Los detectores de estadísticas de estado de seguridad y Web Security Scanner generan resultados de vulnerabilidades que están disponibles en Security Command Center. Cuando se habilitan en Security Command Center, los servicios integrados, como VM Manager, también generan resultados de vulnerabilidades.
Tu capacidad para ver y editar resultados se determina según los roles y permisos de Identity and Access Management (IAM) que se te asignen. Para obtener más información sobre los roles de IAM en Security Command Center, consulta Control de acceso.
Detectores y cumplimiento
Security Command Center supervisa tu cumplimiento con detectores que se asignan a los controles de una amplia variedad de estándares de seguridad.
Para cada estándar de seguridad admitido, Security Command Center verifica un subconjunto de los controles. En el caso de los controles verificados, Security Command Center te muestra cuántos se aprobaron. En el caso de los controles que no se aprueban, Security Command Center te muestra una lista de hallazgos que describen las fallas de los controles.
El CIS revisa y certifica las asignaciones de los detectores de Security Command Center a cada versión compatible de la comparativa de CIS Foundations. Google Cloud Las asignaciones de cumplimiento adicionales se incluyen solo con fines de referencia.
Security Command Center agrega compatibilidad con nuevas versiones de comparativas y estándares de forma periódica. Las versiones anteriores siguen siendo compatibles, pero, con el tiempo, se marcan como obsoletas. Te recomendamos que uses la comparativa o el estándar más reciente disponible.
Con el servicio de posición de seguridad, puedes correlacionar las políticas de la organización y los detectores de Security Health Analytics con los estándares y controles que se aplican a tu empresa. Después de crear una postura de seguridad, puedes supervisar cualquier cambio en el entorno que pueda afectar el cumplimiento de tu empresa.
Para obtener más información sobre la administración del cumplimiento, consulta Evalúa y genera informes sobre el cumplimiento de los estándares de seguridad.
Estándares de seguridad admitidos
Google Cloud
Security Command Center asigna los detectores de Google Cloud a uno o más de los siguientes estándares de cumplimiento:
- Controles 8.0 del Center for Information Security (CIS)
- Comparativa de CIS Google Cloud Computing Foundations v2.0.0, v1.3.0, v1.2.0, v1.1.0 y v1.0.0
- CIS Kubernetes Benchmark v1.5.1
- Cloud Controls Matrix (CCM) 4
- Ley de Responsabilidad y Portabilidad de Seguros Médicos (HIPAA)
- Organización Internacional de Normalización (ISO) 27001, 2022 y 2013
- National Institute of Standards and Technology (NIST) 800-53 R5 y R4
- Marco de seguridad cibernética (CSF) 1.0 del Instituto Nacional de Estándares y Tecnología (NIST)
- Open Web Application Security Project (OWASP) Top Ten, 2021 y 2017
- Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) 4.0 y 3.2.1
- Controles de la organización y el sistema (SOC) 2 Criterios de Trust Services (TSC) de 2017
AWS
Security Command Center asigna detectores para Amazon Web Services (AWS) a uno o más de los siguientes estándares de cumplimiento:
- CIS Amazon Web Services Foundations 2.0.0
- CIS Critical Security Controls, versión 8.0
- Cloud Controls Matrix (CCM) 4
- Ley de Responsabilidad y Portabilidad de Seguros Médicos (HIPAA)
- Organización Internacional de Normalización (ISO) 27001, 2022
- Instituto Nacional de Estándares y Tecnología (NIST) 800-53 R5
- Instituto Nacional de Estándares y Tecnología (NIST) Marco de seguridad cibernética (CSF) 1.0
- Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) 4.0 y 3.2.1
- Controles de la organización y el sistema (SOC) 2 Criterios de servicios de confianza (TSC) de 2017
Para obtener instrucciones sobre cómo ver y exportar informes de cumplimiento, consulta Evalúa el cumplimiento de los estándares de seguridad y genera informes al respecto.
Cómo encontrar la desactivación después de la corrección
Después de corregir un hallazgo de vulnerabilidad o error de configuración, el servicio de Security Command Center que detectó el hallazgo establece automáticamente el estado del hallazgo en INACTIVE la próxima vez que el servicio de detección analice el hallazgo. El tiempo que tarda Security Command Center en establecer un hallazgo corregido en INACTIVE depende de la programación del análisis que detecta el hallazgo.
Los servicios de Security Command Center también establecen el estado de un hallazgo de vulnerabilidad o configuración incorrecta en INACTIVE cuando un análisis detecta que se borró el recurso afectado por el hallazgo.
Para obtener más información sobre los intervalos de análisis, consulta los siguientes temas:
Resultados de las estadísticas de estado de seguridad
Los detectores de estadísticas del estado de la seguridad supervisan un subconjunto de recursos de Cloud Asset Inventory (CAI) y reciben notificaciones de los cambios en las políticas de la administración de identidades y accesos (IAM). Algunos detectores recuperan datos llamando directamente a las APIs de Google Cloud , como se indica en las tablas que aparecen más adelante en esta página.
Para obtener más información sobre Security Health Analytics, los programas de análisis y la compatibilidad de Security Health Analytics con los detectores de módulos integrados y personalizados, consulta Descripción general de Security Health Analytics.
En las siguientes tablas, se describen los detectores de estadísticas del estado de la seguridad, los elementos y los estándares de cumplimiento que admiten, la configuración que usan para los análisis y los tipos de hallazgos que generan. Puedes filtrar los hallazgos por varios atributos en las siguientes páginas de la consola de Google Cloud :
- En los niveles Estándar y Premium, la página Vulnerabilidades
- En la página Descripción general de Riesgos> del nivel Enterprise Selecciona la vista Vulnerabilidades de CVE.
Para obtener instrucciones para solucionar los problemas y proteger tus recursos, consulta Soluciona los problemas de las estadísticas del estado de seguridad.
Resultados de las vulnerabilidades de la clave de API
El detector API_KEY_SCANNER identifica vulnerabilidades relacionadas con las claves de API que se usan en tu implementación en la nube.
| Detector | Resumen | Configuración de análisis de elementos |
|---|---|---|
|
Hallazgos de la descripción: Hay claves de API que se usan demasiado. Para resolver esto, limita el uso de la clave de API a fin de permitir solo las API que necesita la aplicación. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Recupera la propiedad
|
|
Descripción del resultado: Hay claves de API que se usan sin restricciones y que permiten cualquier app que no sea de confianza. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Recupera la propiedad
|
|
Descripción del resultado: Un proyecto usa claves de API en lugar de la autenticación estándar. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Recupera todas las claves de API que son propiedad de un proyecto.
|
|
Descripción del resultado: La clave de API no se rotó durante más de 90 días. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Recupera la marca de tiempo incluida en la propiedad
|
Resultados de vulnerabilidades de Cloud Asset Inventory
Las vulnerabilidades de este tipo de detector se relacionan con la configuración de Cloud Asset Inventory y pertenecen al tipo CLOUD_ASSET_SCANNER.
| Detector | Resumen | Configuración de análisis de elementos |
|---|---|---|
|
Descripción del hallazgo: La captura de recursos Google Cloud y políticas de IAM por parte de Cloud Asset Inventory permite el análisis de seguridad, el seguimiento de cambios de recursos y la auditoría de cumplimiento. Te recomendamos que habilites el servicio de Cloud Asset Inventory para todos los proyectos. Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Inhabilita y habilita los detectores. Nivel de precios: Premium
Recursos compatibles Estándares de cumplimiento:
|
Comprueba si el servicio de Cloud Asset Inventory está habilitado.
|
Resultados de las vulnerabilidades de Storage
Las vulnerabilidades de este tipo de detector se relacionan con las opciones de configuración de depósitos de Cloud Storage y pertenecen al tipo STORAGE_SCANNER.
| Detector | Resumen | Configuración de análisis de elementos |
|---|---|---|
|
Descripción de los hallazgos: Un bucket no está encriptado con claves de encriptación administradas por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Inhabilita y habilita detectores. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento: Esta categoría de hallazgos no se asigna a ningún control de estándares de cumplimiento. |
Comprueba el campo
|
|
Descripción del resultado: No se configuró el acceso uniforme a nivel de bucket, que antes se denominaba Solo política del bucket. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad
|
|
Descripción del resultado:Un bucket de Cloud Storage es de acceso público. Nivel de precios: Premium o Estándar
Recursos admitidos Estándares de cumplimiento:
|
Verifica la política de permisos de IAM de un bucket para los roles públicos,
|
|
Descripción del resultado:: Un bucket de almacenamiento que se usa como receptor de registros es de acceso público. Este hallazgo no está disponible para las activaciones a nivel del proyecto. Nivel de precios: Premium o Estándar
Recursos admitidos Estándares de cumplimiento:
|
Verifica la política de permisos de IAM de un bucket para las principales
|
Resultados de las vulnerabilidades de imágenes de Compute
El detector COMPUTE_IMAGE_SCANNER identifica vulnerabilidades relacionadas con las configuraciones de imágenes deGoogle Cloud .
| Detector | Resumen | Configuración de análisis de elementos |
|---|---|---|
|
Descripción del resultado: Una imagen de Compute Engine es de acceso público. Nivel de precios: Premium o Estándar
Recursos admitidos Estándares de cumplimiento: Esta categoría de hallazgos no se asigna a ningún control de estándares de cumplimiento. |
Verifica la política de permisos de IAM en metadatos de recursos para las principales
|
Resultados de las vulnerabilidades de las instancias de Compute
El detector COMPUTE_INSTANCE_SCANNER identifica vulnerabilidades relacionadas con las configuraciones de instancias de Compute Engine.
Los detectores COMPUTE_INSTANCE_SCANNER no informan los resultados en las instancias de Compute Engine que crea GKE. Estas instancias tienen nombres que comienzan con “gke-”, que los usuarios no pueden editar. Para proteger estas instancias, consulta la sección de resultados de vulnerabilidades de contenedores.
| Detector | Resumen | Configuración de análisis de elementos |
|---|---|---|
|
Descripción de resultados: Confidential Computing está inhabilitado en una instancia de Compute Engine. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Verifica la propiedad
|
|
Descripción del resultado: Se usan claves SSH de todo el proyecto, lo que permite el acceso a todas las instancias del proyecto. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba el objeto
|
|
Descripción del resultado: Esta VM protegida no tiene habilitado Inicio seguro. El uso de Inicio seguro ayuda a proteger las instancias de máquinas virtuales de las amenazas avanzadas, como rootkits y bootkits. Nivel de precios: Premium Recursos admitidos Estándares de cumplimiento: Esta categoría de hallazgos no se asigna a ningún control de estándares de cumplimiento. |
Comprueba la propiedad
|
|
Descripción del resultado: Los puertos en serie están habilitados para una instancia, lo que permite conexiones a la consola en serie de la instancia. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba el objeto
|
|
Descripción del resultado: Una instancia está configurada para usar la cuenta de servicio predeterminada. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba la propiedad
|
|
Descripción del resultado: Los discos de esta VM no se encriptan con claves de encriptación administradas por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Inhabilita y habilita los detectores. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento: Esta categoría de hallazgos no se asigna a ningún control de estándares de cumplimiento. |
Comprueba el campo
|
|
Descripción del resultado: Los discos de esta VM no se encriptan con claves de encriptación proporcionadas por el cliente (CSEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Detector de casos especiales. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Verifica el campo
|
|
Descripción del resultado: Una instancia está configurada para usar la cuenta de servicio predeterminada con acceso completo a todas las APIs de Google Cloud. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Recupera el campo
|
|
Descripción del resultado: Una instancia usa un balanceador de cargas configurado para usar un proxy HTTP de destino en lugar de un proxy HTTPS de destino. Para las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización principal. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Determina si la propiedad
|
|
Descripción del resultado: El Acceso al SO está inhabilitado en esta instancia. Para las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización principal. Nivel de precios: Premium
Recursos admitidos
Estándares de cumplimiento:
|
Comprueba si la propiedad
|
|
Descripción del resultado: El reenvío de IP está habilitado en las instancias. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad
|
|
Descripción del resultado: El Acceso al SO está inhabilitado en este proyecto. Para las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización principal. Nivel de precios: Premium
Recursos compatibles Estándares de cumplimiento:
|
Comprueba el objeto
|
|
Descripción del resultado: Una instancia tiene una dirección IP pública. Nivel de precios: Premium o Estándar
Recursos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad
|
|
Descripción del resultado: La VM protegida está inhabilitada en esta instancia. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba la propiedad
|
|
Descripción del resultado: Una instancia tiene una política de SSL débil. Para las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización principal. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Verifica si
|
Resultados de las vulnerabilidades de contenedores
Estos tipos de resultados se relacionan con los parámetros de configuración del contenedor de GKE y pertenecen al tipo de detector CONTAINER_SCANNER.
| Detector | Resumen | Configuración de análisis de elementos |
|---|---|---|
|
Descripción de los resultados: Las funciones del clúster Alfa están habilitadas para un clúster de GKE. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento:
|
Comprueba si la propiedad
|
|
Descripción del resultado: La función de reparación automática de un clúster de GKE, que mantiene los nodos en buen estado, está inhabilitada. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento:
|
Comprueba la propiedad
|
|
Descripción del resultado: La función de actualización automática de un clúster de GKE, que conserva los clústeres y grupos de nodos en la versión estable más reciente de Kubernetes, está inhabilitada. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento:
|
Comprueba la propiedad
|
|
Descripción del resultado: La autorización binaria está inhabilitada en el clúster de GKE o la política de autorización binaria está configurada para permitir que se implementen todas las imágenes. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento: Esta categoría de hallazgos no se asigna a ningún control de estándares de cumplimiento. |
Verifica lo siguiente:
|
|
Descripción del resultado: Logging no está habilitado para un clúster de GKE. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento:
|
Comprueba si la propiedad
|
|
Descripción del resultado: Monitoring está inhabilitado en los clústeres de GKE. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento:
|
Comprueba si la propiedad
|
|
Descripción de los hallazgos: Los hosts de clústeres no están configurados con el fin de usar solo direcciones IP internas privadas para acceder a las API de Google. Para las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización principal. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento:
|
Comprueba si la propiedad
|
|
Descripción del resultado: La encriptación de los Secrets de la capa de la aplicación está inhabilitada en un clúster de GKE. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento:
|
Verifica la propiedad
|
|
Descripción de los resultados: Los nodos de GKE protegidos no están habilitados para un clúster. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento:
|
Verifica la propiedad
|
|
Descripción del hallazgo: Las VMs de Compute Engine no usan el Container-Optimized OS diseñado para ejecutar contenedores de Docker en Google Cloud de forma segura. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento:
|
Comprueba la propiedad
|
|
Descripción de los resultados: La supervisión de integridad está inhabilitada para un clúster de GKE. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento:
|
Verifica la propiedad
|
|
Descripción de los resultados: La visibilidad dentro de los nodos está inhabilitada para un clúster de GKE. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento:
|
Verifica la propiedad
|
|
Descripción del resultado: Se creó un clúster de GKE con los rangos de alias de IP inhabilitados. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento:
|
Comprueba si el campo
|
|
Descripción del resultado: La autorización heredada está habilitada en los clústeres de GKE. Nivel de precios: Premium o Estándar
Elementos compatibles Estándares de cumplimiento:
|
Comprueba la propiedad
|
|
Descripción del resultado: Los metadatos heredados están habilitados en los clústeres de GKE. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento:
|
Comprueba la propiedad
|
|
Descripción del resultado: Las redes autorizadas del plano de control no están habilitadas en los clústeres de GKE. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento:
|
Comprueba la propiedad
|
|
Descripción del resultado: La política de red está inhabilitada en los clústeres de GKE. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento:
|
Comprueba el campo
|
|
Descripción del resultado: Los discos de arranque de este grupo de nodos no están encriptados con claves de encriptación administradas por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Inhabilita y habilita los detectores. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento: Esta categoría de hallazgos no se asigna a ningún control de estándares de cumplimiento. |
Comprueba la propiedad
|
|
Descripción del resultado: El inicio seguro está inhabilitado para un clúster de GKE. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento:
|
Verifica la propiedad
|
|
Descripción del resultado: Una cuenta de servicio tiene acceso a proyectos demasiado amplio en un clúster. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento:
|
Evalúa la propiedad
|
|
Descripción del resultado: Una cuenta de servicio de nodo tiene permisos de acceso amplios. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento:
|
Comprueba si el permiso de acceso que aparece en la propiedad config.oauthScopes de un grupo de nodos es un permiso limitado de acceso a la cuenta de servicio: https://www.googleapis.com/auth/devstorage.read_only, https://www.googleapis.com/auth/logging.write. o https://www.googleapis.com/auth/monitoring.
|
|
Descripción del resultado: PodSecurityPolicy está inhabilitado en un clúster de GKE. Para las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización principal. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento:
|
Comprueba la propiedad
|
|
Descripción del resultado: Un clúster de GKE tiene un clúster privado inhabilitado. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento:
|
Comprueba si el campo
|
|
Descripción del resultado: Un clúster de GKE no está suscrito a un canal de versiones. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento:
|
Verifica la propiedad
|
|
Descripción del resultado: La IU web de GKE (panel) está habilitada. Nivel de precios: Premium o Estándar
Elementos compatibles Estándares de cumplimiento:
|
Comprueba el campo
|
|
Descripción del resultado: Workload Identity está inhabilitado en un clúster de GKE. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento:
|
Comprueba si la propiedad
|
Resultados de las vulnerabilidades de Dataproc
Las vulnerabilidades de este tipo de detector se relacionan con Dataproc y pertenecen al tipo de detector DATAPROC_SCANNER.
| Detector | Resumen | Configuración de análisis de elementos |
|---|---|---|
|
Descripción del resultado: Se creó un clúster de Dataproc sin una CMEK de configuración de encriptación. Con CMEK, las claves que creas y administras en Cloud Key Management Service envuelven las claves que usa Google Cloud para encriptar tus datos, lo que te brinda más control sobre el acceso a tus datos. Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Inhabilita y habilita los detectores. Nivel de precios: Premium
Recursos compatibles Estándares de cumplimiento:
|
Comprueba si el campo
|
|
Descripción de los resultados: Se creó un clúster de Dataproc con una versión de imagen de Dataproc que se ve afectada por las vulnerabilidades de seguridad en la utilidad Apache Log4j 2 (CVE-2021-44228). y CVE-2021-45046. Nivel de precios: Premium o Estándar
Recursos compatibles Estándares de cumplimiento: Esta categoría de hallazgos no se asigna a ningún control de estándares de cumplimiento. |
Comprueba si el campo
|
Resultados de las vulnerabilidades de los conjuntos de datos
Las vulnerabilidades de este tipo de detector se relacionan con la configuración de conjuntos de datos de BigQuery y pertenecen al tipo de detector DATASET_SCANNER.
