Les détecteurs Security Health Analytics et Web Security Scanner génèrent des résultats de failles disponibles dans Security Command Center. Lorsqu'ils sont activés dans Security Command Center, les services intégrés, comme VM Manager, génèrent également des résultats de failles.
Votre capacité à afficher et à modifier les résultats est déterminée par les rôles et autorisations IAM (Identity and Access Management) qui vous sont attribués. Pour en savoir plus sur les rôles IAM dans Security Command Center, consultez la page Contrôle des accès.
Détecteurs et conformité
Security Command Center surveille votre conformité à l'aide de détecteurs mappés aux contrôles d'une grande variété de normes de sécurité.
Pour chaque norme de sécurité compatible, Security Command Center vérifie un sous-ensemble de contrôles. Pour les contrôles cochés, Security Command Center indique le nombre de contrôles réussis. Pour les contrôles qui ne sont pas conformes, Security Command Center affiche une liste de résultats décrivant les échecs de contrôle.
Le CIS examine et certifie les mises en correspondance des détecteurs Security Command Center avec chaque version compatible du benchmark CIS Google Cloud Foundations. Des mises en correspondance supplémentaires pour la conformité sont incluses à titre de référence uniquement.
Security Command Center ajoute régulièrement la compatibilité avec de nouvelles versions de benchmarks et de normes. Les anciennes versions restent compatibles, mais sont finalement abandonnées. Nous vous recommandons d'utiliser le dernier benchmark ou la dernière norme compatible disponible.
Le service de stratégie de sécurité vous permet de mapper les règles d'administration et les détecteurs Security Health Analytics aux normes et contrôles qui s'appliquent à votre entreprise. Une fois que vous avez créé une posture de sécurité, vous pouvez surveiller les modifications apportées à l'environnement qui pourraient affecter la conformité de votre entreprise.
Pour en savoir plus sur la gestion de la conformité, consultez Évaluer et signaler la conformité aux normes de sécurité.
Normes de sécurité acceptées
Google Cloud
Security Command Center mappe les détecteurs pour Google Cloud avec une ou plusieurs des normes de conformité suivantes :
- CIS Controls 8.0 (Center for Information Security)
- Benchmark CIS Google Cloud Computing Foundations v2.0.0, v1.3.0, v1.2.0, v1.1.0 et v1.0.0
- Benchmark CIS de Kubernetes v1.5.1
- Cloud Controls Matrix (CCM) 4
- Health Insurance Portability and Accountability Act (HIPAA)
- Organisation internationale de normalisation (ISO) 27001, 2022 et 2013
- NIST (National Institute of Standards and Technology) 800-53 R5 et R4
- NIST (National Institute of Standards and Technology) Cybersecurity Framework (CSF) 1.0
- Top 10 de l'OWASP (Open Web Application Security Project), 2021 et 2017
- Normes PCI DSS (Payment Card Industry Data Security Standard) 4.0 et 3.2.1
- Contrôles des systèmes et de l'organisation (SOC) 2 Critères des services de confiance (TSC) de 2017
AWS
Security Command Center mappe les détecteurs pour Amazon Web Services (AWS) à une ou plusieurs des normes de conformité suivantes :
- CIS Amazon Web Services Foundations 2.0.0
- CIS Critical Security Controls version 8.0
- Cloud Controls Matrix (CCM) 4
- Health Insurance Portability and Accountability Act (HIPAA)
- Organisation internationale de normalisation (ISO) 27001, 2022
- National Institute of Standards and Technology (NIST) 800-53 R5
- National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF) 1.0
- Normes PCI DSS (Payment Card Industry Data Security Standard) 4.0 et 3.2.1
- System and Organization Controls (SOC) 2 Critères de services fiables (TSC) 2017
Pour savoir comment afficher et exporter des rapports de conformité, consultez Évaluer la conformité aux normes de sécurité et générer des rapports.
Constat de désactivation après résolution
Une fois que vous avez corrigé une faille ou une erreur de configuration, le service Security Command Center qui a détecté le résultat définit automatiquement l'état du résultat sur INACTIVE la prochaine fois que le service de détection analysera le résultat. Le temps nécessaire à Security Command Center pour définir un résultat corrigé sur INACTIVE dépend de la programmation de l'analyse qui a détecté le résultat.
Les services Security Command Center définissent également l'état d'un résultat de faille ou d'erreur de configuration sur INACTIVE lorsqu'une analyse détecte que la ressource concernée par le résultat a été supprimée.
