise 法規遵循標準:
|
確保所有執行個體都沒有公開 IP
|
|
發現項目的說明: State Manager 關聯是指派給受管理執行個體的設定。設定會定義您要在執行個體上維護的狀態。舉例來說,關聯可以指定執行個體必須安裝並執行防毒軟體,或是必須關閉特定連接埠。與 AWS Systems Manager 建立關聯的 EC2 執行個體會由 Systems Manager 管理,因此更容易套用修補程式、修正錯誤設定及回應安全事件。 價格層級:Enterprise 法規遵循標準:
|
確認 Amazon Systems Manager 的關聯建立狀態
|
|
發現項目的說明: 這項控制項會檢查在執行關聯後,AWS Systems Manager 關聯合規狀態是否為「COMPLIANT」或「NON_COMPLIANT」。如果關聯的法規遵循狀態為 NON_COMPLIANT,控制項就會失敗。 State Manager 關聯是指派給受管理執行個體的設定。設定會定義您要在執行個體上維護的狀態。舉例來說,關聯可以指定執行個體必須安裝並執行防毒軟體,或必須關閉特定通訊埠。 建立一或多個 State Manager 關聯後,您就能立即取得合規狀態資訊。您可以在控制台或 AWS CLI 指令的回應中,或透過對應的 Systems Manager API 動作,查看合規狀態。如果是關聯,設定法規遵循會顯示法規遵循狀態 (「符合規定」或「不符合規定」)。此外,也會顯示指派給關聯的嚴重性等級,例如「重大」或「中等」。 如要進一步瞭解 State Manager 關聯合規性,請參閱《AWS Systems Manager 使用者指南》中的「About State Manager association compliance」。 價格層級:Enterprise 法規遵循標準:
|
檢查 AWS Systems Manager 修補程式的安裝狀態
|
|
發現項目的說明: 在 AWS EC2 執行個體上啟用中繼資料服務時,使用者可以選擇使用執行個體中繼資料服務第 1 版 (IMDSv1;要求/回應方法) 或執行個體中繼資料服務第 2 版 (IMDSv2;以工作階段為導向的方法)。 價格層級:Enterprise 法規遵循標準:
|
確保 EC2 中繼資料服務僅允許 IMDSv2
|
|
發現項目的說明: 找出並移除 AWS 帳戶中未附加 (未使用) 的 Elastic Block Store (EBS) 磁碟區,以降低每月 AWS 帳單費用。刪除未使用的 EBS 磁碟區也能降低機密/私密資料離開您所在位置的風險。此外,這項控制項也會檢查封存的 EC2 執行個體是否已設定在終止時刪除磁碟區。 根據預設,EC2 執行個體會刪除與執行個體相關聯的任何 EBS 磁碟區中的資料,並刪除執行個體的根 EBS 磁碟區。不過,在啟動或執行期間,附加至執行個體的任何非根 EBS 磁碟區,預設會在終止後保留。 價格層級:Enterprise 法規遵循標準:
|
檢查 EBS 磁碟區是否已連接至 EC2 執行個體,並設定執行個體終止時的刪除功能
|
|
發現項目的說明: Amazon EFS 支援兩種檔案系統加密形式:傳輸中資料加密和靜態資料加密。這項檢查會確認帳戶中所有已啟用區域的 EFS 檔案系統,是否都已設定靜態資料加密機制。 價格層級:Enterprise 法規遵循標準:
|
檢查 EFS 是否已設為使用 KMS 將檔案資料加密
|
|
發現項目的說明: Amazon 最佳做法建議您為 Elastic File System (EFS) 設定備份。這項檢查會針對 AWS 帳戶中每個已啟用的區域,檢查所有 EFS 是否已啟用備份。 價格層級:Enterprise 法規遵循標準:
|
檢查 EFS 檔案系統是否已納入 AWS 備份方案
|
|
發現項目的說明: 檢查傳統版負載平衡器是否使用 AWS Certificate Manager (ACM) 提供的 HTTPS/SSL 憑證。如果設定 HTTPS/SSL 事件監聽器的傳統版負載平衡器未使用 ACM 提供的憑證,這項控制項就會失敗。 如要建立憑證,可以使用 ACM 或支援 SSL 和 TLS 通訊協定的工具,例如 OpenSSL。Security Hub 建議您使用 ACM 為負載平衡器建立或匯入憑證。 ACM 與傳統負載平衡器整合,因此您可以在負載平衡器上部署憑證。您也應該自動續訂這些憑證。 價格層級:Enterprise 法規遵循標準:
|
檢查所有傳統版負載平衡器,確認是否使用 AWS Certificate Manager 提供的 SSL 憑證
|
|
發現項目的說明: 檢查應用程式負載平衡器是否已啟用防刪除功能。如果未設定防刪除功能,控制項就會失敗。 啟用防刪除功能,保護應用程式負載平衡器不遭刪除。 價格層級:Enterprise 法規遵循標準:
|
應啟用應用程式負載平衡器防刪除功能
|
|
發現項目的說明: 這項檢查會確認應用程式負載平衡器和傳統負載平衡器是否已啟用記錄功能。如果 access_logs.s3.enabled 為 false,控制項就會失敗。 Elastic Load Balancing 提供存取記錄,可擷取傳送至負載平衡器的要求詳細資訊。每份記錄都包含要求接收時間、用戶端 IP 位址、延遲時間、要求路徑和伺服器回應等資訊。您可以利用這些存取記錄檔分析流量模式,並排解問題。 詳情請參閱「User Guide for Classic Load Balancers」中的「Access logs for your Classic Load Balancer」。 價格層級:Enterprise 法規遵循標準:
|
檢查傳統版負載平衡器和應用程式負載平衡器,確認是否已啟用記錄功能
|
|
發現項目的說明: 這項檢查可確保所有傳統版負載平衡器都已設定為使用安全通訊。 接聽程式是檢查連線要求的程序。並設定前端 (用戶端到負載平衡器) 連線的通訊協定和通訊埠,以及後端 (負載平衡器到執行個體) 連線的通訊協定和通訊埠。如要瞭解 Elastic Load Balancing 支援的通訊埠、通訊協定和接聽器設定,請參閱「傳統型負載平衡器的接聽器」。 價格層級:Enterprise 法規遵循標準:
|
檢查是否所有傳統版負載平衡器都已設定 SSL 或 HTTPS 事件監聽器
|
|
發現項目的說明: 檢查處於已連線狀態的 EBS 磁碟區是否已加密。如要通過這項檢查,EBS 磁碟區必須正在使用中,且已加密。如果 EBS 磁碟區未附加,則不受這項檢查影響。 如要為 EBS 磁碟區中的機密資料提供額外一層安全防護,請啟用 EBS 靜態加密功能。Amazon EBS 加密功能為 EBS 資源提供簡單的加密解決方案,您不必自行建構、維護及保護金鑰管理基礎架構。建立加密磁碟區和快照時,會使用 KMS 金鑰。 如要進一步瞭解 Amazon EBS 加密,請參閱《Amazon EC2 User Guide for Linux Instances》中的「Amazon EBS encryption」。 價格層級:Enterprise 法規遵循標準:
|
應為連接的 Amazon EBS 磁碟區設定靜態資料加密機制
|
|
發現項目的說明: Amazon RDS 加密資料庫執行個體會使用業界標準的 AES-256 加密演算法,在代管 Amazon RDS 資料庫執行個體的伺服器上加密資料。資料加密後,Amazon RDS 會以公開透明的方式處理存取驗證和資料解密作業,對效能的影響極小。 價格層級:Enterprise 法規遵循標準:
|
確保 RDS 執行個體已啟用靜態資料加密機制
|
|
發現項目的說明: EFS 資料應使用 AWS KMS (Key Management Service) 加密靜態資料。 價格層級:Enterprise 法規遵循標準:
|
確保 EFS 檔案系統已啟用加密機制
|
|
發現項目的說明: AWS 允許您在 AWS 帳戶中自訂密碼政策,指定 IAM 使用者密碼的複雜度規定和強制輪替週期。如果您未設定自訂密碼政策,IAM 使用者密碼就必須符合 AWS 預設密碼政策。AWS 安全防護最佳做法建議採用下列密碼複雜度規定:
這項操作會檢查是否符合所有指定的密碼政策規定。 價格層級:Enterprise 法規遵循標準:
|
檢查 IAM 使用者的帳戶密碼政策是否符合指定規定
|
|
發現項目的說明: IAM 密碼政策可禁止同一位使用者重複使用特定密碼。建議密碼政策禁止重複使用密碼。 價格層級:Enterprise 法規遵循標準:
|
確保 IAM 密碼政策禁止重複使用密碼