| Detector | Resumen | Configuración de análisis de elementos |
|---|---|---|
|
Descripción de los resultados: Una tabla de BigQuery no está configurada para usar una clave de encriptación administrada por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Inhabilita y habilita los detectores. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba si el campo
|
|
Descripción de los resultados: Un conjunto de datos de BigQuery no está configurado para usar una CMEK predeterminada. Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Inhabilita y habilita los detectores. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba si el campo
|
|
Descripción del resultado: Un conjunto de datos está configurado para estar abierto al acceso público. Nivel de precios: Premium o Estándar
Elementos admitidos Estándares de cumplimiento:
|
Verifica la política de permisos de IAM en metadatos de recursos para las principales
|
Resultados de las vulnerabilidades de DNS
Las vulnerabilidades de este tipo de detector se relacionan con las configuraciones de Cloud DNS y pertenecen al tipo de detector DNS_SCANNER.
| Detector | Resumen | Configuración de análisis de elementos |
|---|---|---|
|
Descripción del resultado: DNSSEC está inhabilitada para las zonas de Cloud DNS. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba si el campo
|
|
Descripción del resultado: RSASHA1 se usa para firmar claves en zonas de Cloud DNS. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba si el objeto
|
Resultados de las vulnerabilidades de firewall
Las vulnerabilidades de este tipo de detector se relacionan con la configuración del firewall y pertenecen al tipo de detector FIREWALL_SCANNER.
| Detector | Resumen | Configuración de análisis de elementos |
|---|---|---|
|
Descripción de resultados: Una regla de denegación de salida no se establece en un firewall. Las reglas de denegación de salida deben configurarse para bloquear el tráfico saliente no deseado. Para las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización principal. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad
|
|
Descripción del resultado: El registro de reglas de firewall está inhabilitado. El registro de las reglas de firewall debe estar habilitado para que puedas auditar el acceso a la red. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba la propiedad
|
|
Descripción del resultado: Un firewall está configurado para tener un puerto Cassandra abierto que permita el acceso genérico. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba la propiedad
|
|
Descripción del resultado: Un firewall está configurado para tener un puerto abierto CISCOSECURE_WEBSM que permite el acceso genérico. Nivel de precios: Premium o Estándar
Recursos admitidos Estándares de cumplimiento:
|
Comprueba la propiedad
|
|
Descripción del resultado: Un firewall está configurado para tener un puerto DIRECTORY_SERVICES abierto que permita el acceso genérico. Nivel de precios: Premium o Estándar
Recursos admitidos Estándares de cumplimiento:
|
Comprueba la propiedad
|
|
Descripción del resultado: Un firewall está configurado para tener un puerto DNS abierto que permita el acceso genérico. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba la propiedad
|
|
Descripción del resultado: Un firewall está configurado para tener un puerto ELASTICSEARCH abierto que permita el acceso genérico. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba la propiedad
|
|
Descripción del resultado: Un firewall está configurado para estar abierto al acceso público. Nivel de precios: Premium o Estándar
Recursos admitidos Estándares de cumplimiento:
|
Verifica las propiedades
|
|
Descripción del resultado: Un firewall está configurado para tener un puerto FTP abierto que permite el acceso genérico. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba la propiedad
|
|
Descripción del resultado: Un firewall está configurado para tener un puerto HTTP abierto que permite el acceso genérico. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba la propiedad
|
|
Descripción del resultado: Un firewall está configurado para tener un puerto LDAP abierto que permita el acceso genérico. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba la propiedad
|
|
Descripción del resultado: Un firewall está configurado para tener un puerto MEMCACHED abierto que permite el acceso genérico. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba la propiedad
|
|
Descripción del resultado: Un firewall está configurado para tener un puerto MONGODB abierto que permita el acceso genérico. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba la propiedad
|
|
Descripción del resultado: Un firewall está configurado para tener un puerto MYSQL abierto que permita el acceso genérico. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba la propiedad
|
|
Descripción del resultado: Un firewall está configurado para tener un puerto NETBIOS abierto que permite el acceso genérico. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba la propiedad
|
|
Descripción del resultado: Un firewall está configurado para tener un puerto ORACLEDB abierto que permite el acceso genérico. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba la propiedad
|
|
Descripción del resultado: Un firewall está configurado para tener un puerto POP3 abierto que permita el acceso genérico. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba la propiedad
|
|
Descripción del resultado: Un firewall está configurado para tener un puerto PostgreSQL abierto que permite el acceso genérico. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba la propiedad
|
|
Descripción del resultado: Un firewall está configurado para tener un puerto RDP abierto que permita el acceso genérico. Nivel de precios: Premium o Estándar
Recursos admitidos Estándares de cumplimiento:
|
Comprueba la propiedad
|
|
Descripción del resultado: Un firewall está configurado para tener un puerto REDIS abierto que permita el acceso genérico. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad
|
|
Descripción del resultado: Un firewall está configurado para tener un puerto SMTP abierto que permita el acceso genérico. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad
|
|
Descripción del resultado: Un firewall está configurado para tener un puerto SSH abierto que permite el acceso genérico. Nivel de precios: Premium o Estándar
Recursos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad
|
|
Descripción del resultado: Un firewall está configurado para tener un puerto TELNET abierto que permita el acceso genérico. Nivel de precios: Premium o Estándar
Recursos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad
|
Resultados de las vulnerabilidades de IAM
Las vulnerabilidades de este tipo de detector se relacionan con la configuración de la administración de identidades y accesos (IAM) y pertenecen al tipo de detector IAM_SCANNER.
| Detector | Resumen | Configuración de análisis de elementos |
|---|---|---|
|
Descripción del problema: Google Cloud La Transparencia de acceso está inhabilitada para tu organización. Registros de Transparencia de acceso cuando los empleados acceden a los proyectos de tu organización para brindar asistencia Google Cloud Habilita la Transparencia de acceso para registrar quién de Google Cloud accede a tu información, cuándo y por qué. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Verifica si tu organización tiene habilitada la Transparencia de acceso.
|
|
Descripción de hallazgos: Una cuenta de servicio tiene privilegios de administrador, propietario o editor. Estas funciones no se deben asignar a las cuentas de servicio creadas por el usuario. Nivel de precios: Premium
Recursos compatibles Estándares de cumplimiento:
|
Verifica la política de permisos de IAM en los metadatos de recursos para cualquier cuenta de servicio creada por el usuario (indicada por el prefijo iam.gserviceaccount.com), que se les asigna
|
|
Descripción del hallazgo: Tu organización no designó a una persona o grupo para recibir notificaciones de Google Cloud sobre eventos importantes, como ataques, vulnerabilidades e incidentes de datos dentro de tu organización Google Cloud . Te recomendamos que designes como contacto esencial a una o más personas o grupos de tu organización empresarial. Nivel de precios: Premium
Recursos compatibles Estándares de cumplimiento:
|
Verifica que se especifique un contacto para las siguientes categorías de contactos esenciales:
|
|
Descripción del resultado: No se aplica la separación de obligaciones, y existe un usuario que tiene cualquiera de las siguientes funciones de Cloud Key Management Service (Cloud KMS) al mismo tiempo: Encriptador/desencriptador de CryptoKey, Encriptador o Desencriptador. Este hallazgo no está disponible para las activaciones a nivel del proyecto. Nivel de precios: Premium
Recursos compatibles Estándares de cumplimiento:
|
Verifica las políticas de permisos de IAM en metadatos de recursos y recupera los miembros a los que se les asignó alguna de los siguientes roles al mismo tiempo: roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter y roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer, roles/cloudkms.signerVerifier, roles/cloudkms.publicKeyViewer
|
|
Descripción del resultado: Hay un usuario que no usa credenciales de organización. Según CIS para GCP Foundations 1.0, por el momento, solo las identidades con direcciones de correo electrónico @gmail.com activan este detector. Nivel de precios: Premium o Estándar
Recursos compatibles Estándares de cumplimiento:
|
Compara las direcciones de correo electrónico @gmail.com en el campo
|
|
Descripción de los resultados: Se usa una cuenta de Grupos de Google que se puede unir sin aprobación como principal de la política de permisos de IAM. Nivel de precios: Premium o Estándar
Recursos compatibles Estándares de cumplimiento: Esta categoría de hallazgos no se asigna a ningún control de estándares de cumplimiento. |
Verifica la política de IAM en los metadatos de recursos en busca de vinculaciones que contengan un miembro (principal) con el prefijo group. Si el grupo es abierto, Security Health Analytics genera este resultado.
|
|
Descripción del resultado: Un usuario tiene la función Usuario de cuenta de servicio o Creador de tokens de cuenta de servicio a nivel de proyecto, en lugar de una cuenta de servicio específica. Nivel de precios: Premium
Recursos compatibles Estándares de cumplimiento:
|
Verifica la política de permisos de IAM en los metadatos de recursos para cualquier miembro asignado roles/iam.serviceAccountUser o roles/iam.serviceAccountTokenCreator a nivel de proyecto.
|
|
Descripción del resultado: Un usuario tiene uno de los siguientes roles básicos:
Estas funciones son demasiado permisivas y no se deben usar. Nivel de precios: Premium
Recursos compatibles Estándares de cumplimiento:
|
Verifica la política de permisos de IAM en los metadatos de recursos para cualquier principal al que se le asigne un rol de
|
|
Descripción de los hallazgos: Una función de IAM de Redis se asigna a nivel de organización o carpeta. Este hallazgo no está disponible para las activaciones a nivel del proyecto. Nivel de precios: Premium
Recursos compatibles
Estándares de cumplimiento:
|
Verifica la política de permisos de IAM en metadatos de recursos para miembros asignados
|
|
Descripción del resultado: Se asignaron a un usuario las funciones de administrador de cuentas de servicio y usuario de cuentas de servicio. Esto infringe el principio de “Separación de obligaciones”. Este hallazgo no está disponible para las activaciones a nivel del proyecto. Nivel de precios: Premium
Recursos compatibles Estándares de cumplimiento:
|
Comprueba la política de permisos de IAM en los metadatos de recursos para cualquier miembro asignado tanto roles/iam.serviceAccountUser como roles/iam.serviceAccountAdmin.
|
|
Descripción de los hallazgos: La clave de una cuenta de servicio no se rotó por más de 90 días. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Evalúa la marca de tiempo de creación de claves capturada en la propiedad
|
|
Descripción del resultado: Un usuario administra una clave de cuenta de servicio. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad
|
Resultados de las vulnerabilidades de KMS
Las vulnerabilidades de este tipo de detector se relacionan con la configuración de Cloud KMS y pertenecen al tipo de detector KMS_SCANNER.
| Detector | Resumen | Configuración de análisis de elementos |
|---|---|---|
|
Descripción de los hallazgos: La rotación no se configura en una clave de encriptación de Cloud KMS. La encriptación de claves se debe rotar en un período de 90 días Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Verifica los metadatos de los recursos para la existencia de propiedades
|
|
Descripción de los hallazgos: Un usuario tiene permisos de Propietario en un proyecto que tiene claves criptográficas. Para las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización principal. Nivel de precios: Premium
Recursos compatibles Estándares de cumplimiento:
|
Verifica la política de permisos de IAM en los metadatos del proyecto para los miembros asignados
|
|
Descripción de los hallazgos: Una clave criptográfica de Cloud KMS es de acceso público. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Verifica la política de permisos de IAM en metadatos de recursos para las principales
|
|
Descripción del resultado: Hay más de tres usuarios de claves criptográficas. Para las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización principal. Nivel de precios: Premium
Elementos admitidos Estándares de cumplimiento:
|
Comprueba las políticas de permisos de IAM para llaveros de claves, proyectos y organizaciones, y recupera miembros con roles que les permiten encriptar, desencriptar o firmar datos con claves de Cloud KMS: roles/owner, roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter, roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer y roles/cloudkms.signerVerifier
|
Resultados de las vulnerabilidades de registros
Las vulnerabilidades de este tipo de detector se relacionan con la configuración del registro y pertenecen al tipo de detector LOGGING_SCANNER.
| Detector | Resumen | Configuración de análisis de elementos |
|---|---|---|
|
Descripción de los hallazgos: Se inhabilitó el registro de auditoría para este recurso. Este hallazgo no está disponible para las activaciones a nivel del proyecto. Nivel de precios: Premium
Recursos compatibles Estándares de cumplimiento:
|
Verifica la política de permisos de IAM en los metadatos de recursos para la existencia de un objeto
|
|
Descripción del resultado: Hay un bucket de almacenamiento sin el registro habilitado. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba si el campo
|
|
Descripción del resultado: Una política de retención bloqueada no se establece para los registros. Para las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización principal. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba si el campo
|
|
Descripción de los hallazgos: Hay un recurso que no tiene configurado un receptor de registros adecuado. Para las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización principal. Nivel de precios: Premium
Recursos compatibles
Estándares de cumplimiento:
|
Recupera un objeto
|
|
Descripción del resultado: El control de versiones de objetos no está habilitado en un bucket de almacenamiento en el que están configurados los receptores. Para las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización principal. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba si el campo
|
Resultados de las vulnerabilidades de Monitoring
Las vulnerabilidades de este tipo de detector se relacionan con las configuraciones de supervisión y pertenecen al tipo MONITORING_SCANNER. Todas las propiedades del hallazgo del detector de Monitoring incluyen lo siguiente:
- El
RecommendedLogFilterque se usará para crear las métricas de registro. -
El
QualifiedLogMetricNamesque cubre las condiciones que se enumeran en el filtro de registro recomendado. - El
AlertPolicyFailureReasonsque indica si el proyecto no tiene políticas de alerta creadas para cualquiera de las métricas de registro calificadas o si las políticas de alertas existentes no tienen la configuración recomendada.
| Detector | Resumen | Configuración de análisis de elementos |
|---|---|---|
|
Descripción del resultado: Las métricas y alertas de registro no están configuradas para supervisar los cambios de la configuración de auditoría. Para las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización principal. Nivel de precios: Premium
Recursos compatibles Estándares de cumplimiento:
|
Comprueba si la propiedad filter del recurso LogsMetric del proyecto se establece en protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.auditConfigDeltas:* y, si se especifica resource.type, el valor es global.
El detector también busca un recurso alertPolicy correspondiente y verifica que las propiedades conditions y notificationChannels estén configuradas correctamente.
|
|
Descripción de los hallazgos: Las métricas y alertas de registros no están configuradas para supervisar los cambios de permiso de IAM de Cloud Storage. Para las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización principal. Nivel de precios: Premium
Recursos compatibles Estándares de cumplimiento:
|
Comprueba si la propiedad filter del recurso LogsMetric del proyecto se configuró como resource.type=gcs_bucket AND
protoPayload.methodName="storage.setIamPermissions".
El detector también busca un recurso alertPolicy correspondiente y verifica que las propiedades conditions y notificationChannels estén configuradas correctamente.
|
|
Descripción de los hallazgos: Las métricas y alertas de registro no están configuradas para supervisar los cambios de funciones personalizadas. Para las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización principal. Nivel de precios: Premium
Recursos compatibles Estándares de cumplimiento:
|
Comprueba si la propiedad filter del recurso LogsMetric del proyecto se configuró como resource.type="iam_role" AND
(protoPayload.methodName="google.iam.admin.v1.CreateRole"
OR
protoPayload.methodName="google.iam.admin.v1.DeleteRole"
OR
protoPayload.methodName="google.iam.admin.v1.UpdateRole").
El detector también busca un recurso alertPolicy correspondiente y verifica que las propiedades conditions y notificationChannels estén configuradas correctamente.
|
|
Descripción de los resultados: Las métricas y alertas de registros no están configuradas para supervisar los cambios de la regla de firewall de la red de nube privada virtual (VPC). Para las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización principal. Nivel de precios: Premium
Recursos compatibles Estándares de cumplimiento:
|
Comprueba si la propiedad filter del recurso LogsMetric del proyecto se configuró como
resource.type="gce_firewall_rule"
AND (protoPayload.methodName:"compute.firewalls.insert"
OR protoPayload.methodName:"compute.firewalls.patch"
OR protoPayload.methodName:"compute.firewalls.delete").
El detector también busca un recurso alertPolicy correspondiente y verifica que las propiedades conditions y notificationChannels estén configuradas correctamente.
|
|
Descripción de los hallazgos: Las métricas y alertas de registros no están configuradas para supervisar los cambios de la red de VPC Para las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización principal. Nivel de precios: Premium
Recursos compatibles Estándares de cumplimiento:
|
Comprueba si la propiedad filter del recurso LogsMetric del proyecto se configuró como
resource.type="gce_network"
AND (protoPayload.methodName:"compute.networks.insert"
OR protoPayload.methodName:"compute.networks.patch"
OR protoPayload.methodName:"compute.networks.delete"
OR protoPayload.methodName:"compute.networks.removePeering"
OR protoPayload.methodName:"compute.networks.addPeering").
El detector también busca un recurso alertPolicy correspondiente y verifica que las propiedades conditions y notificationChannels estén configuradas correctamente.
|
|
Descripción del resultado: Las métricas y alertas de registros no están configuradas para supervisar los cambios o las asignaciones de propiedad del proyecto. Para las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización principal. Nivel de precios: Premium
Recursos compatibles Estándares de cumplimiento:
|
Comprueba si la propiedad filter del recurso LogsMetric del proyecto se establece en (protoPayload.serviceName="cloudresourcemanager.googleapis.com")
AND (ProjectOwnership OR projectOwnerInvitee) OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")
OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") y, si se especifica resource.type, el valor es global.
El detector también busca un recurso alertPolicy correspondiente y verifica que las propiedades conditions y notificationChannels estén configuradas correctamente.
|
|
Descripción de los hallazgos: Las métricas y alertas de registros no están configuradas para supervisar los cambios de ruta de la red de VPC Para las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización principal. Nivel de precios: Premium
Recursos compatibles Estándares de cumplimiento:
|
Comprueba si la propiedad filter del recurso LogsMetric del proyecto se configuró como
resource.type="gce_route"
AND (protoPayload.methodName:"compute.routes.delete"
OR protoPayload.methodName:"compute.routes.insert").
