Les détecteurs Security Health Analytics et Web Security Scanner génèrent des résultats de failles disponibles dans Security Command Center. Lorsqu'ils sont activés dans Security Command Center, les services intégrés, tels que VM Manager, génèrent également des résultats de failles.
Votre capacité à afficher et à modifier les résultats est déterminée par les rôles et autorisations IAM (Identity and Access Management) qui vous sont attribués. Pour en savoir plus sur les rôles IAM dans Security Command Center, consultez la page Contrôle des accès.
Détecteurs et conformité
Security Command Center surveille votre conformité à l'aide de détecteurs mappés sur les commandes de nombreuses normes de sécurité.
Pour chaque norme de sécurité compatible, Security Command Center vérifie un sous-ensemble des commandes. Pour les contrôles cochés, Security Command Center indique le nombre de contrôles réussis. Pour les contrôles qui ne sont pas acceptés, Security Command Center affiche une liste de résultats qui décrivent les échecs de contrôle.
Le CIS examine et certifie les mises en correspondance des détecteurs Security Command Center avec chaque version compatible du benchmark CIS Google Cloud Foundations. Des mises en correspondance de conformité supplémentaires sont incluses à titre de référence uniquement.
Security Command Center ajoute régulièrement de nouvelles versions et normes de benchmark. Les anciennes versions restent compatibles, mais sont finalement abandonnées. Nous vous recommandons d'utiliser le dernier benchmark ou la dernière norme compatible disponible.
Avec le service d'évaluation de l'état de sécurité, vous pouvez mapper les règles d'administration et les détecteurs Security Health Analytics aux normes et contrôles qui s'appliquent à votre entreprise. Une fois que vous avez créé une posture de sécurité, vous pouvez surveiller toute modification de l'environnement pouvant affecter la conformité de votre entreprise.
Pour en savoir plus sur la gestion de la conformité, consultez la section Évaluer et signaler la conformité aux normes de sécurité.
Normes de sécurité acceptées
Google Cloud
Security Command Center fait correspondre les détecteurs de Google Cloud à une ou plusieurs des normes de conformité suivantes:
- CIS Controls 8.0 (Centre for Information Security)
- Benchmark CIS Google Cloud Computing Foundations v2.0.0, v1.3.0, v1.2.0, v1.1.0 et v1.0.0
- Benchmark CIS de Kubernetes v1.5.1
- Cloud Controls Matrix (CCM) 4
- Loi HIPAA (Health Insurance Portability and Accountability Act)
- International Organization for Standardization (ISO) 27001, 2022 et 2013
- National Institute of Standards and Technology (NIST) 800-53 R5 et R4
- NIST CSF 1.0
- Top 10 de l'OWASP (Open Web Application Security Project) pour 2021 et 2017
- Normes PCI DSS (Payment Card Industry Data Security Standard) 4.0 et 3.2.1
- SOC 2 TSC 2017
AWS
Security Command Center fait correspondre les détecteurs d'Amazon Web Services (AWS) à une ou plusieurs des normes de conformité suivantes:
Pour savoir comment afficher et exporter des rapports de conformité, consultez la section Conformité de Utiliser Security Command Center dans la console Google Cloud.
Détecter la désactivation après la correction
Une fois que vous avez corrigé une faille ou une erreur de configuration, le service Security Command Center qui a détecté le résultat définit automatiquement son état sur INACTIVE
la prochaine fois que le service de détection l'analyse. Le délai nécessaire à Security Command Center pour définir un résultat résolu sur INACTIVE
dépend de la planification de l'analyse qui détecte le résultat.
Les services Security Command Center définissent également l'état d'un résultat de faille ou de mauvaise configuration sur INACTIVE
lorsqu'une analyse détecte que la ressource affectée par le résultat est supprimée.
Pour en savoir plus sur les intervalles d'analyse, consultez les articles suivants:
Résultats de l'analyse de l'état de la sécurité
Les détecteurs de Security Health Analytics surveillent un sous-ensemble de ressources de l'inventaire des éléments cloud (CAI) et reçoivent des notifications concernant les modifications apportées aux règles de gestion des ressources et de gestion de l'authentification et des accès (IAM). Certains détecteurs récupèrent les données en appelant directement les API Google Cloud, comme indiqué dans les tableaux plus loin sur cette page.
Pour en savoir plus sur Security Health Analytics, les planifications d'analyse et la prise en charge de Security Health Analytics pour les détecteurs de modules intégrés et personnalisés, consultez la section Présentation de Security Health Analytics.
Les tableaux suivants décrivent les détecteurs de Security Health Analytics, les éléments et les normes de conformité qu'ils acceptent, les paramètres qu'ils utilisent pour les analyses et les types de résultats qu'ils génèrent. Vous pouvez filtrer les résultats par divers attributs à l'aide de la page Failles de Security Command Center dans la console Google Cloud.
Pour obtenir des instructions sur la résolution des problèmes et la protection de vos ressources, consultez la page Corriger les résultats de Security Health Analytics.
Résultats de failles de clé API
Le détecteur API_KEY_SCANNER
identifie les failles liées aux clés API utilisées dans votre déploiement cloud.
Détecteur | Résumé | Paramètres d'analyse des éléments |
---|---|---|
API key APIs unrestricted
Nom de la catégorie dans l'API : |
Description du résultat : Certaines clés API sont utilisées de manière trop large. Pour résoudre ce problème, limitez l'utilisation des clés API afin de n'autoriser que les API nécessaires à l'application. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Récupère la propriété
|
API key apps unrestricted
Nom de la catégorie dans l'API : |
Description du résultat : certaines clés API sont utilisées de manière illimitée, ce qui permet leur utilisation par toute application non approuvée. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Récupère la propriété
|
API key exists
Nom de la catégorie dans l'API : |
Description du résultat : un projet utilise des clés API au lieu de l'authentification standard. Niveau de tarification : Premium
Composants compatibles Normes de conformité:
|
Récupère toutes les clés API appartenant à un projet.
|
API key not rotated
Nom de la catégorie dans l'API : |
Description du résultat : La clé API n'a pas été alternée depuis plus de 90 jours. Niveau de tarification : Premium
Composants compatibles Normes de conformité:
|
Récupère l'horodatage contenu dans la propriété
|
Résultats de l'inventaire des éléments cloud concernant les failles
Les failles de ce type de détecteur sont toutes liées aux configurations de inventaire des éléments cloud et appartiennent au type CLOUD_ASSET_SCANNER
.
Détecteur | Résumé | Paramètres d'analyse des éléments |
---|---|---|
Cloud Asset API disabled
Nom de la catégorie dans l'API : |
Description du résultat:La capture des ressources Google Cloud et des stratégies IAM par inventaire des éléments cloud permet d'effectuer des analyses de sécurité, un suivi des modifications des ressources et des audits de conformité. Nous vous recommandons d'activer le service inventaire des éléments cloud pour tous les projets. Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si le service inventaire des éléments cloud est activé.
|
Résultats de failles d'images Compute
Le détecteur COMPUTE_IMAGE_SCANNER
identifie les failles liées aux configurations d'image Google Cloud.
Détecteur | Résumé | Paramètres d'analyse des éléments |
---|---|---|
Public Compute image
Nom de la catégorie dans l'API : |
Description du résultat : une image Compute Engine est accessible au public. Niveau de tarification : Premium ou Standard
Éléments compatibles Normes de conformité: Cette catégorie de résultats n'est associée à aucune commande de conformité. |
Vérifie la stratégie d'autorisation IAM des métadonnées de ressource pour les comptes principaux
|
Résultats de failles d'instance Compute
Le détecteur COMPUTE_INSTANCE_SCANNER
identifie les failles liées aux configurations d'instance Compute Engine.
Les détecteurs COMPUTE_INSTANCE_SCANNER
ne signalent pas les résultats sur les instances Compute Engine créées par GKE. Les noms de ces instances commencent par "gke-", et les utilisateurs ne peuvent pas modifier cette convention. Pour sécuriser ces instances, reportez-vous à la section "Résultats de failles de conteneur".
Détecteur | Résumé | Paramètres d'analyse des éléments |
---|---|---|
Confidential Computing disabled
Nom de la catégorie dans l'API : |
Description du résultat : l'informatique confidentielle est désactivée sur une instance Compute Engine. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie la propriété
|
Compute project wide SSH keys allowed
Nom de la catégorie dans l'API : |
Description du résultat : les clés SSH au niveau du projet sont utilisées. Elles permettent de se connecter à toutes les instances du projet. Niveau de tarification : Premium
Composants compatibles Normes de conformité:
|
Vérifie l'objet
|
Compute Secure Boot disabled
Nom de la catégorie dans l'API : |
Description du résultat : Le démarrage sécurisé n'est pas activé sur cette VM protégée. L'utilisation du démarrage sécurisé permet de protéger les instances de machines virtuelles contre les menaces avancées, telles que les rootkits et les bootkits. Niveau de tarification : Premium Éléments compatibles Normes de conformité: Cette catégorie de résultats n'est associée à aucune commande de conformité. |
Vérifie la propriété
|
Compute serial ports enabled
Nom de la catégorie dans l'API : |
Description du résultat : les ports série sont activés pour une instance, ce qui permet de se connecter à la console série de l'instance. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie l'objet
|
Default service account used
Nom de la catégorie dans l'API : |
Description du résultat : une instance est configurée pour utiliser le compte de service par défaut. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie la propriété
|
Disk CMEK disabled
Nom de la catégorie dans l'API : |
Description du résultat : les disques de cette VM ne sont pas chiffrés avec les clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs. Niveau de tarification : Premium
Éléments compatibles Normes de conformité: Cette catégorie de résultats n'est associée à aucune commande de conformité. |
Vérifie le champ
|
Disk CSEK disabled
Nom de la catégorie dans l'API : |
Description du résultat : Les disques de cette VM ne sont pas chiffrés avec les clés de chiffrement fournies par le client (CSEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la section Détecteur de cas particuliers. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie le champ
|
Full API access
Nom de la catégorie dans l'API : |
Description du résultat : une instance est configurée pour utiliser le compte de service par défaut avec un accès complet à toutes les API Google Cloud. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Récupère le champ
|
HTTP load balancer
Nom de la catégorie dans l'API : |
Description du résultat : une instance utilise un équilibreur de charge configuré pour utiliser un proxy HTTP cible au lieu d'un proxy HTTPS cible. Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Détermine si la propriété
|
Instance OS Login disabled
Nom de la catégorie dans l'API : |
Description du résultat : OS Login est désactivé sur cette instance. Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles
Normes de conformité:
|
Vérifie si la propriété
|
IP forwarding enabled
Nom de la catégorie dans l'API : |
Description du résultat : Le transfert IP est activé sur les instances. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si la propriété
|
OS login disabled
Nom de la catégorie dans l'API : |
Description du résultat : OS Login est désactivé sur cette instance. Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie l'objet
|
Public IP address
Nom de la catégorie dans l'API : |
Description du résultat : une instance possède une adresse IP publique. Niveau de tarification : Premium ou Standard
Éléments compatibles Normes de conformité:
|
Vérifie si la propriété
|
Shielded VM disabled
Nom de la catégorie dans l'API : |
Description du résultat : La VM protégée est désactivée sur cette instance. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie la propriété
|
Weak SSL policy
Nom de la catégorie dans l'API : |
Description du résultat : une instance a une règle SSL faible. Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si
|
Résultats de failles de conteneur
Ces types de résultats sont tous liés aux configurations de conteneurs GKE et appartiennent au type de détecteur CONTAINER_SCANNER
.
Détecteur | Résumé | Paramètres d'analyse des éléments |
---|---|---|
Alpha cluster enabled
Nom de la catégorie dans l'API : |
Description du résultat : les fonctionnalités du cluster alpha sont activées pour un cluster GKE. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si la propriété
|
Auto repair disabled
Nom de la catégorie dans l'API : |
Description du résultat : la fonctionnalité de réparation automatique d'un cluster GKE, qui maintient les nœuds en bon état de fonctionnement, est désactivée. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie la propriété
|
Auto upgrade disabled
Nom de la catégorie dans l'API : |
Description du résultat : La fonctionnalité de mise à niveau automatique des clusters GKE, qui conserve les clusters et les pools de nœuds sur la dernière version stable de Kubernetes, est désactivée. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie la propriété
|
Binary authorization disabled
Nom de la catégorie dans l'API : |
Description du résultat:L'autorisation binaire est désactivée sur le cluster GKE ou la stratégie d'autorisation binaire est configurée pour autoriser le déploiement de toutes les images. Niveau de tarification : Premium
Éléments compatibles Normes de conformité: Cette catégorie de résultats n'est associée à aucune commande de conformité. |
Vérifie les points suivants:
|
Cluster logging disabled
Nom de la catégorie dans l'API : |
Description du résultat : La journalisation n'est pas activée pour un cluster GKE. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si la propriété
|
Cluster monitoring disabled
Nom de la catégorie dans l'API : |
Description du résultat : Monitoring est désactivé sur les clusters GKE. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si la propriété
|
Cluster private Google access disabled
Nom de la catégorie dans l'API : |
Description du résultat : les hôtes de cluster ne sont pas configurés pour utiliser uniquement des adresses IP internes privées pour accéder aux API Google. Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si la propriété
|
Cluster secrets encryption disabled
Nom de la catégorie dans l'API : |
Description du résultat : le chiffrement des secrets au niveau de la couche d'application est désactivé sur un cluster GKE. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie la propriété
|
Cluster shielded nodes disabled
Nom de la catégorie dans l'API : |
Description du résultat : les nœuds GKE protégés ne sont pas activés pour un cluster. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie la propriété
|
COS not used
Nom de la catégorie dans l'API : |
Description du résultat : Les VM Compute Engine n'utilisent pas la version de Container-Optimized OS conçue pour exécuter des conteneurs Docker sur Google Cloud en toute sécurité. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie la propriété
|
Integrity monitoring disabled
Nom de la catégorie dans l'API : |
Description du résultat : la surveillance de l'intégrité est désactivée pour un cluster GKE. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie la propriété
|
Intranode visibility disabled
Nom de la catégorie dans l'API : |
Description du résultat : la visibilité intranœud est désactivée pour un cluster GKE. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie la propriété
|
IP alias disabled
Nom de la catégorie dans l'API : |
Description du résultat : un cluster GKE a été créé avec des plages d'adresses IP d'alias désactivées. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si le champ
|
Legacy authorization enabled
Nom de la catégorie dans l'API : |
Description du résultat : l'ancienne autorisation est activée sur les clusters GKE. Niveau de tarification : Premium ou Standard
Éléments compatibles Normes de conformité:
|
Vérifie la propriété
|
Legacy metadata enabled
Nom de la catégorie dans l'API : |
Description du résultat Les anciennes métadonnées sont activées sur les clusters GKE. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie la propriété
|
Master authorized networks disabled
Nom de la catégorie dans l'API : |
Description du résultat : Les réseaux autorisés du plan de contrôle ne sont pas activés sur les clusters GKE. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie la propriété
|
Network policy disabled
Nom de la catégorie dans l'API : |
Description du résultat : La règle de réseau est désactivée sur les clusters GKE. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie le champ
|
Nodepool boot CMEK disabled
Nom de la catégorie dans l'API : |
Description du résultat : Les disques de démarrage de ce pool de nœuds ne sont pas chiffrés avec les clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs. Niveau de tarification : Premium
Éléments compatibles Normes de conformité: Cette catégorie de résultats n'est associée à aucune commande de conformité. |
Vérifie la propriété
|
Nodepool secure boot disabled
Nom de la catégorie dans l'API : |
Description du résultat : le démarrage sécurisé est désactivé pour un cluster GKE. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie la propriété
|
Over privileged account
Nom de la catégorie dans l'API : |
Description du résultat : Un compte de service bénéficie d'un accès aux projets trop étendu dans un cluster. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Évalue la propriété
|
Over privileged scopes
Nom de la catégorie dans l'API : |
Description du résultat : un compte de service de nœud possède des champs d'application d'accès étendus. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si le niveau d'accès répertorié dans la propriété config.oauthScopes d'un pool de nœuds est un niveau d'accès limité au compte de service : https://www.googleapis.com/auth/devstorage.read_only , https://www.googleapis.com/auth/logging.write , ou https://www.googleapis.com/auth/monitoring .
|
Pod security policy disabled
Nom de la catégorie dans l'API : |
Description du résultat : PodSecurityPolicy est désactivé sur un cluster GKE. Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie la propriété
|
Private cluster disabled
Nom de la catégorie dans l'API : |
Description du résultat : Un cluster GKE possède un cluster privé désactivé. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si le champ
|
Release channel disabled
Nom de la catégorie dans l'API : |
Description du résultat : un cluster GKE n'est pas abonné à un canal de publication. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie la propriété
|
Web UI enabled
Nom de la catégorie dans l'API : |
Description du résultat : L'UI Web (tableau de bord) de GKE est activée. Niveau de tarification : Premium ou Standard
Éléments compatibles Normes de conformité:
|
Vérifie le champ
|
Workload Identity disabled
Nom de la catégorie dans l'API : |
Description du résultat : Workload Identity est désactivé sur un cluster GKE. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si la propriété
|
Résultats de failles Dataproc
Les failles de ce type de détecteur sont toutes liées à Dataproc et appartiennent au type de détecteur DATAPROC_SCANNER
.
Détecteur | Résumé | Paramètres d'analyse des éléments |
---|---|---|
Dataproc CMEK disabled
Nom de la catégorie dans l'API : |
Description du résultat:Un cluster Dataproc a été créé sans configuration de chiffrement CMEK. Avec CMEK, les clés que vous créez et gérez dans Cloud Key Management Service encapsulent les clés utilisées par Google Cloud pour chiffrer vos données, ce qui vous permet de mieux contrôler l'accès à vos données. Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si le champ
|
Dataproc image outdated
Nom de la catégorie dans l'API : |
Description du résultat : Un cluster Dataproc a été créé avec une version d'image Dataproc affectée par les failles de sécurité dans l'utilitaire Apache Log4j 2 (CVE-2021-44228). et CVE-2021-45046. Niveau de tarification : Premium ou Standard
Éléments compatibles Normes de conformité: Cette catégorie de résultats n'est associée à aucune commande de conformité. |
Vérifie si le champ
|
Résultats de failles d'ensemble de données
Les failles de ce type de détecteur sont toutes liées aux configurations de l'ensemble de données BigQuery et appartiennent au type de détecteur DATASET_SCANNER
.
Détecteur | Résumé | Paramètres d'analyse des éléments |
---|---|---|
BigQuery table CMEK disabled
Nom de la catégorie dans l'API : |
Description du résultat : une table BigQuery n'est pas configurée pour utiliser une clé de chiffrement gérée par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si le champ
|
Dataset CMEK disabled
Nom de la catégorie dans l'API : |
Description du résultat : un ensemble de données BigQuery n'est pas configuré pour utiliser une clé CMEK par défaut. Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si le champ
|
Public dataset
Nom de la catégorie dans l'API : |
Description du résultat : Un ensemble de données est configuré pour être accessible au public. Niveau de tarification : Premium ou Standard
Éléments compatibles Normes de conformité:
|
Vérifie la stratégie d'autorisation IAM des métadonnées de ressource pour les comptes principaux
|
Résultats de failles DNS
Les failles de ce type de détecteur sont toutes liées aux configurations Cloud DNS et appartiennent au type de détecteur DNS_SCANNER
.