Pour en savoir plus sur les intervalles d'analyse, consultez les rubriques suivantes :
Résultats de l'analyse de l'état de la sécurité
Les détecteurs de Security Health Analytics surveillent un sous-ensemble de ressources de l'inventaire des éléments cloud (CAI) et reçoivent des notifications concernant les modifications apportées aux règles de gestion des ressources et de gestion de l'authentification et des accès (IAM). Certains détecteurs récupèrent les données en appelant directement les API Google Cloud , comme indiqué dans les tableaux plus loin sur cette page.
Pour en savoir plus sur Security Health Analytics, les plannings d'analyse et la compatibilité de Security Health Analytics avec les détecteurs de modules intégrés et personnalisés, consultez Présentation de Security Health Analytics.
Les tableaux suivants décrivent les détecteurs de Security Health Analytics, les éléments et les normes de conformité qu'ils acceptent, les paramètres qu'ils utilisent pour les analyses et les types de résultats qu'ils génèrent. Vous pouvez filtrer les résultats par différents attributs sur les pages suivantes de la console Google Cloud :
- Sur les niveaux Standard et Premium, la page Failles.
- Sur la page Risque > Vue d'ensemble du niveau Enterprise. Sélectionnez la vue Failles CVE.
Pour obtenir des instructions sur la résolution des problèmes et la protection de vos ressources, consultez Corriger les résultats de Security Health Analytics.
Résultats de failles de clé API
Le détecteur API_KEY_SCANNER identifie les failles liées aux clés API utilisées dans votre déploiement cloud.
| Détecteur | Résumé | Paramètres d'analyse des éléments |
|---|---|---|
|
Description du résultat : Certaines clés API sont utilisées de manière trop large. Pour résoudre ce problème, limitez l'utilisation des clés API afin de n'autoriser que les API nécessaires à l'application. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Récupère la propriété
|
|
Description du résultat : certaines clés API sont utilisées de manière illimitée, ce qui permet leur utilisation par toute application non approuvée. Niveau de tarification : Premium
Composants acceptés Normes de conformité :
|
Récupère la propriété
|
|
Description du résultat : un projet utilise des clés API au lieu de l'authentification standard. Niveau de tarification : Premium
Composants acceptés Normes de conformité :
|
Récupère toutes les clés API appartenant à un projet.
|
|
Description du résultat : La clé API n'a pas été alternée depuis plus de 90 jours. Niveau de tarification : Premium
Composants acceptés Normes de conformité :
|
Récupère l'horodatage contenu dans la propriété
|
Résultats de faille inventaire des éléments cloud
Les failles de ce type de détecteur sont toutes liées aux configurations inventaire des éléments cloud et appartiennent au type CLOUD_ASSET_SCANNER.
| Détecteur | Résumé | Paramètres d'analyse des éléments |
|---|---|---|
|
Description du résultat : l'enregistrement des ressources Google Cloud et des règles IAM par l'inventaire des éléments cloud permet d'effectuer des analyses de sécurité, le suivi des modifications des ressources et des audits de conformité. Nous vous recommandons d'activer le service inventaire des éléments cloud pour tous les projets. Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie si le service inventaire des éléments cloud est activé.
|
Résultats de failles de stockage
Les failles de ce type de détecteur sont toutes liées aux configurations de buckets Cloud Storage et appartiennent au typeSTORAGE_SCANNER.
| Détecteur | Résumé | Paramètres d'analyse des éléments |
|---|---|---|
|
Description du résultat : un bucket n'est pas chiffré avec des clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver les détecteurs. Niveau de tarification : Premium
Éléments compatibles Normes de conformité : Cette catégorie de résultats n'est associée à aucun contrôle de norme de conformité. |
Vérifie le champ
|
|
Description du résultat : l'accès uniforme au niveau du bucket, précédemment appelé "Stratégie du bucket seulement", n'est pas configuré. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie si la propriété
|
|
Description du résultat : un bucket Cloud Storage est accessible au public. Niveau de tarification : Premium ou Standard
Éléments compatibles Normes de conformité :
|
Vérifie la stratégie d'autorisation IAM d'un bucket pour les rôles publics,
|
|
Description du résultat : un bucket de stockage utilisé comme récepteur de journaux est accessible au public. Ce résultat n'est pas disponible pour les activations au niveau du projet. Niveau de tarification : Premium ou Standard
Éléments compatibles Normes de conformité :
|
Vérifie la stratégie d'autorisation IAM d'un bucket pour les comptes principaux
|
Résultats de failles d'images Compute
Le détecteur COMPUTE_IMAGE_SCANNER identifie les failles liées aux configurations d'imageGoogle Cloud .
| Détecteur | Résumé | Paramètres d'analyse des éléments |
|---|---|---|
|
Description du résultat : une image Compute Engine est accessible au public. Niveau de tarification : Premium ou Standard
Composants acceptés Normes de conformité : Cette catégorie de résultats n'est associée à aucun contrôle de norme de conformité. |
Vérifie la stratégie d'autorisation IAM des métadonnées de ressource pour les comptes principaux
|
Résultats de failles d'instance Compute
Le détecteur COMPUTE_INSTANCE_SCANNER identifie les failles liées aux configurations d'instance Compute Engine.