El detector también busca un recurso alertPolicy correspondiente y verifica que las propiedades conditions y notificationChannels estén configuradas correctamente.
|
|
Descripción de los hallazgos: Las métricas y alertas de registros no están configuradas para supervisar los cambios en la configuración de la instancia de Cloud SQL. Para las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización principal. Nivel de precios: Premium
Recursos compatibles Estándares de cumplimiento:
|
Comprueba si la propiedad filter del recurso LogsMetric del proyecto se establece en
protoPayload.methodName="cloudsql.instances.update"
OR protoPayload.methodName="cloudsql.instances.create"
OR protoPayload.methodName="cloudsql.instances.delete" y, si se especifica resource.type, el valor es global.
El detector también busca un recurso alertPolicy correspondiente y verifica que las propiedades conditions y notificationChannels estén configuradas correctamente.
|
Resultados de autenticación de varios factores
El detector MFA_SCANNER identifica vulnerabilidades relacionadas con la autenticación de varios factores para los usuarios.
| Detector | Resumen | Configuración de análisis de elementos |
|---|---|---|
|
Hay usuarios que no usan la verificación en 2 pasos. Google Workspace te permite especificar un período de gracia de inscripción para los usuarios nuevos, durante el cual deben inscribirse en la verificación en 2 pasos. Este detector crea hallazgos para los usuarios durante el período de gracia de inscripción. Este hallazgo no está disponible para las activaciones a nivel del proyecto. Nivel de precios: Premium o Estándar
Recursos compatibles Estándares de cumplimiento:
|
Evalúa las políticas de administración de identidades en las organizaciones y la configuración de usuarios para cuentas administradas en Cloud Identity.
|
Resultados de las vulnerabilidades de la red
Las vulnerabilidades de este tipo de detector se relacionan con la configuración de red de una organización y pertenecen al tipo NETWORK_SCANNER.
| Detector | Resumen | Configuración de análisis de elementos |
|---|---|---|
|
Descripción del resultado: La red predeterminada existe en un proyecto. Para las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización principal. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad
|
|
Descripción de búsqueda: El registro DNS en una red de VPC no está habilitado. Para las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización principal. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba todas las
|
|
Descripción del resultado: Existe una red heredada en un proyecto. Para las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización principal. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba la existencia de metadatos de red para la existencia de la propiedad
|
|
Descripción del resultado: El registro está inhabilitado para el balanceador de cargas. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad
|
Hallazgos de las vulnerabilidades de las políticas de la organización
Las vulnerabilidades de este tipo de detector se relacionan con las configuraciones de las restricciones de Política de la organización y pertenecen al tipo ORG_POLICY.
| Detector | Resumen | Configuración de análisis de elementos |
|---|---|---|
|
Descripción del resultado: Un recurso de Compute Engine no cumple con la política de la organización constraints/compute.restrictNonConfidentialComputing. Para obtener más información sobre esta restricción de la política de la organización, consulta Aplica restricciones de políticas de la organización en Confidential VM.
Para las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización principal. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento: Esta categoría de hallazgos no se asigna a ningún control de estándares de cumplimiento. |
Comprueba si la propiedad
|
|
Descripción de los resultados: Un recurso de Compute Engine no cumple con la restricción constraints/gcp.resourceLocations. Para obtener más información sobre esta restricción de políticas de la organización, consulta Aplica restricciones de políticas de la organización.
Para las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización principal. Nivel de precios: Premium
Activos admitidos Estándares de cumplimiento: Esta categoría de hallazgos no se asigna a ningún control de estándares de cumplimiento. |
Comprueba la propiedad
|
|
Elementos admitidos para ORG_POLICY_LOCATION_RESTRICTION
Compute Engine
GKE
Cloud Storage
Cloud KMS
Dataproc
BigQuery
Dataflow
Cloud SQL
Cloud Composer
Logging
Pub/Sub
Vertex AI
Artifact Registry 1 Debido a que los activos de Cloud KMS no se pueden borrar, el activo no se considera fuera de la región si se destruyeron sus datos. 2 Debido a que los trabajos de importación de Cloud KMS tienen un ciclo de vida controlado y no se pueden finalizar de forma anticipada, un ImportJob no se considera fuera de la región si el trabajo venció y ya no se puede usar para importar claves. 3 Debido a que no se puede administrar el ciclo de vida de los trabajos de Dataflow, un trabajo no se considera fuera de la región una vez que alcanza un estado terminal (detenido o desviado), en el que ya no se pueden usar para procesar datos. |
||
Resultados de vulnerabilidades de Pub/Sub
Las vulnerabilidades de este tipo de detector se relacionan con las configuraciones de Pub/Sub y pertenecen al tipo PUBSUB_SCANNER.
| Detector | Resumen | Configuración de análisis de elementos |
|---|---|---|
|
Descripción del resultado: Un tema de Pub/Sub no se encripta con claves de encriptación administradas por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Inhabilita y habilita los detectores. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento: Esta categoría de hallazgos no se asigna a ningún control de estándares de cumplimiento. |
Comprueba el campo
|
Resultados de las vulnerabilidades de SQL
En las siguientes secciones, se describen los hallazgos de vulnerabilidades para AlloyDB para PostgreSQL y Cloud SQL.
Resultados de vulnerabilidades de AlloyDB para PostgreSQL
Las vulnerabilidades de este tipo de detector se relacionan con la configuración de AlloyDB para PostgreSQL y pertenecen al tipo SQL_SCANNER.
| Detector | Resumen | Configuración de análisis de elementos |
|---|---|---|
|
Descripción del hallazgo: Un clúster de AlloyDB para PostgreSQL no tiene habilitadas las copias de seguridad automáticas. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento:
|
Comprueba si la propiedad
|
|
Descripción del hallazgo: Un clúster de AlloyDB para PostgreSQL no tiene habilitadas las copias de seguridad. Nivel de precios: Premium
Elementos compatibles Estándares de cumplimiento:
|
Comprueba si las propiedades
|
|
Descripción del resultado: Un clúster de AlloyDB no está encriptado con claves de encriptación administradas por el cliente (CMEK). Nivel de precios: Premium
Recursos compatibles Estándares de cumplimiento:
|
Comprueba el campo
|
|
Descripción de los hallazgos:
La marca de la base de datos Nivel de precios: Premium
Recursos compatibles Estándares de cumplimiento:
|
Para garantizar una cobertura adecuada de los tipos de mensajes en los registros, genera un hallazgo si el campo
|
|
Descripción de los hallazgos:
La marca de la base de datos Nivel de precios: Premium
Recursos compatibles Estándares de cumplimiento:
|
Para garantizar una cobertura adecuada de los tipos de mensajes en los registros, genera un hallazgo si el campo
|
|
Descripción de los hallazgos:
La marca de la base de datos Nivel de precios: Premium
Recursos compatibles Estándares de cumplimiento:
|
Para garantizar una cobertura adecuada de los tipos de mensajes en los registros, genera un hallazgo si el campo
|
|
Descripción del hallazgo: Una instancia de base de datos de AlloyDB para PostgreSQL tiene una dirección IP pública. Nivel de precios: Premium
Recursos compatibles Estándares de cumplimiento:
|
Comprueba si el campo
|
|
Descripción del hallazgo: Una instancia de base de datos de AlloyDB para PostgreSQL no requiere que todas las conexiones entrantes usen SSL. Nivel de precios: Premium
Recursos compatibles Estándares de cumplimiento:
|
Comprueba si la propiedad
|
Resultados de vulnerabilidades de Cloud SQL
Las vulnerabilidades de este tipo de detector se relacionan con la configuración de Cloud SQL y pertenecen al tipo SQL_SCANNER.
| Detector | Resumen | Configuración de análisis de elementos |
|---|---|---|
|
Descripción del resultado: Una base de datos de Cloud SQL no tiene habilitadas las copias de seguridad automáticas. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad
|
|
Descripción de los hallazgos: Una instancia de base de datos de Cloud SQL acepta conexiones de todas las direcciones IP. Nivel de precios: Premium o Estándar
Recursos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad
|
|
Descripción del resultado: Una instancia de base de datos de Cloud SQL no necesita que todas las conexiones entrantes usen SSL. Nivel de precios: Premium o Estándar
Recursos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad
|
|
Descripción del resultado: Una instancia de base de datos SQL no está encriptada con claves de encriptación administradas por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Inhabilita y habilita los detectores. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento: Esta categoría de hallazgos no se asigna a ningún control de estándares de cumplimiento. |
Comprueba el campo
|
|
Descripción de los hallazgos: La marca de la base de datos Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba la propiedad
|
|
Descripción de los hallazgos: La marca de la base de datos Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Verifica la propiedad
|
|
Descripción de los hallazgos: La marca de la base de datos Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Verifica la propiedad
|
|
Descripción de los hallazgos: La marca de la base de datos Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Verifica la propiedad
|
|
Descripción de los hallazgos: La marca de la base de datos Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Verifica la propiedad
|
|
Descripción de los hallazgos: La marca de la base de datos Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Verifica la propiedad
|
|
Descripción de los hallazgos: La marca de la base de datos Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Verifica la propiedad
|
|
Descripción de los hallazgos: La marca de la base de datos Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Verifica la propiedad
|
|
Descripción de los hallazgos: La marca de la base de datos Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad
|
|
Descripción de los hallazgos: La marca de la base de datos Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Verifica la propiedad
|
|
Descripción de los hallazgos: La marca de la base de datos Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Verifica la propiedad
|
|
Descripción de los hallazgos: La marca de la base de datos Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba si el campo
|
|
Descripción de los resultados: La marca de la base de datos Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba si el campo
|
|
Descripción de los hallazgos: La marca de la base de datos Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Para garantizar una cobertura adecuada de los tipos de mensajes en los registros, genera un hallazgo si el campo
|
|
Descripción de los hallazgos: La marca de la base de datos Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad
|
|
Descripción de los hallazgos: La marca de la base de datos Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad
|
|
Descripción de los hallazgos: La marca de la base de datos Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad
|
|
Descripción de los hallazgos: La marca de la base de datos Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad
|
|
Descripción de los resultados: La marca de la base de datos Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad
|
|
Descripción de los hallazgos: La marca de la base de datos Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad
|
|
Descripción de los hallazgos: La marca de la base de datos Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Verifica la propiedad
|
|
Descripción del hallazgo: Una base de datos de Cloud SQL que tiene una dirección IP pública no tiene una contraseña configurada para la cuenta raíz. Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Inhabilita y habilita los detectores. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad
|
|
Descripción de los hallazgos: Una base de datos de Cloud SQL tiene una dirección IP pública. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba si el tipo de dirección IP de una base de datos de Cloud SQL está configurada como
|
|
Descripción de los hallazgos: La marca de la base de datos Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Verifica la propiedad
|
|
Descripción de los hallazgos: La marca de la base de datos Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Verifica la propiedad
|
|
Descripción de los hallazgos: La marca de la base de datos Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Verifica la propiedad
|
|
Descripción de los resultados: Se configura la marca de base de datos Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Verifica la propiedad
|
|
Descripción de los resultados: Se configura la marca de base de datos Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Verifica la propiedad
|
|
Descripción del hallazgo: Una base de datos de Cloud SQL que tiene una dirección IP pública también tiene una contraseña poco segura configurada para la cuenta raíz. Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Inhabilita y habilita los detectores. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento: Esta categoría de hallazgos no se asigna a ningún control de estándares de cumplimiento. |
Compara la contraseña de la cuenta raíz de tu base de datos de Cloud SQL con una lista de contraseñas comunes.
|
Resultados de las vulnerabilidades de subred
Las vulnerabilidades de este tipo de detector se relacionan con las opciones de configuración de la subred de una organización y pertenecen al tipo SUBNETWORK_SCANNER.
| Detector | Resumen | Configuración de análisis de elementos |
|---|---|---|
|
Descripción del resultado: Hay una subred de VPC que tiene los registros de flujo inhabilitados. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba si falta la propiedad
|
|
Descripción del hallazgo: En una subred de VPC, los registros de flujo de VPC están desactivados o no están configurados según las recomendaciones de CIS Benchmark 1.3. Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Inhabilita y habilita los detectores. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba si falta la propiedad
|
|
Descripción del resultado: Existen subredes privadas sin acceso a las API públicas de Google. Nivel de precios: Premium
Recursos admitidos Estándares de cumplimiento:
|
Comprueba si la propiedad
|
Hallazgos de AWS
| Detector | Resumen | Configuración de análisis de elementos |
|---|---|---|
|
Descripción del resultado: AWS CloudShell es una forma conveniente de ejecutar comandos de la CLI en los servicios de AWS. Una política de IAM administrada ("AWSCloudShellFullAccess") proporciona acceso completo a CloudShell, lo que permite la capacidad de carga y descarga de archivos entre el sistema local de un usuario y el entorno de CloudShell. En el entorno de Cloud Shell, un usuario tiene permisos de sudo y puede acceder a Internet. Por lo tanto, es factible instalar software de transferencia de archivos (por ejemplo) y mover datos de Cloud Shell a servidores externos de Internet. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Asegúrate de que el acceso a AWSCloudShellFullAccess esté restringido
|
|
Descripción del resultado: Las claves de acceso constan de un ID de clave de acceso y una clave de acceso secreta, que se utilizan para firmar las solicitudes programáticas que realizas a AWS. Los usuarios de AWS necesitan sus propias claves de acceso para realizar llamadas programáticas a AWS desde la interfaz de línea de comandos de AWS (AWS CLI), las herramientas para Windows PowerShell, los SDK de AWS o las llamadas HTTP directas con las APIs para los servicios individuales de AWS. Se recomienda rotar todas las claves de acceso con regularidad. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Asegúrate de que las claves de acceso se roten cada 90 días o menos
|
|
Descripción del resultado: Para habilitar las conexiones HTTPS a tu sitio web o aplicación en AWS, necesitas un certificado de servidor SSL/TLS. Puedes usar ACM o IAM para almacenar y, luego, implementar certificados de servidor. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Asegúrate de quitar todos los certificados SSL o TLS vencidos que estén almacenados en IAM de AWS
|
|
Descripción del resultado: Esta verificación comprueba si tus grupos de ajuste de escala automático asociados a un balanceador de cargas usan verificaciones de estado de Elastic Load Balancing. Esto garantiza que el grupo pueda determinar el estado de una instancia en función de las pruebas adicionales que proporciona el balanceador de cargas. Usar las verificaciones de estado de Elastic Load Balancing puede ayudar a admitir la disponibilidad de las aplicaciones que usan grupos de ajuste de escala automático de EC2. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Verifica que todos los grupos de ajuste de escala automático asociados con un balanceador de cargas utilicen comprobaciones de estado
|
|
Descripción del resultado: Asegúrate de que las instancias de la base de datos de RDS tengan habilitada la marca Auto Minor Version Upgrade para recibir automáticamente actualizaciones secundarias del motor durante el período de mantenimiento especificado. Por lo tanto, las instancias de RDS pueden obtener las nuevas funciones, las correcciones de errores y los parches de seguridad para sus motores de bases de datos. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Asegúrate de que la función de actualización de versión secundaria automática esté habilitada para las instancias de RDS
|
|
Descripción del resultado: AWS Config es un servicio web que realiza la administración de la configuración de los recursos de AWS compatibles dentro de tu cuenta y te entrega archivos de registro. La información registrada incluye el elemento de configuración (recurso de AWS), las relaciones entre los elementos de configuración (recursos de AWS) y cualquier cambio de configuración entre los recursos. Se recomienda habilitar AWS Config en todas las regiones. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Asegúrate de que AWS Config esté habilitado en todas las regiones
|
|
Descripción del resultado: Security Hub recopila datos de seguridad de todas las cuentas y los servicios de AWS, y de los productos de socios externos compatibles, y te ayuda a analizar tus tendencias de seguridad y a identificar los problemas de seguridad de mayor prioridad. Cuando habilitas Security Hub, comienza a consumir, agregar, organizar y priorizar los hallazgos de los servicios de AWS que habilitaste, como Amazon GuardDuty, Amazon Inspector y Amazon Macie. También puedes habilitar integraciones con productos de seguridad de socios de AWS. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Asegúrate de que el Security Hub de AWS esté habilitado
|
|
Descripción del resultado: AWS CloudTrail es un servicio web que registra las llamadas a la API de AWS para una cuenta y pone esos registros a disposición de los usuarios y los recursos de acuerdo con las políticas de IAM. AWS Key Management Service (KMS) es un servicio administrado que ayuda a crear y controlar las claves de encriptación que se usan para encriptar los datos de la cuenta, y utiliza módulos de seguridad de hardware (HSM) para proteger la seguridad de las claves de encriptación. Los registros de CloudTrail se pueden configurar para aprovechar la encriptación del servidor (SSE) y las claves maestras (CMK) creadas por el cliente de KMS para proteger aún más los registros de CloudTrail. Se recomienda configurar CloudTrail para que use SSE-KMS. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Asegúrate de que los registros de CloudTrail estén encriptados en reposo con CMK de KMS
|
|
Descripción del resultado: La validación de archivos de registro de CloudTrail crea un archivo de resumen firmado digitalmente que contiene un hash de cada registro que CloudTrail escribe en S3. Estos archivos de resumen se pueden usar para determinar si un archivo de registro se cambió, borró o no se modificó después de que CloudTrail entregó el registro. Se recomienda habilitar la validación de archivos en todos los CloudTrails. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Asegúrate de que la validación del archivo de registro de CloudTrail esté habilitada
|
|
Descripción del resultado: AWS CloudTrail es un servicio web que registra las llamadas a la API de AWS realizadas en una cuenta de AWS determinada. La información registrada incluye la identidad de quien llama a la API, la hora de la llamada a la API, la dirección IP de origen de quien llama a la API, los parámetros de la solicitud y los elementos de respuesta que devuelve el servicio de AWS. CloudTrail usa Amazon S3 para el almacenamiento y la entrega de archivos de registro, por lo que los archivos de registro se almacenan de forma duradera. Además de capturar registros de CloudTrail en un bucket de S3 especificado para el análisis a largo plazo, se puede realizar un análisis en tiempo real configurando CloudTrail para que envíe registros a CloudWatch Logs. En el caso de un registro de seguimiento habilitado en todas las regiones de una cuenta, CloudTrail envía archivos de registro de todas esas regiones a un grupo de registros de CloudWatch Logs. Se recomienda que los registros de CloudTrail se envíen a los registros de CloudWatch. Nota: El objetivo de esta recomendación es garantizar que se capture, supervise y alerte de forma adecuada la actividad de la cuenta de AWS. CloudWatch Logs es una forma nativa de lograr esto con los servicios de AWS, pero no impide el uso de una solución alternativa. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Asegúrate de que los registros de CloudTrail estén incluidos en los registros de CloudWatch
|
|
Descripción del resultado: Esta verificación determina si Amazon CloudWatch tiene acciones definidas cuando una alarma realiza una transición entre los estados "OK", "ALARM" y "INSUFFICIENT_DATA". Configurar acciones para el estado ALARM en las alarmas de Amazon CloudWatch es muy importante para activar una respuesta inmediata cuando las métricas supervisadas superan los umbrales. Las alarmas tienen al menos una acción. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Verifica si las alarmas de CloudWatch tienen al menos una acción de alarma, una acción INSUFFICIENT_DATA o una acción OK habilitadas.