Détecteur | Résumé | Paramètres d'analyse des éléments |
---|---|---|
DNSSEC disabled
Nom de la catégorie dans l'API : |
Description du résultat : DNSSEC est désactivé pour les zones Cloud DNS. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si le champ
|
RSASHA1 for signing
Nom de la catégorie dans l'API : |
Description du résultat : RSASHA1 est utilisé pour la signature de clé dans les zones Cloud DNS. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si l'objet
|
Résultats de failles de pare-feu
Les failles de ce type de détecteur sont toutes liées aux configurations de pare-feu et appartiennent au type de détecteur FIREWALL_SCANNER
.
Détecteur | Résumé | Paramètres d'analyse des éléments |
---|---|---|
Egress deny rule not set
Nom de la catégorie dans l'API : |
Description du résultat : Une règle de refus du trafic sortant n'est pas définie sur un pare-feu. Vous devez définir des règles de refus du trafic sortant pour bloquer le trafic sortant indésirable. Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si la propriété
|
Firewall rule logging disabled
Nom de la catégorie dans l'API : |
Description du résultat : la journalisation des règles de pare-feu est désactivée. Activez la journalisation des règles de pare-feu pour pouvoir auditer les accès au réseau. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie la propriété
|
Open Cassandra port
Nom de la catégorie dans l'API : |
Description du résultat : un pare-feu est configuré pour disposer d'un port CASSANDRA ouvert qui autorise un accès générique. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Il vérifie la propriété
|
Open ciscosecure websm port
Nom de la catégorie dans l'API : |
Description du résultat : un pare-feu est configuré de manière à disposer d'un port CISCOSECURE_WEBSM ouvert qui autorise l'accès générique. Niveau de tarification : Premium ou Standard
Éléments compatibles Normes de conformité:
|
Il vérifie la propriété
|
Open directory services port
Nom de la catégorie dans l'API : |
Description du résultat : un pare-feu est configuré pour disposer d'un port ouvert DIRECTORY_SERVICES permettant un accès générique. Niveau de tarification : Premium ou Standard
Éléments compatibles Normes de conformité:
|
Vérifie la propriété
|
Open DNS port
Nom de la catégorie dans l'API : |
Description du résultat : un pare-feu est configuré pour disposer d'un port DNS ouvert autorisant les accès génériques. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie la propriété
|
Open elasticsearch port
Nom de la catégorie dans l'API : |
Description du résultat : un pare-feu est configuré de manière à disposer d'un port ELASTICSEARCH ouvert qui autorise l'accès générique. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Il vérifie la propriété
|
Open firewall
Nom de la catégorie dans l'API : |
Description du résultat : un pare-feu est configuré pour être accessible au public. Niveau de tarification : Premium ou Standard
Éléments compatibles Normes de conformité:
|
Vérifie les propriétés
|
Open FTP port
Nom de la catégorie dans l'API : |
Description du résultat : un pare-feu est configuré pour disposer d'un port FTP ouvert autorisant l'accès générique. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Il vérifie la propriété
|
Open HTTP port
Nom de la catégorie dans l'API : |
Description du résultat : un pare-feu est configuré pour disposer d'un port HTTP ouvert qui autorise l'accès générique. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Il vérifie la propriété
|
Open LDAP port
Nom de la catégorie dans l'API : |
Description du résultat : un pare-feu est configuré de manière à disposer d'un port LDAP ouvert qui autorise l'accès générique. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie la propriété
|
Open Memcached port
Nom de la catégorie dans l'API : |
Description du résultat : un pare-feu est configuré pour disposer d'un port MEMCACHED ouvert qui autorise un accès générique. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie la propriété
|
Open MongoDB port
Nom de la catégorie dans l'API : |
Description du résultat : un pare-feu est configuré de manière à disposer d'un port MONGODB ouvert qui autorise l'accès générique. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Il vérifie la propriété
|
Open MySQL port
Nom de la catégorie dans l'API : |
Description du résultat : un pare-feu est configuré de manière à disposer d'un port MYSQL ouvert qui autorise l'accès générique. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Il vérifie la propriété
|
Open NetBIOS port
Nom de la catégorie dans l'API : |
Description du résultat : un pare-feu est configuré pour disposer d'un port NETBIOS ouvert autorisant un accès générique. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie la propriété
|
Open OracleDB port
Nom de la catégorie dans l'API : |
Description du résultat : un pare-feu est configuré pour disposer d'un port ORACLEDB ouvert qui autorise un accès générique. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie la propriété
|
Open pop3 port
Nom de la catégorie dans l'API : |
Description du résultat : un pare-feu est configuré de manière à disposer d'un port POP3 ouvert qui autorise l'accès générique. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Il vérifie la propriété
|
Open PostgreSQL port
Nom de la catégorie dans l'API : |
Description du résultat : un pare-feu est configuré pour disposer d'un port PostgreSQL ouvert qui autorise l'accès générique. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie la propriété
|
Open RDP port
Nom de la catégorie dans l'API : |
Description du résultat : un pare-feu est configuré pour disposer d'un port RDP ouvert autorisant l'accès générique. Niveau de tarification : Premium ou Standard
Éléments compatibles Normes de conformité:
|
Vérifie la propriété
|
Open Redis port
Nom de la catégorie dans l'API : |
Description du résultat : un pare-feu est configuré pour disposer d'un port REDIS ouvert autorisant l'accès générique. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si la propriété
|
Open SMTP port
Nom de la catégorie dans l'API : |
Description du résultat : un pare-feu est configuré pour disposer d'un port SMTP ouvert autorisant l'accès générique. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si la propriété
|
Open SSH port
Nom de la catégorie dans l'API : |
Description du résultat : un pare-feu est configuré pour disposer d'un port SSH ouvert permettant un accès générique. Niveau de tarification : Premium ou Standard
Éléments compatibles Normes de conformité:
|
Vérifie si la propriété
|
Open Telnet port
Nom de la catégorie dans l'API : |
Description du résultat : un pare-feu est configuré de manière à disposer d'un port TELNET ouvert qui autorise l'accès générique. Niveau de tarification : Premium ou Standard
Éléments compatibles Normes de conformité:
|
Vérifie si la propriété
|
Résultats de failles IAM
Les failles de ce type de détecteur sont toutes liées à la configuration de la gestion de l'authentification et des accès (IAM) et appartiennent au type de détecteur IAM_SCANNER
.
Détecteur | Résumé | Paramètres d'analyse des éléments |
---|---|---|
Access Transparency disabled
Nom de la catégorie dans l'API : |
Description du résultat:la fonctionnalité Access Transparency de Google Cloud est désactivée pour votre organisation. Access Transparency enregistre les accès des employés Google Cloud aux projets de votre organisation pour vous aider. Activez Access Transparency pour enregistrer qui, dans Google Cloud, accède à vos informations, quand et pourquoi. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si Access Transparency est activé dans votre organisation.
|
Admin service account
Nom de la catégorie dans l'API : |
Description du résultat : un compte de service dispose des droits d'administrateur, de propriétaire ou d'éditeur. Ces rôles ne doivent pas être attribués à des comptes de service créés par l'utilisateur. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie la stratégie d'autorisation IAM dans les métadonnées de ressource de tous les comptes de service créés par l'utilisateur (indiqués par le préfixe iam.gserviceaccount.com) qui se voient attribuer
|
Essential Contacts Not Configured
Nom de la catégorie dans l'API : |
Description de la constatation:Votre organisation n'a pas désigné de personne ni de groupe pour recevoir des notifications de Google Cloud sur les événements importants tels que les attaques, les failles et les incidents de données dans votre organisation Google Cloud. Nous vous recommandons de désigner une ou plusieurs personnes ou groupes de votre organisation comme contact essentiel. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie qu'un contact est spécifié pour les catégories de contacts essentiels suivantes:
|
KMS role separation
Nom de la catégorie dans l'API : |
Description du résultat : la séparation des tâches n'est pas appliquée et il existe un utilisateur disposant simultanément de l'un des rôles Cloud Key Management Service (Cloud KMS) : Chiffreur/Déchiffreur de clés cryptographiques, Chiffreur ou Déchiffreur. Cette information n'est pas disponible pour les activations au niveau du projet. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie les stratégies d'autorisation IAM dans les métadonnées de ressource et récupère en même temps les comptes principaux auxquels l'un des rôles suivants est attribué : roles/cloudkms.cryptoKeyEncrypterDecrypter , roles/cloudkms.cryptoKeyEncrypter , roles/cloudkms.cryptoKeyDecrypter , roles/cloudkms.signer , roles/cloudkms.signerVerifier , roles/cloudkms.publicKeyViewer .
|
Non org IAM member
Nom de la catégorie dans l'API : |
Description du résultat : un utilisateur n'utilise pas d'identifiants d'organisation. Conformément aux règles CIS GCP Foundations 1.0, seules les identités disposant d'adresses e-mail @gmail.com déclenchent actuellement ce détecteur. Niveau de tarification : Premium ou Standard
Éléments compatibles Normes de conformité:
|
Compare les adresses e-mail @gmail.com dans le champ
|
Open group IAM member
Nom de la catégorie dans l'API : |
Description du résultat : Un compte Google Groupes pouvant être associé sans approbation est utilisé comme compte principal de stratégie d'autorisation IAM. Niveau de tarification : Premium ou Standard
Éléments compatibles Normes de conformité: Cette catégorie de résultats n'est associée à aucune commande de conformité standard. |
Vérifie la stratégie IAM dans les métadonnées de ressource pour toutes les liaisons contenant un membre (entité principale) préfixé par group . Si le groupe est un groupe ouvert, Security Health Analytics génère ce résultat.
|
Over privileged service account user
Nom de la catégorie dans l'API : |
Description du résultat : un utilisateur possède le rôle Utilisateur du compte de service ou Créateur de jetons du compte de service au niveau du projet, plutôt que pour un compte de service spécifique. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie la stratégie d'autorisation IAM dans les métadonnées de ressource pour tous les comptes principaux auxquels roles/iam.serviceAccountUser ou roles/iam.serviceAccountTokenCreator est attribué au niveau du projet.
|
Primitive roles used
Nom de la catégorie dans l'API : |
Description du résultat:un utilisateur possède l'un des rôles de base suivants:
Ces rôles sont trop permissifs et ne doivent pas être utilisés. Niveau de tarification:Premium
Éléments compatibles Normes de conformité:
|
Vérifie la stratégie d'autorisation IAM dans les métadonnées de ressource pour tous les comptes principaux auxquels un rôle
|
Redis role used on org
Nom de la catégorie dans l'API : |
Description du résultat : un rôle IAM Redis est attribué au niveau de l'organisation ou du dossier. Cette information n'est pas disponible pour les activations au niveau du projet. Niveau de tarification : Premium
Éléments compatibles
Normes de conformité:
|
Vérifie la stratégie d'autorisation IAM dans les métadonnées de ressource pour les comptes principaux auxquels
|
Service account role separation
Nom de la catégorie dans l'API : |
Description du résultat : les rôles Administrateur de compte de service et Utilisateur du compte de service ont été attribués à un utilisateur. Cela enfreint le principe de "séparation des tâches". Cette information n'est pas disponible pour les activations au niveau du projet. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Il vérifie la stratégie d'autorisation IAM dans les métadonnées de ressource pour tous les comptes principaux auxquels roles/iam.serviceAccountUser et roles/iam.serviceAccountAdmin sont affectés simultanément.
|
Service account key not rotated
Nom de la catégorie dans l'API : |
Description du résultat : une clé de compte de service n'a pas été alternée depuis plus de 90 jours. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Évalue l'horodatage de la création de clé capturé dans la propriété
|
User managed service account key
Nom de la catégorie dans l'API : |
Description du résultat : un utilisateur gère une clé de compte de service. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si la propriété
|
Résultats de failles KMS
Les failles de ce type de détecteur sont toutes liées aux configurations Cloud KMS et appartiennent au type de détecteur KMS_SCANNER
.
Détecteur | Résumé | Paramètres d'analyse des éléments |
---|---|---|
KMS key not rotated
Nom de la catégorie dans l'API : |
Description du résultat : la rotation n'est pas configurée sur une clé de chiffrement Cloud KMS. Alternez les clés de chiffrement tous les 90 jours. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie l'existence de propriétés
|
KMS project has owner
Nom de la catégorie dans l'API : |
Description du résultat : un utilisateur dispose des autorisations Propriétaire sur un projet disposant de clés cryptographiques. Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie la stratégie d'autorisation IAM des métadonnées du projet pour les comptes principaux auxquels
|
KMS public key
Nom de la catégorie dans l'API : |
Description du résultat : une clé cryptographique Cloud KMS est accessible au public. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie la stratégie d'autorisation IAM des métadonnées de ressource pour les comptes principaux
|
Too many KMS users
Nom de la catégorie dans l'API : |
Description du résultat : il existe plus de trois utilisateurs de clés cryptographiques. Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie les stratégies d'autorisation IAM pour détecter les trousseaux de clés, les projets et les organisations, puis récupère les comptes principaux dotés de rôles leur permettant de chiffrer, déchiffrer ou signer des données à l'aide de clés Cloud KMS : roles/owner , roles/cloudkms.cryptoKeyEncrypterDecrypter , roles/cloudkms.cryptoKeyEncrypter , roles/cloudkms.cryptoKeyDecrypter , roles/cloudkms.signer et roles/cloudkms.signerVerifier .
|
Résultats de failles de journalisation
Les failles de ce type de détecteur sont toutes liées aux configurations de journalisation et appartiennent au type de détecteur LOGGING_SCANNER
.
Détecteur | Résumé | Paramètres d'analyse des éléments |
---|---|---|
Audit logging disabled
Nom de la catégorie dans l'API : |
Description du résultat : la journalisation d'audit a été désactivée pour cette ressource. Cette information n'est pas disponible pour les activations au niveau du projet. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie l'existence d'un objet
|
Bucket logging disabled
Nom de la catégorie dans l'API : |
Description du résultat : il existe un bucket de stockage sans la journalisation activée. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si le champ
|
Locked retention policy not set
Nom de la catégorie dans l'API : |
Description du résultat : une règle de conservation verrouillée n'est pas configurée pour les journaux. Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si le champ
|
Log not exported
Nom de la catégorie dans l'API : |
Description du résultat : une ressource n'a pas de récepteur de journaux approprié configuré. Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles
Normes de conformité:
|
Récupère un objet
|
Object versioning disabled
Nom de la catégorie dans l'API : |
Description du résultat : la gestion des versions d'objets n'est pas activée sur un bucket de stockage dans lequel les récepteurs sont configurés. Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si le champ
|
Résultats de failles de surveillance
Les failles de ce type de détecteur sont toutes liées aux configurations de surveillance et appartiennent au type MONITORING_SCANNER
. Toutes les propriétés des données de détection Monitoring incluent :
- La valeur
RecommendedLogFilter
à utiliser pour créer les statistiques de journal. - La valeur
QualifiedLogMetricNames
qui couvre les conditions répertoriées dans le filtre de journal recommandé. - La valeur
AlertPolicyFailureReasons
, qui indique si le projet ne possède pas de règles d'alerte créées pour l'une des métriques de journal qualifiées, ou si les règles d'alerte existantes ne possèdent pas les paramètres recommandés.
Détecteur | Résumé | Paramètres d'analyse des éléments |
---|---|---|
Audit config not monitored
Nom de la catégorie dans l'API : |
Description du résultat : les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées à la configuration d'audit. Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si la propriété filter de la ressource LogsMetric du projet est définie sur protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.auditConfigDeltas:* et, si resource.type est spécifié, que cette valeur est global .
Le détecteur recherche également une ressource alertPolicy correspondante, en vérifiant que les propriétés conditions et notificationChannels sont correctement configurées.
|
Bucket IAM not monitored
Nom de la catégorie dans l'API : |
Description du résultat : les métriques de journal et les alertes ne sont pas configurées pour surveiller les modifications des autorisations IAM Cloud Storage. Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si la propriété filter de la ressource LogsMetric du projet est définie sur resource.type=gcs_bucket AND
protoPayload.methodName="storage.setIamPermissions" .
Le détecteur recherche également une ressource alertPolicy correspondante, en vérifiant que les propriétés conditions et notificationChannels sont correctement configurées.
|
Custom role not monitored
Nom de la catégorie dans l'API : |
Description du résultat : les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées au rôle personnalisé. Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si la propriété filter de la ressource LogsMetric du projet est définie sur resource.type="iam_role" AND
(protoPayload.methodName="google.iam.admin.v1.CreateRole"
OR
protoPayload.methodName="google.iam.admin.v1.DeleteRole"
OR
protoPayload.methodName="google.iam.admin.v1.UpdateRole") .
Le détecteur recherche également une ressource alertPolicy correspondante, en vérifiant que les propriétés conditions et notificationChannels sont correctement configurées.
|
Firewall not monitored
Nom de la catégorie dans l'API : |
Description du résultat : les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées à règle de pare-feu du réseau VPC. Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si la propriété filter de la ressource LogsMetric du projet est définie sur
resource.type="gce_firewall_rule"
AND (protoPayload.methodName:"compute.firewalls.insert"
OR protoPayload.methodName:"compute.firewalls.patch"
OR protoPayload.methodName:"compute.firewalls.delete") .
Le détecteur recherche également une ressource alertPolicy correspondante, en vérifiant que les propriétés conditions et notificationChannels sont correctement configurées.
|
Network not monitored
Nom de la catégorie dans l'API : |
Description du résultat : les métriques de journal et les alertes ne sont pas configurées pour surveiller les modifications du réseau VPC. Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si la propriété filter de la ressource LogsMetric du projet est définie sur
resource.type="gce_network"
AND (protoPayload.methodName:"compute.networks.insert"
OR protoPayload.methodName:"compute.networks.patch"
OR protoPayload.methodName:"compute.networks.delete"
OR protoPayload.methodName:"compute.networks.removePeering"
OR protoPayload.methodName:"compute.networks.addPeering") .
Le détecteur recherche également une ressource alertPolicy correspondante, en vérifiant que les propriétés conditions et notificationChannels sont correctement configurées.
|
Owner not monitored
Nom de la catégorie dans l'API : |
Description du résultat : les métriques et les alertes de journal ne sont pas configurées pour surveiller les attributions ni les modifications de propriété du projet. Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si la propriété filter de la ressource LogsMetric du projet est définie sur (protoPayload.serviceName="cloudresourcemanager.googleapis.com")
AND (ProjectOwnership OR projectOwnerInvitee) OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")
OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") et, si resource.type est spécifié, que cette valeur est global .
Le détecteur recherche également une ressource alertPolicy correspondante, en vérifiant que les propriétés conditions et notificationChannels sont correctement configurées.
|
Route not monitored
Nom de la catégorie dans l'API : |
Description du résultat : les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées à la route de réseau VPC. Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si la propriété filter de la ressource LogsMetric du projet est définie sur
resource.type="gce_route"
AND (protoPayload.methodName:"compute.routes.delete"
OR protoPayload.methodName:"compute.routes.insert") .