|
|
發現項目的說明: 密碼政策的部分用途是強制執行密碼複雜度規定。IAM 密碼政策可確保密碼至少達到指定長度。建議密碼政策規定的密碼長度下限為 14 個字元。 價格層級:Enterprise 法規遵循標準:
|
確保 IAM 密碼政策規定的長度下限為 14 個字元以上
|
|
發現項目的說明: 身分與存取權管理政策是授予使用者、群組或角色權限的方式。建議您授予最低權限,也就是只授予執行工作所需的權限,這也是標準的安全建議。判斷使用者需要執行的工作,然後為他們制定政策,讓使用者只能執行這些工作,而非授予完整管理員權限。 價格層級:Enterprise 法規遵循標準:
|
確保未附加允許完整「*:*」管理員權限的 IAM 政策
|
|
發現項目的說明: IAM 使用者可透過 IAM 政策取得服務、函式和資料的存取權。您可以透過四種方式為使用者定義政策:1) 直接編輯使用者政策 (又稱內嵌或使用者政策);2) 直接將政策附加至使用者;3) 將使用者新增至附加政策的 IAM 群組;4) 將使用者新增至附加內嵌政策的 IAM 群組。 建議您只採用第三種做法。 價格層級:Enterprise 法規遵循標準:
|
確保 IAM 使用者僅透過群組接收權限
|
|
發現項目的說明: 為遵循 IAM 安全性最佳做法,IAM 使用者一律應加入 IAM 群組。 將使用者加入群組後,即可在不同類型的使用者之間共用政策。 價格層級:Enterprise 法規遵循標準:
|
檢查 IAM 使用者是否至少加入一個 IAM 群組
|
|
發現項目的說明: 多重驗證 (MFA) 是一種最佳做法,除了使用者名稱和密碼之外,還能提供額外的保護層。啟用多重驗證後,使用者登入 AWS 管理主控台時,必須提供註冊虛擬或實體裝置產生的時效性驗證碼。 價格層級:Enterprise 法規遵循標準:
|
檢查 AWS IAM 使用者是否已啟用多重驗證 (MFA)
|
|
發現項目的說明: 這項檢查會找出過去 90 天內未使用的 IAM 密碼或有效存取金鑰。 最佳做法建議您移除、停用或輪替所有 90 天以上未使用的憑證。這樣一來,與遭盜用或已停用帳戶相關聯的憑證,就不會被有心人士利用。 價格層級:Enterprise 法規遵循標準:
|
檢查所有 AWS IAM 使用者,確認是否擁有密碼或有效的存取金鑰,而且過去 maxCredentialUsageAge 天 (預設為 90 天) 內均未使用這類存取金鑰
|
|
發現項目的說明: 這項控制項會檢查 KMS 金鑰是否已排定刪除時間。如果 KMS 金鑰已排定刪除時間,這項控制項就會失敗。 KMS 金鑰刪除後即無法復原。如果刪除 KMS 金鑰,以該金鑰加密的資料也將永久無法復原。如果重要資料已使用排定刪除的 KMS 金鑰加密,請考慮解密資料或使用新的 KMS 金鑰重新加密資料,除非您有意執行加密清除作業。 排定刪除 KMS 金鑰時,系統會強制執行等待期,以便在排定刪除作業時發生錯誤時,有時間撤銷刪除作業。預設等待期為 30 天,但如果 KMS 金鑰已排定刪除時間,等待期最短可縮短至 7 天。等待期間可以取消排定刪除作業,KMS 金鑰不會遭到刪除。 如要進一步瞭解如何刪除 KMS 金鑰,請參閱《AWS Key Management Service 開發人員指南》中的「刪除 KMS 金鑰」。 價格層級:Enterprise 法規遵循標準:
|
確認沒有安排刪除任何 CMK
|
|
發現項目的說明: 檢查 Lambda 函式是否設有函式層級的並行執行限制。如果 Lambda 函式未設定函式層級的並行執行限制,規則就會顯示為「不符合規定」。 價格層級:Enterprise 法規遵循標準: 這個發現項目類別未對應至任何法規遵循標準控制項。 |
檢查 Lambda 函式是否設有函式層級的並行執行限制
|
|
發現項目的說明: 檢查 Lambda 函式是否已設定無效信件佇列。如果 Lambda 函式未設定無效信件佇列,規則就會顯示為 NON_COMPLIANT。 價格層級:Enterprise 法規遵循標準:
|
檢查 Lambda 函式是否已設為使用無效信件佇列
|
|
發現項目的說明: 根據 AWS 最佳做法,Lambda 函式不應公開。這項政策會檢查帳戶中所有已啟用區域部署的所有 Lambda 函式,如果函式設定允許公開存取,就會檢查失敗。 價格層級:Enterprise 法規遵循標準:
|
檢查附加至 Lambda 函式的政策是否禁止公開存取
|
|
發現項目的說明: 檢查 Lambda 函式是否位於虛擬私有雲中。您可能會看到 Lambda@Edge 資源的失敗發現項目。 不會評估虛擬私有雲子網路轉送設定,判斷是否可公開連線。 價格層級:Enterprise 法規遵循標準:
|
檢查 Lambda 函式是否存在於虛擬私有雲中
|
|
發現項目的說明: 在機密和分類的 S3 值區啟用 MFA Delete 後,使用者必須通過兩種形式的驗證。 價格層級:Enterprise 法規遵循標準:
|
確保 S3 值區已啟用 MFA Delete
|
|
發現項目的說明: 「根」使用者帳戶是 AWS 帳戶中權限最高的使用者。多重驗證 (MFA) 除了使用者名稱和密碼外,還會提供額外的保護層。啟用多重驗證後,使用者登入 AWS 網站時,系統會提示他們輸入使用者名稱和密碼,以及 AWS 多重驗證裝置的驗證碼。 注意:如果虛擬 MFA 用於「根」帳戶,建議不要使用個人裝置,而是專用的行動裝置 (平板電腦或手機),並確保裝置電量充足且安全無虞,不受任何個人裝置影響。(「非個人虛擬 MFA」),可降低因裝置遺失、以舊換新,或裝置擁有者已離職而無法存取 MFA 的風險。 價格層級:Enterprise 法規遵循標準:
|
確保「超級」使用者帳戶已啟用 MFA
|
|
發現項目的說明: 多重驗證 (MFA) 除了傳統憑證外,還提供額外的驗證保障。啟用多重驗證後,使用者登入 AWS 控制台時,系統會提示他們輸入使用者名稱和密碼,以及實體或虛擬多重驗證權杖的驗證碼。建議您為所有設有控制台密碼的帳戶啟用 MFA。 價格層級:Enterprise 法規遵循標準:
|
確保擁有控制台密碼的所有 IAM 使用者均已啟用多重驗證 (MFA)
|
|
發現項目的說明: 網路存取控制清單 (NACL) 功能可對 AWS 資源的輸入和輸出網路流量進行無狀態篩選。建議不要使用 TDP (6)、UDP (17) 或 ALL (-1) 通訊協定,允許 NACL 無限制地輸入存取遠端伺服器管理通訊埠,例如 SSH 至通訊埠 價格層級:Enterprise 法規遵循標準:
|
確保沒有任何網路 ACL 允許從 0.0.0.0/0 至遠端伺服器管理通訊埠的 ingress
|
|
發現項目的說明: 「根」使用者帳戶是 AWS 帳戶中權限最高的使用者。AWS 存取金鑰可提供特定 AWS 帳戶的程式輔助存取權。建議您刪除與「超級」使用者帳戶相關聯的所有存取金鑰。 價格層級:Enterprise 法規遵循標準:
|
確保沒有「超級」使用者帳戶存取金鑰
|
|
發現項目的說明: 安全性群組可對 AWS 資源的輸入和輸出網路流量進行有狀態的篩選。建議不要使用 TDP (6)、UDP (17) 或 ALL (-1) 通訊協定,允許無限制的輸入存取權至遠端伺服器管理通訊埠,例如 SSH 至通訊埠 價格層級:Enterprise 法規遵循標準:
|
確保沒有任何安全性群組允許流量從 0.0.0.0/0 輸入至遠端伺服器管理通訊埠
|
|
發現項目的說明: 安全性群組可對 AWS 資源的輸入和輸出網路流量進行有狀態的篩選。建議不要讓任何安全性群組無限制地存取遠端伺服器管理通訊埠,例如透過 SSH 存取通訊埠 價格層級:Enterprise 法規遵循標準:
|
確保沒有任何安全性群組允許流量從 ::/0 輸入至遠端伺服器管理通訊埠
|
|
發現項目的說明: 存取金鑰是 IAM 使用者或 AWS 帳戶「超級」使用者的長期憑證。您可以使用存取金鑰,簽署對 AWS CLI 或 AWS API 的程式輔助請求 (直接或使用 AWS SDK) 價格層級:Enterprise 法規遵循標準:
|
確保任一 IAM 使用者都只能取得一組有效的存取金鑰
|
|
發現項目的說明: 請確保並驗證 AWS 帳戶中佈建的 RDS 資料庫執行個體會限制未經授權的存取,以盡量降低安全風險。如要限制對任何可公開存取的 RDS 資料庫執行個體的存取權,您必須停用資料庫的「Publicly Accessible」旗標,並更新與執行個體相關聯的 VPC 安全性群組。 價格層級:Enterprise 法規遵循標準:
|
確保未將公開存取權授予 RDS 執行個體
|
|
發現項目的說明: 強化監控功能會在執行個體中安裝代理程式,藉此提供 RDS 執行個體所執行作業系統的即時指標。 詳情請參閱「使用強化監控功能監控 OS 指標」。 價格層級:Enterprise 法規遵循標準:
|
檢查所有 RDS 資料庫執行個體是否已啟用強化版監控功能
|
|
發現項目的說明: 啟用執行個體防刪除功能後,可進一步防範資料庫遭意外刪除,或遭未經授權的實體刪除。 啟用防刪除功能後,就無法刪除 RDS 資料庫執行個體。您必須先停用防刪除功能,才能成功提出刪除要求。 價格層級:Enterprise 法規遵循標準:
|
檢查所有 RDS 執行個體是否已啟用防刪除功能
|
|
發現項目的說明: 這項檢查會評估 Amazon RDS 資料庫執行個體是否在備份方案的涵蓋範圍內。如果 RDS 資料庫執行個體不在備份方案的涵蓋範圍內,這項控制項就會失敗。 AWS Backup 是一項全代管備份服務,可集中管理及自動備份 AWS 服務中的資料。您可以使用 AWS Backup 建立備份政策,也就是備份方案。這些方案可定義備份需求,例如備份資料的頻率,以及備份的保留時間。將 RDS 資料庫執行個體納入備份方案,有助於保護資料,避免意外遺失或刪除。 價格層級:Enterprise 法規遵循標準:
|
RDS 資料庫執行個體應在備份方案的涵蓋範圍內
|
|
發現項目的說明: 這項檢查會確認 Amazon RDS 的下列記錄是否已啟用並傳送至 CloudWatch。 RDS 資料庫應啟用相關記錄。資料庫記錄會詳細登錄對 RDS 發送的要求。資料庫記錄可協助進行安全性與存取稽核,並診斷可用性問題。 價格層級:Enterprise 法規遵循標準:
|
檢查所有 RDS 資料庫執行個體是否已啟用匯出的記錄檔
|
|
發現項目的說明: RDS 資料庫執行個體應設定多個可用區 (AZ)。確保儲存的資料可用。如果可用區發生問題,或是在 RDS 例行維護期間,多可用區部署作業可自動執行容錯移轉。 價格層級:Enterprise 法規遵循標準:
|
檢查所有 RDS 資料庫執行個體是否已啟用高可用性設定
|
|
發現項目的說明: 這項檢查會確認 Redshift 叢集的重要元素:靜態資料加密、記錄功能和節點類型。 這些設定項目對於維護安全且可觀察的 Redshift 叢集至關重要。 價格層級:Enterprise 法規遵循標準:
|
確認所有 Redshift 叢集是否已有靜態資料加密機制、記錄功能和節點類型。
|
|
發現項目的說明: 系統會根據維護期間自動升級主要版本 價格層級:Enterprise 法規遵循標準:
|
確認所有 Redshift 叢集是否已啟用 allowVersionUpgrade,並設定了 preferredMaintenanceWindow 和 automatedSnapshotRetentionPeriod
|
|
發現項目的說明: Amazon Redshift 叢集設定的 PubliclyAccessible 屬性會指出叢集是否可公開存取。如果叢集設定為 PubliclyAccessible = true,就是面向網際網路的執行個體,具有可公開解析的 DNS 名稱,會解析為公開 IP 位址。 如果叢集無法公開存取,則為內部執行個體,DNS 名稱會解析為私人 IP 位址。除非您打算公開存取叢集,否則不應將叢集設定為 PubliclyAccessible = true。 價格層級:Enterprise 法規遵循標準:
|
檢查 Redshift 叢集是否開放公開存取
|
|
發現項目的說明: 這項檢查會確認安全性群組是否允許未受限制的連入流量,存取風險最高的指定通訊埠。如果安全性群組中的任何規則允許來自「0.0.0.0/0」或「::/0」的傳入流量,這項控制項就會失敗。 無限制存取 (0.0.0.0/0) 會增加惡意活動的機會,例如駭客入侵、阻斷服務攻擊和資料遺失。 安全性群組可對 AWS 資源的輸入和輸出網路流量進行有狀態的篩選。任何安全性群組都不應允許無限制地輸入下列通訊埠:
價格層級:Enterprise 法規遵循標準:
|
不應讓安全性群組未設定任何限制,即允許存取高風險的通訊埠
|
|
發現項目的說明: 安全性群組可對 AWS 資源的輸入和輸出網路流量進行有狀態的篩選。 CIS 建議不要讓任何安全性群組未設任何限制,即允許輸入存取通訊埠 22。移除與遠端控制台服務 (例如 SSH) 的無限制連線,可降低伺服器面臨的風險。 價格層級:Enterprise 法規遵循標準:
|
不建議讓安全性群組允許流量從 0.0.0.0/0 輸入至通訊埠 22
|
|
發現項目的說明: 檢查是否已為每個金鑰啟用自動金鑰輪替功能,並與客戶建立的 AWS KMS 金鑰的金鑰 ID 相符。如果資源的 AWS Config 記錄器角色沒有 kms:DescribeKey 權限,該規則會顯示為「NON_COMPLIANT」。 價格層級:Enterprise 法規遵循標準: 這個發現項目類別未對應至任何法規遵循標準控制項。 |
確保已為客戶建立的 CMK 啟用輪替功能
|
|
發現項目的說明: AWS Key Management Service (KMS) 可讓客戶輪替支援金鑰,也就是儲存在 KMS 內且與客戶建立的客戶主金鑰 (CMK) 金鑰 ID 相關聯的金鑰內容。這是用來執行加密和解密等加密作業的支援金鑰。自動金鑰輪替目前會保留所有先前的備份金鑰,以便透明解密加密資料。建議您為對稱金鑰啟用 CMK 金鑰輪替功能。您無法為任何非對稱 CMK 啟用金鑰輪替功能。 價格層級:Enterprise 法規遵循標準:
|
確保已為客戶建立的對稱式 CMK 啟用輪替功能
|
|
發現項目的說明: 檢查虛擬私有雲對等互連的路由表是否已設定最少權限主體。 價格層級:Enterprise 法規遵循標準: 這個發現項目類別未對應至任何法規遵循標準控制項。 |
確保虛擬私有雲對接的轉送表格已設為「最低存取權」
|
|
發現項目的說明: Amazon S3 封鎖公開存取功能提供存取點、儲存貯體和帳戶的設定,協助您管理 Amazon S3 資源的公開存取權。根據預設,新的值區、存取點和物件不允許公開存取。 價格層級:Enterprise 法規遵循標準: 這個發現項目類別未對應至任何法規遵循標準控制項。 |
檢查是否已在帳戶層級設置所需的 S3 公開存取封鎖設定
|
|
發現項目的說明: Amazon S3 提供 價格層級:Enterprise 法規遵循標準:
|
確認 S3 儲存貯體已設定
|
|
發現項目的說明: S3 Bucket Access Logging 會產生記錄,其中包含對 S3 bucket 發出的每項要求存取記錄。存取記錄包含要求的詳細資料,例如要求類型、要求中指定的資源,以及處理要求的時間和日期。建議您在 CloudTrail S3 儲存空間啟用儲存空間存取記錄功能。 價格層級:Enterprise 法規遵循標準:
|
確保 CloudTrail S3 儲存貯體已啟用 S3 儲存貯體存取記錄功能
|
|
發現項目的說明: AWS S3 伺服器存取記錄功能會記錄對儲存空間值區的存取要求,有助於進行安全稽核。根據預設,系統不會為 S3 儲存貯體啟用伺服器存取記錄功能。 價格層級:Enterprise 法規遵循標準:
|
確認所有 S3 值區均已啟用記錄功能
|
|
發現項目的說明: 在 Amazon S3 值區層級,您可以透過值區政策設定權限,確保物件只能透過 HTTPS 存取。 價格層級:Enterprise 法規遵循標準:
|
確認 S3 值區政策已設為拒絕 HTTP 要求
|
|
發現項目的說明: 這項控制項會檢查 Amazon S3 值區是否已啟用跨區域複製功能。如果值區未啟用跨區域複製功能,或同時啟用同區域複製功能,控制項就會失敗。 複製作業是指在相同或不同 AWS 區域中,自動以非同步方式複製值區中的物件。複寫功能會將來源值區中新建立的物件和物件更新,複製到一或多個目的地值區。AWS 最佳做法建議,來源和目的地儲存貯體應由同一個 AWS 帳戶擁有,並進行複製。除了可用性之外,您也應考慮其他系統強化設定。 價格層級:Enterprise 法規遵循標準:
|
確認 S3 值區已啟用跨區域複製功能
|
|
發現項目的說明: 這項檢查會確認 S3 值區已啟用 Amazon S3 預設加密,或 S3 值區政策明確拒絕不含伺服器端加密的 put-object 要求。 價格層級:Enterprise 法規遵循標準:
|
確認所有 S3 值區都採用靜態資料加密機制
|
|
發現項目的說明: Amazon S3 可在同一個值區中保留物件的多個變體,協助您從非預期的使用者動作和應用程式故障中更輕鬆地復原。 價格層級:Enterprise 法規遵循標準:
|
確認所有 S3 值區均已啟用版本管理功能
|
|
發現項目的說明: 檢查 Amazon S3 值區是否已透過 AWS Key Management Service (AWS KMS) 加密 價格層級:Enterprise 法規遵循標準:
|
確認所有值區都是以 KMS 加密
|
|
發現項目的說明: 檢查 Amazon SageMaker 筆記本執行個體是否已設定 AWS Key Management Service (AWS KMS) 金鑰。如果未指定 SageMaker 筆記本執行個體的「KmsKeyId」,規則會顯示「NON_COMPLIANT」。 價格層級:Enterprise 法規遵循標準:
|
確認所有 SageMaker 筆記本執行個體均設為使用 KMS
|
|
發現項目的說明: 檢查 SageMaker 筆記本執行個體是否已停用直接網際網路存取權。為此,這項規則會檢查筆記本執行個體的 DirectInternetAccess 欄位是否已停用。 如果您設定 SageMaker 執行個體時未指定虛擬私有雲,系統預設會啟用執行個體的直接網際網路存取權。您應使用虛擬私有雲設定執行個體,並將預設設定變更為「停用 - 透過虛擬私有雲存取網際網路」。 如要從筆記本訓練或代管模型,您必須連上網際網路。如要啟用網際網路存取權,請確認 VPC 具有 NAT 閘道,且安全性群組允許輸出連線。如要進一步瞭解如何將筆記本執行個體連線至虛擬私有雲中的資源,請參閱《Amazon SageMaker 開發人員指南》中的「將筆記本執行個體連線至虛擬私有雲中的資源」。 此外,請務必確保只有授權使用者可以存取 SageMaker 設定。限制使用者修改 SageMaker 設定和資源的身分與存取權管理權限。 價格層級:Enterprise 法規遵循標準:
|
檢查所有 Amazon SageMaker 筆記本執行個體,確認是否已停用直接網際網路存取權
|
|
發現項目的說明: 檢查儲存在 AWS Secrets Manager 中的密鑰是否已設定自動輪替。如果密鑰未設定自動輪替,這項控制項就會失敗。如果您為 Secrets Manager 可協助您提升機構的安全防護機制。密鑰包括資料庫憑證、密碼和第三方 API 金鑰。您可以使用 Secrets Manager 集中儲存密鑰、自動加密密鑰、控管密鑰存取權,以及安全地自動輪替密鑰。 Secret Manager 可以輪替密鑰。您可以透過輪替,以短期密鑰取代長期密鑰。輪替密鑰可限制未經授權的使用者使用遭盜用密鑰的時間。因此,您應經常輪替密鑰。如要進一步瞭解輪替作業,請參閱 AWS Secrets Manager 使用手冊中的「Rotating your AWS Secrets Manager secrets」。 價格層級:Enterprise 法規遵循標準:
|
檢查是否所有 AWS Secrets Manager 密鑰均已啟用輪替功能
|
|
發現項目的說明: 檢查 SNS 主題是否使用 AWS KMS 加密靜態資料。如果 SNS 主題未使用 KMS 金鑰進行伺服器端加密 (SSE),控制項就會失敗。 加密靜態資料可降低未通過 AWS 驗證的使用者存取磁碟上儲存資料的風險。此外,還會新增另一組存取權控管措施,限制未經授權的使用者存取資料。舉例來說,您必須具備 API 權限,才能解密資料並讀取內容。SNS 主題應設定靜態資料加密機制,以提升安全性。 價格層級:Enterprise 法規遵循標準:
|
檢查是否所有 SNS 主題均以 KMS 加密
|
|
發現項目的說明: 這項控制項會檢查虛擬私有雲的預設安全性群組是否允許傳入或傳出流量。如果安全性群組允許輸入或輸出流量,這項控制項就會失敗。 預設安全性群組的規則允許來自網路介面 (以及相關聯的執行個體) 的所有輸出和輸入流量,這些網路介面會指派給同一個安全性群組。建議您不要使用預設安全群組。由於預設安全性群組無法刪除,您應變更預設安全性群組規則設定,限制輸入和輸出流量。如果預設安全性群組意外設定給 EC2 執行個體等資源,這項措施可防止發生非預期的流量。 價格層級:Enterprise 法規遵循標準:
|
確保各個虛擬私有雲的預設安全性群組會限制所有流量
|
|
發現項目的說明: 虛擬私有雲流量記錄功能可擷取虛擬私有雲網路介面往來 IP 流量的相關資訊。建立流量記錄後,您可以在 Amazon CloudWatch Logs 中查看及擷取流量記錄資料。建議您為虛擬私有雲啟用封包「拒絕」的虛擬私有雲流量記錄。 價格層級:Enterprise 法規遵循標準:
|
確保所有虛擬私有雲已啟用虛擬私有雲流量記錄功能
|
|
發現項目的說明: 這項控制項會檢查 Amazon EC2 安全性群組是否允許來自未經授權通訊埠的不受限制輸入流量。控制項狀態的判斷方式如下: 如果您使用 authorizedTcpPorts 的預設值,且安全性群組允許來自通訊埠 80 和 443 以外的任何通訊埠,則控制項會失敗。 如果您為 authorizedTcpPorts 或 authorizedUdpPorts 提供自訂值,且安全性群組允許來自任何未列出通訊埠的無限制輸入流量,控制項就會失敗。 如果未使用任何參數,凡是具有不受限制的輸入流量規則的安全性群組,控制項都會失敗。 安全性群組可對進出 AWS 的網路流量進行有狀態的篩選。安全群組規則應遵循最低權限存取原則。無限制存取 (IP 位址加上 /0 後置字元) 會增加惡意活動的機會,例如駭客入侵、阻斷服務攻擊和資料遺失。除非明確允許,否則通訊埠應拒絕無限制存取。 價格層級:Enterprise 法規遵循標準:
|
檢查所有虛擬私有雲中有 0.0.0.0/0 的安全性群組,確認是否僅允許特定的傳入 TCP/UDP 流量
|
|
發現項目的說明: VPN 通道是加密連結,可讓資料在 AWS 站對站 VPN 連線中,從客戶網路傳輸至 AWS 或從 AWS 傳輸至客戶網路。每條 VPN 連線都包含兩條 VPN 通道,可同時用於高可用性。確保 VPN 連線的兩個 VPN 通道都處於運作中狀態,對於確認 AWS VPC 與遠端網路之間的安全且高可用性連線至關重要。 這項控制項會檢查 AWS Site-to-Site VPN 提供的兩個 VPN 通道是否都處於 UP 狀態。如果其中一條或兩條通道處於 DOWN 狀態,控制項就會失敗。 價格層級:Enterprise 法規遵循標準:
|
確認 AWS Site-to-Site 提供的兩個 AWS VPN 通道都處於運作中狀態
|
Web Security Scanner 發現項目
Web Security Scanner 自訂和代管掃描會找出下列類型的發現項目。如果已部署的應用程式使用不受防火牆保護的公開網址和 IP,Standard 級的 Web Security Scanner 即可在這類應用程式中執行自訂掃描。
| 類別 | 發現項目的說明 | 發現項目類別 | OWASP 2017 前 10 大 | OWASP 2021 前 10 大 |
|---|---|---|---|---|
|
Git 存放區公開。如要解決這項發現,請移除 GIT 存放區的非預期公開存取權。 定價層級:進階或標準 |
安全漏洞 | A5 | A01 |
|
SVN 存放區公開顯示。如要解決這項發現,請移除 SVN 存放區的非預期公開存取權。 定價層級:進階或標準 |
安全漏洞 | A5 | A01 |
|
ENV 檔案公開顯示。如要解決這項發現,請移除 ENV 檔案的公開非預期存取權。 定價層級:進階或標準 |
安全漏洞 | A5 | A01 |
|
在網頁應用程式中輸入的密碼可能會快取在一般瀏覽器快取中,而非安全的密碼儲存空間。 價格方案:進階 |
安全漏洞 | A3 | A04 |
|
密碼是以純文字格式傳輸,因此可能會遭到攔截。如要解決這項發現,請將透過網路傳輸的密碼加密。 定價層級:進階或標準 |
安全漏洞 | A3 | A02 |
|
跨網站 HTTP 或 HTTPS 端點只會驗證 價格方案:進階 |
安全漏洞 | A5 | A01 |
|
跨網站 HTTP 或 HTTPS 端點只會驗證 價格方案:進階 |
安全漏洞 | A5 | A01 |
|