|
|
Descripción del resultado: Esta verificación garantiza que los registros de CloudWatch estén configurados con KMS. Los datos del grupo de registros siempre se encriptan en CloudWatch Logs. De forma predeterminada, CloudWatch Logs usa la encriptación del lado del servidor para los datos de registro en reposo. Como alternativa, puedes usar AWS Key Management Service para esta encriptación. Si lo haces, la encriptación se realizará con una clave de AWS KMS. La encriptación con AWS KMS se habilita a nivel del grupo de registros asociando una clave de KMS a un grupo de registros, ya sea cuando creas el grupo de registros o después de que existe. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Verifica que todos los grupos de registros en Amazon CloudWatch Logs estén encriptados con KMS
|
|
Descripción del resultado: Este control verifica si los registros de CloudTrail están configurados para enviar registros a CloudWatch Logs. El control falla si la propiedad CloudWatchLogsLogGroupArn del registro está vacía. CloudTrail registra las llamadas a la API de AWS que se realizan en una cuenta determinada. La información registrada incluye lo siguiente:
CloudTrail usa Amazon S3 para el almacenamiento y la entrega de archivos de registro. Puedes capturar registros de CloudTrail en un bucket de S3 especificado para su análisis a largo plazo. Para realizar análisis en tiempo real, puedes configurar CloudTrail para que envíe registros a CloudWatch Logs. En el caso de un registro de seguimiento habilitado en todas las regiones de una cuenta, CloudTrail envía archivos de registro de todas esas regiones a un grupo de registros de CloudWatch Logs. Security Hub recomienda que envíes los registros de CloudTrail a los registros de CloudWatch. Ten en cuenta que esta recomendación tiene como objetivo garantizar que se capture, supervise y alerte de forma adecuada la actividad de la cuenta. Puedes usar CloudWatch Logs para configurar esto con tus servicios de AWS. Esta recomendación no impide el uso de una solución diferente. El envío de registros de CloudTrail a CloudWatch Logs facilita el registro de actividad histórica y en tiempo real según el usuario, la API, el recurso y la dirección IP. Puedes usar este enfoque para establecer alarmas y notificaciones sobre la actividad anómala o sensible de la cuenta. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Comprueba que todos los registros de CloudTrail estén configurados para enviar registros a CloudWatch de AWS
|
|
Descripción del resultado: Esto verifica si el proyecto contiene las variables de entorno Las credenciales de autenticación Nivel de precios: Empresarial Estándares de cumplimiento:
|
Verifica que ningún proyecto con variables de entorno AWS_ACCESS_KEY_ID y AWS_SECRET_ACCESS_KEY esté en texto simple
|
|
Descripción del resultado: Esta verificación determina si la URL del repositorio de origen de Bitbucket de un proyecto de AWS CodeBuild contiene tokens de acceso personal o un nombre de usuario y una contraseña. El control falla si la URL del repositorio de origen de Bitbucket contiene tokens de acceso personal o un nombre de usuario y una contraseña. Las credenciales de acceso no deben almacenarse ni transmitirse en texto claro, ni aparecer en la URL del repositorio de origen. En lugar de usar tokens de acceso personales o credenciales de acceso, debes acceder a tu proveedor de origen en CodeBuild y cambiar la URL del repositorio de origen para que solo contenga la ruta de acceso a la ubicación del repositorio de Bitbucket. El uso de tokens de acceso personal o credenciales de acceso podría provocar la exposición no deseada de datos o el acceso no autorizado. Nivel de precios: Empresarial Estándares de cumplimiento: Esta categoría de hallazgos no se asigna a ningún control de estándares de cumplimiento. |
Verifica que todos los proyectos que usen GitHub o Bitbucket como fuente utilicen OAuth
|
|
Descripción del resultado: Los usuarios de IAM de AWS pueden acceder a los recursos de AWS con diferentes tipos de credenciales, como contraseñas o claves de acceso. Se recomienda desactivar o quitar todas las credenciales que no se hayan usado en 45 días o más. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Asegúrate de que las credenciales que no se usen durante 45 días o más estén inhabilitadas
|
|
Descripción del resultado: Una VPC incluye un grupo de seguridad predeterminado cuya configuración inicial rechaza todo el tráfico entrante, permite todo el tráfico saliente y permite todo el tráfico entre las instancias asignadas al grupo de seguridad. Si no especificas un grupo de seguridad cuando inicias una instancia, esta se asigna automáticamente a este grupo de seguridad predeterminado. Los grupos de seguridad proporcionan un filtrado con estado del tráfico de red de entrada y salida a los recursos de AWS. Se recomienda que el grupo de seguridad predeterminado restrinja todo el tráfico. Se debe actualizar el grupo de seguridad predeterminado de la VPC predeterminada en cada región para que cumpla con los requisitos. Todas las VPCs creadas recientemente contendrán automáticamente un grupo de seguridad predeterminado que deberá corregirse para cumplir con esta recomendación. NOTA: Cuando implementes esta recomendación, el registro de flujo de VPC será muy valioso para determinar el acceso al puerto con privilegio mínimo que requieren los sistemas para funcionar correctamente, ya que puede registrar todas las aceptaciones y rechazos de paquetes que se producen en los grupos de seguridad actuales. Esto reduce drásticamente el principal obstáculo para la ingeniería de privilegio mínimo: descubrir los puertos mínimos que requieren los sistemas en el entorno. Incluso si la recomendación de registro de flujo de VPC en esta comparativa no se adopta como una medida de seguridad permanente, se debe usar durante cualquier período de descubrimiento y diseño para los grupos de seguridad con privilegios mínimos. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Asegúrate de que el grupo de seguridad predeterminado de cada VPC restrinja todo el tráfico
|
|
Descripción del resultado: Verifica si las instancias de replicación de AWS DMS son públicas. Para ello, examina el valor del campo Una instancia de replicación privada tiene una dirección IP privada a la que no puedes acceder fuera de la red de replicación. Una instancia de replicación debe tener una dirección IP privada cuando las bases de datos de origen y destino se encuentran en la misma red. La red también debe estar conectada a la VPC de la instancia de replicación a través de una VPN, AWS Direct Connect o intercambio de tráfico entre VPCs. Para obtener más información sobre las instancias de replicación públicas y privadas, consulta Instancias de replicación públicas y privadas en la Guía del usuario de AWS Database Migration Service. También debes asegurarte de que el acceso a la configuración de tu instancia de AWS DMS esté limitado solo a los usuarios autorizados. Para ello, restringe los permisos de IAM de los usuarios para modificar la configuración y los recursos de AWS DMS. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Verifica si las instancias de replicación de AWS Database Migration Service son públicas
|
|
Descripción del resultado: De forma predeterminada, la consola de AWS no tiene casillas de verificación seleccionadas cuando se crea un usuario de IAM nuevo. Cuando crees las credenciales de usuario de IAM, deberás determinar qué tipo de acceso requieren. Acceso programático: Es posible que el usuario de IAM necesite realizar llamadas a la API, usar la CLI de AWS o usar las herramientas para Windows PowerShell. En ese caso, crea una clave de acceso (un ID de clave de acceso y una clave de acceso secreta) para ese usuario. Acceso a la consola de administración de AWS: Si el usuario necesita acceder a la consola de administración de AWS, crea una contraseña para él. Nivel de precios: Empresarial Estándares de cumplimiento:
|
No establezcas claves de acceso durante la configuración inicial de ningún usuario de IAM que tenga una contraseña de la consola
|
|
Descripción del resultado: Esto verifica si una tabla de Amazon DynamoDB puede ajustar su capacidad de lectura y escritura según sea necesario. Este control se aprueba si la tabla usa el modo de capacidad a pedido o el modo aprovisionado con el ajuste de escala automático configurado. Ajustar la capacidad según la demanda evita las excepciones de limitación, lo que ayuda a mantener la disponibilidad de tus aplicaciones. Las tablas de DynamoDB en modo de capacidad bajo demanda solo están limitadas por las cuotas predeterminadas de la tabla de capacidad de procesamiento de DynamoDB. Para aumentar estas cuotas, puedes enviar un ticket de asistencia a través de la asistencia de AWS. Las tablas de DynamoDB en modo aprovisionado con ajuste de escala automático ajustan la capacidad de procesamiento aprovisionada de forma dinámica en respuesta a los patrones de tráfico. Para obtener más información sobre la limitación de solicitudes de DynamoDB, consulta Limitación de solicitudes y capacidad de ráfaga en la Guía para desarrolladores de Amazon DynamoDB. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Las tablas de DynamoDB deben ajustar la escala de la capacidad automáticamente según la demanda
|
|
Descripción del resultado: Este control evalúa si una tabla de DynamoDB está protegida por un plan de copias de seguridad. El control falla si una tabla de DynamoDB no está protegida por un plan de copias de seguridad. Este control solo evalúa las tablas de DynamoDB que se encuentran en el estado ACTIVE. Las copias de seguridad te ayudan a recuperarte más rápido de un incidente de seguridad. También fortalecen la resiliencia de tus sistemas. Incluir tablas de DynamoDB en un plan de copias de seguridad te ayuda a proteger tus datos contra pérdidas o eliminaciones no deseadas. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Las tablas de DynamoDB deben estar protegidas por un plan de copias de seguridad
|
|
Descripción del resultado: La recuperación de un momento determinado (PITR) es uno de los mecanismos disponibles para crear copias de seguridad de las tablas de DynamoDB. Las copias de seguridad en un momento determinado se conservan durante 35 días. Si necesitas una retención más prolongada, consulta Configura copias de seguridad programadas para Amazon DynamoDB con AWS Backup en la documentación de AWS. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Verifica que la recuperación de un momento determinado (PITR) esté habilitada para todas las tablas de AWS DynamoDB
|
|
Descripción del resultado: Verifica si todas las tablas de DynamoDB están encriptadas con una clave de KMS administrada por el cliente (no predeterminada). Nivel de precios: Enterprise Estándares de cumplimiento:
|
Verifica que todas las tablas de DynamoDB estén encriptadas con el servicio de administración de claves (KMS) de AWS
|
|
Descripción del resultado: Comprueba si la optimización de EBS está habilitada para tus instancias de EC2 que se pueden optimizar para EBS Nivel de precios: Empresarial Estándares de cumplimiento:
|
Comprueba que la optimización de EBS esté habilitada para todas las instancias que admiten la optimización de EBS
|
|
Descripción del resultado: Verifica que las instantáneas de Amazon Elastic Block Store no sean públicas. El control falla si cualquier persona puede restablecer las instantáneas de Amazon EBS. Las instantáneas de EBS se usan para crear copias de seguridad de los datos de tus volúmenes de EBS en Amazon S3 en un momento específico. Puedes usar las instantáneas para restablecer estados anteriores de los volúmenes de EBS. Casi nunca es aceptable compartir una instantánea con el público. Por lo general, la decisión de compartir una instantánea de forma pública se tomó por error o sin comprender por completo las implicaciones. Esta verificación ayuda a garantizar que todo el uso compartido de este tipo se haya planificado y realizado de forma intencional. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Las instantáneas de Amazon EBS no deben poder restablecerse públicamente
|
|
Descripción del resultado: Elastic Compute Cloud (EC2) admite la encriptación en reposo cuando se usa el servicio de Elastic Block Store (EBS). Si bien está inhabilitada de forma predeterminada, se admite la aplicación forzada de la encriptación en la creación de volúmenes de EBS. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Asegúrate de que la encriptación de volumen de EBS esté habilitada en todas las regiones
|
|
Descripción del resultado: Amazon VPC proporciona más funciones de seguridad que EC2-Classic. Se recomienda que todos los nodos pertenezcan a una VPC de Amazon. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Garantiza que todas las instancias pertenezcan a una VPC
|
|
Descripción del resultado: Las instancias de EC2 que tienen una dirección IP pública corren un mayor riesgo de verse comprometidas. Se recomienda que las instancias de EC2 no se configuren con una dirección IP pública. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Garantiza que ninguna instancia tenga una IP pública
|
|
Descripción del resultado: Una asociación de State Manager es una configuración que se asigna a tus instancias administradas. La configuración define el estado que deseas mantener en tus instancias. Por ejemplo, una asociación puede especificar que el software antivirus debe estar instalado y en ejecución en tus instancias, o que ciertos puertos deben estar cerrados. Las instancias EC2 que tienen una asociación con AWS Systems Manager están bajo la administración de Systems Manager, lo que facilita la aplicación de parches, la corrección de errores de configuración y la respuesta a eventos de seguridad. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Verifica el estado de cumplimiento de la asociación de AWS Systems Manager
|
|
Descripción del resultado: Este control verifica si el estado de cumplimiento de la asociación de AWS Systems Manager es COMPLIANT o NON_COMPLIANT después de que se ejecuta la asociación en una instancia. El control falla si el estado de cumplimiento de la asociación es NON_COMPLIANT. Una asociación de State Manager es una configuración que se asigna a tus instancias administradas. La configuración define el estado que deseas mantener en tus instancias. Por ejemplo, una asociación puede especificar que el software antivirus debe estar instalado y en ejecución en tus instancias, o que ciertos puertos deben estar cerrados. Después de crear una o más asociaciones de State Manager, la información del estado de cumplimiento estará disponible de inmediato. Puedes ver el estado de cumplimiento en la consola o en respuesta a los comandos de la CLI de AWS o a las acciones correspondientes de la API de Systems Manager. En el caso de las asociaciones, la sección Configuration Compliance muestra el estado de cumplimiento (Cumple con los requisitos o No cumple con los requisitos). También muestra el nivel de gravedad asignado a la asociación, como Crítico o Medio. Para obtener más información sobre el cumplimiento de la asociación de State Manager, consulta Acerca del cumplimiento de la asociación de State Manager en la Guía del usuario de AWS Systems Manager. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Verifica el estado de cumplimiento de parches de AWS Systems Manager
|
|
Descripción del resultado: Cuando habilitan el servicio de metadatos en las instancias EC2 de AWS, los usuarios tienen la opción de usar la versión 1 del servicio de metadatos de instancias (IMDSv1, un método de solicitud/respuesta) o la versión 2 del servicio de metadatos de instancias (IMDSv2, un método orientado a la sesión). Nivel de precios: Enterprise Estándares de cumplimiento:
|
Garantiza que el servicio de metadatos de EC2 solo permita IMDSv2
|
|
Descripción del resultado: Identificar y quitar los volúmenes de Elastic Block Store (EBS) no adjuntos (sin usar) en tu cuenta de AWS para reducir el costo de tu factura mensual de AWS Borrar los volúmenes de EBS sin usar también reduce el riesgo de que los datos confidenciales o sensibles salgan de tus instalaciones. Además, este control también verifica si las instancias de EC2 archivadas están configuradas para borrar volúmenes cuando finalizan. De forma predeterminada, las instancias de EC2 están configuradas para borrar los datos de los volúmenes de EBS asociados a la instancia y para borrar el volumen de EBS raíz de la instancia. Sin embargo, de forma predeterminada, los volúmenes de EBS que no son raíz y que se adjuntan a la instancia, ya sea en el inicio o durante la ejecución, se conservan después de la finalización. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Verifica si los volúmenes de EBS están adjuntos a instancias de EC2 y configurados para la eliminación en cuanto finalice la instancia
|
|
Descripción del resultado: Amazon EFS admite dos formas de encriptación para los sistemas de archivos: encriptación de datos en tránsito y encriptación en reposo. Esta verificación garantiza que todos los sistemas de archivos EFS estén configurados con encriptación en reposo en todas las regiones habilitadas de la cuenta. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Verifica si EFS está configurado para encriptar datos de archivos con KMS
|
|
Descripción del resultado: Las prácticas recomendadas de Amazon sugieren configurar copias de seguridad para tus sistemas de archivos elásticos (EFS). Esto verifica todos los sistemas de archivos EFS en cada región habilitada de tu cuenta de AWS para detectar copias de seguridad habilitadas. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Verifica si los sistemas de archivos EFS están incluidos en los planes de copias de seguridad de AWS
|
|
Descripción del resultado: Verifica si el balanceador de cargas clásico usa certificados HTTPS/SSL proporcionados por AWS Certificate Manager (ACM). La verificación falla si el balanceador de cargas clásico configurado con el objeto de escucha HTTPS/SSL no usa un certificado proporcionado por ACM. Para crear un certificado, puedes usar ACM o una herramienta que admita los protocolos SSL y TLS, como OpenSSL. Security Hub recomienda que uses ACM para crear o importar certificados para tu balanceador de cargas. ACM se integra con los balanceadores de cargas clásicos para que puedas implementar el certificado en tu balanceador de cargas. También debes renovar estos certificados automáticamente. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Verifica que todos los balanceadores de cargas clásicos utilicen los certificados SSL proporcionados por AWS Certificate Manager
|
|
Descripción del resultado: Verifica si un balanceador de cargas de aplicaciones tiene habilitada la protección contra eliminación. El control falla si no se configura la protección contra la eliminación. Habilita la protección contra eliminación para proteger tu balanceador de cargas de aplicaciones de la eliminación. Nivel de precios: Enterprise Estándares de cumplimiento:
|
La protección contra eliminaciones del balanceador de cargas de aplicaciones debería estar habilitada
|
|