Le détecteur recherche également une ressource alertPolicy correspondante, en vérifiant que les propriétés conditions et notificationChannels sont correctement configurées.
|
SQL instance not monitored
|
Description du résultat : les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées à la configuration des instances Cloud SQL. Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si la propriété filter de la ressource LogsMetric du projet est définie sur
protoPayload.methodName="cloudsql.instances.update"
OR protoPayload.methodName="cloudsql.instances.create"
OR protoPayload.methodName="cloudsql.instances.delete" et, si resource.type est spécifié, que cette valeur est global .
Le détecteur recherche également une ressource alertPolicy correspondante, en vérifiant que les propriétés conditions et notificationChannels sont correctement configurées.
|
Résultats de l'authentification multifacteur
Le détecteur MFA_SCANNER
identifie les failles liées à l'authentification multifacteur pour les utilisateurs.
Détecteur | Résumé | Paramètres d'analyse des éléments |
---|---|---|
MFA not enforced
Nom de la catégorie dans l'API : |
Certains utilisateurs n'utilisent pas la validation en deux étapes. Google Workspace vous permet de définir un délai d'inscription pour les nouveaux utilisateurs au cours duquel ils doivent s'inscrire à la validation en deux étapes. Ce détecteur crée des résultats pour les utilisateurs pendant le délai de grâce d'inscription. Cette information n'est pas disponible pour les activations au niveau du projet. Niveau de tarification : Premium ou Standard
Éléments compatibles Normes de conformité:
|
Évalue les règles de gestion des identités dans les organisations et les paramètres utilisateur des comptes gérés dans Cloud Identity.
|
Résultats de failles de réseau
Les failles de ce type de détecteur sont toutes liées aux configurations de réseau d'une organisation et appartiennent au typeNETWORK_SCANNER
.
Détecteur | Résumé | Paramètres d'analyse des éléments |
---|---|---|
Default network
Nom de la catégorie dans l'API : |
Description du résultat : le réseau par défaut existe dans un projet. Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si la propriété
|
DNS logging disabled
Nom de la catégorie dans l'API : |
Description du résultat : la journalisation DNS sur un réseau VPC n'est pas activée. Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie toutes les règles (
|
Legacy network
Nom de la catégorie dans l'API : |
Description du résultat : un ancien réseau existe dans un projet. Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie l'existence de la propriété
|
Load balancer logging disabled
Nom de la catégorie dans l'API : |
Description du résultat:la journalisation est désactivée pour l'équilibreur de charge. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si la propriété
|
Résultats de failles liées aux règles d'administration
Les failles de ce type de détecteur sont toutes liées aux configurations des contraintes des règles d'administration et appartiennent au type ORG_POLICY
.
Détecteur | Résumé | Paramètres d'analyse des éléments |
---|---|---|
Org policy Confidential VM policy
Nom de la catégorie dans l'API : |
Description du résultat : une ressource Compute Engine n'est pas conforme à la règle d'administration constraints/compute.restrictNonConfidentialComputing . Pour plus d'informations sur cette contrainte de règle d'administration, consultez la section Appliquer des contraintes de règle d'administration sur les VM Confidential VM.
Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles Normes de conformité: Cette catégorie de résultats n'est associée à aucune commande de conformité. |
Vérifie si la propriété
|
Org policy location restriction
Nom de la catégorie dans l'API : |
Description du résultat : une ressource Compute Engine ne respecte pas la contrainte constraints/gcp.resourceLocations . Pour plus d'informations sur cette contrainte de règle d'administration, consultez la section Appliquer des contraintes de règle d'administration.
Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles Normes de conformité: Cette catégorie de résultats n'est associée à aucune commande de conformité. |
Vérifie la propriété
|
Éléments compatibles avec ORG_POLICY_LOCATION_RESTRICTION
Compute Engine
GKE
Cloud Storage
Cloud KMS
Dataproc
BigQuery
Dataflow
Cloud SQL
Cloud Composer
Journalisation
Pub/Sub
Vertex AI
Artifact Registry 1 Étant donné que les éléments Cloud KMS ne peuvent pas être supprimés, ils ne sont pas considérés comme hors région si leurs données ont été détruites. 2 Étant donné que les tâches d'importation Cloud KMS ont un cycle de vie contrôlé et ne peuvent pas être arrêtées en amont, une tâche d'importation n'est pas considérée comme hors région si elle est arrivée à expiration et ne peut plus être utilisée pour importer des clés. 3 Étant donné que le cycle de vie des tâches Dataflow ne peut pas être géré, une tâche n'est pas considérée comme hors région une fois qu'elle a atteint un état final (arrêt ou drainage) dans lequel elle ne sera plus utilisées pour traiter des données. |
Résultats de failles Pub/Sub
Les failles de ce type de détecteur sont toutes liées aux configurations Pub/Sub et appartiennent au type PUBSUB_SCANNER
.
Détecteur | Résumé | Paramètres d'analyse des éléments |
---|---|---|
Pubsub CMEK disabled
Nom de la catégorie dans l'API : |
Description du résultat : Un sujet Pub/Sub n'est pas chiffré avec des clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs. Niveau de tarification : Premium
Éléments compatibles Normes de conformité: Cette catégorie de résultats n'est associée à aucune commande de conformité. |
Dans le champ
|
Résultats de failles SQL
Les failles de ce type de détecteur sont toutes liées aux configurations Cloud SQL et appartiennent au type SQL_SCANNER
.
Détecteur | Résumé | Paramètres d'analyse des éléments |
---|---|---|
AlloyDB auto backup disabled
Nom de la catégorie dans l'API : |
Description du résultat:les sauvegardes automatiques ne sont pas activées pour un cluster AlloyDB pour PostgreSQL. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si la propriété
|
AlloyDB backups disabled
Nom de la catégorie dans l'API : |
Description du résultat:les sauvegardes ne sont pas activées pour un cluster AlloyDB pour PostgreSQL. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si les propriétés
|
AlloyDB CMEK disabled
Nom de la catégorie dans l'API : |
Description du résultat:un cluster AlloyDB n'est pas chiffré avec des clés de chiffrement gérées par le client (CMEK). Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie le champ
|
AlloyDB log min error statement severity
Nom de la catégorie dans l'API : |
Description du résultat:l'option de base de données Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Pour garantir une couverture adéquate des types de messages dans les journaux, émet une observation si le champ
|
AlloyDB log min messages
Nom de la catégorie dans l'API : |
Description du résultat:l'option de base de données Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Pour garantir une couverture adéquate des types de messages dans les journaux, émet un résultat si le champ
|
AlloyDB log error verbosity
Nom de la catégorie dans l'API : |
Description du résultat:l'option de base de données Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Pour garantir une couverture adéquate des types de messages dans les journaux, génère un résultat si le champ
|
AlloyDB public IP
Nom de la catégorie dans l'API : |
Description du résultat:une instance de base de données AlloyDB pour PostgreSQL possède une adresse IP publique. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si le champ
|
AlloyDB SSL not enforced
Nom de la catégorie dans l'API : |
Description du résultat:une instance de base de données AlloyDB pour PostgreSQL ne nécessite pas que toutes les connexions entrantes utilisent SSL. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si la propriété
|
Auto backup disabled
Nom de la catégorie dans l'API : |
Description du résultat : les sauvegardes automatiques ne sont pas activées pour une base de données Cloud SQL. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si la propriété
|
Public SQL instance
Nom de la catégorie dans l'API : |
Description du résultat : une instance de base de données Cloud SQL accepte les connexions de toutes les adresses IP. Niveau de tarification : Premium ou Standard
Éléments compatibles Normes de conformité:
|
Vérifie si la propriété
|
SSL not enforced
Nom de la catégorie dans l'API : |
Description du résultat : une instance de base de données Cloud SQL ne nécessite pas que toutes les connexions entrantes utilisent SSL. Niveau de tarification : Premium ou Standard
Éléments compatibles Normes de conformité:
|
Vérifie si la propriété
|
SQL CMEK disabled
Nom de la catégorie dans l'API : |
Description du résultat : une instance de base de données SQL n'est pas chiffrée avec des clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs. Niveau de tarification : Premium
Éléments compatibles Normes de conformité: Cette catégorie de résultats n'est associée à aucune commande de conformité. |
Vérifie le champ
|
SQL contained database authentication
Nom de la catégorie dans l'API : |
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie la propriété
|
SQL cross DB ownership chaining
Nom de la catégorie dans l'API : |
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie la propriété
|
SQL external scripts enabled
Nom de la catégorie dans l'API : |
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie la propriété
|
SQL local infile
Nom de la catégorie dans l'API : |
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie la propriété
|
SQL log checkpoints disabled
Nom de la catégorie dans l'API : |
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie la propriété
|
SQL log connections disabled
Nom de la catégorie dans l'API : |
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie la propriété
|
SQL log disconnections disabled
Nom de la catégorie dans l'API : |
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie la propriété
|
SQL log duration disabled
Nom de la catégorie dans l'API : |
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie la propriété
|
SQL log error verbosity
Nom de la catégorie dans l'API : |
Description du résultat:l'option de base de données Niveau de tarification : Premium
Composants compatibles Normes de conformité:
|
Vérifie si la propriété
|
SQL log lock waits disabled
Nom de la catégorie dans l'API : |
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie la propriété
|
SQL log min duration statement enabled
Nom de la catégorie dans l'API : |
Description du résultat : l'option Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie la propriété
|
SQL log min error statement
Nom de la catégorie dans l'API : |
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si le champ
|
SQL log min error statement severity
Nom de la catégorie dans l'API : |
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si le champ
|
SQL log min messages
Nom de la catégorie dans l'API : |
Description du résultat:l'option de base de données Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Pour garantir une couverture adéquate des types de messages dans les journaux, émet un résultat si le champ
|
SQL log executor stats enabled
Nom de la catégorie dans l'API : |
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si la propriété
|
SQL log hostname enabled
Nom de la catégorie dans l'API : |
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si la propriété
|
SQL log parser stats enabled
Nom de la catégorie dans l'API : |
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si la propriété
|
SQL log planner stats enabled
Nom de la catégorie dans l'API : |
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si la propriété
|
SQL log statement
Nom de la catégorie dans l'API : |
Description du résultat : l'option de base de données Niveau de tarification : Premium
Composants compatibles Normes de conformité:
|
Vérifie si la propriété
|
SQL log statement stats enabled
Nom de la catégorie dans l'API : |
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si la propriété
|
SQL log temp files
Nom de la catégorie dans l'API : |
Description du résultat : l'option Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie la propriété
|
SQL no root password
Nom de la catégorie dans l'API : |
Description du résultat:une base de données Cloud SQL qui possède une adresse IP publique n'a pas de mot de passe configuré pour le compte racine. Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si la propriété
|
SQL public IP
Nom de la catégorie dans l'API : |
Description du résultat : une base de données Cloud SQL possède une adresse IP publique. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si le type d'adresse IP d'une base de données Cloud SQL est défini sur
|
SQL remote access enabled
Nom de la catégorie dans l'API : |
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie la propriété
|
SQL skip show database disabled
Nom de la catégorie dans l'API : |
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie la propriété
|
SQL trace flag 3625
Nom de la catégorie dans l'API : |
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie la propriété
|
SQL user connections configured
Nom de la catégorie dans l'API : |
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie la propriété
|
SQL user options configured
Nom de la catégorie dans l'API : |
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie la propriété
|
SQL weak root password
Nom de la catégorie dans l'API : |
Description du résultat:une base de données Cloud SQL qui possède une adresse IP publique possède également un mot de passe faible configuré pour le compte racine. Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs. Niveau de tarification : Premium
Éléments compatibles Normes de conformité: Cette catégorie de résultats n'est associée à aucune commande de conformité. |
Compare le mot de passe du compte racine de votre base de données Cloud SQL à une liste de mots de passe courants.
|
Résultats de failles de stockage
Les failles de ce type de détecteur sont toutes liées aux configurations de buckets Cloud Storage et appartiennent au typeSTORAGE_SCANNER
.
Détecteur | Résumé | Paramètres d'analyse des éléments |
---|---|---|
Bucket CMEK disabled
Nom de la catégorie dans l'API : |
Description du résultat : un bucket n'est pas chiffré avec des clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver les détecteurs. Niveau de tarification : Premium
Éléments compatibles Normes de conformité: Cette catégorie de résultats n'est associée à aucune commande de conformité. |
Vérifie le champ
|
Bucket policy only disabled
Nom de la catégorie dans l'API : |
Description du résultat : l'accès uniforme au niveau du bucket, précédemment appelé "Stratégie du bucket seulement", n'est pas configuré. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si la propriété
|
Public bucket ACL
Nom de la catégorie dans l'API : |
Description du résultat : un bucket Cloud Storage est accessible au public. Niveau de tarification : Premium ou Standard
Éléments compatibles Normes de conformité:
|
Vérifie la stratégie d'autorisation IAM d'un bucket pour détecter les rôles publics (
|
Public log bucket
Nom de la catégorie dans l'API : |
Description du résultat : un bucket de stockage utilisé comme récepteur de journaux est accessible au public. Cette information n'est pas disponible pour les activations au niveau du projet. Niveau de tarification : Premium ou Standard
Éléments compatibles Normes de conformité:
|
Vérifie la stratégie d'autorisation IAM d'un bucket pour les comptes principaux
|
Résultats de failles de sous-réseau
Les failles de ce type de détecteur sont toutes liées aux configurations de sous-réseau d'une organisation et appartiennent au typeSUBNETWORK_SCANNER
.
Détecteur | Résumé | Paramètres d'analyse des éléments |
---|---|---|
Flow logs disabled
Nom de la catégorie dans l'API : |
Description du résultat : il existe un sous-réseau VPC dans lequel les journaux de flux sont désactivés. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si la propriété
|
Flow logs settings not recommended
Nom de la catégorie dans l'API : |
Description du résultat:pour un sous-réseau VPC, les journaux de flux VPC sont désactivés ou ne sont pas configurés conformément aux recommandations du benchmark CIS 1.3. Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si la propriété
|
Private Google access disabled
Nom de la catégorie dans l'API : |
Description du résultat : il existe des sous-réseaux privés sans accès aux API publiques Google. Niveau de tarification : Premium
Éléments compatibles Normes de conformité:
|
Vérifie si la propriété
|
Résultats AWS
Détecteur | Résumé | Paramètres d'analyse des éléments |
---|---|---|
Nom de la catégorie dans l'API : |
Description du résultat: AWS CloudShell est un moyen pratique d'exécuter des commandes CLI sur les services AWS. Une stratégie IAM gérée ('AWSCloudShellFullAccess') offre un accès complet à CloudShell, ce qui permet d'importer et de télécharger des fichiers entre le système local d'un utilisateur et l'environnement CloudShell. Dans l'environnement CloudShell, un utilisateur dispose d'autorisations sudo et peut accéder à Internet. Il est donc possible d'installer un logiciel de transfert de fichiers (par exemple) et de déplacer des données de CloudShell vers des serveurs Internet externes. Niveau de tarification: Entreprise Normes de conformité:
|
Assurez-vous que l'accès à AWSCloudShellFullAccess est restreint
|
Nom de la catégorie dans l'API : |
Description du résultat: Les clés d'accès se composent d'un ID de clé d'accès et d'une clé d'accès secrète, qui permettent de signer les requêtes programmatiques que vous envoyez à AWS. Les utilisateurs AWS ont besoin de leurs propres clés d'accès pour effectuer des appels programmatiques à AWS à partir de l'interface de ligne de commande AWS (CLI AWS), des outils pour Windows PowerShell, des SDK AWS ou d'appels HTTP directs à l'aide des API de services AWS individuels. Il est recommandé d'alterner régulièrement toutes les clés d'accès. Niveau de tarification: Entreprise Normes de conformité:
|
Assurez-vous que les clés d'accès sont alternées tous les 90 jours au maximum
|
Nom de la catégorie dans l'API : |
Description du résultat: Pour activer les connexions HTTPS à votre site Web ou à votre application dans AWS, vous avez besoin d'un certificat de serveur SSL/TLS. Vous pouvez utiliser ACM ou IAM pour stocker et déployer des certificats de serveur. Niveau de tarification: Entreprise Normes de conformité:
|
Assurez-vous de la suppression de tous les certificats SSL/TLS expirés dans AWS IAM
|
Nom de la catégorie dans l'API : |
Description du résultat: Cette commande vérifie si vos groupes Auto Scaling associés à un équilibreur de charge utilisent des vérifications de l'état d'Elastic Load Balancing. Cela permet au groupe de déterminer l'état d'une instance en fonction des tests supplémentaires fournis par l'équilibreur de charge. L'utilisation des vérifications de l'état d'Elastic Load Balancing peut contribuer à assurer la disponibilité des applications qui utilisent des groupes EC2 Auto Scaling. Niveau de tarification: Entreprise Normes de conformité:
|
Vérifie que tous les groupes d'autoscaling associés à un équilibreur de charge utilisent des vérifications de l'état
|
Nom de la catégorie dans l'API : |
Description du résultat: Assurez-vous que l'indicateur de mise à niveau automatique des versions mineures est activé pour les instances de base de données RDS afin qu'elles reçoivent automatiquement les mises à niveau mineures du moteur pendant la période de maintenance spécifiée. Les instances RDS peuvent ainsi bénéficier des nouvelles fonctionnalités, des corrections de bugs et des correctifs de sécurité pour leurs moteurs de base de données. Niveau de tarification: Entreprise Normes de conformité:
|
Assurez-vous que la fonctionnalité de mise à niveau automatique des versions mineures est activée pour les instances RDS
|
Nom de la catégorie dans l'API : |
Description du résultat: AWS Config est un service Web qui effectue la gestion de la configuration des ressources AWS compatibles dans votre compte et vous envoie des fichiers journaux. Les informations enregistrées incluent l'élément de configuration (ressource AWS), les relations entre les éléments de configuration (ressources AWS) et les modifications de configuration entre les ressources. Nous vous recommandons d'activer AWS Config dans toutes les régions. Niveau de tarification: Entreprise Normes de conformité:
|
Assurez-vous que la configuration AWS est activée dans toutes les régions
|
Nom de la catégorie dans l'API : |
Description du résultat: Security Hub collecte les données de sécurité de tous les comptes, services et produits tiers partenaires compatibles AWS. Il vous aide à analyser vos tendances de sécurité et à identifier les problèmes de sécurité les plus prioritaires. Lorsque vous activez Security Hub, il commence à consommer, agréger, organiser et hiérarchiser les résultats des services AWS que vous avez activés, tels qu'Amazon GuardDuty, Amazon Inspector et Amazon Macie. Vous pouvez également activer les intégrations avec les produits de sécurité des partenaires AWS. Niveau de tarification: Entreprise Normes de conformité:
|
Assurez-vous qu'AWS Security Hub est activé
|
Nom de la catégorie dans l'API : |
Description du résultat: AWS CloudTrail est un service Web qui enregistre les appels d'API AWS pour un compte et met ces journaux à la disposition des utilisateurs et des ressources conformément aux règles IAM. AWS Key Management Service (KMS) est un service géré qui permet de créer et de contrôler les clés de chiffrement utilisées pour chiffrer les données de compte. Il utilise des modules de sécurité matériels (HSM) pour protéger la sécurité des clés de chiffrement. Les journaux CloudTrail peuvent être configurés pour exploiter le chiffrement côté serveur (SSE) et les clés principales (CMK) créées par le client KMS afin de mieux protéger les journaux CloudTrail. Nous vous recommandons de configurer CloudTrail pour utiliser SSE-KMS. Niveau de tarification: Entreprise Normes de conformité:
|
Assurez-vous que les journaux CloudTrail sont chiffrés au repos à l'aide de CMK KMS
|
Nom de la catégorie dans l'API : |
Description du résultat: La validation des fichiers journaux CloudTrail crée un fichier récapitulatif signé numériquement contenant un hachage de chaque journal que CloudTrail écrit dans S3. Ces fichiers récapitulatifs permettent de déterminer si un fichier journal a été modifié, supprimé ou inchangé après l'envoi du journal par CloudTrail. Nous vous recommandons d'activer la validation des fichiers sur tous les CloudTrails. Niveau de tarification: Entreprise Normes de conformité:
|
Assurez-vous que la validation du fichier journal CloudTrail est activée
|
Nom de la catégorie dans l'API : |
Description du résultat: AWS CloudTrail est un service Web qui enregistre les appels d'API AWS effectués dans un compte AWS donné. Les informations enregistrées incluent l'identité de l'appelant de l'API, l'heure de l'appel d'API, l'adresse IP source de l'appelant de l'API, les paramètres de requête et les éléments de réponse renvoyés par le service AWS. CloudTrail utilise Amazon S3 pour le stockage et la diffusion des fichiers journaux. Les fichiers journaux sont donc stockés de manière durable. En plus de capturer les journaux CloudTrail dans un bucket S3 spécifié pour une analyse à long terme, vous pouvez effectuer une analyse en temps réel en configurant CloudTrail pour qu'il envoie des journaux à CloudWatch Logs. Pour une piste activée dans toutes les régions d'un compte, CloudTrail envoie les fichiers journaux de toutes ces régions à un groupe de journaux CloudWatch Logs. Il est recommandé d'envoyer les journaux CloudTrail à CloudWatch Logs. Remarque: L'objectif de cette recommandation est de s'assurer que l'activité du compte AWS est enregistrée, surveillée et signalée de manière appropriée. CloudWatch Logs est une méthode native pour y parvenir à l'aide des services AWS, mais n'exclut pas l'utilisation d'une autre solution. Niveau de tarification: Entreprise Normes de conformité:
|
Assurez-vous que les pistes CloudTrail sont intégrées aux journaux CloudWatch
|
Nom de la catégorie dans l'API : |
Description du résultat: Cette vérification vérifie si Amazon CloudWatch a défini des actions lorsqu'une alarme passe d'un état à un autre (OK, ALARM ou INSUFFICIENT_DATA). Il est très important de configurer des actions pour l'état ALARM dans les alarmes Amazon CloudWatch afin de déclencher une réponse immédiate lorsque les métriques surveillées dépassent les seuils. Les alarmes comportent au moins une action. Niveau de tarification: Entreprise Normes de conformité:
|
Vérifie si les alarmes CloudWatch ont au moins une action d'alarme, une action INSUFFICIENT_DATA ou une action OK activée.