Les détecteurs COMPUTE_INSTANCE_SCANNER ne signalent pas les résultats sur les instances Compute Engine créées par GKE. Les noms de ces instances commencent par "gke-", et les utilisateurs ne peuvent pas modifier cette convention. Pour sécuriser ces instances, reportez-vous à la section "Résultats de failles de conteneur".
| Détecteur | Résumé | Paramètres d'analyse des éléments |
|---|---|---|
|
Description du résultat : l'informatique confidentielle est désactivée sur une instance Compute Engine. Niveau de tarification : Premium
Composants acceptés Normes de conformité :
|
Vérifie la propriété
|
|
Description du résultat : les clés SSH au niveau du projet sont utilisées. Elles permettent de se connecter à toutes les instances du projet. Niveau de tarification : Premium
Composants acceptés Normes de conformité :
|
Vérifie l'objet
|
|
Description du résultat : Le démarrage sécurisé n'est pas activé sur cette VM protégée. L'utilisation du démarrage sécurisé permet de protéger les instances de machines virtuelles contre les menaces avancées, telles que les rootkits et les bootkits. Niveau de tarification : Premium Éléments compatibles Normes de conformité : Cette catégorie de résultats n'est associée à aucun contrôle de norme de conformité. |
Vérifie la propriété
|
|
Description du résultat : les ports série sont activés pour une instance, ce qui permet de se connecter à la console série de l'instance. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie l'objet
|
|
Description du résultat : une instance est configurée pour utiliser le compte de service par défaut. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie la propriété
|
|
Description du résultat : les disques de cette VM ne sont pas chiffrés avec les clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs. Niveau de tarification : Premium
Éléments compatibles Normes de conformité : Cette catégorie de résultats n'est associée à aucun contrôle de norme de conformité. |
Vérifie le champ
|
|
Description du résultat : Les disques de cette VM ne sont pas chiffrés avec les clés de chiffrement fournies par le client (CSEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la section Détecteur de cas particuliers. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie le champ
|
|
Description du résultat : une instance est configurée pour utiliser le compte de service par défaut avec un accès complet à toutes les API Google Cloud. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Récupère le champ
|
|
Description du résultat : une instance utilise un équilibreur de charge configuré pour utiliser un proxy HTTP cible au lieu d'un proxy HTTPS cible. Pour les activations du niveau Premium de Security Command Center au niveau du projet, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Détermine si la propriété
|
|
Description du résultat : OS Login est désactivé sur cette instance. Pour les activations du niveau Premium de Security Command Center au niveau des projets, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles
Normes de conformité :
|
Vérifie si la propriété
|
|
Description du résultat : Le transfert IP est activé sur les instances. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie si la propriété
|
|
Description du résultat : OS Login est désactivé sur ce projet. Pour les activations du niveau Premium de Security Command Center au niveau des projets, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie l'objet
|
|
Description du résultat : une instance possède une adresse IP publique. Niveau de tarification : Premium ou Standard
Éléments compatibles Normes de conformité :
|
Vérifie si la propriété
|
|
Description du résultat : La VM protégée est désactivée sur cette instance. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie la propriété
|
|
Description du résultat : une instance a une règle SSL faible. Pour les activations du niveau Premium de Security Command Center au niveau des projets, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie si
|
Résultats de failles de conteneur
Ces types de résultats sont tous liés aux configurations de conteneurs GKE et appartiennent au type de détecteur CONTAINER_SCANNER.