Descripción del resultado: Esto verifica si el balanceador de cargas de aplicaciones y el balanceador de cargas clásico tienen habilitado el registro. El control falla si access_logs.s3.enabled es falso. Elastic Load Balancing proporciona registros de acceso que capturan información detallada sobre las solicitudes enviadas a tu balanceador de cargas. Cada registro contiene información como la hora en que se recibió la solicitud, la dirección IP del cliente, las latencias, las rutas de acceso a la solicitud y las respuestas del servidor. Puedes usar estos registros de acceso para analizar los patrones de tráfico y solucionar problemas. Para obtener más información, consulta Registros de acceso para tu balanceador de cargas clásico en la Guía del usuario de los balanceadores de cargas clásicos. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Verifica si los balanceadores de cargas clásicos y de aplicaciones tienen el registro habilitado
|
|
Descripción del resultado: Esta verificación garantiza que todos los balanceadores de cargas clásicos estén configurados para usar la comunicación segura. Un objeto de escucha es un proceso que verifica las solicitudes de conexión. Se configura con un protocolo y un puerto para las conexiones de frontend (del cliente al balanceador de cargas) y un protocolo y un puerto para las conexiones de backend (del balanceador de cargas a la instancia). Para obtener información sobre los puertos, los protocolos y las configuraciones de los listeners compatibles con Elastic Load Balancing, consulta Listeners para tu balanceador de cargas clásico. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Verifica que todos los balanceadores de cargas clásicos estén configurados con objetos de escucha SSL o HTTPS
|
|
Descripción del resultado: Verifica si los volúmenes de EBS que están en estado adjunto están encriptados. Para aprobar esta verificación, los volúmenes de EBS deben estar en uso y encriptados. Si el volumen de EBS no está adjunto, no está sujeto a esta verificación. Para agregar una capa adicional de seguridad a tus datos sensibles en los volúmenes de EBS, debes habilitar la encriptación de EBS en reposo. La encriptación de Amazon EBS ofrece una solución de encriptación sencilla para tus recursos de EBS que no requiere que compiles, mantengas ni protejas tu propia infraestructura de administración de claves. Utiliza claves de KMS cuando crea instantáneas y volúmenes encriptados. Para obtener más información sobre el cifrado de Amazon EBS, consulta Cifrado de Amazon EBS en la Guía del usuario de Amazon EC2 para instancias de Linux. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Los volúmenes de Amazon EBS adjuntos deben estar encriptados en reposo
|
|
Descripción del resultado: Las instancias de base de datos encriptadas de Amazon RDS usan el algoritmo de encriptación AES-256 estándar de la industria para encriptar tus datos en el servidor que aloja tus instancias de base de datos de Amazon RDS. Una vez que se encriptan tus datos, Amazon RDS controla la autenticación del acceso y la desencriptación de tus datos de forma transparente con un impacto mínimo en el rendimiento. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Garantiza que la encriptación en reposo esté habilitada para las instancias de RDS
|
|
Descripción del resultado: Los datos de EFS deben encriptarse en reposo con AWS KMS (Key Management Service). Nivel de precios: Empresarial Estándares de cumplimiento:
|
Asegúrate de que la encriptación esté habilitada para los sistemas de archivos EFS
|
|
Descripción del resultado: AWS permite políticas de contraseñas personalizadas en tu cuenta de AWS para especificar requisitos de complejidad y períodos de rotación obligatorios para las contraseñas de tus usuarios de IAM. Si no estableces una política de contraseñas personalizada, las contraseñas de los usuarios de IAM deben cumplir con la política de contraseñas predeterminada de AWS. Las prácticas recomendadas de seguridad de AWS recomiendan los siguientes requisitos de complejidad de contraseñas:
Este control verifica todos los requisitos especificados de la política de contraseñas. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Verifica si la política de contraseñas de la cuenta para los usuarios de IAM cumple con los requisitos especificados
|
|
Descripción del resultado: Las políticas de contraseñas de IAM pueden evitar que el mismo usuario reutilice una contraseña determinada. Se recomienda que la política de contraseñas impida la reutilización de contraseñas. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Asegúrate de que la política de contraseñas de IAM evite la reutilización de contraseñas
|
|
Descripción del resultado: Las políticas de contraseñas se usan, en parte, para aplicar requisitos de complejidad de contraseñas. Las políticas de contraseñas de IAM se pueden usar para garantizar que las contraseñas tengan al menos una longitud determinada. Se recomienda que la política de contraseñas requiera una longitud mínima de 14 caracteres. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Asegúrate de que la política de contraseñas de IAM requiera una longitud mínima de 14 caracteres
|
|
Descripción del resultado: Las políticas de IAM son el medio por el cual se otorgan privilegios a los usuarios, los grupos o los roles. Se recomienda y se considera un consejo de seguridad estándar otorgar el privilegio mínimo, es decir, otorgar solo los permisos necesarios para realizar una tarea. Determina qué deben hacer los usuarios y, luego, crea políticas para ellos que les permitan realizar solo esas tareas, en lugar de permitir privilegios administrativos completos. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Asegúrate de que no se adjunten políticas de IAM que permitan privilegios administrativos completos de "*:*"
|
|
Descripción del resultado: A los usuarios de IAM se les otorga acceso a los servicios, las funciones y los datos a través de las políticas de IAM. Existen cuatro formas de definir políticas para un usuario: 1) editar la política del usuario directamente, también conocida como política intercalada o del usuario; 2) adjuntar una política directamente a un usuario; 3) agregar el usuario a un grupo de IAM que tenga una política adjunta; 4) agregar el usuario a un grupo de IAM que tenga una política intercalada. Solo se recomienda la tercera implementación. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Asegúrate de que los usuarios de IAM reciban permisos solo a través de grupos
|
|
Descripción del resultado: Los usuarios de IAM siempre deben formar parte de un grupo de IAM para cumplir con las prácticas recomendadas de seguridad de IAM. Si agregas usuarios a un grupo, puedes compartir políticas entre los distintos tipos de usuarios. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Verifica si los usuarios de IAM son miembros de al menos un grupo de IAM
|
|
Descripción del resultado: La autenticación de varios factores (MFA) es una práctica recomendada que agrega una capa adicional de protección a los nombres de usuario y las contraseñas. Con la MFA, cuando un usuario accede a la consola de administración de AWS, debe proporcionar un código de autenticación sensible al tiempo que proporciona un dispositivo virtual o físico registrado. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Comprueba si los usuarios de IAM de AWS tienen habilitada la autenticación de varios factores (MFA)
|
|
Descripción del resultado: Esta verificación busca contraseñas de IAM o claves de acceso activas que no se hayan usado en los últimos 90 días. Las prácticas recomendadas indican que debes quitar, desactivar o rotar todas las credenciales que no se hayan usado durante 90 días o más. Esto reduce la ventana de oportunidad para que se usen las credenciales asociadas a una cuenta vulnerada o abandonada. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Verifica que todos los usuarios de IAM de AWS tengan contraseñas o claves de acceso activas que no se hayan usado en maxCredentialUsageAge días (valor predeterminado: 90)
|
|
Descripción del resultado: Este control verifica si las claves de KMS están programadas para su eliminación. La verificación falla si una clave de KMS está programada para su eliminación. Una vez que se borran, las claves de KMS no se pueden recuperar. Los datos encriptados con una clave de KMS tampoco se pueden recuperar de forma permanente si se borra la clave de KMS. Si se encriptaron datos significativos con una clave de KMS programada para su eliminación, considera desencriptar los datos o volver a encriptarlos con una clave de KMS nueva, a menos que estés realizando intencionalmente un borrado criptográfico. Cuando se programa la eliminación de una clave de KMS, se aplica un período de espera obligatorio para permitir que se revierta la eliminación, en caso de que se haya programado por error. El período de espera predeterminado es de 30 días, pero se puede reducir a 7 días cuando la clave de KMS está programada para su eliminación. Durante el período de espera, se puede cancelar la eliminación programada y no se borrará la clave de KMS. Para obtener más información sobre cómo borrar claves de KMS, consulta Cómo borrar claves de KMS en la Guía para desarrolladores de AWS Key Management Service. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Verifica que ninguna clave de CMK esté programada para su eliminación
|
|
Descripción del resultado: Verifica si la función Lambda está configurada con un límite de ejecución simultánea a nivel de la función. La regla es NON_COMPLIANT si la función Lambda no está configurada con un límite de ejecución simultánea a nivel de la función. Nivel de precios: Empresarial Estándares de cumplimiento: Esta categoría de hallazgos no se asigna a ningún control de estándares de cumplimiento. |
Verifica si las funciones lambda están configuradas con un límite de ejecución simultáneo a nivel del rol
|
|
Descripción del resultado: Verifica si una función Lambda está configurada con una cola de mensajes no entregados. La regla es NON_COMPLIANT si la función Lambda no está configurada con una cola de mensajes no entregados. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Comprueba si las funciones Lambda están configuradas con una fila de mensajes no entregados
|
|
Descripción del resultado: Las prácticas recomendadas de AWS indican que las funciones de Lambda no deben exponerse públicamente. Esta política verifica todas las funciones Lambda implementadas en todas las regiones habilitadas de tu cuenta y fallará si están configuradas para permitir el acceso público. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Verifica si la política adjunta a la función lambda prohíbe el acceso público
|
|
Descripción del resultado: Verifica si una función Lambda está en una VPC. Es posible que veas resultados con errores para los recursos de Lambda@Edge. No evalúa la configuración de enrutamiento de la subred de VPC para determinar la accesibilidad pública. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Comprueba si las funciones Lambda existen en una VPC
|
|
Descripción del resultado: Una vez que la eliminación MFA esté habilitada en tu bucket de S3 sensible y clasificado, se requerirán dos formas de autenticación para el usuario. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Asegúrate de que la eliminación MFA esté habilitada en los buckets de S3
|
|
Descripción del resultado: La cuenta de usuario "raíz" es el usuario con más privilegios en una cuenta de AWS. La autenticación de varios factores (MFA) agrega una capa adicional de protección además del nombre de usuario y la contraseña. Con la MFA habilitada, cuando un usuario acceda a un sitio web de AWS, se le solicitarán su nombre de usuario y contraseña, así como un código de autenticación de su dispositivo de MFA de AWS. Nota: Cuando se usa la MFA virtual para las cuentas "raíz", se recomienda que el dispositivo que se use NO sea un dispositivo personal, sino un dispositivo móvil dedicado (tablet o teléfono) que se administre para que se mantenga cargado y seguro independientemente de cualquier dispositivo personal individual. ("MFA virtual no personal"). Esto reduce los riesgos de perder el acceso a la MFA debido a la pérdida o el intercambio del dispositivo, o si la persona que posee el dispositivo ya no trabaja en la empresa. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Asegúrate de que la MFA esté habilitada para la cuenta de usuario "raíz"
|
|
Descripción del resultado: La autenticación de varios factores (MFA) agrega una capa adicional de garantía de autenticación más allá de las credenciales tradicionales. Con la MFA habilitada, cuando un usuario acceda a la consola de AWS, se le solicitarán su nombre de usuario y contraseña, así como un código de autenticación de su token de MFA físico o virtual. Se recomienda habilitar la MFA para todas las cuentas que tengan una contraseña de la consola. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Asegúrate de que la autenticación de varios factores (MFA) esté habilitada para todos los usuarios de IAM que tengan una contraseña de la consola
|
|
Descripción del resultado: La función de lista de control de acceso a la red (NACL) proporciona un filtrado sin estado del tráfico de red de entrada y salida a los recursos de AWS. Se recomienda que ninguna ACL de red permita el acceso de entrada sin restricciones a los puertos de administración del servidor remoto, como SSH al puerto Nivel de precios: Enterprise Estándares de cumplimiento:
|
Asegúrate de que ninguna LCA de red permita la entrada de 0.0.0.0/0 a los puertos de administración del servidor remoto
|
|
Descripción del resultado: La cuenta de usuario "raíz" es el usuario con más privilegios en una cuenta de AWS. Las claves de acceso de AWS proporcionan acceso programático a una cuenta de AWS determinada. Se recomienda borrar todas las claves de acceso asociadas con la cuenta de usuario “raíz”. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Asegúrate de que no exista una clave de acceso a una cuenta de usuario "raíz"
|
|
Descripción del resultado: Los grupos de seguridad proporcionan un filtrado con estado del tráfico de red de entrada y salida a los recursos de AWS. Se recomienda que ningún grupo de seguridad permita el acceso de entrada sin restricciones a los puertos de administración del servidor remoto, como SSH al puerto Nivel de precios: Enterprise Estándares de cumplimiento:
|
Asegúrate de que ningún grupo de seguridad permita la entrada de 0.0.0.0/0 a los puertos de administración del servidor remoto
|
|
Descripción del resultado: Los grupos de seguridad proporcionan un filtrado con estado del tráfico de red de entrada y salida a los recursos de AWS. Se recomienda que ningún grupo de seguridad permita el acceso de entrada sin restricciones a los puertos de administración del servidor remoto, como SSH al puerto Nivel de precios: Enterprise Estándares de cumplimiento:
|
Asegúrate de que ningún grupo de seguridad permita la entrada de ::/0 a los puertos de administración del servidor remoto
|
|
Descripción del resultado: Las claves de acceso son credenciales a largo plazo para un usuario de IAM o el usuario "root" de la cuenta de AWS. Puedes usar claves de acceso para firmar solicitudes programáticas a la CLI de AWS o a la API de AWS (directamente o con el SDK de AWS). Nivel de precios: Enterprise Estándares de cumplimiento:
|
Asegúrate de que solo haya disponible una clave de acceso activa para cada usuario de IAM
|
|
Descripción del resultado: Asegúrate y verifica que las instancias de bases de datos de RDS aprovisionadas en tu cuenta de AWS restrinjan el acceso no autorizado para minimizar los riesgos de seguridad. Para restringir el acceso a cualquier instancia de base de datos de RDS accesible de forma pública, debes inhabilitar la marca Publicly Accessible de la base de datos y actualizar el grupo de seguridad de la VPC asociado a la instancia. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Garantiza que no se otorgue acceso público a la Instancia de RDS
|
|
Descripción del resultado: La supervisión mejorada proporciona métricas en tiempo real sobre el sistema operativo en el que se ejecuta la instancia de RDS a través de un agente instalado en la instancia. Para obtener más detalles, consulta Supervisa las métricas del SO con la Supervisión mejorada. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Comprueba si la supervisión mejorada está habilitada para todas las instancias de base de datos de RDS
|
|
Descripción del resultado: Habilitar la protección contra la eliminación de instancias es una capa adicional de protección contra la eliminación accidental de bases de datos o la eliminación por parte de una entidad no autorizada. Mientras la protección contra eliminación está habilitada, no se puede borrar una instancia de base de datos de RDS. Para que una solicitud de eliminación se realice correctamente, se debe inhabilitar la protección contra eliminación. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Comprueba si todas las instancias de RDS tienen la protección contra la eliminación habilitada
|
|
Descripción del resultado: Esta verificación evalúa si las instancias de base de datos de Amazon RDS están protegidas por un plan de copias de seguridad. Este control falla si una instancia de base de datos de RDS no está protegida por un plan de copias de seguridad. AWS Backup es un servicio de copias de seguridad completamente administrado que centraliza y automatiza la creación de copias de seguridad de los datos en todos los servicios de AWS. Con AWS Backup, puedes crear políticas de copia de seguridad llamadas planes de copia de seguridad. Puedes usar estos planes para definir tus requisitos de copia de seguridad, como la frecuencia con la que se deben crear copias de seguridad de tus datos y el tiempo que se deben retener esas copias. Incluir instancias de base de datos de RDS en un plan de copias de seguridad te ayuda a proteger tus datos contra la pérdida o eliminación no deseadas. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Las instancias de base de datos de RDS deben estar protegidas por un plan de copias de seguridad
|
|
Descripción del resultado: Esta verificación comprueba si los siguientes registros de Amazon RDS están habilitados y se envían a CloudWatch. Las bases de datos de RDS deben tener habilitados los registros pertinentes. El registro de bases de datos proporciona registros detallados de las solicitudes realizadas a RDS. Los registros de la base de datos pueden ayudar con las auditorías de seguridad y acceso, y a diagnosticar problemas de disponibilidad. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Comprueba si los registros exportados están habilitados para todas las instancias de base de datos de RDS
|
|
Descripción del resultado: Las instancias de base de datos de RDS deben configurarse para varias zonas de disponibilidad (AZ). Esto garantiza la disponibilidad de los datos almacenados. Las implementaciones en varias AZ permiten la conmutación por error automatizada si hay un problema con la disponibilidad de la zona de disponibilidad y durante el mantenimiento normal de RDS. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Comprueba si la alta disponibilidad está habilitada para todas las instancias de la base de datos de RDS
|
|
Descripción del resultado: Verifica los elementos esenciales de un clúster de Redshift: encriptación en reposo, registro y tipo de nodo. Estos elementos de configuración son importantes para el mantenimiento de un clúster de Redshift seguro y observable. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Verifica que todos los clústeres de Redshift tengan la encriptación en reposo, el registro y el tipo de nodo configurados.