|
Nom de la catégorie dans l'API : |
Description du résultat: Cette vérification garantit que les journaux CloudWatch sont configurés avec KMS. Les données des groupes de journaux sont toujours chiffrées dans CloudWatch Logs. Par défaut, CloudWatch Logs chiffre les données de journal au repos côté serveur. Vous pouvez également utiliser AWS Key Management Service pour ce chiffrement. Dans ce cas, le chiffrement est effectué à l'aide d'une clé AWS KMS. Le chiffrement à l'aide d'AWS KMS est activé au niveau du groupe de journaux en associant une clé KMS à un groupe de journaux, soit lorsque vous le créez, soit après sa création. Niveau de tarification: Entreprise Normes de conformité:
|
Vérifiez que tous les groupes de journaux dans Amazon CloudWatch sont chiffrés avec KMS
|
Nom de la catégorie dans l'API : |
Description du résultat: Cette commande vérifie si les pistes CloudTrail sont configurées pour envoyer des journaux à CloudWatch Logs. La vérification échoue si la propriété CloudWatchLogsLogGroupArn de la piste est vide. CloudTrail enregistre les appels d'API AWS effectués dans un compte donné. Les informations enregistrées incluent les éléments suivants:
CloudTrail utilise Amazon S3 pour le stockage et la diffusion des fichiers journaux. Vous pouvez capturer les journaux CloudTrail dans un bucket S3 spécifié pour une analyse à long terme. Pour effectuer une analyse en temps réel, vous pouvez configurer CloudTrail pour qu'il envoie des journaux à CloudWatch Logs. Pour une piste activée dans toutes les régions d'un compte, CloudTrail envoie les fichiers journaux de toutes ces régions à un groupe de journaux CloudWatch Logs. Security Hub vous recommande d'envoyer les journaux CloudTrail à CloudWatch Logs. Notez que cette recommandation vise à s'assurer que l'activité du compte est enregistrée, surveillée et signalée de manière appropriée. Vous pouvez utiliser CloudWatch Logs pour configurer cela avec vos services AWS. Cette recommandation n'exclut pas l'utilisation d'une autre solution. L'envoi des journaux CloudTrail à CloudWatch Logs facilite la journalisation en temps réel et l'historique des activités en fonction de l'utilisateur, de l'API, de la ressource et de l'adresse IP. Vous pouvez utiliser cette approche pour définir des alarmes et des notifications en cas d'activité inhabituelle ou sensible sur votre compte. Niveau de tarification: Entreprise Normes de conformité:
|
Assurez-vous que toutes les pistes CloudTrail sont configurées pour envoyer des journaux à AWS CloudWatch
|
Nom de la catégorie dans l'API : |
Description du résultat: Cette opération vérifie si le projet contient les variables d'environnement Les identifiants d'authentification Niveau de tarification: Entreprise Normes de conformité:
|
Vérifie que tous les projets contenant les variables d'environnement AWS_ACCESS_KEY_ID et AWS_SECRET_ACCESS_KEY ne sont pas en texte brut
|
Nom de la catégorie dans l'API : |
Description du résultat: Cette vérification vérifie si l'URL du dépôt source Bitbucket d'un projet AWS CodeBuild contient des jetons d'accès personnels ou un nom d'utilisateur et un mot de passe. Le contrôle échoue si l'URL du dépôt source Bitbucket contient des jetons d'accès personnels ou un nom d'utilisateur et un mot de passe. Les identifiants de connexion ne doivent pas être stockés ni transmis en texte brut, ni apparaître dans l'URL du dépôt source. Au lieu d'utiliser des jetons d'accès personnels ou des identifiants de connexion, vous devez accéder à votre fournisseur de sources dans CodeBuild et modifier l'URL de votre dépôt source pour qu'elle ne contienne que le chemin d'accès à l'emplacement du dépôt Bitbucket. L'utilisation de jetons d'accès personnels ou d'identifiants de connexion peut entraîner une exposition involontaire de données ou un accès non autorisé. Niveau de tarification: Entreprise Normes de conformité: Cette catégorie de résultats n'est associée à aucune commande de conformité. |
Vérifie que tous les projets utilisant GitHub ou Bitbucket comme source ont recours à OAuth
|
Nom de la catégorie dans l'API : |
Description du résultat: Les utilisateurs AWS IAM peuvent accéder aux ressources AWS à l'aide de différents types d'identifiants, tels que des mots de passe ou des clés d'accès. Nous vous recommandons de désactiver ou de supprimer tous les identifiants qui n'ont pas été utilisés depuis au moins 45 jours. Niveau de tarification: Entreprise Normes de conformité:
|
Assurez-vous que les identifiants non utilisés pendant au moins 45 jours sont désactivés
|
Nom de la catégorie dans l'API : |
Description du résultat: Un VPC est fourni avec un groupe de sécurité par défaut dont les paramètres initiaux refusent tout trafic entrant, autorisent tout trafic sortant et autorisent tout trafic entre les instances attribuées au groupe de sécurité. Si vous ne spécifiez pas de groupe de sécurité lorsque vous lancez une instance, celle-ci est automatiquement affectée à ce groupe de sécurité par défaut. Les groupes de sécurité fournissent un filtrage basé sur l'état du trafic réseau entrant/sortant vers les ressources AWS. Il est recommandé que le groupe de sécurité par défaut limite tout le trafic. Le groupe de sécurité par défaut du VPC par défaut de chaque région doit être mis à jour pour être conforme. Tous les VPC nouvellement créés contiennent automatiquement un groupe de sécurité par défaut qui devra être corrigé pour respecter cette recommandation. REMARQUE:Lorsque vous implémentez cette recommandation, la journalisation des flux VPC est indispensable pour déterminer le niveau d'accès au port le moindre privilège requis par les systèmes pour fonctionner correctement, car elle peut consigner toutes les acceptations et les refus de paquets qui se produisent dans les groupes de sécurité actuels. Cela réduit considérablement la principale barrière à l'ingénierie du moindre privilège : la découverte des ports minimaux requis par les systèmes de l'environnement. Même si la recommandation de journalisation des flux VPC de ce benchmark n'est pas adoptée comme mesure de sécurité permanente, elle doit être utilisée pendant toute période de découverte et d'ingénierie pour les groupes de sécurité les moins privilégiés. Niveau de tarification: Entreprise Normes de conformité:
|
Assurez-vous que le groupe de sécurité par défaut de chaque VPC limite tout le trafic
|
Nom de la catégorie dans l'API : |
Description du résultat: Vérifie si les instances de réplication AWS DMS sont publiques. Pour ce faire, il examine la valeur du champ Une instance de réplication privée dispose d'une adresse IP privée à laquelle vous ne pouvez pas accéder en dehors du réseau de réplication. Une instance de réplication doit disposer d'une adresse IP privée lorsque les bases de données source et cible se trouvent sur le même réseau. Le réseau doit également être connecté au VPC de l'instance de réplication à l'aide d'un VPN, d'AWS Direct Connect ou d'un appairage VPC. Pour en savoir plus sur les instances de réplication publiques et privées, consultez la section Instances de réplication publiques et privées du guide de l'utilisateur d'AWS Database Migration Service. Vous devez également vous assurer que l'accès à la configuration de votre instance AWS DMS est limité aux seuls utilisateurs autorisés. Pour ce faire, limitez les autorisations IAM des utilisateurs pour qu'ils ne puissent pas modifier les paramètres et les ressources AWS DMS. Niveau de tarification: Entreprise Normes de conformité:
|
Vérifie si les instances de réplication AWS Database Migration Service sont publiques
|
Nom de la catégorie dans l'API : |
Description du résultat: Par défaut, aucune case n'est cochée dans la console AWS lorsque vous créez un utilisateur IAM. Lorsque vous créez les identifiants utilisateur IAM, vous devez déterminer le type d'accès dont ils ont besoin. Accès programmatique: l'utilisateur IAM peut être amené à effectuer des appels d'API, à utiliser la CLI AWS ou les outils pour Windows PowerShell. Dans ce cas, créez une clé d'accès (ID de clé d'accès et clé d'accès secrète) pour cet utilisateur. Accès à la console de gestion AWS: si l'utilisateur doit accéder à la console de gestion AWS, créez un mot de passe pour lui. Niveau de tarification: Entreprise Normes de conformité:
|
Ne configurez pas les clés d'accès lors de la configuration initiale de l'utilisateur pour tous les utilisateurs IAM disposant d'un mot de passe de console
|
Nom de la catégorie dans l'API : |
Description du résultat: Cette opération vérifie si une table Amazon DynamoDB peut adapter sa capacité de lecture et d'écriture en fonction des besoins. Ce contrôle est accepté si la table utilise le mode de capacité à la demande ou le mode provisionné avec l'autoscaling configuré. Évoluer la capacité en fonction de la demande évite les exceptions de limitation, ce qui permet de maintenir la disponibilité de vos applications. Les tables DynamoDB en mode capacité à la demande ne sont limitées que par les quotas de table par défaut de débit DynamoDB. Pour augmenter ces quotas, vous pouvez envoyer une demande d'assistance à l'assistance AWS. Les tables DynamoDB en mode provisionné avec autoscaling ajustent de manière dynamique la capacité de débit provisionnée en fonction des tendances de trafic. Pour en savoir plus sur le débit limité des requêtes DynamoDB, consultez la section "Limitation du débit des requêtes et capacité de pic" dans le guide du développeur Amazon DynamoDB. Niveau de tarification: Entreprise Normes de conformité:
|
Les tables DynamoDB doivent automatiquement adapter la capacité en fonction de la demande
|
Nom de la catégorie dans l'API : |
Description du résultat: Cette vérification évalue si une table DynamoDB est couverte par un plan de sauvegarde. Le contrôle échoue si une table DynamoDB n'est pas couverte par un plan de sauvegarde. Ce contrôle n'évalue que les tables DynamoDB qui sont à l'état "ACTIVE". Les sauvegardes vous aident à vous remettre plus rapidement d'un incident de sécurité. Elles renforcent également la résilience de vos systèmes. Inclure des tables DynamoDB dans un plan de sauvegarde vous aide à protéger vos données contre toute perte ou suppression accidentelle. Niveau de tarification: Entreprise Normes de conformité:
|
Les tables DynamoDB doivent être couvertes par un plan de sauvegarde
|
Nom de la catégorie dans l'API : |
Description du résultat: La récupération à un moment précis (PITR) est l'un des mécanismes disponibles pour sauvegarder des tables DynamoDB. Une sauvegarde ponctuelle est conservée pendant 35 jours. Si vous avez besoin d'une durée de conservation plus longue, consultez Configurer des sauvegardes planifiées pour Amazon DynamoDB à l'aide d'AWS Backup dans la documentation AWS. Niveau de tarification: Entreprise Normes de conformité:
|
Vérifie que la récupération à un moment précis (PITR) est activée pour toutes les tables AWS DynamoDB
|
Nom de la catégorie dans l'API : |
Description du résultat: Vérifie si toutes les tables DynamoDB sont chiffrées avec une clé KMS gérée par le client (non par défaut). Niveau de tarification: Entreprise Normes de conformité:
|
Vérifie que toutes les tables DynamoDB sont chiffrées avec AWS Key Management Service (KMS)
|
Nom de la catégorie dans l'API : |
Description du résultat: Vérifiez si l'optimisation EBS est activée pour vos instances EC2 pouvant être optimisées pour EBS Niveau de tarification: Entreprise Normes de conformité:
|
Vérifiez que l'optimisation EBS est activée pour toutes les instances compatibles
|
Nom de la catégorie dans l'API : |
Description du résultat: Vérifie si les instantanés Amazon Elastic Block Store ne sont pas publics. La commande échoue si n'importe qui peut restaurer des instantanés Amazon EBS. Les instantanés EBS permettent de sauvegarder les données de vos volumes EBS dans Amazon S3 à un moment spécifique. Vous pouvez utiliser les instantanés pour restaurer les états précédents des volumes EBS. Il est rarement acceptable de partager un instantané avec le public. En général, la décision de partager un instantané publiquement a été prise par erreur ou sans comprendre complètement les conséquences. Cette vérification permet de s'assurer que tous ces partages ont été entièrement planifiés et intentionnels. Niveau de tarification: Entreprise Normes de conformité:
|
Les instantanés Amazon EBS ne doivent pas pouvoir être restaurés publiquement
|
Nom de la catégorie dans l'API : |
Description du résultat: Elastic Compute Cloud (EC2) est compatible avec le chiffrement au repos lorsque vous utilisez le service Elastic Block Store (EBS). Bien qu'il soit désactivé par défaut, le forçage du chiffrement lors de la création d'un volume EBS est accepté. Niveau de tarification: Entreprise Normes de conformité:
|
Assurez-vous que le chiffrement de volume EBS est activé dans toutes les régions
|
Nom de la catégorie dans l'API : |
Description du résultat: Amazon VPC offre plus de fonctionnalités de sécurité qu'EC2 Classic. Il est recommandé que tous les nœuds appartiennent à un VPC Amazon. Niveau de tarification: Entreprise Normes de conformité:
|
Vérifiez que toutes les instances appartiennent à un VPC
|
Nom de la catégorie dans l'API : |
Description du résultat: Les instances EC2 disposant d'une adresse IP publique sont plus exposées aux risques de compromission. Il est recommandé de ne pas configurer d'adresse IP publique pour les instances EC2. Niveau de tarification: Entreprise Normes de conformité:
|
Assurez-vous qu'aucune instance ne dispose d'une adresse IP publique
|
Nom de la catégorie dans l'API : |
Description du résultat: Une association à State Manager est une configuration attribuée à vos instances gérées. La configuration définit l'état que vous souhaitez conserver sur vos instances. Par exemple, une association peut spécifier qu'un logiciel antivirus doit être installé et exécuté sur vos instances, ou que certains ports doivent être fermés. Les instances EC2 associées à AWS Systems Manager sont gérées par Systems Manager, ce qui facilite l'application des correctifs, la correction des erreurs de configuration et la réponse aux événements de sécurité. Niveau de tarification: Entreprise Normes de conformité:
|
Vérifie l'état de conformité de l'association AWS Systems Manager
|
Nom de la catégorie dans l'API : |
Description du résultat: Cette commande vérifie si l'état de conformité de l'association AWS Systems Manager est COMPLIANT ou NON_COMPLIANT après l'exécution de l'association sur une instance. La vérification échoue si l'état de conformité de l'association est NON_COMPLIANT. Une association à State Manager est une configuration attribuée à vos instances gérées. La configuration définit l'état que vous souhaitez conserver sur vos instances. Par exemple, une association peut spécifier qu'un logiciel antivirus doit être installé et exécuté sur vos instances, ou que certains ports doivent être fermés. Une fois que vous avez créé une ou plusieurs associations au Gestionnaire d'états, les informations sur l'état de conformité sont immédiatement disponibles. Vous pouvez consulter l'état de conformité dans la console ou en réponse aux commandes AWS CLI ou aux actions de l'API Systems Manager correspondantes. Pour les associations, la colonne "Conformité de la configuration" indique l'état de conformité (conforme ou non conforme). Il indique également le niveau de gravité attribué à l'association, par exemple "Critique" ou "Moyenne". Pour en savoir plus sur la conformité des associations State Manager, consultez la section À propos de la conformité des associations State Manager dans le guide de l'utilisateur d'AWS Systems Manager. Niveau de tarification: Entreprise Normes de conformité:
|
Vérifie l'état de conformité des correctifs AWS Systems Manager
|
Nom de la catégorie dans l'API : |
Description du résultat: Lorsque vous activez le service de métadonnées sur des instances AWS EC2, vous pouvez utiliser la version 1 du service de métadonnées d'instance (IMDSv1, méthode de requête/réponse) ou la version 2 (IMDSv2, méthode orientée session). Niveau de tarification: Entreprise Normes de conformité:
|
Assurez-vous que seul IMDSv2 est autorisé par le service de métadonnées pour EC2
|
Nom de la catégorie dans l'API : |
Description du résultat: Identifiez et supprimez les volumes EBS (Elastic Block Store) non associés (inutilisés) de votre compte AWS afin de réduire le coût de votre facture AWS mensuelle. Supprimer les volumes EBS inutilisés réduit également le risque de fuite de données confidentielles/sensibles depuis vos locaux. En outre, ce contrôle vérifie également si les instances EC2 archivées sont configurées pour supprimer les volumes à l'arrêt. Par défaut, les instances EC2 sont configurées pour supprimer les données de tous les volumes EBS associés à l'instance, ainsi que le volume EBS racine de l'instance. Toutefois, tous les volumes EBS non racine associés à l'instance, au lancement ou pendant l'exécution, sont conservés après l'arrêt par défaut. Niveau de tarification: Entreprise Normes de conformité:
|
Vérifie si les volumes EBS sont associés aux instances EC2 et configurés pour être supprimés à l'arrêt de l'instance
|
Nom de la catégorie dans l'API : |
Description du résultat: Amazon EFS prend en charge deux formes de chiffrement pour les systèmes de fichiers : le chiffrement des données en transit et le chiffrement au repos. Cette vérification permet de vérifier que tous les systèmes de fichiers EFS sont configurés avec le chiffrement au repos dans toutes les régions activées du compte. Niveau de tarification: Entreprise Normes de conformité:
|
Vérifie si EFS est configuré pour chiffrer les données de fichiers à l'aide de KMS
|
Nom de la catégorie dans l'API : |
Description du résultat: Les bonnes pratiques d'Amazon recommandent de configurer des sauvegardes pour vos systèmes de fichiers élastiques (EFS). Cette commande vérifie si des sauvegardes sont activées pour tous les EFS de toutes les régions activées de votre compte AWS. Niveau de tarification: Entreprise Normes de conformité:
|
Vérifie si les systèmes de fichiers EFS sont inclus dans les plans de sauvegarde AWS
|
Nom de la catégorie dans l'API : |
Description du résultat: Vérifie si l'équilibreur de charge classique utilise les certificats HTTPS/SSL fournis par AWS Certificate Manager (ACM). La vérification échoue si l'équilibreur de charge classique configuré avec un écouteur HTTPS/SSL n'utilise pas de certificat fourni par ACM. Pour créer un certificat, vous pouvez utiliser ACM ou un outil compatible avec les protocoles SSL et TLS, comme OpenSSL. Security Hub vous recommande d'utiliser ACM pour créer ou importer des certificats pour votre équilibreur de charge. ACM s'intègre aux équilibreurs de charge classiques afin que vous puissiez déployer le certificat sur votre équilibreur de charge. Vous devez également renouveler automatiquement ces certificats. Niveau de tarification: Entreprise Normes de conformité:
|
Vérifie que tous les équilibreurs de charge classiques utilisent les certificats SSL fournis par AWS Certificate Manager
|
Nom de la catégorie dans l'API : |
Description du résultat: Vérifie si la protection contre la suppression est activée pour un équilibreur de charge d'application. La commande échoue si la protection contre la suppression n'est pas configurée. Activez la protection contre la suppression pour éviter que votre équilibreur de charge d'application ne soit supprimé. Niveau de tarification: Entreprise Normes de conformité:
|
La protection contre la suppression de l'équilibreur de charge d'application doit être activée
|
Nom de la catégorie dans l'API : |
Description du résultat: Cette commande vérifie si la journalisation est activée sur l'équilibreur de charge d'application et l'équilibreur de charge classique. La vérification échoue si access_logs.s3.enabled est défini sur "false". Elastic Load Balancing fournit des journaux d'accès qui capturent des informations détaillées sur les requêtes envoyées à votre équilibreur de charge. Chaque journal contient des informations telles que l'heure de réception de la requête, l'adresse IP du client, les latences, les chemins de requête et les réponses du serveur. Vous pouvez utiliser ces journaux d'accès pour analyser les tendances de trafic et résoudre les problèmes. Pour en savoir plus, consultez la section Journaux d'accès de votre équilibreur de charge classique dans le guide de l'utilisateur des équilibreurs de charge classiques. Niveau de tarification: Entreprise Normes de conformité:
|
Vérifie si la journalisation est activée sur les équilibreurs de charge classiques et d'application
|
Nom de la catégorie dans l'API : |
Description du résultat: Cette vérification garantit que tous les équilibreurs de charge classiques sont configurés pour utiliser des communications sécurisées. Un écouteur est un processus qui recherche les requêtes de connexion. Il est configuré avec un protocole et un port pour les connexions côté client (client vers équilibreur de charge) et un protocole et un port pour les connexions côté serveur (équilibreur de charge vers instance). Pour en savoir plus sur les ports, les protocoles et les configurations d'écouteurs compatibles avec Elastic Load Balancing, consultez la section Écouteurs pour votre équilibreur de charge classique. Niveau de tarification: Entreprise Normes de conformité:
|
Vérifie que tous les équilibreurs de charge classiques sont configurés avec des écouteurs SSL ou HTTPS
|
Nom de la catégorie dans l'API : |
Description du résultat: Vérifie si les volumes EBS associés sont chiffrés. Pour que cette vérification soit effectuée, les volumes EBS doivent être utilisés et chiffrés. Si le volume EBS n'est pas associé, il n'est pas soumis à cette vérification. Pour renforcer la sécurité de vos données sensibles dans les volumes EBS, vous devez activer le chiffrement au repos EBS. Le chiffrement Amazon EBS offre une solution de chiffrement simple pour vos ressources EBS. Vous n'avez pas besoin de créer, de gérer et de sécuriser votre propre infrastructure de gestion des clés. Il utilise des clés KMS lors de la création de volumes et d'instantanés chiffrés. Pour en savoir plus sur le chiffrement Amazon EBS, consultez la section "Chiffrement Amazon EBS" du guide de l'utilisateur Amazon EC2 pour les instances Linux. Niveau de tarification: Entreprise Normes de conformité:
|
Les volumes Amazon EBS associés doivent être chiffrés au repos
|
Nom de la catégorie dans l'API : |
Description du résultat: Les instances de base de données chiffrées Amazon RDS utilisent l'algorithme de chiffrement AES-256, standard dans l'industrie, pour chiffrer vos données sur le serveur qui héberge vos instances de base de données Amazon RDS. Une fois vos données chiffrées, Amazon RDS gère de manière transparente l'authentification des accès et le déchiffrement de vos données, avec un impact minimal sur les performances. Niveau de tarification: Entreprise Normes de conformité:
|
Assurez-vous que le chiffrement au repos est activé pour les instances RDS
|
Nom de la catégorie dans l'API : |
Description du résultat: Les données EFS doivent être chiffrées au repos à l'aide d'AWS KMS (Key Management Service). Niveau de tarification: Entreprise Normes de conformité:
|
Assurez-vous que le chiffrement est activé pour les systèmes de fichiers EFS
|
Nom de la catégorie dans l'API : |
Description du résultat: AWS permet d'utiliser des stratégies de mot de passe personnalisées dans votre compte AWS pour spécifier des exigences de complexité et des périodes de rotation obligatoires pour les mots de passe de vos utilisateurs IAM. Si vous ne définissez pas de stratégie de mot de passe personnalisée, les mots de passe des utilisateurs IAM doivent respecter la stratégie de mot de passe AWS par défaut. Les bonnes pratiques de sécurité AWS recommandent les exigences de complexité de mot de passe suivantes:
Cette commande vérifie toutes les exigences de la stratégie de mots de passe spécifiée. Niveau de tarification: Entreprise Normes de conformité:
|
Vérifie si la stratégie de mots de passe du compte pour les utilisateurs IAM répond aux exigences spécifiées
|
Nom de la catégorie dans l'API : |
Description du résultat: Les stratégies de mots de passe IAM peuvent empêcher la réutilisation d'un mot de passe donné par le même utilisateur. Nous vous recommandons de configurer la stratégie de mots de passe pour empêcher la réutilisation des mots de passe. Niveau de tarification: Entreprise Normes de conformité:
|
Assurez-vous que la stratégie de mots de passe IAM empêche de réutiliser des mots de passe
|
Nom de la catégorie dans l'API : |
Description du résultat: Les règles relatives aux mots de passe servent, en partie, à appliquer des exigences de complexité des mots de passe. Les stratégies de mots de passe IAM peuvent être utilisées pour s'assurer que les mots de passe ont au moins une longueur donnée. Nous vous recommandons de définir une longueur minimale de 14 caractères pour les mots de passe. Niveau de tarification: Entreprise Normes de conformité:
|
Assurez-vous que la stratégie de mot de passe IAM nécessite au moins 14 caractères
|
Nom de la catégorie dans l'API : |
Description du résultat: Les stratégies IAM permettent d'accorder des droits à des utilisateurs, des groupes ou des rôles. Il est recommandé, et considéré comme un conseil de sécurité standard, d'accorder le moindre privilège, c'est-à-dire de n'accorder que les autorisations nécessaires à l'exécution d'une tâche. Déterminez ce que les utilisateurs doivent faire, puis créez des règles qui leur permettent d'effectuer uniquement ces tâches, au lieu de leur accorder des droits d'administrateur complets. Niveau de tarification: Entreprise Normes de conformité:
|
Assurez-vous que des stratégies IAM accordant les droits d'administrateur complets "*:*" ne sont pas associées
|
Nom de la catégorie dans l'API : |
Description du résultat: Les utilisateurs IAM sont autorisés à accéder aux services, aux fonctions et aux données via des stratégies IAM. Il existe quatre façons de définir des stratégies pour un utilisateur: 1) modifier directement la stratégie utilisateur (également appelée stratégie intégrée ou stratégie utilisateur) ; 2) associer une stratégie directement à un utilisateur ; 3) ajouter l'utilisateur à un groupe IAM associé à une stratégie ; 4) ajouter l'utilisateur à un groupe IAM associé à une stratégie intégrée. Seule la troisième implémentation est recommandée. Niveau de tarification: Entreprise Normes de conformité:
|
Assurez-vous que les utilisateurs IAM ne reçoivent des autorisations que via des groupes
|
Nom de la catégorie dans l'API : |
Description du résultat: Les utilisateurs IAM doivent toujours faire partie d'un groupe IAM afin de respecter les bonnes pratiques de sécurité IAM. En ajoutant des utilisateurs à un groupe, vous pouvez partager des règles entre les types d'utilisateurs. Niveau de tarification: Entreprise Normes de conformité:
|
Vérifie si les utilisateurs IAM sont membres d'au moins un groupe IAM
|
Nom de la catégorie dans l'API : |
Description du résultat: L'authentification multifacteur (MFA) est une bonne pratique qui ajoute une couche de protection supplémentaire aux noms d'utilisateur et mots de passe. Avec l'authentification multifacteur, lorsqu'un utilisateur se connecte à la console de gestion AWS, il doit fournir un code d'authentification à expiration limitée, fourni par un appareil virtuel ou physique enregistré. Niveau de tarification: Entreprise Normes de conformité:
|
Vérifiez que l'authentification multifacteur (MFA) est activée pour les utilisateurs AWS IAM
|
Nom de la catégorie dans l'API : |
Description du résultat: Cette commande recherche les mots de passe IAM ou les clés d'accès actives qui n'ont pas été utilisés au cours des 90 derniers jours. Nous vous recommandons de supprimer, de désactiver ou d'alterner tous les identifiants inutilisés depuis au moins 90 jours. Cela réduit la période pendant laquelle les identifiants associés à un compte compromis ou abandonné peuvent être utilisés. Niveau de tarification: Entreprise Normes de conformité:
|
Vérifie que tous les utilisateurs AWS IAM disposent de mots de passe ou de clés d'accès actives qui n'ont pas été utilisés depuis maxCredentialUsageAge jours (90 par défaut)
|
Nom de la catégorie dans l'API : |
Description du résultat: Ce contrôle vérifie si la suppression de clés KMS est planifiée. La vérification échoue si la suppression d'une clé KMS est planifiée. Une fois supprimées, les clés KMS ne peuvent plus être récupérées. Les données chiffrées avec une clé KMS ne peuvent pas être récupérées de manière définitive si la clé KMS est supprimée. Si des données importantes ont été chiffrées à l'aide d'une clé KMS programmée pour être supprimée, envisagez de les déchiffrer ou de les chiffrer à nouveau avec une nouvelle clé KMS, sauf si vous effectuez intentionnellement une suppression cryptographique. Lorsqu'une clé KMS est programmée pour être supprimée, un délai d'attente obligatoire est appliqué pour vous permettre d'annuler la suppression, si elle a été programmée par erreur. La période d'attente par défaut est de 30 jours, mais elle peut être réduite à sept jours maximum lorsque la clé KMS est programmée pour être supprimée. Pendant le délai d'attente, la suppression planifiée peut être annulée et la clé KMS ne sera pas supprimée. Pour en savoir plus sur la suppression de clés KMS, consultez la section Supprimer des clés KMS dans le guide du développeur AWS Key Management Service. Niveau de tarification: Entreprise Normes de conformité:
|
Vérifie que la suppression de toutes les CMK n'est pas planifiée
|
Nom de la catégorie dans l'API : |
Description du résultat: Vérifie si la fonction Lambda est configurée avec une limite d'exécution simultanée au niveau de la fonction. La règle est NON_COMPLIANT si la fonction Lambda n'est pas configurée avec une limite d'exécution simultanée au niveau de la fonction. Niveau de tarification: Entreprise Normes de conformité: Cette catégorie de résultats n'est associée à aucune commande de conformité. |
Vérifie si les fonctions Lambda sont configurées avec une limite d'exécution simultanée au niveau de la fonction
|
Nom de la catégorie dans l'API : |
Description du résultat: Vérifie si une fonction Lambda est configurée avec une file d'attente de lettres mortes. La règle est NON_COMPLIANT si la fonction Lambda n'est pas configurée avec une file d'attente de lettres mortes. Niveau de tarification: Entreprise Normes de conformité:
|
Assurez-vous que les fonctions Lambda sont configurées avec une file d'attente de lettres mortes
|
Nom de la catégorie dans l'API : |
Description du résultat: Les bonnes pratiques AWS recommandent de ne pas exposer publiquement les fonctions Lambda. Cette règle vérifie toutes les fonctions Lambda déployées dans toutes les régions activées de votre compte et échoue si elles sont configurées pour autoriser l'accès public. Niveau de tarification: Entreprise Normes de conformité:
|
Vérifie si la stratégie associée à la fonction Lambda interdit l'accès public
|
Nom de la catégorie dans l'API : |
Description du résultat: Vérifie si une fonction Lambda se trouve dans un VPC. Des résultats d'échec peuvent s'afficher pour les ressources Lambda@Edge. Il n'évalue pas la configuration de routage du sous-réseau VPC pour déterminer la connectivité publique. Niveau de tarification: Entreprise Normes de conformité:
|
Assurez-vous que les fonctions Lambda existent dans un VPC
|
Nom de la catégorie dans l'API : |
Description du résultat: Une fois la suppression MFA activée sur votre bucket S3 sensible et classifié, l'utilisateur doit disposer de deux types d'authentification. Niveau de tarification: Entreprise Normes de conformité:
|
Assurez-vous que la suppression MFA est activée sur les buckets S3
|
Nom de la catégorie dans l'API : |
Description du résultat: Le compte utilisateur racine est l 'utilisateur le plus privilégié d'un compte AWS. L'authentification multifacteur (MFA) ajoute une couche de protection supplémentaire en plus d'un nom d'utilisateur et d'un mot de passe. Lorsque l'authentification multifacteur est activée, un utilisateur qui se connecte à un site Web AWS doit saisir son nom d'utilisateur et son mot de passe, ainsi qu'un code d'authentification provenant de son appareil MFA AWS. Remarque:Lorsque l 'MFA virtuelle est utilisée pour les comptes racine, il est recommandé que l'appareil utilisé ne soit PAS un appareil personnel, mais plutôt un appareil mobile dédié (tablette ou téléphone) qui est géré pour être maintenu chargé et sécurisé indépendamment de tout appareil personnel individuel. ("MFA virtuel non personnel") Cela réduit les risques de perdre l'accès à la MFA en cas de perte ou de reprise de l'appareil, ou si la personne à qui appartient l'appareil n'est plus employée dans l'entreprise. Niveau de tarification: Entreprise Normes de conformité:
|
Assurez-vous que la MFA est activée pour le compte utilisateur "root"
|
Nom de la catégorie dans l'API : |
Description du résultat: L'authentification multifacteur (MFA) ajoute une couche supplémentaire d'assurance d'authentification au-delà des identifiants traditionnels. Lorsque l'authentification multifacteur est activée, un utilisateur doit saisir son nom d'utilisateur et son mot de passe, ainsi qu'un code d'authentification à partir de son jeton MFA physique ou virtuel lorsqu'il se connecte à la console AWS. Nous vous recommandons d'activer l'authentification MFA pour tous les comptes disposant d'un mot de passe de console. Niveau de tarification: Entreprise Normes de conformité:
|
Assurez-vous que l'authentification multifacteur (MFA) est activée pour tous les utilisateurs IAM disposant d'un mot de passe de console
|
Nom de la catégorie dans l'API : |
Description du résultat: La fonction de liste de contrôle d'accès au réseau (NACL) fournit un filtrage sans état du trafic réseau entrant et sortant vers les ressources AWS. Il est recommandé qu'aucune LCA réseau n'autorise un accès illimité aux ports d'administration du serveur distant, tels que SSH sur le port Niveau de tarification: Entreprise Normes de conformité:
|
Assurez-vous qu'aucune LCA réseau n'autorise l'entrée depuis la plage 0.0.0.0/0 vers les ports d'administration du serveur distant
|
Nom de la catégorie dans l'API : |
Description du résultat: Le compte utilisateur racine est l 'utilisateur le plus privilégié d'un compte AWS. Les clés d'accès AWS permettent d'accéder de manière programmatique à un compte AWS donné. Il est recommandé de supprimer toutes les clés d'accès associées au compte utilisateur "root". Niveau de tarification: Entreprise Normes de conformité:
|
Assurez-vous qu'aucune clé d'accès n'existe pour le compte utilisateur "root"
|
Nom de la catégorie dans l'API : |
Description du résultat: Les groupes de sécurité fournissent un filtrage avec état du trafic réseau entrant et sortant vers les ressources AWS. Il est recommandé qu'aucun groupe de sécurité n'autorise un accès d'entrée illimité aux ports d'administration du serveur distant, tels que SSH sur le port Niveau de tarification: Entreprise Normes de conformité:
|
Assurez-vous qu'aucun groupe de sécurité n'autorise le trafic d'entrée provenant de la plage 0.0.0.0/0 vers les ports d'administration du serveur distant
|
Nom de la catégorie dans l'API : |
Description du résultat: Les groupes de sécurité fournissent un filtrage avec état du trafic réseau entrant et sortant vers les ressources AWS. Il est recommandé qu'aucun groupe de sécurité n'autorise un accès d'entrée sans restriction aux ports d'administration du serveur distant, tels que SSH sur le port Niveau de tarification: Entreprise Normes de conformité:
|
Assurez-vous qu'aucun groupe de sécurité n'autorise le trafic d'entrée provenant de la plage ::/0 vers les ports d'administration du serveur distant
|
Nom de la catégorie dans l'API : |
Description du résultat: Les clés d 'accès sont des identifiants à long terme pour un utilisateur IAM ou l'utilisateur racine du compte AWS. Vous pouvez utiliser des clés d'accès pour signer des requêtes programmatiques adressées à la CLI AWS ou à l'API AWS (directement ou à l'aide du SDK AWS). Niveau de tarification: Entreprise Normes de conformité:
|
Assurez-vous qu'une seule clé d'accès active est disponible par utilisateur IAM
|
Nom de la catégorie dans l'API : |
Description du résultat: Assurez-vous que les instances de base de données RDS provisionnées dans votre compte AWS limitent les accès non autorisés afin de minimiser les risques de sécurité. Pour limiter l'accès à une instance de base de données RDS accessible au public, vous devez désactiver l'indicateur "Accessible au public" de la base de données et mettre à jour le groupe de sécurité VPC associé à l'instance. Niveau de tarification: Entreprise Normes de conformité:
|
Assurez-vous qu'aucun accès public n'est accordé pour l'instance RDS
|
Nom de la catégorie dans l'API : |
Description du résultat: La surveillance avancée fournit des métriques en temps réel sur le système d'exploitation sur lequel s'exécute l'instance RDS, via un agent installé dans l'instance. Pour en savoir plus, consultez Surveiller les métriques de l'OS avec la surveillance avancée. Niveau de tarification: Entreprise Normes de conformité:
|
Vérifiez que la surveillance avancée est activée pour toutes les instances de base de données RDS
|
Nom de la catégorie dans l'API : |
Description du résultat: L'activation de la protection contre la suppression d'instances constitue une couche de protection supplémentaire contre la suppression accidentelle de bases de données ou la suppression par une entité non autorisée. Tant que la protection contre la suppression est activée, vous ne pouvez pas supprimer une instance de base de données RDS. Avant qu'une demande de suppression puisse aboutir, la protection contre la suppression doit être désactivée. Niveau de tarification: Entreprise Normes de conformité:
|
Vérifiez que la protection contre la suppression est activée pour toutes les instances RDS
|
Nom de la catégorie dans l'API : |
Description du résultat: Cette vérification évalue si les instances de base de données Amazon RDS sont couvertes par un plan de sauvegarde. Cette vérification échoue si une instance de base de données RDS n'est pas couverte par un plan de sauvegarde. AWS Backup est un service de sauvegarde entièrement géré qui centralise et automatise la sauvegarde des données dans les services AWS. Avec AWS Backup, vous pouvez créer des règles de sauvegarde appelées plans de sauvegarde. Vous pouvez utiliser ces plans pour définir vos exigences de sauvegarde, telles que la fréquence de sauvegarde de vos données et la durée de conservation de ces sauvegardes. Inclure des instances de base de données RDS dans un plan de sauvegarde vous aide à protéger vos données contre toute perte ou suppression accidentelle. Niveau de tarification: Entreprise Normes de conformité:
|
Les instances de base de données RDS doivent être couvertes par un plan de sauvegarde
|
Nom de la catégorie dans l'API : |
Description du résultat: Cette commande vérifie si les journaux suivants d'Amazon RDS sont activés et envoyés à CloudWatch. Les journaux pertinents doivent être activés pour les bases de données RDS. La journalisation de la base de données fournit des enregistrements détaillés des requêtes envoyées à RDS. Les journaux de base de données peuvent vous aider à effectuer des audits de sécurité et d'accès, et à diagnostiquer les problèmes de disponibilité. Niveau de tarification: Entreprise Normes de conformité:
|
Vérifiez que les journaux exportés sont activés pour toutes les instances de base de données RDS
|
Nom de la catégorie dans l'API : |
Description du résultat: Les instances de base de données RDS doivent être configurées pour plusieurs zones de disponibilité (AZ). Cela garantit la disponibilité des données stockées. Les déploiements multizones permettent un basculement automatique en cas de problème de disponibilité de la zone de disponibilité et lors de la maintenance régulière de RDS. Niveau de tarification: Entreprise Normes de conformité:
|
Vérifiez que la haute disponibilité est activée pour toutes les instances de base de données RDS
|
Nom de la catégorie dans l'API : |
Description du résultat: Cette vérification permet de vérifier les éléments essentiels d'un cluster Redshift: le chiffrement au repos, la journalisation et le type de nœud. Ces éléments de configuration sont importants pour la maintenance d'un cluster Redshift sécurisé et observable. Niveau de tarification: Entreprise Normes de conformité:
|
Vérifiez que tous les clusters Redshift disposent d'un chiffrement au repos, d'une journalisation et d'un type de nœud.