載入的資源與回應的 Content-Type HTTP 標頭不符。如要解決這項問題,請使用正確的值設定 定價層級:進階或標準 |
安全漏洞 | A6 | A05 |
|
安全性標頭有語法錯誤,因此瀏覽器會忽略該標頭。如要解決這項發現,請正確設定 HTTP 安全性標頭。 定價層級:進階或標準 |
安全漏洞 | A6 | A05 |
|
安全性標頭重複,且值不相符,導致未定義的行為。 如要解決這項問題,請正確設定 HTTP 安全性標頭。 定價層級:進階或標準 |
安全漏洞 | A6 | A05 |
|
安全性標頭拼字有誤,因此遭到忽略。如要解決這項問題,請正確設定 HTTP 安全性標頭。 定價層級:進階或標準 |
安全漏洞 | A6 | A05 |
|
HTTPS 網頁透過 HTTP 提供資源。如要解決這項發現,請確保所有資源都是透過 HTTPS 提供。 定價層級:進階或標準 |
安全漏洞 | A6 | A05 |
|
系統偵測到含有已知安全漏洞的程式庫。如要解決這項發現,請將程式庫升級至較新版本。 定價層級:進階或標準 |
安全漏洞 | A9 | A06 |
|
系統偵測到伺服器端偽造要求 (SSRF) 安全漏洞。如要解決這項問題,請使用許可清單,限制網頁應用程式可提出要求的網域和 IP 位址。 定價層級:進階或標準 |
安全漏洞 | 不適用 | A10 |
|
提出跨網域要求時,網路應用程式會在 價格方案:進階 |
安全漏洞 | A2 | A07 |
|
系統偵測到潛在的 SQL 注入安全漏洞。如要解決這項問題,請使用參數化查詢,避免使用者輸入內容影響 SQL 查詢的結構。 價格方案:進階 |
安全漏洞 | A1 | A03 |
|
系統偵測到您使用容易遭受攻擊的 Apache Struts 版本。如要解決這項發現,請將 Apache Struts 升級至最新版本。 價格方案:進階 |
安全漏洞 | A8 | A08 |
|
這個網頁應用程式的某個欄位容易遭受跨網站指令碼攻擊 (XSS)。如要解決這項發現,請驗證及排除不受信任使用者提供的資料。 定價層級:進階或標準 |
安全漏洞 | A7 | A03 |
|
使用者提供的字串未經過逸出處理,AngularJS 可以內插該字串。如要解決這項問題,請驗證及排除不受信任使用者提供並以 Angular 架構處理的資料。 定價層級:進階或標準 |
安全漏洞 | A7 | A03 |
|
這個網頁應用程式中的某個欄位容易遭受跨網站指令碼攻擊。如要解決這項發現,請驗證及排除不受信任使用者提供的資料。 定價層級:進階或標準 |
安全漏洞 | A7 | A03 |
|
系統偵測到 XML 外部實體 (XXE) 安全漏洞。這個漏洞可能會導致網頁應用程式洩漏主機上的檔案。如要解決這項問題,請將 XML 剖析器設為禁止外部實體。 價格方案:進階 |
安全漏洞 | A4 | A05 |
|
應用程式容易受到原型污染攻擊。如果可將攻擊者可控的值指派給 定價層級:進階或標準 |
安全漏洞 | A1 | A03 |
|
系統偵測到設定錯誤的 HTTP 嚴格傳輸安全性 (HSTS) 標頭。如要大幅降低 HTTP 連線遭到降級和竊聽攻擊的風險,請修正設定錯誤的 HSTS 標頭。HSTS 標頭會透過加密管道 (TLS) 強制連線,因此明文 HTTP 連線會失敗。進一步瞭解 HTTP 嚴格傳輸安全性標頭
價格方案:進階 |
設定錯誤 | 不適用 | 不適用 |
|
系統偵測到缺少內容安全政策 (CSP) HTTP 回應標頭。CSP 標頭可防止載入不受信任的指令碼或外掛程式,藉此防範常見的網路安全漏洞遭到利用,尤其是跨網站指令碼攻擊 (XSS)。建議使用嚴格的 CSP 標頭。進一步瞭解 CSP 標頭
價格方案:進階 |
設定錯誤 | 不適用 | 不適用 |
|
系統偵測到設定錯誤的內容安全政策 (CSP) HTTP 回應標頭。CSP 標頭可防止載入不受信任的指令碼或外掛程式,藉此降低常見網頁安全漏洞 (尤其是跨網站指令碼攻擊 XSS) 遭到利用的風險。建議使用嚴格的 CSP 標頭。進一步瞭解 CSP 標頭
價格方案:進階 |
設定錯誤 | 不適用 | 不適用 |
|
系統偵測到缺少跨來源開啟者政策 (COOP) HTTP 標頭。COOP 是一種網頁安全機制,可限制在新視窗中開啟的網頁存取原始網頁的屬性。COOP 可提供強大的防護層,抵禦常見的網路攻擊。
價格方案:進階 |
設定錯誤 | 不適用 | 不適用 |
|
系統偵測到缺少回應標頭。如要防範點擊劫持,請實作 HTTP 回應標頭,例如
價格方案:進階 |
設定錯誤 | 不適用 | 不適用 |
Notebook Security Scanner 發現項目
筆記本安全掃描器會偵測 Colab Enterprise 筆記本中使用的 Python 套件相關安全漏洞,並將這些漏洞發布至「套件安全漏洞」類別。
套件安全漏洞發現結果會顯示已知有安全漏洞的套件版本詳細資料。特定版本的 Python 套件可能有多項套件安全漏洞發現結果,每項結果都對應到不同的已知安全漏洞。
如要解決套件安全漏洞,請使用建議的套件版本 (請參閱安全漏洞的「後續步驟」一節)。
詳情請參閱「啟用及使用 Notebook Security Scanner」。
IAM 建議工具發現項目
下表列出 IAM 建議工具產生的 Security Command Center 發現項目。
每項 IAM 建議工具的發現事項都包含具體建議,可從Google Cloud 環境中的主體移除或替換掉包含過多權限的角色。
IAM 建議工具產生的發現項目,會對應到受影響專案、資料夾或機構的 Google Cloud 控制台「IAM」頁面中顯示的建議。
如要進一步瞭解如何將 IAM 建議工具與 Security Command Center 整合,請參閱安全性來源。
| 偵測工具 | 摘要 |
|---|---|
|
發現說明:IAM 建議工具偵測到服務帳戶有一或多個 IAM 角色,對使用者帳戶授予超額權限。 價格方案:進階 支援的素材資源:
修正這項發現 : 如要使用 IAM 建議工具套用建議的修正措施,請按照下列步驟操作:
問題修正後,IAM 建議工具會在 10 天內將發現項目的狀態更新為 |
|
發現說明:IAM 建議工具偵測到服務代理原始預設的 IAM 角色,已替換為基本的 IAM 角色,包括擁有者、編輯者或檢視者。基本角色是權限過於寬鬆的舊版角色,不應授予服務代理。 價格方案:進階 支援的素材資源:
修正這項發現 : 如要使用 IAM 建議工具套用建議的修正措施,請按照下列步驟操作:
問題修正後,IAM 建議工具會在 10 天內將發現項目的狀態更新為 |
|
發現項目說明: IAM 建議工具偵測到服務代理已獲派基本 IAM 角色:擁有者、編輯者或檢視者。 基本角色是權限過於寬鬆的舊版角色,不應授予服務代理。 價格方案:進階 支援的素材資源:
修正這項發現 : 如要使用 IAM 建議工具套用建議的修正措施,請按照下列步驟操作:
問題修正後,IAM 建議工具會在 10 天內將發現項目的狀態更新為 |
|
發現說明:IAM 建議引擎偵測到使用者帳戶有過去 90 天內未使用的 IAM 角色。 價格方案:進階 支援的素材資源:
修正這項發現 : 如要使用 IAM 建議工具套用建議的修正措施,請按照下列步驟操作:
問題修正後,IAM 建議工具會在 10 天內將發現項目的狀態更新為 |
CIEM 發現項目
下表列出 Cloud Infrastructure Entitlement Management (CIEM) 針對 AWS 產生的 Security Command Center 身分與存取權探索結果。
CIEM 發現結果包含具體建議,可移除或取代與 AWS 環境中已承擔身分、使用者或群組相關聯的寬鬆 AWS IAM 政策。
如要進一步瞭解 CIEM,請參閱「Cloud Infrastructure Entitlement Management 總覽」。
| 偵測工具 | 摘要 |
|---|---|
|
發現項目說明:在 AWS 環境中,CIEM 偵測到已承擔的 IAM 角色有一或多個高權限政策,違反最低權限原則,並增加安全風險。這項發現是根據最近 83 到 90 天的用量記錄而得。 價格層級:Enterprise 修正這項發現 : 視調查結果而定,使用 AWS 管理主控台執行下列其中一項補救措施:
如需具體修復步驟,請參閱調查結果詳細資料。 |
|
發現項目說明:在 AWS 環境中,CIEM 偵測到一或多個 AWS IAM 或 AWS IAM Identity Center 群組具有高度寬鬆的政策,違反最低權限原則,並增加安全性風險。這項發現是根據最近 83 到 90 天的用量記錄而得。 價格層級:Enterprise 修正這項發現 : 視調查結果而定,使用 AWS 管理主控台執行下列其中一項補救措施:
如需具體修復步驟,請參閱調查結果詳細資料。 |
|
發現說明:在 AWS 環境中,CIEM 偵測到一或多個 AWS IAM 或 AWS IAM Identity Center 使用者具有高權限政策,違反最低權限原則,並增加安全性風險。這項發現是根據最近 83 到 90 天的用量記錄而得。 價格層級:Enterprise 修正這項發現 : 視調查結果而定,使用 AWS 管理主控台執行下列其中一項補救措施:
如需具體修復步驟,請參閱調查結果詳細資料。 |
|
發現說明:在 AWS 環境中,CIEM 偵測到處於閒置狀態且具備一或多項權限的 AWS IAM 或 AWS IAM Identity Center 使用者。這違反了最小權限原則,並增加了安全風險。這項發現是根據最近 83 到 90 天的用量記錄而得。 價格層級:Enterprise 修正這項發現 : 視調查結果而定,使用 AWS 管理主控台執行下列其中一項補救措施:
如需具體修復步驟,請參閱調查結果詳細資料。 |
|
發現項目說明:在 AWS 環境中,CIEM 偵測到處於非使用中狀態且具備一或多項權限的 AWS IAM 或 AWS IAM Identity Center 群組。這違反了最小權限原則,並增加了安全風險。這項發現是根據最近 83 到 90 天的用量記錄而得。 價格層級:Enterprise 修正這項發現 : 視調查結果而定,使用 AWS 管理主控台執行下列其中一項補救措施:
如需具體修復步驟,請參閱調查結果詳細資料。 |
|
發現說明:在 AWS 環境中,CIEM 偵測到處於閒置狀態且具備一或多項權限的 IAM 角色。這違反了最小權限原則,並增加了安全風險。這項發現是根據最近 83 到 90 天的用量記錄而得。 價格層級:Enterprise 修正這項發現 : 視調查結果而定,使用 AWS 管理主控台執行下列其中一項補救措施:
如需具體修復步驟,請參閱調查結果詳細資料。 |
|
發現說明:在 AWS 環境中,CIEM 偵測到 AWS IAM 角色強制執行的信任政策過於寬鬆,違反最低權限原則,並增加安全風險。這項發現是根據最近 83 到 90 天的用量記錄而得。 價格層級:Enterprise 修正這項發現 : 使用 AWS 管理主控台編輯 AWS IAM 角色強制執行的信任政策權限,以遵守最低權限原則。 如需具體修復步驟,請參閱調查結果的詳細資料。 |
|
發現說明:在您的 AWS 環境中,CIEM 偵測到一或多個可透過模擬橫向移動的身分。這項發現是根據最近 83 到 90 天的用量記錄而得。 價格層級:Enterprise 修正這項發現 : 使用 AWS 管理控制台,移除附加至身分或身分的政策,這些政策允許橫向移動。 如需具體修復步驟,請參閱調查結果詳細資料。 |
安全防護機制服務發現項目
本節列出安全狀況服務產生的 Security Command Center 發現項目。
安全防護機制服務會產生下列幾組發現項目類別:
與已部署的安全防護機制發生差異
下表列出安全性狀態發現項目,這些項目會指出執行個體偏離您定義的安全性狀態。
| 發現項目 | 摘要 |
|---|---|
|
發現項目說明:安全狀態服務偵測到安全狀態分析偵測工具發生變更,但並非因安全狀態更新所致。 價格方案:進階
修正這項發現 : 您必須接受或還原這項變更,才能確保姿態和環境中的偵測器設定一致。您可以透過兩種方式解決這項發現:更新安全狀態分析偵測器,或更新狀態和狀態部署。 如要還原變更,請在 Google Cloud 控制台中更新安全狀態分析偵測工具。 如需操作說明,請參閱「 啟用及停用偵測器」。 如要接受變更,請完成下列步驟:
|
|
發現項目說明:安全性狀態服務偵測到安全性狀態分析自訂模組發生變更,但並非由狀態更新所致。 價格方案:進階 修正這項發現 : 這項發現需要您接受或還原變更,確保姿態和環境中的自訂模組設定一致。您可以透過兩種方式解決這項發現:更新安全性狀態分析自訂模組,或更新狀態和狀態部署。 如要還原變更,請在 Google Cloud 控制台中更新 Security Health Analytics 自訂模組。如需操作說明,請參閱「 更新自訂模組」。 如要接受變更,請完成下列步驟:
|
|
發現項目說明:安全性狀態服務偵測到 Security Health Analytics 自訂模組已刪除。這次刪除作業並非在姿勢更新期間進行。 價格方案:進階 修正這項發現 : 這項發現需要您接受或還原變更,確保姿態和環境中的自訂模組設定一致。您可以透過兩種方式解決這項發現:更新安全性狀態分析自訂模組,或更新狀態和狀態部署。 如要還原變更,請在 Google Cloud 控制台中更新 Security Health Analytics 自訂模組。如需操作說明,請參閱「 更新自訂模組」。 如要接受變更,請完成下列步驟:
|
|
發現說明:安全防護服務偵測到機構政策有異動,但並非防護更新所致。 價格方案:進階 修正這項發現 : 這項發現要求您接受或還原變更,確保狀態和環境中的機構政策定義一致。您可以透過兩種方式解決這項發現:更新組織政策,或更新狀態和狀態部署作業。 如要還原變更,請在 Google Cloud 控制台中更新機構政策。如需操作說明,請參閱「 建立及編輯政策」。 如要接受變更,請完成下列步驟:
|
|
發現項目說明:安全性狀態服務偵測到機構政策已遭刪除。這次刪除作業並非在姿勢更新期間進行。 價格方案:進階 修正這項發現 : 這項發現要求您接受或還原變更,確保狀態和環境中的機構政策定義一致。您可以透過兩種方式解決這項發現:更新組織政策,或更新狀態和狀態部署作業。 如要還原變更,請在 Google Cloud 控制台中更新機構政策。如需操作說明,請參閱「 建立及編輯政策」。 如要接受變更,請完成下列步驟:
|
|
發現說明:安全防護服務偵測到自訂機構政策發生變更,但並非在防護更新期間。 價格方案:進階 修正這項發現 : 這項發現要求您接受或還原變更,確保狀態和環境中的自訂機構政策定義一致。您可以透過兩種方式解決這項發現:更新自訂組織政策,或更新狀態和狀態部署作業。 如要還原變更,請在 Google Cloud 控制台中更新自訂機構政策。如需操作說明,請參閱「 更新自訂限制」。 如要接受變更,請完成下列步驟:
|
|
發現說明:安全性狀態服務偵測到自訂組織政策已遭刪除。這次刪除作業並非在姿勢更新期間進行。 價格方案:進階 修正這項發現 : 這項發現要求您接受或還原變更,確保狀態和環境中的自訂機構政策定義一致。您可以透過兩種方式解決這項發現:更新自訂組織政策,或更新狀態和狀態部署作業。 如要還原變更,請在 Google Cloud 控制台中更新自訂機構政策。如需操作說明,請參閱「 更新自訂限制」。 如要接受變更,請完成下列步驟:
|
資源違反已部署的安全防護機制
安全防護機制服務和 Security Health Analytics 會產生下列發現項目,指出違反您定義安全防護機制的資源執行個體。
| 發現項目 | 摘要 |
|---|---|
|
發現說明:安全性狀態服務偵測到子網路已啟用外部 IPv6 位址。 價格方案:進階 修正這項發現 : 解決這項發現的方法有兩種:刪除違規資源,或更新並重新部署安全狀態。 如要刪除資源,請完成下列步驟:
如要讓資源維持相同設定,請更新姿態。如要更新姿勢,請完成下列步驟:
|
|
發現說明:安全防護狀態服務偵測到子網路已啟用內部 IPv6 位址。 價格方案:進階 修正這項發現 : 解決這項發現的方法有兩種:刪除違規資源,或更新並重新部署安全狀態。 如要刪除資源,請完成下列步驟:
如要讓資源維持相同設定,請更新姿態。如要更新姿勢,請完成下列步驟:
|
|
發現項目說明:安全防護機制服務偵測到 VM 執行個體已停用 OS 登入功能。 價格方案:進階 修正這項發現 : 解決這項發現的方法有兩種:更新違規資源,或更新姿態並重新部署姿態。 如要更新資源,請完成下列步驟:
如要讓資源維持在相同設定中,請更新姿態。如要更新姿勢,請完成下列步驟:
|
|
發現說明:安全性狀態服務偵測到已將授權網路新增至 SQL 執行個體。 價格方案:進階 修正這項發現 : 如要解決這項發現,您必須修正違規事項或更新狀態。解決這項發現的方法有兩種:更新違規資源,或更新姿態並重新部署姿態。 如要更新資源,請完成下列步驟:
如要讓資源維持在相同設定中,請更新姿態。如要更新姿勢,請完成下列步驟:
|
|
發現項目說明:安全性狀態服務偵測到 Cloud Run 函式執行個體未啟用虛擬私有雲連接器。 價格方案:進階 修正這項發現 : 解決這項發現的方法有兩種:更新違規資源,或更新姿態並重新部署姿態。 如要更新資源,請完成下列步驟:
如要讓資源維持相同設定,請更新姿態。如要更新姿勢,請完成下列步驟:
|
|
發現項目說明:安全性狀態服務偵測到 VM 執行個體的序列埠存取權已啟用。 價格方案:進階 修正這項發現 : 解決這項發現的方法有兩種:更新違規資源,或更新姿態並重新部署姿態。 如要更新資源,請完成下列步驟:
如要讓資源維持在相同設定中,請更新姿態。如要更新姿勢,請完成下列步驟:
|
|
發現說明:安全性狀態服務偵測到已建立預設網路。 價格方案:進階 修正這項發現 : 解決這項發現的方法有兩種:刪除違規資源,或更新並重新部署安全狀態。 如要刪除資源,請完成下列步驟:
如要讓資源維持相同設定,請更新姿態。如要更新姿勢,請完成下列步驟:
|
|
發現說明:安全性狀態服務偵測到 Cloud Run 服務不符合指定的輸入設定。 價格方案:進階 修正這項發現 : 解決這項發現的方法有兩種:更新違規資源,或更新姿態並重新部署姿態。 如要更新資源,請完成下列步驟:
如要讓資源維持在相同設定中,請更新姿態。如要更新姿勢,請完成下列步驟:
|
|
發現項目說明:安全狀態服務偵測到值區層級存取權是精細而非統一。 價格方案:進階 修正這項發現 : 解決這項發現的方法有兩種:更新違規資源,或更新姿態並重新部署姿態。 如要更新資源,請完成下列步驟:
如要讓資源維持相同設定,請更新姿態。如要更新姿勢,請完成下列步驟:
|
|
發現說明:安全性狀態服務偵測到 Cloud Run 服務不符合指定的輸出設定。 價格方案:進階 修正這項發現 : 解決這項發現的方法有兩種:更新違規資源,或更新姿態並重新部署姿態。 如要更新資源,請完成下列步驟:
如要讓資源維持相同設定,請更新姿態。如要更新姿勢,請完成下列步驟:
|
Model Armor
Model Armor 是一項全代管 Google Cloud 服務,可篩選 LLM 提示和回覆中的各種安全風險,提升 AI 應用程式的安全性和保障。
Model Armor 發現項目
下表列出 Model Armor 產生的 Security Command Center 發現項目。
| 發現項目 | 摘要 |
|---|---|
|
發現項目說明:如果 Model Armor 範本未達到資源階層底限設定定義的最低安全標準,就會發生底限設定違規情形。 價格方案:進階
這項發現表示您需要更新 Model Armor 範本,使其符合資源階層中定義的底限設定。 |
在 Google Cloud 控制台中查看發現項目
- 在 Google Cloud 控制台中,前往 Security Command Center 的「發現項目」頁面。
- 選取 Google Cloud 專案或機構。
- 在「快速篩選器」部分的「來源顯示名稱」子部分中,選取「Model Armor」。發現項目查詢結果會更新,只顯示來自這個來源的發現項目。
- 如要查看特定發現項目的詳細資料,請按一下「類別」欄中的發現項目名稱。系統會開啟發現項目的詳細資料面板,並顯示「摘要」分頁。
- 在「摘要」分頁中,查看發現項目的詳細資料,包括偵測到的內容、受影響的資源,以及可採取哪些步驟來修正發現項目。
- 選用:如要查看調查結果的完整 JSON 定義,請按一下「JSON」JSON分頁。
修復 Model Armor 發現項目
FLOOR_SETTINGS_VIOLATION 發現項目表示 Model Armor 範本未達到資源階層底限設定定義的最低安全標準。
如要修正這項發現,請按照下列步驟操作:
- 前往 Google Cloud 控制台的「Model Armor」頁面。
- 確認您正在查看已啟用 Model Armor 的專案。系統會顯示「Model Armor」頁面,列出為專案建立的範本。
- 按一下要修改的範本。
- 根據資源階層中定義的底限設定修改範本。
- 按一下 [儲存]。
VM 管理員
VM 管理員是一套工具,可用來管理在 Compute Engine 上執行 Windows 和 Linux 的大型虛擬機器 (VM) 機群作業系統。
如果您在機構層級啟用 VM 管理員,並搭配使用 Security Command Center Premium,VM 管理員會透過安全漏洞報表 (預先發布版) 將發現項目寫入 Security Command Center。這些報告會找出 VM 安裝的作業系統安全漏洞,包括常見安全漏洞與弱點 (CVE)。
如要透過專案層級啟用 Security Command Center Premium 的方式使用 VM Manager,請在父項機構中啟用 Security Command Center Standard。
安全漏洞報告不適用於 Security Command Center Standard。
調查結果可簡化使用 VM 管理工具修補程式合規功能 (預先發布版) 的程序。這項功能可讓您在機構層級,對所有專案執行修補程式管理。
從 VM 管理員收到的安全漏洞發現項目嚴重程度一律為 CRITICAL 或 HIGH。
VM 管理員發現項目
這類安全漏洞都與受支援的 Compute Engine VM 中安裝的作業系統套件有關。
| 偵測工具 | 摘要 | 資產掃描設定 |
|---|---|---|
|
發現項目說明:VM 管理員在 Compute Engine VM 安裝的作業系統 (OS) 套件中偵測到安全漏洞。 價格方案:進階 支援的素材資源 |
VM 管理員的 安全漏洞報告會詳細列出 Compute Engine VM 安裝的作業系統套件安全漏洞,包括 常見安全漏洞與弱點 (CVE)。 如需支援的作業系統完整清單,請參閱「作業系統詳細資料」。 偵測到安全漏洞後,發現項目很快就會顯示在 Security Command Center 中。 VM 管理員安全漏洞報告的產生過程如下:
|
在控制台中查看發現項目
標準或進階
- 在 Google Cloud 控制台中,前往 Security Command Center 的「發現項目」頁面。
- 選取 Google Cloud 專案或機構。
- 在「快速篩選器」部分的「來源顯示名稱」子部分中,選取「VM Manager」。發現項目查詢結果會更新,只顯示來自這個來源的發現項目。
- 如要查看特定發現項目的詳細資料,請按一下「類別」欄中的發現項目名稱。 系統會開啟發現項目的詳細資料面板,並顯示「摘要」分頁。
- 在「摘要」分頁中,查看發現項目的詳細資料,包括偵測到的內容、受影響的資源,以及 (如有) 可採取哪些步驟來修正發現項目。
- 選用:如要查看調查結果的完整 JSON 定義,請按一下「JSON」JSON分頁。
Enterprise
- 在 Google Cloud 控制台中,前往 Security Command Center 的「發現項目」頁面。
- 選取 Google Cloud 機構。
- 在「匯總」部分中,按一下展開「來源顯示名稱」子部分。
- 選取「VM 管理工具」。發現項目查詢結果會更新,只顯示來自這個來源的發現項目。
- 如要查看特定發現項目的詳細資料,請按一下「類別」欄中的發現項目名稱。 系統會開啟發現項目的詳細資料面板,並顯示「摘要」分頁。
- 在「摘要」分頁中,查看發現項目的詳細資料,包括偵測到的內容、受影響的資源,以及 (如有) 可採取哪些步驟來修正發現項目。
- 選用:如要查看調查結果的完整 JSON 定義,請按一下「JSON」JSON分頁。
修正 VM 管理員發現項目
OS_VULNERABILITY 發現項目表示 VM 管理工具在 Compute Engine VM 安裝的作業系統套件中發現安全漏洞。
如要修正這項發現,請按照下列步驟操作:
複製
externalUri欄位的值。這個值是 Compute Engine VM 執行個體的「OS info」(作業系統資訊) 頁面 URI,其中安裝了有安全漏洞的作業系統。針對「基本資訊」部分顯示的 OS,套用所有適當的修補程式。如需部署修補程式的操作說明,請參閱「建立修補工作」。
瞭解這類發現項目支援的資產和掃描設定。
忽略 VM 管理員發現項目
如果部分或所有 VM Manager 發現項目與您的安全性需求無關,您可能想在 Security Command Center 中隱藏這些項目。