|
|
Descripción del resultado: Las actualizaciones automáticas de la versión principal se realizan según el período de mantenimiento. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Verifica que todos los clústeres de Redshift tengan allowVersionUpgrade habilitado, y preferredMaintenanceWindow y automatedSnapshotRetentionPeriod configurados
|
|
Descripción del resultado: El atributo PubliclyAccessible de la configuración del clúster de Amazon Redshift indica si se puede acceder públicamente al clúster. Cuando el clúster se configura con PubliclyAccessible establecido como verdadero, se trata de una instancia orientada a Internet que tiene un nombre de DNS que se puede resolver públicamente y que se resuelve en una dirección IP pública. Cuando el clúster no es accesible de forma pública, se trata de una instancia interna con un nombre de DNS que se resuelve en una dirección IP privada. A menos que desees que tu clúster sea accesible de forma pública, no debe configurarse con PubliclyAccessible establecido en verdadero. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Verifica si se puede acceder públicamente a los clústeres de Redshift
|
|
Descripción del resultado: Esto verifica si el tráfico entrante sin restricciones para los grupos de seguridad es accesible a los puertos especificados que tienen el mayor riesgo. Este control falla si alguna de las reglas de un grupo de seguridad permite el tráfico de entrada desde "0.0.0.0/0" o "::/0" para esos puertos. El acceso sin restricciones (0.0.0.0/0) aumenta las oportunidades de actividad maliciosa, como hackeo, ataques de denegación del servicio y pérdida de datos. Los grupos de seguridad proporcionan un filtrado con estado del tráfico de red de entrada y salida a los recursos de AWS. Ningún grupo de seguridad debe permitir el acceso de entrada sin restricciones a los siguientes puertos:
Nivel de precios: Empresarial Estándares de cumplimiento:
|
Los grupos de seguridad no deben permitir el acceso sin restricciones a puertos de alto riesgo
|
|
Descripción del resultado: Los grupos de seguridad proporcionan un filtrado con estado del tráfico de red de entrada y salida a los recursos de AWS. El CIS recomienda que ningún grupo de seguridad permita el acceso de entrada sin restricciones al puerto 22. Quitar la conectividad sin restricciones a los servicios de consola remota, como SSH, reduce la exposición al riesgo de un servidor. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Los grupos de seguridad no deben permitir la entrada de 0.0.0.0/0 al puerto 22
|
|
Descripción del resultado: Verifica si la rotación automática de claves está habilitada para cada clave y coincide con el ID de clave de la clave de KMS de AWS creada por el cliente. La regla es NON_COMPLIANT si el rol del registrador de AWS Config para un recurso no tiene el permiso kms:DescribeKey. Nivel de precios: Empresarial Estándares de cumplimiento: Esta categoría de hallazgos no se asigna a ningún control de estándares de cumplimiento. |
Asegúrate de que esté habilitada la rotación de los CMK creados por el cliente
|
|
Descripción del resultado: AWS Key Management Service (KMS) permite a los clientes rotar la clave de respaldo, que es el material de la clave almacenado en KMS y que está vinculado al ID de la clave principal de cliente (CMK) creada por el cliente. Es la clave de respaldo que se usa para realizar operaciones criptográficas, como la encriptación y la desencriptación. Actualmente, la rotación de claves automatizada conserva todas las claves de respaldo anteriores para que la desencriptación de los datos encriptados pueda realizarse de forma transparente. Se recomienda habilitar la rotación de claves de CMK para las claves simétricas. No se puede habilitar la rotación de claves para ninguna CMK asimétrica. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Asegúrate de que esté habilitada la rotación de los CMK simétricos creados por el cliente
|
|
Descripción del resultado: Verifica si las tablas de rutas para el intercambio de tráfico entre VPC están configuradas con el principio de privilegio mínimo. Nivel de precios: Empresarial Estándares de cumplimiento: Esta categoría de hallazgos no se asigna a ningún control de estándares de cumplimiento. |
Asegúrate de que las tablas de enrutamiento del intercambio de tráfico entre VPC sea de "mínimo acceso"
|
|
Descripción del resultado: El bloqueo de acceso público de Amazon S3 proporciona parámetros de configuración para los puntos de acceso, los buckets y las cuentas que te ayudan a administrar el acceso público a los recursos de Amazon S3. De forma predeterminada, los buckets, los puntos de acceso y los objetos nuevos no permiten el acceso público. Nivel de precios: Empresarial Estándares de cumplimiento: Esta categoría de hallazgos no se asigna a ningún control de estándares de cumplimiento. |
Verifica si están configurados los parámetros requeridos del bloqueo de acceso público de S3 a nivel de la cuenta
|
|
Descripción del resultado: Amazon S3 proporciona Nivel de precios: Empresarial Estándares de cumplimiento:
|
Asegúrate de que los buckets de S3 estén configurados con
|
|
Descripción del resultado: El registro de acceso al bucket de S3 genera un registro que contiene los registros de acceso para cada solicitud realizada a tu bucket de S3. Un registro de acceso contiene detalles sobre la solicitud, como el tipo de solicitud, los recursos especificados en la solicitud que funcionaron y la fecha y hora en que se procesó la solicitud. Se recomienda habilitar el registro de acceso al bucket de S3 de CloudTrail. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Asegúrate de que el registro de acceso al bucket de S3 esté habilitado en el bucket de S3 de CloudTrail
|
|
Descripción del resultado: La función de registro de acceso al servidor de S3 de AWS registra las solicitudes de acceso a los buckets de almacenamiento, lo que resulta útil para las auditorías de seguridad. De forma predeterminada, el registro de acceso al servidor no está habilitado para los buckets de S3. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Verifica si el registro está habilitado en todos los buckets de S3
|
|
Descripción del resultado: A nivel del bucket de Amazon S3, puedes configurar permisos a través de una política de bucket, lo que hace que los objetos sean accesibles solo a través de HTTPS. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Asegúrate de que la política de buckets de S3 esté configurada para rechazar solicitudes HTTP
|
|
Descripción del resultado: Este control verifica si un bucket de Amazon S3 tiene habilitada la replicación entre regiones. El control falla si el bucket no tiene habilitada la replicación entre regiones o si también está habilitada la replicación en la misma región. La replicación es la copia automática y asíncrona de objetos entre buckets en la misma región de AWS o en diferentes regiones. La replicación copia los objetos creados recientemente y las actualizaciones de objetos de un bucket de origen a uno o varios buckets de destino. Las prácticas recomendadas de AWS sugieren la replicación para los buckets de origen y destino que pertenecen a la misma cuenta de AWS. Además de la disponibilidad, debes considerar otros parámetros de configuración de protección del sistema. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Verifica si los buckets de S3 tienen habilitada la replicación entre regiones
|
|
Descripción del resultado: Esto verifica que tu bucket de S3 tenga habilitada la encriptación predeterminada de Amazon S3 o que la política del bucket de S3 rechace explícitamente las solicitudes put-object sin encriptación del servidor. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Asegúrate de que todos los buckets de S3 utilicen la encriptación en reposo
|
|
Descripción del resultado: Amazon S3 es una forma de mantener varias variantes de un objeto en el mismo bucket y puede ayudarte a recuperarte más fácilmente de las acciones no deseadas del usuario y de las fallas de la aplicación. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Verifica que el control de versiones esté habilitado en todos los buckets de S3
|
|
Descripción del resultado: Verifica si los buckets de Amazon S3 están encriptados con AWS Key Management Service (AWS KMS) Nivel de precios: Empresarial Estándares de cumplimiento:
|
Verifica que todos los buckets estén encriptados con KMS
|
|
Descripción del resultado: Verifica si hay una clave del servicio de administración de claves (KMS) de AWS configurada para una instancia de notebook de Amazon SageMaker. La regla es NON_COMPLIANT si no se especifica "KmsKeyId" para la instancia de notebook de SageMaker. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Verifica que todas las instancias de notebooks de SageMaker estén configuradas para usar KMS
|
|
Descripción del resultado: Verifica si el acceso directo a Internet está inhabilitado para una instancia de notebook de SageMaker. Para ello, verifica si el campo DirectInternetAccess está inhabilitado para la instancia de notebook. Si configuras tu instancia de SageMaker sin una VPC, de forma predeterminada, se habilitará el acceso directo a Internet en tu instancia. Debes configurar tu instancia con una VPC y cambiar el parámetro de configuración predeterminado a Inhabilitar: Accede a Internet a través de una VPC. Para entrenar o alojar modelos desde un notebook, necesitas acceso a Internet. Para habilitar el acceso a Internet, asegúrate de que tu VPC tenga una puerta de enlace NAT y de que tu grupo de seguridad permita las conexiones salientes. Para obtener más información sobre cómo conectar una instancia de notebook a recursos en una VPC, consulta Conecta una instancia de notebook a recursos en una VPC en la Guía para desarrolladores de Amazon SageMaker. También debes asegurarte de que solo los usuarios autorizados tengan acceso a tu configuración de SageMaker. Restringe los permisos de IAM de los usuarios para modificar la configuración y los recursos de SageMaker. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Verifica si el acceso directo a Internet está inhabilitado para todas las instancias de notebooks de SageMaker de Amazon
|
|
Descripción del resultado: Verifica si un secreto almacenado en AWS Secrets Manager está configurado con rotación automática. El control falla si el secreto no está configurado con la rotación automática. Si proporcionas un valor personalizado para el parámetro Secrets Manager te ayuda a mejorar la postura de seguridad de tu organización. Los secretos incluyen credenciales de bases de datos, contraseñas y claves de API de terceros. Puedes usar Secret Manager para almacenar secretos de forma centralizada, encriptarlos automáticamente, controlar el acceso a ellos y rotarlos de forma segura y automática. Secrets Manager puede rotar secretos. Puedes usar la rotación para reemplazar los secretos a largo plazo por los de corto plazo. Rotar tus secretos limita el tiempo que un usuario no autorizado puede usar un secreto vulnerado. Por este motivo, debes rotar tus secretos con frecuencia. Para obtener más información sobre la rotación, consulta Rotación de los secretos de AWS Secrets Manager en la Guía del usuario de AWS Secrets Manager. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Verifica que todos los secretos de AWS Secrets Manager tengan la rotación habilitada
|
|
Descripción del resultado: Verifica si un tema de SNS está encriptado en reposo con AWS KMS. El control falla si un tema de SNS no usa una clave de KMS para la encriptación del servidor (SSE). La encriptación de datos en reposo reduce el riesgo de que un usuario no autenticado en AWS acceda a los datos almacenados en el disco. También agrega otro conjunto de controles de acceso para limitar la capacidad de los usuarios no autorizados de acceder a los datos. Por ejemplo, se requieren permisos de API para desencriptar los datos antes de que se puedan leer. Los temas de SNS deben encriptarse en reposo para agregar una capa adicional de seguridad. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Verifica que todos los temas de SNS estén encriptados con KMS
|
|
Descripción del resultado: Este control verifica si el grupo de seguridad predeterminado de una VPC permite el tráfico entrante o saliente. El control falla si el grupo de seguridad permite el tráfico entrante o saliente. Las reglas del grupo de seguridad predeterminado permiten todo el tráfico entrante y saliente de las interfaces de red (y sus instancias asociadas) que se asignan al mismo grupo de seguridad. Te recomendamos que no uses el grupo de seguridad predeterminado. Como no se puede borrar el grupo de seguridad predeterminado, debes cambiar la configuración de las reglas del grupo de seguridad predeterminado para restringir el tráfico entrante y saliente. Esto evita el tráfico no deseado si el grupo de seguridad predeterminado se configura accidentalmente para recursos como las instancias de EC2. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Asegúrate de que el grupo de seguridad predeterminado de cada VPC restrinja todo el tráfico
|
|
Descripción del resultado: Los registros de flujo de VPC son una función que te permite captar información sobre el tráfico IP que fluye desde las interfaces de red y hacia ellas en tu VPC. Después de crear un registro de flujo, puedes ver y recuperar sus datos en Amazon CloudWatch Logs. Se recomienda habilitar los registros de flujo de VPC para los "rechazos" de paquetes de las VPC. Nivel de precios: Empresarial Estándares de cumplimiento:
|
Asegúrate de que el registro de flujo de VPC esté habilitado en todas las VPC
|
|
Descripción del resultado: Este control verifica si un grupo de seguridad de Amazon EC2 permite tráfico entrante sin restricciones desde puertos no autorizados. El estado del control se determina de la siguiente manera: Si usas el valor predeterminado para authorizedTcpPorts, la verificación fallará si el grupo de seguridad permite el tráfico entrante sin restricciones desde cualquier puerto que no sean los puertos 80 y 443. Si proporcionas valores personalizados para authorizedTcpPorts o authorizedUdpPorts, el control fallará si el grupo de seguridad permite el tráfico entrante sin restricciones desde cualquier puerto no incluido en la lista. Si no se usa ningún parámetro, el control falla para cualquier grupo de seguridad que tenga una regla de tráfico entrante sin restricciones. Los grupos de seguridad proporcionan un filtrado con estado del tráfico de red de entrada y salida hacia AWS. Las reglas del grupo de seguridad deben seguir el principio de acceso con privilegios mínimos. El acceso sin restricciones (dirección IP con un sufijo /0) aumenta la oportunidad de actividades maliciosas, como hackeo, ataques de denegación de servicio y pérdida de datos. A menos que se permita un puerto de forma específica, este debe rechazar el acceso sin restricciones. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Verifica que los grupos de seguridad con 0.0.0.0/0 de todas las VPC solo permitan tráfico de TCP/UDP entrante específico
|
|
Descripción del resultado: Un túnel VPN es un vínculo encriptado por el que los datos pueden pasar desde la red del cliente hacia AWS o desde AWS hacia la red del cliente dentro de una conexión de VPN de sitio a sitio de AWS. Cada conexión de VPN incluye dos túneles VPN que puedes usar de forma simultánea para obtener alta disponibilidad. Es importante asegurarse de que ambos túneles de VPN estén activos para una conexión de VPN, ya que esto confirma una conexión segura y con alta disponibilidad entre una VPC de AWS y tu red remota. Este control verifica que ambos túneles VPN proporcionados por la VPN de sitio a sitio de AWS estén en estado UP. El control falla si uno o ambos túneles están en estado DOWN. Nivel de precios: Enterprise Estándares de cumplimiento:
|
Verifica que estén configurados los túneles VPN de AWS proporcionados por AWS entre sitios
|
Resultados de Web Security Scanner
Los análisis personalizados y administrados de Web Security Scanner identifican los siguientes tipos de resultados. En el nivel Estándar, Web Security Scanner admite análisis personalizados de aplicaciones implementadas con URLs e IPs públicas que no están detrás de un firewall.
| Categoría | Descripción del resultado | Categoría del hallazgo | Los 10 mejores de OWASP 2017 | Los 10 mejores de OWASP 2021 |
|---|---|---|---|---|
|
Un repositorio de Git se expone públicamente. Para resolver este problema, quita el acceso público no intencional al repositorio de GIT. Nivel de precios: Premium o Estándar |
Vulnerabilidad | A5 | A01 |
|
Un repositorio de SVN se expone públicamente. Para solucionar este problema, quita el acceso no intencional al público en el repositorio de SVN. Nivel de precios: Premium o Estándar |
Vulnerabilidad | A5 | A01 |
|
Un archivo .env se expone públicamente. Para solucionar este problema, quita el acceso público no intencional al archivo ENV. Nivel de precios: Premium o Estándar |
Vulnerabilidad | A5 | A01 |
|
Las contraseñas ingresadas en la aplicación web se pueden almacenar en la caché de un navegador normal, en lugar de un almacenamiento de contraseña seguro. Nivel de precios: Premium |
Vulnerabilidad | A3 | A04 |
|
Las contraseñas se transmiten en texto claro y se pueden interceptar. Para resolver esto, encripta la contraseña que se transmite a través de la red. Nivel de precios: Premium o Estándar |
Vulnerabilidad | A3 | A02 |
|
Un extremo HTTP o HTTPS entre sitios valida solo un sufijo del encabezado de solicitud Nivel de precios: Premium |
Vulnerabilidad | A5 | A01 |
|
Un extremo HTTP o HTTPS entre sitios valida solo un prefijo del encabezado de solicitud Nivel de precios: Premium |
Vulnerabilidad | A5 | A01 |
|
Se cargó un recurso que no coincide con el encabezado HTTP de tipo de contenido de la respuesta Para
resolver este problema, configura el encabezado HTTP Nivel de precios: Premium o Estándar |
Vulnerabilidad | A6 | A05 |
|
Un encabezado de seguridad tiene un error de sintaxis y los navegadores lo ignoran. Para solucionar este problema, configura los encabezados de seguridad HTTP de forma correcta. Nivel de precios: Premium o Estándar |
Vulnerabilidad | A6 | A05 |
|
Un encabezado de seguridad tiene valores duplicados y no coincidentes, lo que da como resultado un comportamiento indefinido. Para solucionar este problema, configura los encabezados de seguridad HTTP de forma correcta. Nivel de precios: Premium o Estándar |
Vulnerabilidad | A6 | A05 |
|
Un encabezado de seguridad está mal escrito y se ignora. Para solucionar este problema, configura los encabezados de seguridad HTTP de forma correcta. Nivel de precios: Premium o Estándar |
Vulnerabilidad | A6 | A05 |
|
Los recursos se envían a través de HTTP en una página HTTPS. Para resolver este problema, asegúrate de que todos los recursos se entreguen a través de HTTPS. Nivel de precios: Premium o Estándar |
Vulnerabilidad | A6 | A05 |
|
Se detectó una biblioteca que tiene vulnerabilidades conocidas. Para resolver esto, actualiza las bibliotecas a una versión más reciente. Nivel de precios: Premium o Estándar |
Vulnerabilidad | A9 | A06 |
|
Se detectó una vulnerabilidad de falsificación de solicitudes del servidor (SSRF). Para resolver este resultado, usa una lista de entidades permitidas para limitar los dominios y las direcciones IP a los que la aplicación web puede realizar solicitudes. Nivel de precios: Premium o Estándar |
Vulnerabilidad | No aplicable | A10 |
|
Cuando se realiza una solicitud de dominio cruzado, la aplicación web incluye el identificador de sesión del usuario en el encabezado de su solicitud Nivel de precios: Premium |
Vulnerabilidad | A2 | A07 |
|
Se detectó una posible vulnerabilidad de inyección de SQL. Para resolver este problema, usa consultas con parámetros para evitar que las entradas del usuario influyan en la estructura de la consulta de SQL. Nivel de precios: Premium |
Vulnerabilidad | A1 | A03 |
|
Se detectó el uso de una versión vulnerable de Apache Struts. Para resolver este resultado, actualiza Apache Stuuts a la versión más reciente. Nivel de precios: Premium |
Vulnerabilidad | A8 | A08 |
|
Un campo en esta aplicación web es vulnerable a un ataque de secuencias de comandos entre sitios (XSS). Para resolver esto, valida y escapa los datos no confiables del usuario. Nivel de precios: Premium o Estándar |
Vulnerabilidad | A7 | A03 |
|
La string proporcionada por el usuario no está escapadas y AngularJS puede interpolarla. Para resolver este resultado, valida y omite los datos que no son de confianza proporcionados por los usuarios y que el framework de Angular controla. Nivel de precios: Premium o Estándar |
Vulnerabilidad | A7 | A03 |
|
Un campo en esta aplicación web es vulnerable a un ataque de secuencia de comandos entre sitios. Para resolver esto, valida y escapa los datos no confiables del usuario. Nivel de precios: Premium o Estándar |
Vulnerabilidad | A7 | A03 |
|
Se detectó una vulnerabilidad XML External Entity (XXE). Esta vulnerabilidad puede hacer que la aplicación web filtre un archivo en el host. Para resolver este problema, configura tus analizadores de XML para inhabilitar las entidades externas. Nivel de precios: Premium |
Vulnerabilidad | A4 | A05 |
|
La aplicación es vulnerable a la contaminación de prototipos. Esta vulnerabilidad se produce cuando se pueden asignar valores controlables por el atacante a las propiedades del objeto Nivel de precios: Premium o Estándar |
Vulnerabilidad | A1 | A03 |
|
Se detectó un encabezado de HTTP con Seguridad de Transporte Estricta (HSTS) configurado de forma incorrecta. Para reducir significativamente el riesgo de ataques de cambio a una versión inferior y de escucha en las conexiones HTTP, resuelve el encabezado HSTS mal configurado. Los encabezados HSTS fuerzan las conexiones a través de canales encriptados (TLS) para que fallen las conexiones HTTP de texto sin formato. Obtén más información sobre los encabezados HSTS.