|
Nom de la catégorie dans l'API : |
Description du résultat: Les mises à niveau automatiques vers une version majeure se produisent selon l'intervalle de maintenance. Niveau de tarification: Entreprise Normes de conformité:
|
Vérifiez qu'allowVersionUpgrade est activé et que preferredMaintenanceWindow et automatedSnapshotRetentionPeriod sont définis pour tous les clusters Redshift
|
Nom de la catégorie dans l'API : |
Description du résultat: L'attribut "PubliclyAccessible" de la configuration du cluster Amazon Redshift indique si le cluster est accessible au public. Lorsque le cluster est configuré avec PubliclyAccessible défini sur "true", il s'agit d'une instance exposée sur Internet qui possède un nom DNS public qui se résout en adresse IP publique. Lorsqu'il n'est pas accessible au public, il s'agit d'une instance interne avec un nom DNS qui se résout en adresse IP privée. Sauf si vous souhaitez que votre cluster soit accessible au public, vous ne devez pas le configurer avec PubliclyAccessible défini sur "true". Niveau de tarification: Entreprise Normes de conformité:
|
Vérifiez si les clusters Redshift sont accessibles au public
|
Nom de la catégorie dans l'API : |
Description du résultat: Cette opération vérifie si le trafic entrant illimité des groupes de sécurité est accessible aux ports spécifiés présentant le risque le plus élevé. Ce contrôle échoue si l'une des règles d'un groupe de sécurité autorise le trafic d'entrée depuis '0.0.0.0/0' ou '::/0' pour ces ports. Un accès illimité (0.0.0.0/0) augmente les possibilités d'activités malveillantes, telles que le piratage, les attaques par déni de service et la perte de données. Les groupes de sécurité fournissent un filtrage avec état du trafic réseau entrant et sortant vers les ressources AWS. Aucun groupe de sécurité ne doit autoriser un accès illimité aux ports suivants:
Niveau de tarification: Entreprise Normes de conformité:
|
Les groupes de sécurité ne doivent pas autoriser un accès illimité aux ports à haut risque
|
Nom de la catégorie dans l'API : |
Description du résultat: Les groupes de sécurité fournissent un filtrage avec état du trafic réseau entrant et sortant vers les ressources AWS. Le CIS recommande qu'aucun groupe de sécurité n'autorise un accès illimité au port 22. En supprimant la connectivité illimitée aux services de console à distance, tels que SSH, vous réduisez l'exposition d'un serveur aux risques. Niveau de tarification: Entreprise Normes de conformité:
|
Les groupes de sécurité ne doivent pas autoriser le trafic d'entrée de 0.0.0.0/0 vers le port 22
|
Nom de la catégorie dans l'API : |
Description du résultat: Vérifie si la rotation automatique des clés est activée pour chaque clé et si elle correspond à l'ID de clé de la clé AWS KMS créée par le client. La règle est NON_CONFORME si le rôle d'enregistreur AWS Config d'une ressource ne dispose pas de l'autorisation kms:DescribeKey. Niveau de tarification: Entreprise Normes de conformité: Cette catégorie de résultats n'est associée à aucune commande de conformité standard. |
Assurez-vous que la rotation des clés CMK créées par le client est activée
|
Nom de la catégorie dans l'API : |
Description du résultat: AWS Key Management Service (KMS) permet aux clients de faire pivoter la clé de sauvegarde, qui est un matériel de clé stocké dans le KMS et associé à l'ID de clé de la clé principale du client (CMK, Customer Master Key) créée par le client. C'est la clé de sauvegarde qui est utilisée pour effectuer des opérations cryptographiques telles que le chiffrement et le déchiffrement. La rotation automatique des clés conserve actuellement toutes les clés de sauvegarde précédentes afin que le déchiffrement des données chiffrées puisse se faire de manière transparente. Il est recommandé d'activer la rotation des clés CMK pour les clés symétriques. La rotation des clés ne peut pas être activée pour une CMK asymétrique. Niveau de tarification: Entreprise Normes de conformité:
|
Assurez-vous que la rotation des clés CMK symétriques créées par le client est activée
|
Nom de la catégorie dans l'API : |
Description du résultat: Vérifie si les tables de routage pour l'appairage de VPC sont configurées avec le principe d'accès limité. Niveau de tarification: Entreprise Normes de conformité: Cette catégorie de résultats n'est associée à aucune commande de conformité. |
Assurez-vous que les tables de routage pour l'appairage de VPC sont en "accès limité"
|
Nom de la catégorie dans l'API : |
Description du résultat: Le blocage de l'accès public Amazon S3 fournit des paramètres pour les points d'accès, les buckets et les comptes afin de vous aider à gérer l'accès public aux ressources Amazon S3. Par défaut, les nouveaux buckets, points d'accès et objets n'autorisent pas l'accès public. Niveau de tarification: Entreprise Normes de conformité: Cette catégorie de résultats n'est associée à aucune commande de conformité. |
Vérifiez si les paramètres de blocage de l'accès public S3 requis sont configurés au niveau du compte
|
Nom de la catégorie dans l'API : |
Description du résultat: Amazon S3 fournit Niveau de tarification: Entreprise Normes de conformité:
|
Assurez-vous que les buckets S3 sont configurés avec
|
Nom de la catégorie dans l'API : |
Description du résultat: La journalisation de l'accès au bucket S3 génère un journal contenant des enregistrements d'accès pour chaque requête envoyée à votre bucket S3. Un enregistrement de journal des accès contient des informations sur la requête, telles que le type de requête, les ressources spécifiées dans la requête et l'heure et la date de traitement de la requête. Il est recommandé d'activer la journalisation de l'accès au bucket sur le bucket CloudTrail S3. Niveau de tarification: Entreprise Normes de conformité:
|
Assurez-vous que la journalisation de l'accès au bucket S3 est activée sur le bucket CloudTrail S3
|
Nom de la catégorie dans l'API : |
Description du résultat: La fonctionnalité de journalisation des accès au serveur AWS S3 enregistre les requêtes d'accès aux buckets de stockage, ce qui est utile pour les audits de sécurité. Par défaut, la journalisation des accès au serveur n'est pas activée pour les buckets S3. Niveau de tarification: Entreprise Normes de conformité:
|
Vérifiez si la journalisation est activée sur tous les buckets S3
|
Nom de la catégorie dans l'API : |
Description du résultat: Au niveau du bucket Amazon S3, vous pouvez configurer des autorisations via une stratégie de bucket afin de rendre les objets accessibles uniquement via HTTPS. Niveau de tarification: Entreprise Normes de conformité:
|
Assurez-vous que la stratégie de bucket S3 est définie pour refuser les requêtes HTTP
|
Nom de la catégorie dans l'API : |
Description du résultat: Cette vérification vérifie si la réplication interrégionale est activée pour un bucket Amazon S3. La vérification échoue si la réplication interrégionale n'est pas activée pour le bucket ou si la réplication dans la même région est également activée. La réplication consiste à copier automatiquement et de manière asynchrone des objets dans des buckets d'une même région AWS ou de régions différentes. La réplication copie les objets nouvellement créés et les mises à jour d'objets d'un bucket source vers un ou plusieurs buckets de destination. Les bonnes pratiques AWS recommandent la réplication pour les buckets source et de destination appartenant au même compte AWS. En plus de la disponibilité, vous devez envisager d'autres paramètres de renforcement des systèmes. Niveau de tarification: Entreprise Normes de conformité:
|
Vérifiez si la réplication interrégionale est activée sur les buckets S3
|
Nom de la catégorie dans l'API : |
Description du résultat: Cette vérification vérifie que le chiffrement par défaut Amazon S3 est activé pour votre bucket S3 ou que la stratégie de bucket S3 refuse explicitement les requêtes put-object sans chiffrement côté serveur. Niveau de tarification: Entreprise Normes de conformité:
|
Assurez-vous que tous les buckets S3 appliquent le chiffrement au repos
|
Nom de la catégorie dans l'API : |
Description du résultat: Amazon S3 vous permet de conserver plusieurs variantes d'un objet dans le même bucket. Il peut vous aider à récupérer plus facilement à la suite d'actions involontaires de l'utilisateur ou de défaillances de l'application. Niveau de tarification: Entreprise Normes de conformité:
|
Vérifiez que la gestion des versions est activée pour tous les buckets S3
|
Nom de la catégorie dans l'API : |
Description du résultat: Vérifie si les buckets Amazon S3 sont chiffrés avec AWS Key Management Service (AWS KMS) Niveau de tarification: Entreprise Normes de conformité:
|
Vérifiez que tous les buckets sont chiffrés avec KMS
|
Nom de la catégorie dans l'API : |
Description du résultat: Vérifie si une clé AWS Key Management Service (KMS) est configurée pour une instance de notebook Amazon SageMaker. La règle est NON_COMPLIANT si "KmsKeyId" n'est pas spécifié pour l'instance de notebook SageMaker. Niveau de tarification: Entreprise Normes de conformité:
|
Vérifiez que toutes les instances de notebook SageMaker sont configurées pour utiliser KMS
|
Nom de la catégorie dans l'API : |
Description du résultat: Vérifie si l'accès direct à Internet est désactivé pour une instance de notebook SageMaker. Pour ce faire, il vérifie si le champ "DirectInternetAccess" est désactivé pour l'instance de notebook. Si vous configurez votre instance SageMaker sans VPC, l'accès direct à Internet est activé par défaut sur votre instance. Vous devez configurer votre instance avec un VPC et définir le paramètre par défaut sur "Désactiver" (Accéder à Internet via un VPC). Pour entraîner ou héberger des modèles à partir d'un notebook, vous avez besoin d'un accès à Internet. Pour activer l'accès à Internet, assurez-vous que votre VPC dispose d'une passerelle NAT et que votre groupe de sécurité autorise les connexions sortantes. Pour savoir comment connecter une instance de notebook à des ressources dans un VPC, consultez la section "Connecter une instance de notebook à des ressources dans un VPC" du guide du développeur Amazon SageMaker. Vous devez également vous assurer que l'accès à votre configuration SageMaker est limité aux seuls utilisateurs autorisés. Limitez les autorisations IAM des utilisateurs pour qu'ils ne puissent pas modifier les paramètres et les ressources SageMaker. Niveau de tarification: Entreprise Normes de conformité:
|
Vérifiez si l'accès direct à Internet est désactivé pour toutes les instances de notebook Amazon SageMaker
|
Nom de la catégorie dans l'API : |
Description du résultat: Vérifie si un secret stocké dans AWS Secrets Manager est configuré avec une rotation automatique. La vérification échoue si le secret n'est pas configuré avec une rotation automatique. Si vous fournissez une valeur personnalisée pour le paramètre Secret Manager vous aide à améliorer la stratégie de sécurité de votre organisation. Les secrets incluent les identifiants de base de données, les mots de passe et les clés API tierces. Vous pouvez utiliser Secret Manager pour stocker des secrets de manière centralisée, les chiffrer automatiquement, contrôler l'accès à ces secrets et les faire pivoter de manière sécurisée et automatique. Secret Manager peut faire tourner les secrets. Vous pouvez utiliser la rotation pour remplacer les secrets à long terme par des secrets à court terme. La rotation de vos secrets limite la durée pendant laquelle un utilisateur non autorisé peut utiliser un secret compromis. C'est pourquoi vous devez effectuer une rotation fréquente de vos secrets. Pour en savoir plus sur la rotation, consultez la section "Rotation des secrets AWS Secrets Manager" du guide de l'utilisateur AWS Secrets Manager. Niveau de tarification: Entreprise Normes de conformité:
|
Vérifiez que la rotation de tous les secrets AWS Secrets Manager est activée
|
Nom de la catégorie dans l'API : |
Description du résultat: Vérifie si un sujet SNS est chiffré au repos à l'aide d'AWS KMS. Les commandes échouent si un sujet SNS n'utilise pas de clé KMS pour le chiffrement côté serveur (SSE). Le chiffrement des données au repos réduit le risque d'accès aux données stockées sur un disque par un utilisateur non authentifié auprès d'AWS. Il ajoute également un autre ensemble de contrôles d'accès pour limiter l'accès des utilisateurs non autorisés aux données. Par exemple, des autorisations d'API sont requises pour déchiffrer les données avant de pouvoir les lire. Pour renforcer la sécurité, les sujets SNS doivent être chiffrés au repos. Niveau de tarification: Entreprise Normes de conformité:
|
Vérifiez que tous les sujets SNS sont chiffrés avec KMS
|
Nom de la catégorie dans l'API : |
Description du résultat: Ce contrôle vérifie si le groupe de sécurité par défaut d'un VPC autorise le trafic entrant ou sortant. Le contrôle échoue si le groupe de sécurité autorise le trafic entrant ou sortant. Les règles du groupe de sécurité par défaut autorisent tout trafic sortant et entrant provenant des interfaces réseau (et de leurs instances associées) attribuées au même groupe de sécurité. Nous vous recommandons de ne pas utiliser le groupe de sécurité par défaut. Étant donné que le groupe de sécurité par défaut ne peut pas être supprimé, vous devez modifier le paramètre des règles de groupe de sécurité par défaut pour limiter le trafic entrant et sortant. Cela empêche le trafic involontaire si le groupe de sécurité par défaut est accidentellement configuré pour des ressources telles que des instances EC2. Niveau de tarification: Entreprise Normes de conformité:
|
Assurez-vous que le groupe de sécurité par défaut de chaque VPC limite tout le trafic
|
Nom de la catégorie dans l'API : |
Description du résultat: Les journaux de flux VPC sont une fonctionnalité qui vous permet de capturer des informations sur le trafic IP entre les différentes interfaces réseau de votre VPC. Une fois le journal de flux créé, vous pouvez consulter et récupérer ses données dans les journaux Amazon CloudWatch. Il est recommandé d'activer les journaux de flux VPC pour les "Refus" de paquets pour les VPC. Niveau de tarification: Entreprise Normes de conformité:
|
Assurez-vous que la journalisation de flux VPC est activée dans tous les VPC
|
Nom de la catégorie dans l'API : |
Description du résultat: Cette vérification vérifie si un groupe de sécurité Amazon EC2 autorise le trafic entrant illimité à partir de ports non autorisés. L'état de la commande est déterminé comme suit: Si vous utilisez la valeur par défaut pour authorizedTcpPorts, le contrôle échoue si le groupe de sécurité autorise le trafic entrant sans restriction à partir de n'importe quel port autre que les ports 80 et 443. Si vous fournissez des valeurs personnalisées pour authorizedTcpPorts ou authorizedUdpPorts, la vérification échoue si le groupe de sécurité autorise le trafic entrant illimité à partir de n'importe quel port non listé. Si aucun paramètre n'est utilisé, le contrôle échoue pour tous les groupes de sécurité disposant d'une règle de trafic entrant sans restriction. Les groupes de sécurité fournissent un filtrage avec état du trafic réseau entrant et sortant vers AWS. Les règles de groupe de sécurité doivent respecter le principe du moindre privilège. L'accès illimité (adresse IP avec un suffixe /0) augmente les risques d'activités malveillantes telles que le piratage, les attaques par déni de service et la perte de données. Sauf si un port est spécifiquement autorisé, il doit refuser tout accès illimité. Niveau de tarification: Entreprise Normes de conformité:
|
Vérifiez que les groupes de sécurité avec la plage 0.0.0.0/0 de n'importe quel VPC autorisent uniquement le trafic TCP/UDP entrant spécifique
|
Nom de la catégorie dans l'API : |
Description du résultat: Un tunnel VPN est un lien chiffré par lequel les données peuvent passer du réseau client vers ou depuis AWS dans une connexion VPN de site à site AWS. Chaque connexion VPN comprend deux tunnels VPN que vous pouvez utiliser simultanément pour assurer la haute disponibilité. Il est important de s'assurer que les deux tunnels VPN sont actifs pour une connexion VPN afin de confirmer une connexion sécurisée et à disponibilité élevée entre un VPC AWS et votre réseau distant. Cette commande vérifie que les deux tunnels VPN fournis par AWS Site-to-Site VPN sont activés. Le contrôle échoue si l'un ou les deux tunnels sont en état "DOWN". Niveau de tarification: Entreprise Normes de conformité:
|
Vérifiez que les deux tunnels VPN AWS fournis par AWS site à site sont activés
|
Résultats de Web Security Scanner
Les analyses personnalisées et gérées de Web Security Scanner identifient les types de résultats suivants. Au niveau Standard, Web Security Scanner accepte les analyses personnalisées des applications déployées avec des URL et des adresses IP publiques qui ne sont pas protégées par un pare-feu.