您可以建立靜音規則,並加入要隱藏的 VM Manager 發現項目專屬查詢屬性,藉此隱藏 VM Manager 發現項目。
如要瞭解如何建立忽略規則,請參閱「建立忽略規則」。
舉例來說,如要隱藏 VM 管理工具安全漏洞發現項目中的特定 CVE ID,請選取「安全漏洞」>「CVE ID」,然後選取要隱藏的 CVE ID。
靜音規則的「發現項目查詢」欄位應如下所示:
parent_display_name="VM Manager"
AND vulnerability.cv.id="CVE-2025-26923" OR vulnerability.cve.id="CVE-2025-27635"
Artifact Registry 安全漏洞評估結果
下表列出發現項目,提醒您容器映像檔中偵測到的潛在安全漏洞。這些結果只會針對儲存在 Artifact Registry 中,並部署至下列其中一項資產的易受攻擊容器映像檔產生:
- Google Kubernetes Engine 叢集
- Cloud Run 服務
- Cloud Run 工作
- App Engine
這些發現項目會歸類為 HIGH 或 CRITICAL 嚴重程度。
如要瞭解如何在 Google Cloud 主控台中啟用、停用及查看 Artifact Registry 安全漏洞評估結果,請參閱「Artifact Registry 安全漏洞評估偵測服務」。
| 偵測工具 | 摘要 |
|---|---|
|
API 中的類別名稱: |
發現說明:在 Artifact Registry 中掃描的容器映像檔中偵測到安全漏洞。這個映像檔會部署至下列其中一項資產:
定價層級:標準、進階或企業版 修正這項發現 : 請根據執行階段資源類型執行下列操作:
請參閱調查結果的詳細資料,根據適當的執行階段資源採取具體補救措施。 對於 Standard 層級客戶,系統不支援使用 Cloud Asset Inventory 的資產查詢功能,判斷易受攻擊的容器映像檔部署位置。建議升級至進階或企業版,取得更詳細的資訊。 |
Sensitive Data Protection
本節說明 Sensitive Data Protection 產生的安全漏洞發現項目、支援的法規遵循標準,以及如何修正發現項目。
Sensitive Data Protection 也會將觀察到的發現項目傳送至 Security Command Center。如要進一步瞭解觀察結果和 Sensitive Data Protection,請參閱「Sensitive Data Protection」。
如要瞭解如何查看結果,請參閱「在 Google Cloud 控制台中查看 Sensitive Data Protection 結果」。
Sensitive Data Protection 發現的安全性弱點
Sensitive Data Protection 探索服務可協助您判斷是否儲存未受保護的高度機密資料。
| 類別 | 摘要 |
|---|---|
|
發現結果說明:指定資源含有 高度機密資料,網際網路上的任何人都能存取。 支援的素材資源:
補救措施: 如要移除 Google Cloud 資料,請從資料資產的 IAM 政策中移除 如果是 Amazon S3 資料,請設定封鎖公開存取設定,或更新物件的 ACL,拒絕公開讀取存取權。詳情請參閱 AWS 說明文件中的「 為 S3 儲存貯體設定封鎖公開存取設定」和「設定 ACL」。 如果是 Azure Blob 儲存體資料,請移除容器和 Blob 的公開存取權。詳情請參閱 Azure 說明文件中的「總覽:修正 Blob 資料的匿名讀取存取權」。 法規遵循標準:未對應 |
|
發現說明:環境變數中含有密碼、驗證權杖和憑證等機密資訊。 Google Cloud 如要啟用這項偵測器,請參閱 Sensitive Data Protection 說明文件中的「 向 Security Command Center 回報環境變數中的密鑰」。 支援的素材資源: 補救措施: 如果是 Cloud Run 函式環境變數,請從環境變數中移除密鑰,並改為儲存在 Secret Manager 中。 如要移除 Cloud Run 服務修訂版本的環境變數,請將所有流量從該修訂版本移出,然後刪除該修訂版本。 法規遵循標準:
|
|
發現項目說明:指定資源中含有密鑰,例如密碼、驗證權杖和雲端憑證。 支援的素材資源:
補救措施:
法規遵循標準:未對應 |
Sensitive Data Protection 發現的設定錯誤
Sensitive Data Protection 探索服務可協助您判斷是否有可能導致機密資料外洩的設定錯誤。
| 類別 | 摘要 |
|---|---|
|
發現項目說明:指定資源含有 高敏感度或中等敏感度資料,但未使用客戶自行管理的加密金鑰 (CMEK)。 支援的素材資源:
補救措施:
法規遵循標準:未對應 |
Policy Controller
您可以透過 Policy Controller,對註冊為機群成員的 Kubernetes 叢集套用並強制執行可設定的政策。這些政策可以做為防護機制,協助您管理叢集和機群的最佳做法、安全性與法規遵循事宜。
這個頁面不會列出所有個別的 Policy Controller 發現項目,但 Policy Controller 寫入 Security Command Center 的 Misconfiguration 類別發現項目資訊,與每個 Policy Controller 套件記錄的叢集違規事項相同。個別 Policy Controller 發現項目類型的說明文件位於下列 Policy Controller 套裝組合:
CIS Kubernetes 基準 v1.5.1,這是一組建議,可協助您設定 Kubernetes 來支援功能強大的安全防護措施。您也可以在
cis-k8s-v1.5.1的 GitHub 存放區中查看這個套件組合的相關資訊。PCI-DSS v3.2.1:這個套裝組合會評估叢集資源是否符合付款卡產業資料安全標準 (PCI-DSS) v3.2.1 的某些部分。您也可以在
pci-dss-v3的 GitHub 存放區中查看這個套件組合的相關資訊。
這項功能與 Stackdriver API 周圍的 VPC Service Controls 服務範圍不相容。
尋找及修正 Policy Controller 發現項目
Policy Controller 類別對應於 Policy Controller 套裝組合說明文件中列出的限制名稱。舉例來說,require-namespace-network-policies 發現結果表示命名空間違反政策,也就是叢集中的每個命名空間都有 NetworkPolicy。
如要修正調查結果,請按照下列步驟操作:
標準或進階
- 在 Google Cloud 控制台中,前往 Security Command Center 的「發現項目」頁面。
- 選取 Google Cloud 專案或機構。
- 在「快速篩選器」部分的「來源顯示名稱」子部分中,選取「Policy Controller On-Cluster」(叢集內 Policy Controller)。發現項目查詢結果會更新,只顯示來自這個來源的發現項目。
- 如要查看特定發現項目的詳細資料,請按一下「類別」欄中的發現項目名稱。 系統會開啟發現項目的詳細資料面板,並顯示「摘要」分頁。
- 在「摘要」分頁中,查看發現項目的詳細資料,包括偵測到的內容、受影響的資源,以及 (如有) 可採取哪些步驟來修正發現項目。
- 選用:如要查看調查結果的完整 JSON 定義,請按一下「JSON」JSON分頁。
Enterprise
- 在 Google Cloud 控制台中,前往 Security Command Center 的「發現項目」頁面。
- 選取 Google Cloud 機構。
- 在「匯總」部分中,按一下展開「來源顯示名稱」子部分。
- 選取「Policy Controller On-Cluster」(叢集內 Policy Controller)。發現項目查詢結果會更新,只顯示來自這個來源的發現項目。
- 如要查看特定發現項目的詳細資料,請按一下「類別」欄中的發現項目名稱。 系統會開啟發現項目的詳細資料面板,並顯示「摘要」分頁。
- 在「摘要」分頁中,查看發現項目的詳細資料,包括偵測到的內容、受影響的資源,以及 (如有) 可採取哪些步驟來修正發現項目。
- 選用:如要查看調查結果的完整 JSON 定義,請按一下「JSON」JSON分頁。
後續步驟
瞭解如何使用安全狀態分析。