Nivel de precios: Premium |
Configuración incorrecta | No aplicable | No aplicable |
|
Se detectó la falta de un encabezado de respuesta HTTP de la Política de Seguridad del Contenido (CSP). Los encabezados de CSP mitigan el aprovechamiento de vulnerabilidades web comunes, en particular, la secuencia de comandos entre sitios (XSS), ya que impiden que se carguen secuencias de comandos o complementos no confiables. Se recomienda un encabezado de CSP estricto. Obtén más información sobre los encabezados de CSP
Nivel de precios: Premium |
Configuración incorrecta | No aplicable | No aplicable |
|
Se detectó un encabezado de respuesta HTTP de la Política de Seguridad del Contenido (CSP) mal configurado. Los encabezados de CSP mitigan la explotación de vulnerabilidades web comunes, en particular, la secuencia de comandos entre sitios (XSS), ya que impiden que se carguen secuencias de comandos o complementos no confiables. Se recomienda un encabezado de CSP estricto. Más información sobre los encabezados de CSP
Nivel de precios: Premium |
Configuración incorrecta | No aplicable | No aplicable |
|
Se detectó la falta de un encabezado HTTP de Cross-Origin-Opener-Policy (COOP). COOP es un mecanismo de seguridad web que restringe el acceso de una página abierta en una ventana nueva a las propiedades de su página de origen. COOP ofrece una sólida capa de protección contra ataques web comunes.
Nivel de precios: Premium |
Configuración incorrecta | No aplicable | No aplicable |
|
Se detectó un encabezado de respuesta faltante. Para evitar el clickjacking, implementa un encabezado de respuesta HTTP, como
Nivel de precios: Premium |
Configuración incorrecta | No aplicable | No aplicable |
Resultados de Notebook Security Scanner
El Scanner de seguridad de notebooks detecta vulnerabilidades relacionadas con los paquetes de Python que se usan en tus notebooks de Colab Enterprise y las publica en la categoría Vulnerabilidad del paquete.
Un hallazgo de vulnerabilidad del paquete muestra los detalles de la versión de un paquete que tiene vulnerabilidades conocidas. Una versión determinada de un paquete de Python puede tener varios hallazgos de vulnerabilidades, cada uno correspondiente a una vulnerabilidad conocida diferente.
Para resolver una vulnerabilidad detectada en un paquete, debes usar una versión diferente del paquete, como se recomienda en la sección Próximos pasos del hallazgo.
Para obtener más información, consulta Cómo habilitar y usar Notebook Security Scanner.
Resultados del recomendador de IAM
En la siguiente tabla, se enumeran los hallazgos de Security Command Center que genera el Recomendador de IAM.
Cada hallazgo del Recomendador de IAM contiene recomendaciones específicas para quitar o reemplazar un rol que incluye permisos excesivos de una principal en tu entorno deGoogle Cloud .
Los resultados que genera el Recomendador de IAM corresponden a las recomendaciones que aparecen en la consola de Google Cloud en la página de IAM del proyecto, la carpeta o la organización afectados.
Para obtener más información sobre la integración del recomendador de IAM con Security Command Center, consulta Fuentes de seguridad.
| Detector | Resumen |
|---|---|
|
Descripción del resultado: El Recomendador de IAM detectó una cuenta de servicio que tiene uno o más roles de IAM que otorgan permisos excesivos a la cuenta de usuario. Nivel de precios: Premium Recursos admitidos:
Corrige este hallazgo : Sigue estos pasos para usar el recomendador de IAM y aplicar la corrección recomendada para este hallazgo:
Después de que se soluciona el problema, el Recomendador de IAM actualiza el estado del hallazgo a |
|
Descripción del resultado: El recomendador de IAM detectó que el rol de IAM predeterminado original otorgado a un agente de servicio se reemplazó por uno de los roles básicos de IAM: Propietario, Editor o Visualizador. Los roles básicos son roles heredados excesivamente permisivos y no se deben otorgar a los agentes de servicio. Nivel de precios: Premium Recursos admitidos:
Corrige este hallazgo : Sigue estos pasos para usar el recomendador de IAM y aplicar la corrección recomendada para este hallazgo:
Después de que se soluciona el problema, el Recomendador de IAM actualiza el estado del hallazgo a |
|
Descripción del hallazgo: El recomendador de IAM detectó que a un agente de servicio se le otorgó uno de los roles básicos de IAM: Propietario, Editor o Visualizador. Los roles básicos son roles heredados excesivamente permisivos y no se deben otorgar a los agentes de servicio. Nivel de precios: Premium Recursos admitidos:
Corrige este hallazgo : Sigue estos pasos para usar el recomendador de IAM y aplicar la corrección recomendada para este hallazgo:
Después de que se soluciona el problema, el Recomendador de IAM actualiza el estado del hallazgo a |
|
Descripción del resultado: El recomendador de IAM detectó una cuenta de usuario que tiene un rol de IAM que no se usó en los últimos 90 días. Nivel de precios: Premium Recursos admitidos:
Corrige este hallazgo : Sigue estos pasos para usar el recomendador de IAM y aplicar la corrección recomendada para este hallazgo:
Después de que se soluciona el problema, el Recomendador de IAM actualiza el estado del hallazgo a |
Hallazgos de CIEM
En la siguiente tabla, se enumeran las conclusiones sobre la identidad y el acceso de Security Command Center para AWS que genera Cloud Infrastructure Entitlement Management (CIEM).
Los resultados de CIEM contienen recomendaciones específicas para quitar o reemplazar las políticas de IAM de AWS altamente permisivas asociadas con identidades, usuarios o grupos asumidos en tu entorno de AWS.
Para obtener más información sobre CIEM, consulta la Descripción general de la Administración de derechos de la infraestructura de nube.
| Detector | Resumen |
|---|---|
|
Descripción del hallazgo: En tu entorno de AWS, la CIEM detectó un rol de IAM asumido que tiene una o más políticas altamente permisivas que incumplen el principio de privilegio mínimo y aumentan los riesgos de seguridad. Este hallazgo se basa en los registros de uso más recientes, que abarcan de 83 a 90 días. Nivel de precios: Enterprise Corrige este hallazgo : Según el hallazgo, usa la consola de administración de AWS para realizar una de las siguientes tareas de corrección:
Consulta los detalles del problema para conocer los pasos de corrección específicos. |
|
Descripción del hallazgo: En tu entorno de AWS, la CIEM detectó un grupo de IAM de AWS o de AWS IAM Identity Center que tiene una o más políticas altamente permisivas que incumplen el principio de privilegio mínimo y aumentan los riesgos de seguridad. Este hallazgo se basa en los registros de uso más recientes, que abarcan de 83 a 90 días. Nivel de precios: Empresarial Corrige este hallazgo : Según el hallazgo, usa la consola de administración de AWS para realizar una de las siguientes tareas de corrección:
Consulta los detalles del problema para conocer los pasos de corrección específicos. |
|
Descripción del hallazgo: En tu entorno de AWS, la CIEM detectó un usuario de IAM de AWS o de AWS IAM Identity Center que tiene una o más políticas altamente permisivas que incumplen el principio de privilegio mínimo y aumentan los riesgos de seguridad. Este hallazgo se basa en los registros de uso más recientes, que abarcan de 83 a 90 días. Nivel de precios: Empresarial Corrige este hallazgo : Según el hallazgo, usa la consola de administración de AWS para realizar una de las siguientes tareas de corrección:
Consulta los detalles del problema para conocer los pasos de corrección específicos. |
|
Descripción del hallazgo: En tu entorno de AWS, la CIEM detectó un usuario de AWS IAM o de AWS IAM Identity Center que está inactivo y tiene uno o más permisos. Esto infringe el principio de privilegio mínimo y aumenta los riesgos de seguridad. Este hallazgo se basa en los registros de uso más recientes, que abarcan de 83 a 90 días. Nivel de precios: Enterprise Corrige este hallazgo : Según el hallazgo, usa la consola de administración de AWS para realizar una de las siguientes tareas de corrección:
Consulta los detalles del problema para conocer los pasos de corrección específicos. |
|
Descripción del hallazgo: En tu entorno de AWS, la CIEM detectó un grupo de AWS IAM o de AWS IAM Identity Center que está inactivo y tiene uno o más permisos. Esto infringe el principio de privilegio mínimo y aumenta los riesgos de seguridad. Este hallazgo se basa en los registros de uso más recientes, que abarcan de 83 a 90 días. Nivel de precios: Empresarial Corrige este hallazgo : Según el hallazgo, usa la consola de administración de AWS para realizar una de las siguientes tareas de corrección:
Consulta los detalles del problema para conocer los pasos de corrección específicos. |
|
Descripción del hallazgo: En tu entorno de AWS, la CIEM detectó un rol de IAM asumido que está inactivo y tiene uno o más permisos. Esto infringe el principio de privilegio mínimo y aumenta los riesgos de seguridad. Este hallazgo se basa en los registros de uso más recientes, que abarcan de 83 a 90 días. Nivel de precios: Empresarial Corrige este hallazgo : Según el hallazgo, usa la consola de administración de AWS para realizar una de las siguientes tareas de corrección:
Consulta los detalles del problema para conocer los pasos de corrección específicos. |
|
Descripción del hallazgo: En tu entorno de AWS, la CIEM detectó una política de confianza demasiado permisiva que se aplica a un rol de IAM de AWS que incumple el principio de privilegio mínimo y aumenta los riesgos de seguridad. Este hallazgo se basa en los registros de uso más recientes, que abarcan de 83 a 90 días. Nivel de precios: Enterprise Corrige este hallazgo : Usa la consola de administración de AWS para editar los permisos en la política de confianza aplicada en el rol de IAM de AWS y cumplir con el principio de privilegio mínimo. Consulta los detalles del problema para conocer los pasos de corrección específicos. |
|
Descripción del hallazgo: En tu entorno de AWS, la CIEM detectó una o más identidades que pueden moverse lateralmente a través de la suplantación. Este hallazgo se basa en los registros de uso más recientes, que abarcan de 83 a 90 días. Nivel de precios: Enterprise Corrige este hallazgo : Usa la consola de administración de AWS para quitar las políticas asociadas a las identidades que permiten el movimiento lateral. Consulta los detalles del problema para conocer los pasos de corrección específicos. |
Hallazgos del servicio de postura de seguridad
En esta sección, se enumeran los hallazgos de Security Command Center que genera el servicio de postura de seguridad.
El servicio de postura de seguridad genera los siguientes conjuntos de categorías de hallazgos:
- Desviación de una postura de seguridad implementada
- Recurso que incumple una postura de seguridad implementada
Desviación de una postura de seguridad implementada
En la siguiente tabla, se enumeran los resultados de la postura de seguridad que identifican una instancia de desviación de la postura de seguridad definida.
| Resultado | Resumen |
|---|---|
|
Descripción del hallazgo: El servicio de postura de seguridad detectó un cambio en un detector de Security Health Analytics que ocurrió fuera de una actualización de la postura. Nivel de precios: Premium
Corrige este hallazgo : Este hallazgo requiere que aceptes o reviertas el cambio para que la configuración del detector en tu postura y tu entorno coincidan. Tienes dos opciones para resolver este problema: puedes actualizar el detector de Security Health Analytics o la postura y la implementación de la postura. Para revertir el cambio, actualiza el detector de Security Health Analytics en la consola de Google Cloud . Para obtener instrucciones, consulta Inhabilita y habilita los detectores. Para aceptar el cambio, completa los siguientes pasos:
|
|
Descripción del hallazgo: El servicio de postura de seguridad detectó un cambio en un módulo personalizado de las estadísticas del estado de la seguridad que se produjo fuera de una actualización de la postura. Nivel de precios: Premium Corrige este hallazgo : Este hallazgo requiere que aceptes el cambio o lo reviertas para que la configuración del módulo personalizado en tu postura y tu entorno coincidan. Tienes dos opciones para resolver este problema: puedes actualizar el módulo personalizado de Security Health Analytics o puedes actualizar la postura y la implementación de la postura. Para revertir el cambio, actualiza el módulo personalizado de Security Health Analytics en la consola de Google Cloud . Para obtener instrucciones, consulta Cómo actualizar un módulo personalizado. Para aceptar el cambio, completa los siguientes pasos:
|
|
Descripción del hallazgo: El servicio de postura de seguridad detectó que se borró un módulo personalizado de las estadísticas del estado de seguridad. Esta eliminación se produjo fuera de una actualización de la postura. Nivel de precios: Premium Corrige este hallazgo : Este hallazgo requiere que aceptes el cambio o lo reviertas para que la configuración del módulo personalizado en tu postura y tu entorno coincidan. Tienes dos opciones para resolver este problema: puedes actualizar el módulo personalizado de Security Health Analytics o puedes actualizar la postura y la implementación de la postura. Para revertir el cambio, actualiza el módulo personalizado de Security Health Analytics en la consola de Google Cloud . Para obtener instrucciones, consulta Cómo actualizar un módulo personalizado. Para aceptar el cambio, completa los siguientes pasos:
|
|
Descripción del hallazgo: El servicio de postura de seguridad detectó un cambio en una política de la organización que se produjo fuera de una actualización de la postura. Nivel de precios: Premium Corrige este hallazgo : Este hallazgo requiere que aceptes el cambio o lo reviertas para que las definiciones de la política de la organización en tu postura y tu entorno coincidan. Tienes dos opciones para resolver este problema: puedes actualizar la política de la organización o la postura y la implementación de la postura. Para revertir el cambio, actualiza la política de la organización en la consola de Google Cloud . Para obtener instrucciones, consulta Cómo crear y editar políticas. Para aceptar el cambio, completa los siguientes pasos:
|
|
Descripción del hallazgo: El servicio de postura de seguridad detectó que se borró una política de la organización. Esta eliminación ocurrió fuera de una actualización de la postura. Nivel de precios: Premium Corrige este hallazgo : Este hallazgo requiere que aceptes el cambio o lo reviertas para que las definiciones de la política de la organización en tu postura y tu entorno coincidan. Tienes dos opciones para resolver este problema: puedes actualizar la política de la organización o la postura y la implementación de la postura. Para revertir el cambio, actualiza la política de la organización en la consola de Google Cloud . Para obtener instrucciones, consulta Cómo crear y editar políticas. Para aceptar el cambio, completa los siguientes pasos:
|
|
Descripción del hallazgo: El servicio de postura de seguridad detectó un cambio en una política de la organización personalizada que se produjo fuera de una actualización de la postura. Nivel de precios: Premium Corrige este hallazgo : Este hallazgo requiere que aceptes el cambio o lo reviertas para que coincidan las definiciones de políticas de la organización personalizadas en tu postura y tu entorno. Tienes dos opciones para resolver este problema: puedes actualizar la política de la organización personalizada o la postura y la implementación de la postura. Para revertir el cambio, actualiza la política de la organización personalizada en la consola de Google Cloud . Para obtener instrucciones, consulta Actualiza una restricción personalizada. Para aceptar el cambio, completa los siguientes pasos:
|
|
Descripción del hallazgo: El servicio de postura de seguridad detectó que se borró una política de la organización personalizada. Esta eliminación ocurrió fuera de una actualización de la postura. Nivel de precios: Premium Corrige este hallazgo : Este hallazgo requiere que aceptes el cambio o lo reviertas para que coincidan las definiciones de políticas de la organización personalizadas en tu postura y tu entorno. Tienes dos opciones para resolver este problema: puedes actualizar la política de la organización personalizada o la postura y la implementación de la postura. Para revertir el cambio, actualiza la política de la organización personalizada en la consola de Google Cloud . Para obtener instrucciones, consulta Actualiza una restricción personalizada. Para aceptar el cambio, completa los siguientes pasos:
|
Recurso que incumple una postura de seguridad implementada
El servicio de posición de seguridad y las estadísticas del estado de seguridad generan los siguientes resultados, que identifican instancias de recursos infractores en relación con tu posición de seguridad definida.