Catégorie | Description du résultat | OWASP 2017 Top 10 | OWASP 2021 Top 10 |
---|---|---|---|
Nom de la catégorie dans l'API : |
Un dépôt GIT est exposé publiquement. Pour résoudre ce problème, supprimez l'accès public involontaire au dépôt GIT. Niveau de tarification: Premium ou Standard |
A5 | A01 |
Nom de la catégorie dans l'API : |
Un dépôt SVN est exposé publiquement. Pour résoudre ce problème, supprimez l'accès public involontaire au dépôt SVN. Niveau de tarification: Premium ou Standard |
A5 | A01 |
Nom de la catégorie dans l'API : |
Les mots de passe saisis dans l'application Web peuvent être mis en cache dans un cache de navigateur standard au lieu d'un espace de stockage sécurisé. Niveau de tarification: Premium |
A3 | A04 |
Nom de la catégorie dans l'API : |
Les mots de passe sont transmis en texte clair et peuvent être interceptés. Pour résoudre ce problème, chiffrez les mots de passe transmis sur le réseau. Niveau de tarification: Premium ou Standard |
A3 | A02 |
Nom de la catégorie dans l'API : |
Un point de terminaison HTTP ou HTTPS intersites ne valide qu'un suffixe de l'en-tête de requête Niveau de tarification: Premium |
A5 | A01 |
Nom de la catégorie dans l'API : |
Un point de terminaison HTTP ou HTTPS intersites ne valide qu'un préfixe de l'en-tête de requête Niveau de tarification: Premium |
A5 | A01 |
Nom de la catégorie dans l'API : |
Une des ressources chargées ne correspond pas à l'en-tête HTTP "Content-Type" de la réponse. Pour résoudre ce problème, définissez l'en-tête HTTP Niveau de tarification: Premium ou Standard |
A6 | A05 |
Nom de la catégorie dans l'API : |
Un en-tête de sécurité contient une erreur de syntaxe et est ignoré par les navigateurs. Pour résoudre ce problème, définissez correctement les en-têtes de sécurité HTTP. Niveau de tarification: Premium ou Standard |
A6 | A05 |
Nom de la catégorie dans l'API : |
Un en-tête de sécurité contient des valeurs en double incompatibles et non concordantes, ce qui entraîne un comportement indéfini. Pour résoudre ce problème, définissez correctement les en-têtes de sécurité HTTP. Niveau de tarification: Premium ou Standard |
A6 | A05 |
Nom de la catégorie dans l'API : |
Un en-tête de sécurité est mal orthographié et ignoré. Pour résoudre ce problème, définissez correctement les en-têtes de sécurité HTTP. Niveau de tarification: Premium ou Standard |
A6 | A05 |
Nom de la catégorie dans l'API : |
Les ressources sont diffusées via HTTP sur une page HTTPS. Pour résoudre ce problème, assurez-vous que toutes les ressources sont diffusées via HTTPS. Niveau de tarification: Premium ou Standard |
A6 | A05 |
Nom de la catégorie dans l'API : |
Une bibliothèque contenant des failles connues a été détectée. Pour résoudre ce problème, mettez à niveau les bibliothèques vers une version plus récente. Niveau de tarification: Premium ou Standard |
A9 | A06 |
Nom de la catégorie dans l'API : |
Une faille SSRF (Server Side Request Forgery, falsification de requête côté serveur) a été détectée. Pour résoudre ce résultat, utilisez une liste d'autorisation pour limiter les domaines et les adresses IP auxquels l'application Web peut envoyer des requêtes. Niveau de tarification: Premium ou Standard |
Non applicable | A10 |
Nom de la catégorie dans l'API : |
Lors d'une requête interdomaine, l'application Web inclut l'identifiant de session de l'utilisateur dans son en-tête de requête Niveau de tarification: Premium |
A2 | A07 |
Nom de la catégorie dans l'API : |
Une faille potentielle d'injection SQL a été détectée. Pour résoudre ce résultat, utilisez des requêtes paramétrées afin d'empêcher les entrées utilisateur d'affecter la structure de la requête SQL. Niveau de tarification: Premium |
A1 | A03 |
Nom de la catégorie dans l'API : |
L'utilisation d'une version vulnérable d'Apache Struts a été détectée. Pour résoudre ce résultat, mettez à niveau Apache Struts vers la dernière version. Niveau de tarification: Premium |
A8 | A08 |
Nom de la catégorie dans l'API : |
Un champ dans cette application Web est vulnérable aux attaques de script intersites (XSS). Pour résoudre ce problème, validez les données fournies par l'utilisateur non approuvées et faites-les échapper. Niveau de tarification: Premium ou Standard |
A7 | A03 |
Nom de la catégorie dans l'API : |
Une chaîne fournie par l'utilisateur n'est pas échappée et AngularJS peut l'interpoler. Pour résoudre ce problème, validez les données fournies par l'utilisateur non approuvées qui sont gérées par le framework Angular et faites-les échapper. Niveau de tarification: Premium ou Standard |
A7 | A03 |
Nom de la catégorie dans l'API : |
Un champ dans cette application Web est vulnérable aux attaques de script intersites. Pour résoudre ce problème, validez les données fournies par l'utilisateur non approuvées et faites-les échapper. Niveau de tarification: Premium ou Standard |
A7 | A03 |
Nom de la catégorie dans l'API : |
Une faille XML External Entity (XXE) a été détectée. Cette faille peut entraîner la fuite d'un fichier sur l'hôte par l'application Web. Pour corriger ce résultat, configurez vos analyseurs XML de manière à interdire les entités externes. Niveau de tarification: Premium |
A4 | A05 |
Nom de la catégorie dans l'API : |
L'application est vulnérable à la pollution des prototypes. Cette faille survient lorsque des valeurs qu'un pirate informatique peut contrôler peuvent être attribuées aux propriétés de l'objet Niveau de tarification: Premium ou Standard |
A1 | A03 |
Résultats de l'outil de recommandation IAM
Le tableau suivant liste les résultats de Security Command Center générés par le recommandeur IAM.
Chaque résultat de l'outil de recommandation IAM contient des recommandations spécifiques pour supprimer ou remplacer un rôle qui inclut des autorisations excessives d'un principal dans votre environnement Google Cloud.
Les résultats générés par le recommender IAM correspondent aux recommandations qui s'affichent dans la console Google Cloud sur la page IAM du projet, du dossier ou de l'organisation concernés.
Pour en savoir plus sur l'intégration de l'outil de recommandation IAM à Security Command Center, consultez la section Sources de sécurité.
Détecteur | Résumé |
---|---|
Nom de la catégorie dans l'API : |
Description du résultat: le recommender IAM a détecté un compte de service qui possède un ou plusieurs rôles IAM qui accordent des autorisations excessives au compte utilisateur. Niveau de tarification: Premium Composants compatibles:
Corriger ce résultat :Utilisez l'outil de recommandation IAM pour appliquer la solution recommandée à ce problème en procédant comme suit:
Une fois le problème résolu, le recommender IAM met à jour l'état de la découverte sur |
Nom de la catégorie dans l'API : |
Description du résultat: L'outil de recommandation IAM a détecté que le rôle IAM par défaut d'origine attribué à un agent de service a été remplacé par l'un des rôles IAM de base: Propriétaire, Éditeur ou Lecteur. Les rôles de base sont des rôles anciens excessivement permissifs et ne doivent pas être attribués aux agents de service. Niveau de tarification: Premium Composants compatibles:
Corriger ce résultat :Utilisez l'outil de recommandation IAM pour appliquer la solution recommandée à ce problème en procédant comme suit:
Une fois le problème résolu, le recommender IAM met à jour l'état de la découverte sur |
Nom de la catégorie dans l'API : |
Description du résultat : l'outil de recommandation IAM a détecté qu'un agent de service avait reçu l'un des rôles IAM de base: Propriétaire, Éditeur ou Lecteur. Les rôles de base sont des rôles anciens excessivement permissifs et ne doivent pas être attribués aux agents de service. Niveau de tarification: Premium Composants compatibles:
Corriger ce résultat :Utilisez l'outil de recommandation IAM pour appliquer la solution recommandée à ce problème en procédant comme suit:
Une fois le problème résolu, le recommender IAM met à jour l'état de la découverte sur |
Nom de la catégorie dans l'API : |
Description du résultat: l'outil de recommandation IAM a détecté un compte utilisateur dont le rôle IAM n'a pas été utilisé au cours des 90 derniers jours. Niveau de tarification: Premium Composants compatibles:
Corriger ce résultat :Utilisez l'outil de recommandation IAM pour appliquer la solution recommandée à ce problème en procédant comme suit:
Une fois le problème résolu, le recommender IAM met à jour l'état de la découverte sur |
Résultats de l'analyse CIEM
Le tableau suivant répertorie les résultats d'identité et d'accès de Security Command Center pour AWS générés par la gestion des droits d'accès de l'infrastructure cloud (CIEM, Cloud Infrastructure Entitlement Management).
Les résultats de l'analyse CIEM contiennent des recommandations spécifiques pour supprimer ou remplacer les stratégies IAM AWS très permissives associées à des identités, des utilisateurs ou des groupes supposés dans votre environnement AWS.
Pour en savoir plus sur la gestion des droits d'accès à l'infrastructure cloud, consultez la section Présentation de la gestion des droits d'accès à l'infrastructure cloud.
Détecteur | Résumé |
---|---|
Nom de la catégorie dans l'API : |
Description du résultat: Dans votre environnement AWS, CIEM a détecté un rôle IAM supposé qui comporte une ou plusieurs stratégies très permissives qui enfreignent le principe du moindre privilège et augmentent les risques de sécurité. Niveau de tarification: Entreprise Corriger ce résultat :Selon la découverte, utilisez la console de gestion AWS pour effectuer l'une des tâches de correction suivantes:
Reportez-vous aux détails de l'anomalie pour connaître les étapes de correction spécifiques. |
Nom de la catégorie dans l'API : |
Description du résultat: Dans votre environnement AWS, le CIEM a détecté un groupe IAM qui comporte une ou plusieurs stratégies très permissives qui enfreignent le principe du moindre privilège et augmentent les risques de sécurité. Niveau de tarification: Entreprise Corriger ce résultat :Selon la découverte, utilisez la console de gestion AWS pour effectuer l'une des tâches de correction suivantes:
Reportez-vous aux détails de l'anomalie pour connaître les étapes de correction spécifiques. |
Nom de la catégorie dans l'API : |
Description du résultat: Dans votre environnement AWS, le CIEM a détecté un utilisateur IAM disposant d'une ou de plusieurs stratégies très permissives qui enfreignent le principe du moindre privilège et augmentent les risques de sécurité. Niveau de tarification: Entreprise Corriger ce résultat :Selon la découverte, utilisez la console de gestion AWS pour effectuer l'une des tâches de correction suivantes:
Reportez-vous aux détails de l'anomalie pour connaître les étapes de correction spécifiques. |
Nom de la catégorie dans l'API : |
Description du résultat: Dans votre environnement AWS, CIEM a détecté un utilisateur IAM inactif disposant d'une ou de plusieurs autorisations. Cela enfreint le principe du moindre privilège et augmente les risques de sécurité. Niveau de tarification: Entreprise Corriger ce résultat :Selon la découverte, utilisez la console de gestion AWS pour effectuer l'une des tâches de correction suivantes:
Reportez-vous aux détails de l'anomalie pour connaître les étapes de correction spécifiques. |
Nom de la catégorie dans l'API : |
Description du résultat: Dans votre environnement AWS, CIEM a détecté un groupe IAM inactif disposant d'une ou de plusieurs autorisations. Cela enfreint le principe du moindre privilège et augmente les risques de sécurité. Niveau de tarification: Entreprise Corriger ce résultat :Selon la découverte, utilisez la console de gestion AWS pour effectuer l'une des tâches de correction suivantes:
Reportez-vous aux détails de l'anomalie pour connaître les étapes de correction spécifiques. |
Nom de la catégorie dans l'API : |
Description de la découverte: Dans votre environnement AWS, CIEM a détecté un rôle IAM assumé qui est inactif et dispose d'une ou de plusieurs autorisations. Cela enfreint le principe du moindre privilège et augmente les risques de sécurité. Niveau de tarification: Entreprise Corriger ce résultat :Selon la découverte, utilisez la console de gestion AWS pour effectuer l'une des tâches de correction suivantes:
Reportez-vous aux détails de l'anomalie pour connaître les étapes de correction spécifiques. |
Nom de la catégorie dans l'API : |
Description de la découverte: Dans votre environnement AWS, CIEM a détecté une stratégie de confiance trop permissive appliquée à un rôle IAM AWS qui ne respecte pas le principe du moindre privilège et augmente les risques de sécurité. Niveau de tarification: Entreprise Corriger ce résultat :Utilisez la console de gestion AWS pour modifier les autorisations de la stratégie de confiance appliquée au rôle IAM AWS afin de respecter le principe du moindre privilège. Reportez-vous aux détails de l'anomalie pour connaître les étapes de correction spécifiques. |
Nom de la catégorie dans l'API : |
Description de la découverte: Dans votre environnement AWS, le CIEM a détecté une ou plusieurs identités pouvant se déplacer latéralement par usurpation d'identité. Niveau de tarification: Entreprise Corriger ce résultat :Utilisez la console de gestion AWS pour supprimer la ou les règles associées à l'identité ou aux identités qui autorisent le transfert latéral. Reportez-vous aux détails de l'anomalie pour connaître les étapes de correction spécifiques. |
Résultats du service d'évaluation de la sécurité
Le tableau suivant liste les résultats de Security Command Center générés par le service d'évaluation de la posture de sécurité.
Chaque résultat du service d'évaluation de la posture de sécurité identifie une instance de dérive par rapport à la posture de sécurité que vous avez définie.
Résultat | Résumé |
---|---|
Nom de la catégorie dans l'API : |
Description du résultat: Le service d'état de sécurité a détecté une modification d'un détecteur Security Health Analytics qui s'est produite en dehors d'une mise à jour de l'état. Niveau de tarification: Premium
Corriger ce résultat :Cette constatation vous oblige à accepter ou à annuler la modification afin que les paramètres du détecteur dans votre posture et votre environnement correspondent. Pour résoudre ce problème, vous avez deux options: vous pouvez mettre à jour le détecteur Security Health Analytics ou la posture et le déploiement de la posture. Pour annuler la modification, mettez à jour le détecteur Security Health Analytics dans la console Google Cloud. Pour obtenir des instructions, consultez la section Activer et désactiver des détecteurs. Pour accepter la modification, procédez comme suit:
|
Nom de la catégorie dans l'API : |
Description du résultat: Le service d'état de sécurité a détecté une modification d'un module personnalisé Security Health Analytics qui s'est produite en dehors d'une mise à jour de l'état. Niveau de tarification: Premium Corriger ce résultat :Cette constatation vous oblige à accepter ou à annuler la modification afin que les paramètres du module personnalisé dans votre posture et votre environnement correspondent. Pour résoudre ce problème, vous avez deux options: vous pouvez mettre à jour le module personnalisé Security Health Analytics ou la posture et le déploiement de la posture. Pour annuler la modification, mettez à jour le module personnalisé Security Health Analytics dans la console Google Cloud. Pour savoir comment procéder, consultez Mettre à jour un module personnalisé. Pour accepter la modification, procédez comme suit:
|
Nom de la catégorie dans l'API : |
Description du résultat: Le service d'état de sécurité a détecté qu'un module personnalisé Security Health Analytics a été supprimé. Cette suppression s'est produite en dehors d'une mise à jour de la posture. Niveau de tarification: Premium Corriger ce résultat :Cette constatation vous oblige à accepter ou à annuler la modification afin que les paramètres du module personnalisé dans votre posture et votre environnement correspondent. Pour résoudre ce problème, vous avez deux options: vous pouvez mettre à jour le module personnalisé Security Health Analytics ou la posture et le déploiement de la posture. Pour annuler la modification, mettez à jour le module personnalisé Security Health Analytics dans la console Google Cloud. Pour savoir comment procéder, consultez Mettre à jour un module personnalisé. Pour accepter la modification, procédez comme suit:
|
Nom de la catégorie dans l'API : |
Description du résultat: Le service d'évaluation de la sécurité a détecté une modification d'une règle d'administration qui s'est produite en dehors d'une mise à jour de l'évaluation. Niveau de tarification: Premium Corriger ce résultat :Cette constatation vous oblige à accepter ou à annuler la modification afin que les définitions des règles d'administration de votre posture et de votre environnement correspondent. Vous avez deux options pour résoudre ce problème: vous pouvez mettre à jour la règle d'administration de l'organisation ou la posture et le déploiement de la posture. Pour annuler la modification, mettez à jour la règle de l'organisation dans la console Google Cloud. Pour obtenir des instructions, consultez la section Créer et modifier des règles. Pour accepter la modification, procédez comme suit:
|
Nom de la catégorie dans l'API : |
Description du résultat: Le service d'état de sécurité a détecté qu'une règle d'administration a été supprimée. Cette suppression s'est produite en dehors d'une mise à jour de la posture. Niveau de tarification: Premium Corriger ce résultat :Cette constatation vous oblige à accepter ou à annuler la modification afin que les définitions des règles d'administration de votre posture et de votre environnement correspondent. Vous avez deux options pour résoudre ce problème: vous pouvez mettre à jour la règle d'administration de l'organisation ou la posture et le déploiement de la posture. Pour annuler la modification, mettez à jour la règle de l'organisation dans la console Google Cloud. Pour obtenir des instructions, consultez la section Créer et modifier des règles. Pour accepter la modification, procédez comme suit:
|
Nom de la catégorie dans l'API : |
Description du résultat: Le service d'état de sécurité a détecté une modification d'une règle d'administration personnalisée qui s'est produite en dehors d'une mise à jour de l'état. Niveau de tarification: Premium Corriger ce résultat :Cette constatation vous oblige à accepter ou à annuler la modification afin que les définitions personnalisées des règles d'administration de votre posture et de votre environnement correspondent. Pour résoudre ce problème, vous avez deux options: vous pouvez mettre à jour la règle d'administration personnalisée ou la posture et le déploiement de la posture. Pour annuler la modification, mettez à jour la règle d'administration personnalisée dans la console Google Cloud. Pour obtenir des instructions, consultez la section Modifier une contrainte personnalisée. Pour accepter la modification, procédez comme suit:
|
Nom de la catégorie dans l'API : |
Description du résultat: Le service d'évaluation de la sécurité a détecté qu'une règle d'administration personnalisée a été supprimée. Cette suppression s'est produite en dehors d'une mise à jour de la posture. Niveau de tarification: Premium Corriger ce résultat :Cette constatation vous oblige à accepter ou à annuler la modification afin que les définitions personnalisées des règles d'administration de votre posture et de votre environnement correspondent. Pour résoudre ce problème, vous avez deux options: vous pouvez mettre à jour la règle d'administration personnalisée ou la posture et le déploiement de la posture. Pour annuler la modification, mettez à jour la règle d'administration personnalisée dans la console Google Cloud. Pour obtenir des instructions, consultez la section Modifier une contrainte personnalisée. Pour accepter la modification, procédez comme suit:
|
Le tableau suivant liste les résultats de l'état de sécurité qui identifient les cas de non-respect des ressources par rapport à l'état de sécurité défini.