| Resultado | Resumen |
|---|---|
|
Descripción del hallazgo: El servicio de postura de seguridad detectó que una subred tiene habilitada una dirección IPv6 externa. Nivel de precios: Premium Corrige este hallazgo : Tienes dos opciones para resolver este problema: puedes borrar el recurso infractor o actualizar la configuración y volver a implementarla. Para borrar el recurso, completa los siguientes pasos:
Si deseas mantener el recurso en la misma configuración, debes actualizar la postura. Para actualizar la postura, completa los siguientes pasos:
|
|
Descripción del hallazgo: El servicio de postura de seguridad detectó que una subred tiene habilitada una dirección IPv6 interna. Nivel de precios: Premium Corrige este hallazgo : Tienes dos opciones para resolver este problema: puedes borrar el recurso infractor o actualizar la configuración y volver a implementarla. Para borrar el recurso, completa los siguientes pasos:
Si deseas mantener el recurso en la misma configuración, debes actualizar la postura. Para actualizar la postura, completa los siguientes pasos:
|
|
Descripción del resultado: El servicio de postura de seguridad detectó que el Acceso al SO está inhabilitado en una instancia de VM. Nivel de precios: Premium Corrige este hallazgo : Tienes dos opciones para resolver este problema: puedes actualizar el recurso infractor o actualizar la postura y volver a implementarla. Para actualizar el recurso, completa los siguientes pasos:
Si deseas mantener el recurso en la misma configuración, debes actualizar la postura. Para actualizar la postura, completa los siguientes pasos:
|
|
Descripción del hallazgo: El servicio de postura de seguridad detectó que se agregó una red autorizada a una instancia de SQL. Nivel de precios: Premium Corrige este hallazgo : Este hallazgo requiere que corrijas el incumplimiento o actualices la postura. Tienes dos opciones para resolver este problema: puedes actualizar el recurso infractor o actualizar la postura y volver a implementarla. Para actualizar el recurso, completa los siguientes pasos:
Si deseas mantener el recurso en la misma configuración, debes actualizar la postura. Para actualizar la postura, completa los siguientes pasos:
|
|
Descripción del hallazgo: El servicio de postura de seguridad detectó que no hay un conector de VPC habilitado para una instancia de Cloud Run Function. Nivel de precios: Premium Corrige este hallazgo : Tienes dos opciones para resolver este problema: puedes actualizar el recurso infractor o actualizar la postura y volver a implementarla. Para actualizar el recurso, completa los siguientes pasos:
Si deseas mantener el recurso en la misma configuración, debes actualizar la postura. Para actualizar la postura, completa los siguientes pasos:
|
|
Descripción del hallazgo: El servicio de postura de seguridad detectó que está habilitado el acceso al puerto en serie de una instancia de VM. Nivel de precios: Premium Corrige este hallazgo : Tienes dos opciones para resolver este problema: puedes actualizar el recurso infractor o actualizar la postura y volver a implementarla. Para actualizar el recurso, completa los siguientes pasos:
Si deseas mantener el recurso en la misma configuración, debes actualizar la postura. Para actualizar la postura, completa los siguientes pasos:
|
|
Descripción del hallazgo: El servicio de postura de seguridad detectó que se creó una red predeterminada. Nivel de precios: Premium Corrige este hallazgo : Tienes dos opciones para resolver este problema: puedes borrar el recurso infractor o actualizar la configuración y volver a implementarla. Para borrar el recurso, completa los siguientes pasos:
Si deseas mantener el recurso en la misma configuración, debes actualizar la postura. Para actualizar la postura, completa los siguientes pasos:
|
|
Descripción del hallazgo: El servicio de postura de seguridad detectó que un servicio de Cloud Run no cumple con la configuración de entrada especificada. Nivel de precios: Premium Corrige este hallazgo : Tienes dos opciones para resolver este problema: puedes actualizar el recurso infractor o actualizar la postura y volver a implementarla. Para actualizar el recurso, completa los siguientes pasos:
Si deseas mantener el recurso en la misma configuración, debes actualizar la postura. Para actualizar la postura, completa los siguientes pasos:
|
|
Descripción del resultado: El servicio de postura de seguridad detectó que el acceso a nivel del bucket es detallado en lugar de uniforme. Nivel de precios: Premium Corrige este hallazgo : Tienes dos opciones para resolver este problema: puedes actualizar el recurso infractor o actualizar la postura y volver a implementarla. Para actualizar el recurso, completa los siguientes pasos:
Si deseas mantener el recurso en la misma configuración, debes actualizar la postura. Para actualizar la postura, completa los siguientes pasos:
|
|
Descripción del hallazgo: El servicio de postura de seguridad detectó que un servicio de Cloud Run no cumple con la configuración de salida especificada. Nivel de precios: Premium Corrige este hallazgo : Tienes dos opciones para resolver este problema: puedes actualizar el recurso infractor o actualizar la postura y volver a implementarla. Para actualizar el recurso, completa los siguientes pasos:
Si deseas mantener el recurso en la misma configuración, debes actualizar la postura. Para actualizar la postura, completa los siguientes pasos:
|
Model Armor
Model Armor es un servicio Google Cloud completamente administrado que mejora la seguridad de las aplicaciones basadas en IA, ya que examina las instrucciones y respuestas de los LLM en busca de diversos riesgos de seguridad.
Resultados de Model Armor
En la siguiente tabla, se enumeran los hallazgos de Security Command Center que genera Model Armor.
| Resultado | Resumen |
|---|---|
|
Descripción del hallazgo: Es un incumplimiento de la configuración de límites que se produce cuando una plantilla de Model Armor no cumple con los estándares mínimos de seguridad definidos por la configuración de límites de la jerarquía de recursos. Nivel de precios: Premium
Este hallazgo requiere que actualices la plantilla de Model Armor para que cumpla con la configuración de límites definida en la jerarquía de recursos. |
Revisa los hallazgos en la consola de Google Cloud
- En la consola de Google Cloud , ve a la página Resultados de Security Command Center.
- Selecciona tu Google Cloud organización o proyecto.
- En la sección Filtros rápidos, en la subsección Nombre visible de la fuente, selecciona Model Armor. Los resultados de la búsqueda se actualizan para mostrar solo los hallazgos de esta fuente.
- Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en la columna Categoría. Se abre el panel de detalles para el hallazgo y se muestra la pestaña Resumen.
- En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre lo que se detectó, el recurso afectado y los pasos que puedes seguir para corregir el hallazgo.
- Opcional: Para ver la definición completa de JSON del resultado, haz clic en la pestaña JSON.
Cómo corregir los resultados de Model Armor
El hallazgo FLOOR_SETTINGS_VIOLATION indica que la plantilla de Model Armor no cumplió con los estándares mínimos de seguridad definidos por la configuración de límites de la jerarquía de recursos.
Para solucionar el problema, haz lo siguiente:
- En la consola de Google Cloud , ve a la página Model Armor.
- Verifica que estés viendo el proyecto en el que activaste Model Armor. Se mostrará la página Model Armor con una lista de las plantillas creadas para tu proyecto.
- Haz clic en la plantilla que deseas modificar.
- Modifica la plantilla según la configuración de la planta definida en la jerarquía de recursos.
- Haz clic en Guardar.
VM Manager
VM Manager es un conjunto de herramientas que se pueden usar en la administración de sistemas operativos para flotas de máquinas virtuales (VM) grandes que ejecutan Windows y Linux en Compute Engine.
Si habilitas VM Manager con Security Command Center Premium a nivel de la organización, VM Manager escribe los resultados de sus informes de vulnerabilidades, que se encuentran en vista previa, en Security Command Center. Los informes identifican vulnerabilidades en los sistemas operativos instalados en las VMs, incluidas las vulnerabilidades y riesgos comunes (CVE).
Para usar VM Manager con las activaciones a nivel del proyecto de Security Command Center Premium, activa Security Command Center Estándar en la organización principal.
Los informes de vulnerabilidad no están disponibles para la versión estándar de Security Command Center.
Los resultados simplifican el proceso de usar la función de cumplimiento de parches de VM Manager, que está en vista previa. Esta función te permite realizar la administración de parches a nivel de organización en todos los proyectos.
La gravedad de los resultados de vulnerabilidades que se reciben de VM Manager siempre es CRITICAL o HIGH.
Resultados de VM Manager
Las vulnerabilidades de este tipo se relacionan con paquetes instalados de sistema operativo en las VM de Compute Engine compatibles.
| Detector | Resumen | Configuración de análisis de elementos |
|---|---|---|
|
Descripción del hallazgo: VM Manager detectó una vulnerabilidad en el paquete del sistema operativo (SO) instalado para una VM de Compute Engine. Nivel de precios: Premium Recursos admitidos |
Los informes de vulnerabilidad de VM Manager detallan vulnerabilidades en los paquetes del sistema operativo instalados para las VMs de Compute Engine, incluidas las vulnerabilidades y exposiciones comunes (CVE). Para obtener una lista completa de los sistemas operativos compatibles, consulta Detalles de los sistemas operativos. Los hallazgos aparecen en Security Command Center poco después de que se detectan vulnerabilidades. Los informes de vulnerabilidad en VM Manager se generan de la siguiente manera:
|
Revisa los hallazgos en la consola
Estándar o Premium
- En la consola de Google Cloud , ve a la página Resultados de Security Command Center.
- Selecciona tu Google Cloud organización o proyecto.
- En la sección Filtros rápidos, en la subsección Nombre visible de origen, selecciona VM Manager. Los resultados de la búsqueda se actualizan para mostrar solo los hallazgos de esta fuente.
- Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en la columna Categoría. Se abre el panel de detalles para el hallazgo y se muestra la pestaña Resumen.
- En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre lo que se detectó, el recurso afectado y, si está disponible, los pasos que puedes seguir para corregir el hallazgo.
- Opcional: Para ver la definición completa de JSON del resultado, haz clic en la pestaña JSON.
Enterprise
- En la consola de Google Cloud , ve a la página Resultados de Security Command Center.
- Selecciona tu Google Cloud organización.
- En la sección Agregaciones, haz clic para expandir la subsección Nombre visible de la fuente.
- Selecciona VM Manager. Los resultados de la búsqueda se actualizan para mostrar solo los hallazgos de esta fuente.
- Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en la columna Categoría. Se abre el panel de detalles para el hallazgo y se muestra la pestaña Resumen.
- En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre lo que se detectó, el recurso afectado y, si está disponible, los pasos que puedes seguir para corregir el hallazgo.
- Opcional: Para ver la definición completa de JSON del resultado, haz clic en la pestaña JSON.
Solución de los resultados de VM Manager
Un hallazgo de OS_VULNERABILITY indica que VM Manager encontró una vulnerabilidad en los paquetes del sistema operativo instalados en una VM de Compute Engine.
Para solucionar el problema, haz lo siguiente:
Abre un hallazgo de
OS vulnerabilityy consulta su definición en formato JSON.Copia el valor del campo
externalUri. Este valor es el URI de la página Información del SO de la instancia de VM de Compute Engine en la que está instalado el sistema operativo vulnerable.Aplica todos los parches adecuados para el SO que se muestra en la sección Información básica. Para obtener instrucciones sobre la implementación de parches, consulta Crea trabajos de aplicación de parches.
Obtén información sobre los recursos admitidos y la configuración de análisis de este tipo de hallazgo.
Cómo silenciar los resultados de VM Manager
Es posible que desees ocultar algunos o todos los hallazgos de VM Manager en Security Command Center si no son relevantes para tus requisitos de seguridad.
Puedes ocultar los hallazgos de VM Manager creando una regla de silencio y agregando atributos de consulta específicos para los hallazgos de VM Manager que deseas ocultar.
Para obtener información sobre cómo crear una regla de silenciamiento, consulta Crea una regla de silenciamiento.
Por ejemplo, si deseas ocultar IDs de CVE específicos en los resultados de vulnerabilidades de VM Manager, selecciona Vulnerabilidad > ID de CVE y, luego, selecciona los IDs de CVE que deseas ocultar.
El campo Findings query de tu regla de silencio se verá similar al siguiente:
parent_display_name="VM Manager"
AND vulnerability.cv.id="CVE-2025-26923" OR vulnerability.cve.id="CVE-2025-27635"
Resultados de la evaluación de vulnerabilidades de Artifact Registry
En la siguiente tabla, se enumeran los hallazgos que te alertan sobre posibles vulnerabilidades detectadas en tus imágenes de contenedor. Estos hallazgos solo se generan para las imágenes de contenedor vulnerables que se almacenan en Artifact Registry y se implementan en uno de los siguientes recursos:
- Clúster de Google Kubernetes Engine
- Servicio de Cloud Run
- Trabajo de Cloud Run
- App Engine
Estos hallazgos se clasifican como de gravedad HIGH o CRITICAL.
Para obtener información sobre cómo habilitar, inhabilitar y ver los resultados de la evaluación de vulnerabilidades de Artifact Registry en la consola de Google Cloud , consulta Servicio de detección de evaluación de vulnerabilidades de Artifact Registry.
| Detector | Resumen |
|---|---|
|
Nombre de categoría en la API: |
Descripción del hallazgo: Se detectó una vulnerabilidad en una imagen de contenedor que se analizó en Artifact Registry. Esta imagen se implementa en uno de los siguientes recursos:
Nivel de precios: Estándar, Premium o Empresarial Corrige este hallazgo : Según el tipo de recurso de tiempo de ejecución, haz lo siguiente:
Consulta los detalles del problema para conocer los pasos de corrección específicos según el recurso de tiempo de ejecución adecuado. En el caso de los clientes del nivel Estándar, no se admite el uso de la función de consulta de activos de Cloud Asset Inventory para determinar dónde se implementa la imagen de contenedor vulnerable. Te recomendamos que actualices tu cuenta a los niveles Premium o Enterprise para obtener información más detallada. |
Protección de datos sensibles
En esta sección, se describen los resultados de vulnerabilidades que genera la Protección de datos sensibles, los estándares de cumplimiento que admiten y cómo corregir los resultados.
La Protección de datos sensibles también envía hallazgos observacionales a Security Command Center. Para obtener más información sobre los resultados de la observación y la protección de datos sensibles, consulta Protección de datos sensibles.
Para obtener información sobre cómo ver los hallazgos, consulta Revisa los hallazgos de Sensitive Data Protection en la consola de Google Cloud .
Resultados de vulnerabilidades de Sensitive Data Protection
El servicio de descubrimiento de Sensitive Data Protection te ayuda a determinar si almacenas datos altamente sensibles que no están protegidos.
| Categoría | Resumen |
|---|---|
|
Descripción del hallazgo: El recurso especificado tiene datos de alta sensibilidad a los que puede acceder cualquier persona en Internet. Recursos admitidos:
Corrección: Para los datos de Google Cloud , quita En el caso de los datos de Amazon S3, configura el bloqueo del acceso público o actualiza la LCA del objeto para denegar el acceso de lectura público. Para obtener más información, consulta Configura el bloqueo del acceso público para tus buckets de S3 y Configura LCA en la documentación de AWS. En el caso de los datos de Azure Blob Storage, quita el acceso público al contenedor y a los blobs. Para obtener más información, consulta Información general: Corrección del acceso de lectura anónimo para los datos de blob en la documentación de Azure. Estándares de cumplimiento: No se asignaron |
|
Descripción del hallazgo: Hay secretos, como contraseñas, tokens de autenticación y credenciales de Google Cloud , en las variables de entorno. Para habilitar este detector, consulta Cómo informar secretos en variables de entorno a Security Command Center en la documentación de Protección de datos sensibles. Recursos admitidos: Corrección: En el caso de las variables de entorno de Cloud Run Functions, quita el secreto de la variable de entorno y, en su lugar, almacénalo en Secret Manager. En el caso de las variables de entorno de revisión del servicio de Cloud Run, quita todo el tráfico de la revisión y, luego, bórrala. Estándares de cumplimiento:
|
|
Descripción del hallazgo: Hay secretos (como contraseñas, tokens de autenticación y credenciales de Cloud) en el recurso especificado. Recursos admitidos:
Corrección:
Estándares de cumplimiento: No se asignaron |
Resultados de configuración incorrecta de Sensitive Data Protection
El servicio de descubrimiento de Sensitive Data Protection te ayuda a determinar si tienes configuraciones incorrectas que podrían exponer datos sensibles.
| Categoría | Resumen |
|---|---|
|
Descripción del hallazgo: El recurso especificado tiene datos de alta o moderada sensibilidad y no usa una clave de encriptación administrada por el cliente (CMEK). Recursos admitidos:
Corrección:
Estándares de cumplimiento: No se asignaron |
Policy Controller
Policy Controller permite la aplicación de políticas programables para tus clústeres de Kubernetes registrados como membresías de la flota. Estas políticas actúan como protecciones y pueden ayudarte con las prácticas recomendadas, la seguridad y la administración del cumplimiento de los clústeres y la flota.
En esta página, no se enumeran todos los hallazgos individuales del Controlador de políticas, pero la información sobre los hallazgos de la clase Misconfiguration que el Controlador de políticas escribe en Security Command Center es la misma que la de los incumplimientos del clúster documentados para cada paquete del Controlador de políticas. La documentación de los tipos de hallazgos individuales de Policy Controller se encuentra en los siguientes paquetes de Policy Controller:
Comparativa de CIS para Kubernetes v1.5.1, un conjunto de recomendaciones para configurar Kubernetes de modo que posibilite una postura de seguridad sólida. También puedes ver información sobre este paquete en el repositorio de GitHub para
cis-k8s-v1.5.1.PCI-DSS v3.2.1, un paquete que evalúa el cumplimiento de los recursos de tu clúster con respecto a algunos aspectos de las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI-DSS) v3.2.1. También puedes ver información sobre este paquete en el repositorio de GitHub para
pci-dss-v3.
Esta capacidad no es compatible con los perímetros de servicio de los Controles del servicio de VPC alrededor de la API de Stackdriver.
Cómo encontrar y corregir los problemas detectados por el Controlador de políticas
Las categorías del Controlador de políticas corresponden a los nombres de las restricciones que se indican en la documentación de los paquetes del Controlador de políticas. Por ejemplo, un hallazgo de require-namespace-network-policies indica que un espacio de nombres incumple la política que establece que cada espacio de nombres en un clúster debe tener un NetworkPolicy.
Para solucionar un problema, haz lo siguiente:
Estándar o Premium
- En la consola de Google Cloud , ve a la página Resultados de Security Command Center.
- Selecciona tu Google Cloud organización o proyecto.
- En la sección Filtros rápidos, en la subsección Nombre visible de la fuente, selecciona Policy Controller On-Cluster. Los resultados de la búsqueda se actualizan para mostrar solo los hallazgos de esta fuente.
- Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en la columna Categoría. Se abre el panel de detalles para el hallazgo y se muestra la pestaña Resumen.
- En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre lo que se detectó, el recurso afectado y, si está disponible, los pasos que puedes seguir para corregir el hallazgo.
- Opcional: Para ver la definición completa de JSON del resultado, haz clic en la pestaña JSON.
Enterprise
- En la consola de Google Cloud , ve a la página Resultados de Security Command Center.
- Selecciona tu Google Cloud organización.
- En la sección Agregaciones, haz clic para expandir la subsección Nombre visible de la fuente.
- Selecciona Policy Controller On-Cluster. Los resultados de la búsqueda se actualizan para mostrar solo los hallazgos de esta fuente.
- Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en la columna Categoría. Se abre el panel de detalles para el hallazgo y se muestra la pestaña Resumen.
- En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre lo que se detectó, el recurso afectado y, si está disponible, los pasos que puedes seguir para corregir el hallazgo.
- Opcional: Para ver la definición completa de JSON del resultado, haz clic en la pestaña JSON.
¿Qué sigue?
Obtén más información para usar las estadísticas del estado de seguridad.
Obtén más información para usar Web Security Scanner.
Lee sugerencias para solucionar los resultados de estadísticas del estado de seguridad y solucionar los resultados de Web Security Scanner.