Résultat | Résumé |
---|---|
Nom de la catégorie dans l'API : |
Description du résultat: Le service d'évaluation de la sécurité a détecté qu'une adresse IPv6 externe était activée sur un sous-réseau. Niveau de tarification: Premium Corriger ce résultat :Vous avez deux options pour résoudre ce problème: vous pouvez supprimer la ressource non conforme ou mettre à jour la posture et la redéployer. Pour supprimer la ressource, procédez comme suit:
Si vous souhaitez conserver la ressource dans la même configuration, vous devez mettre à jour la posture. Pour modifier la posture, procédez comme suit:
|
Nom de la catégorie dans l'API : |
Description du résultat: Le service d'évaluation de la sécurité a détecté qu'une adresse IPv6 interne était activée sur un sous-réseau. Niveau de tarification: Premium Corriger ce résultat :Vous avez deux options pour résoudre ce problème: vous pouvez supprimer la ressource non conforme ou mettre à jour la posture et la redéployer. Pour supprimer la ressource, procédez comme suit:
Si vous souhaitez conserver la ressource dans la même configuration, vous devez mettre à jour la posture. Pour modifier la posture, procédez comme suit:
|
Nom de la catégorie dans l'API : |
Description du résultat: Le service d'état de sécurité a détecté que l'OS Login est désactivée dans une instance de VM. Niveau de tarification: Premium Corriger ce résultat :Vous avez deux options pour résoudre ce problème: vous pouvez mettre à jour la ressource non conforme ou mettre à jour la posture et la redéployer. Pour mettre à jour la ressource, procédez comme suit:
Si vous souhaitez conserver la ressource dans la même configuration, vous devez mettre à jour la posture. Pour modifier la posture, procédez comme suit:
|
Nom de la catégorie dans l'API : |
Description du résultat: Le service d'état de sécurité a détecté qu'un réseau autorisé a été ajouté à une instance SQL. Niveau de tarification: Premium Corriger ce résultat :Pour résoudre ce problème, vous devez corriger le non-respect ou mettre à jour la posture. Vous avez deux options pour résoudre ce problème: vous pouvez mettre à jour la ressource non conforme ou mettre à jour la posture et la redéployer. Pour mettre à jour la ressource, procédez comme suit:
Si vous souhaitez conserver la ressource dans la même configuration, vous devez mettre à jour la posture. Pour modifier la posture, procédez comme suit:
|
Nom de la catégorie dans l'API : |
Description du résultat: Le service d'état de sécurité a détecté qu'un connecteur VPC n'est pas activé pour une instance de fonction Cloud Run. Niveau de tarification: Premium Corriger ce résultat :Vous avez deux options pour résoudre ce problème: vous pouvez mettre à jour la ressource non conforme ou mettre à jour la posture et la redéployer. Pour mettre à jour la ressource, procédez comme suit:
Si vous souhaitez conserver la ressource dans la même configuration, vous devez mettre à jour la posture. Pour mettre à jour la posture, procédez comme suit:
|
Nom de la catégorie dans l'API : |
Description du résultat: Le service d'état de sécurité a détecté que l'accès au port série d'une instance de VM est activé. Niveau de tarification: Premium Corriger ce résultat :Vous avez deux options pour résoudre ce problème: vous pouvez mettre à jour la ressource non conforme ou mettre à jour la posture et la redéployer. Pour mettre à jour la ressource, procédez comme suit:
Si vous souhaitez conserver la ressource dans la même configuration, vous devez mettre à jour la posture. Pour modifier la posture, procédez comme suit:
|
Nom de la catégorie dans l'API : |
Description du résultat: Le service d'état de sécurité a détecté qu'un réseau par défaut était créé. Niveau de tarification: Premium Corriger ce résultat :Vous avez deux options pour résoudre ce problème: vous pouvez supprimer la ressource non conforme ou mettre à jour la posture et la redéployer. Pour supprimer la ressource, procédez comme suit:
Si vous souhaitez conserver la ressource dans la même configuration, vous devez mettre à jour la posture. Pour modifier la posture, procédez comme suit:
|
Nom de la catégorie dans l'API : |
Description du résultat: Le service d'évaluation de la sécurité a détecté qu'un service Cloud Run ne respectait pas les paramètres d'entrée spécifiés. Niveau de tarification: Premium Corriger ce résultat :Vous avez deux options pour résoudre ce problème: vous pouvez mettre à jour la ressource non conforme ou mettre à jour la posture et la redéployer. Pour mettre à jour la ressource, procédez comme suit:
Si vous souhaitez conserver la ressource dans la même configuration, vous devez mettre à jour la posture. Pour modifier la posture, procédez comme suit:
|
Nom de la catégorie dans l'API : |
Description du résultat: Le service d'état de sécurité a détecté qu'un accès au niveau du bucket est précis au lieu d'être uniforme. Niveau de tarification: Premium Corriger ce résultat :Vous avez deux options pour résoudre ce problème: vous pouvez mettre à jour la ressource non conforme ou mettre à jour la posture et la redéployer. Pour mettre à jour la ressource, procédez comme suit:
Si vous souhaitez conserver la ressource dans la même configuration, vous devez mettre à jour la posture. Pour mettre à jour la posture, procédez comme suit:
|
Nom de la catégorie dans l'API : |
Description du résultat: Le service d'évaluation de la sécurité a détecté qu'un service Cloud Run ne respectait pas les paramètres de sortie spécifiés. Niveau de tarification: Premium Corriger ce résultat :Vous avez deux options pour résoudre ce problème: vous pouvez mettre à jour la ressource non conforme ou mettre à jour la posture et la redéployer. Pour mettre à jour la ressource, procédez comme suit:
Si vous souhaitez conserver la ressource dans la même configuration, vous devez mettre à jour la posture. Pour modifier la posture, procédez comme suit:
|
VM Manager
VM Manager est une suite d'outils qui permet de gérer les systèmes d'exploitation des grands parcs de machines virtuelles (VM) exécutant Windows et Linux sur Compute Engine.
Si vous activez VM Manager avec Security Command Center Premium au niveau de l'organisation, VM Manager écrit les résultats dans ses rapports de failles en version bêta dans Security Command Center. Les rapports identifient les failles dans les systèmes d'exploitation installés sur les VM, y compris les failles CVE courantes (Common Vulnerabilities and Exposures).
Pour utiliser VM Manager avec des activations au niveau du projet de Security Command Center Premium, activez Security Command Center Standard dans l'organisation parente.
Les rapports de failles ne sont pas disponibles dans le niveau Standard de Security Command Center.
Les résultats simplifient l'utilisation de la fonctionnalité de conformité des correctifs de VM Manager, qui est en version bêta. Cette fonctionnalité vous permet de gérer les correctifs au niveau de l'organisation dans tous vos projets.
La gravité des résultats de failles reçus de VM Manager est toujours CRITICAL
ou HIGH
.
Résultats de VM Manager
Les failles de ce type concernent toutes les packages de système d'exploitation installés dans les VM Compute Engine compatibles.
Détecteur | Résumé | Paramètres d'analyse des éléments |
---|---|---|
Nom de la catégorie dans l'API : |
Description du résultat: VM Manager a détecté une faille dans le package du système d'exploitation (OS) installé pour une VM Compute Engine. Niveau de tarification: Premium Composants compatibles |
Les rapports de failles de VM Manager détaillent les failles dans les packages de système d'exploitation installés pour les VM Compute Engine, y compris les failles CVE courantes. Pour obtenir la liste complète des systèmes d'exploitation compatibles, consultez la section Détails des systèmes d'exploitation. Des résultats s'affichent dans Security Command Center peu de temps après la détection de failles. Dans VM Manager, les rapports de failles sont générés comme suit :
|
Examiner les résultats dans la console
Console Google Cloud
- Dans la console Google Cloud, accédez à la page Résultats de Security Command Center.
- Sélectionnez votre projet ou votre organisation Google Cloud.
- Dans la sous-section Nom à afficher pour la source de la section Filtres rapides, sélectionnez VM Manager. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats de cette source.
- Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la colonne Catégorie. Le panneau d'informations du résultat s'ouvre et affiche l'onglet Résumé.
- Dans l'onglet Récapitulatif, examinez les détails de l'anomalie, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les mesures que vous pouvez prendre pour corriger l'anomalie.
- Facultatif: Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.
Console Security Operations
-
Dans la console Security Operations, accédez à la page Résultats.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Remplacez
CUSTOMER_SUBDOMAIN
par votre identifiant client. - Dans la section Agrégations, cliquez pour développer la sous-section Nom à afficher de la source.
- Sélectionnez VM Manager. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats de cette source.
- Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la colonne Catégorie. Le panneau d'informations du résultat s'ouvre et affiche l'onglet Résumé.
- Dans l'onglet Récapitulatif, examinez les détails de l'anomalie, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les mesures que vous pouvez prendre pour corriger l'anomalie.
- Facultatif: Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.
Corriger les résultats de VM Manager
Un résultat OS_VULNERABILITY
indique que VM Manager a détecté une faille dans les packages du système d'exploitation installés dans une VM Compute Engine.
Pour corriger ce résultat, procédez comme suit :
Ouvrez un résultat
OS vulnerability
et affichez sa définition JSON.Copiez la valeur du champ
externalUri
. Cette valeur correspond à l'URI de la page Informations sur l'OS de l'instance de VM Compute Engine sur laquelle le système d'exploitation vulnérable est installé.Appliquez tous les correctifs appropriés pour l'OS indiqué dans la section Informations générales. Pour obtenir des instructions sur le déploiement des correctifs, consultez la section Créer des jobs d'application de correctifs.
éléments et les paramètres d'analyse compatibles de ce type de résultat.
En savoir plus sur lesIgnorer les résultats de VM Manager
Vous pouvez masquer tout ou partie des résultats de VM Manager dans Security Command Center s'ils ne sont pas pertinents par rapport à vos exigences de sécurité.
Vous pouvez masquer les résultats de VM Manager en créant une règle de masquage et en ajoutant des attributs de requête spécifiques aux résultats de VM Manager que vous souhaitez masquer.
Pour créer une règle de masquage pour VM Manager à l'aide de la console Google Cloud, procédez comme suit:
Dans la console Google Cloud, accédez à la page Résultats de Security Command Center.
Si nécessaire, sélectionnez votre projet ou votre organisation GooglenCloud.
Cliquez sur Ignorer les options, puis sélectionnez Créer une règle de blocage.
Saisissez un ID de règle de blocage. Veuillez indiquer une valeur.
Saisissez une description de la règle de blocage qui fournit des informations sur la raison pour laquelle les résultats sont ignorés. Cette valeur est facultative, mais recommandée.
Vérifiez le champ d'application de la règle de masquage en consultant la valeur Ressource parente.
Dans le champ Requête sur les résultats, créez vos instructions de requête en cliquant sur Ajouter un filtre. Vous pouvez également saisir manuellement les instructions de requête.
Dans la boîte de dialogue Select filter (Sélectionner un filtre), sélectionnez Finding > Source display name > VM Manager (Recherche > Nom à afficher pour la source > VM Manager).
Cliquez sur Appliquer.
Répétez l'opération jusqu'à ce que la requête de masquage contienne tous les attributs que vous souhaitez masquer.
Par exemple, si vous souhaitez masquer des ID CVE spécifiques dans les résultats de failles de VM Manager, sélectionnez Faille > ID CVE, puis les ID CVE que vous souhaitez masquer.
La requête de recherche se présente comme suit:
Cliquez sur Prévisualiser les résultats correspondants.
Une table affiche les résultats correspondant à votre requête.
Cliquez sur Enregistrer.
Sensitive Data Protection
Cette section décrit les résultats de failles générés par la protection des données sensibles, les normes de conformité qu'ils respectent et la manière de les corriger.
La protection des données sensibles envoie également les résultats d'observation à Security Command Center. Pour en savoir plus sur les résultats des observations et sur Sensitive Data Protection, consultez Sensitive Data Protection.
Pour savoir comment afficher les résultats, consultez la section Examiner les résultats de Sensitive Data Protection dans la console Google Cloud.
Le service de découverte Sensitive Data Protection vous aide à déterminer si vous stockez des données hautement sensibles qui ne sont pas protégées.
Catégorie | Résumé |
---|---|
Nom de la catégorie dans l'API:
|
Description du résultat: La ressource spécifiée contient des données hautement sensibles auxquelles n'importe qui peut accéder sur Internet. Composants compatibles:
Correction: Pour les données Google Cloud, supprimez Pour les données Amazon S3, configurez les paramètres de blocage de l'accès public ou mettez à jour la LCA de l'objet pour refuser l'accès en lecture public. Normes de conformité: non mappées |
Nom de la catégorie dans l'API:
|
Description du résultat: Des secrets (mots de passe, jetons d'authentification et identifiants Google Cloud, par exemple) sont présents dans les variables d'environnement. Pour activer ce détecteur, consultez la section Signaler les secrets dans les variables d'environnement à Security Command Center dans la documentation sur Sensitive Data Protection. Composants compatibles: Correction: Pour les variables d'environnement des fonctions Cloud Run, supprimez le secret de la variable d'environnement et stockez-le dans Secret Manager à la place. Pour les variables d'environnement de révision du service Cloud Run, déplacez tout le trafic hors de la révision, puis supprimez-la. Normes de conformité:
|
Nom de la catégorie dans l'API:
|
Description du résultat: la ressource spécifiée contient des secrets (mots de passe, jetons d'authentification et identifiants cloud, par exemple). Composants compatibles:
Correction:
Normes de conformité: non mappées |
Policy Controller
Policy Controller permet d'appliquer des règles programmables pour vos clusters Kubernetes enregistrés en tant que membres de parc. Ces règles servent de garde-fous et peuvent vous aider à appliquer les bonnes pratiques, ainsi qu'à gérer la sécurité et la conformité de vos clusters et de votre parc.
Cette page ne liste pas tous les résultats individuels de Policy Controller, mais les informations sur les résultats de la classe Misconfiguration
que Policy Controller écrit dans Security Command Center sont les mêmes que les cas de non-respect des clusters documentés pour chaque bundle Policy Controller. La documentation des types de résultats de Policy Controller se trouve dans les groupes Policy Controller suivants:
Benchmark CIS de Kubernetes v1.5.1, un ensemble de recommandations permettant de configurer Kubernetes pour garantir un niveau de sécurité élevé. Vous pouvez également consulter des informations sur ce bundle dans le dépôt GitHub pour
cis-k8s-v1.5.1
.PCI-DSS v3.2.1, un lot qui évalue la conformité des ressources de votre cluster par rapport à certains aspects de la norme PCI-DSS (Payment Card Industry Data Security Standard) v3.2.1. Vous pouvez également consulter des informations sur ce bundle dans le dépôt GitHub pour
pci-dss-v3
.
Cette fonctionnalité n'est pas compatible avec les périmètres de service VPC Service Controls autour de l'API Stackdriver.
Rechercher et résoudre les problèmes identifiés par Policy Controller
Les catégories Policy Controller correspondent aux noms de contraintes listés dans la documentation des groupes Policy Controller. Par exemple, un résultat require-namespace-network-policies
indique qu'un espace de noms ne respecte pas la règle selon laquelle chaque espace de noms d'un cluster doit avoir un NetworkPolicy
.
Pour corriger un résultat, procédez comme suit:
Console Google Cloud
- Dans la console Google Cloud, accédez à la page Résultats de Security Command Center.
- Sélectionnez votre projet ou votre organisation Google Cloud.
- Dans la section Filtres rapides, dans la sous-section Nom à afficher pour la source, sélectionnez Policy Controller On-Cluster. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats de cette source.
- Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la colonne Catégorie. Le panneau d'informations du résultat s'ouvre et affiche l'onglet Résumé.
- Dans l'onglet Récapitulatif, examinez les détails de l'anomalie, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les mesures que vous pouvez prendre pour corriger l'anomalie.
- Facultatif: Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.
Console Security Operations
-
Dans la console Security Operations, accédez à la page Résultats.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Remplacez
CUSTOMER_SUBDOMAIN
par votre identifiant client. - Dans la section Agrégations, cliquez pour développer la sous-section Nom à afficher de la source.
- Sélectionnez Policy Controller sur le cluster. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats de cette source.
- Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la colonne Catégorie. Le panneau d'informations du résultat s'ouvre et affiche l'onglet Résumé.
- Dans l'onglet Récapitulatif, examinez les détails de l'anomalie, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les mesures que vous pouvez prendre pour corriger l'anomalie.
- Facultatif: Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.
Étape suivante
Découvrez comment utiliser Security Health Analytics.
Découvrez comment utiliser Web Security Scanner.
Consultez les suggestions pour corriger les résultats de Security Health Analytics et corriger les résultats de Web Security Scanner.