| Détecteur | Résumé | Paramètres d'analyse des éléments |
|---|---|---|
|
Description du résultat : les fonctionnalités du cluster alpha sont activées pour un cluster GKE. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie si la propriété
|
|
Description du résultat : la fonctionnalité de réparation automatique d'un cluster GKE, qui maintient les nœuds en bon état de fonctionnement, est désactivée. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie la propriété
|
|
Description du résultat : La fonctionnalité de mise à niveau automatique des clusters GKE, qui conserve les clusters et les pools de nœuds sur la dernière version stable de Kubernetes, est désactivée. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie la propriété
|
|
Description du résultat : l'autorisation binaire est désactivée sur le cluster GKE ou la stratégie d'autorisation binaire est configurée pour autoriser le déploiement de toutes les images. Niveau de tarification : Premium
Éléments compatibles Normes de conformité : Cette catégorie de résultats n'est associée à aucun contrôle de norme de conformité. |
Vérifie les éléments suivants :
|
|
Description du résultat : La journalisation n'est pas activée pour un cluster GKE. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie si la propriété
|
|
Description du résultat : Monitoring est désactivé sur les clusters GKE. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie si la propriété
|
|
Description du résultat : les hôtes de cluster ne sont pas configurés pour utiliser uniquement des adresses IP internes privées pour accéder aux API Google. Pour les activations du niveau Premium de Security Command Center au niveau des projets, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie si la propriété
|
|
Description du résultat : le chiffrement des secrets au niveau de la couche d'application est désactivé sur un cluster GKE. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie la propriété
|
|
Description du résultat : les nœuds GKE protégés ne sont pas activés pour un cluster. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie la propriété
|
|
Description du résultat : Les VM Compute Engine n'utilisent pas la version de Container-Optimized OS conçue pour exécuter des conteneurs Docker sur Google Cloud en toute sécurité. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie la propriété
|
|
Description du résultat : la surveillance de l'intégrité est désactivée pour un cluster GKE. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie la propriété
|
|
Description du résultat : la visibilité intranœud est désactivée pour un cluster GKE. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie la propriété
|
|
Description du résultat : un cluster GKE a été créé avec des plages d'adresses IP d'alias désactivées. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie si le champ
|
|
Description du résultat : l'ancienne autorisation est activée sur les clusters GKE. Niveau de tarification : Premium ou Standard
Éléments compatibles Normes de conformité :
|
Vérifie la propriété
|
|
Description du résultat Les anciennes métadonnées sont activées sur les clusters GKE. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie la propriété
|
|
Description du résultat : Les réseaux autorisés du plan de contrôle ne sont pas activés sur les clusters GKE. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie la propriété
|
|
Description du résultat : La règle de réseau est désactivée sur les clusters GKE. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie le champ
|
|
Description du résultat : Les disques de démarrage de ce pool de nœuds ne sont pas chiffrés avec les clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs. Niveau de tarification : Premium
Éléments compatibles Normes de conformité : Cette catégorie de résultats n'est associée à aucun contrôle de norme de conformité. |
Vérifie la propriété
|
|
Description du résultat : le démarrage sécurisé est désactivé pour un cluster GKE. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie la propriété
|
|
Description du résultat : Un compte de service bénéficie d'un accès aux projets trop étendu dans un cluster. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Évalue la propriété
|
|
Description du résultat : un compte de service de nœud possède des champs d'application d'accès étendus. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie si le niveau d'accès répertorié dans la propriété config.oauthScopes d'un pool de nœuds est un niveau d'accès limité au compte de service : https://www.googleapis.com/auth/devstorage.read_only, https://www.googleapis.com/auth/logging.write, ou https://www.googleapis.com/auth/monitoring.
|
|
Description du résultat : PodSecurityPolicy est désactivé sur un cluster GKE. Pour les activations du niveau Premium de Security Command Center au niveau des projets, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie la propriété
|
|
Description du résultat : Un cluster GKE possède un cluster privé désactivé. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie si le champ
|
|
Description du résultat : un cluster GKE n'est pas abonné à un canal de publication. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie la propriété
|
|
Description du résultat : L'UI Web (tableau de bord) de GKE est activée. Niveau de tarification : Premium ou Standard
Éléments compatibles Normes de conformité :
|
Vérifie le champ
|
|
Description du résultat : Workload Identity est désactivé sur un cluster GKE. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie si la propriété
|
Résultats de failles Dataproc
Les failles de ce type de détecteur sont toutes liées à Dataproc et appartiennent au type de détecteur DATAPROC_SCANNER.
| Détecteur | Résumé | Paramètres d'analyse des éléments |
|---|---|---|
|
Description du résultat : un cluster Dataproc a été créé sans configuration de chiffrement CMEK. Avec CMEK, les clés que vous créez et gérez dans Cloud Key Management Service encapsulent les clés utilisées par Google Cloud pour chiffrer vos données, ce qui vous permet de mieux contrôler l'accès à vos données. Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie si le champ
|
|
Description du résultat : Un cluster Dataproc a été créé avec une version d'image Dataproc affectée par les failles de sécurité dans l'utilitaire Apache Log4j 2 (CVE-2021-44228). et CVE-2021-45046. Niveau de tarification : Premium ou Standard
Éléments compatibles Normes de conformité : Cette catégorie de résultats n'est associée à aucun contrôle de norme de conformité. |
Vérifie si le champ
|
Résultats de failles d'ensemble de données
Les failles de ce type de détecteur sont toutes liées aux configurations de l'ensemble de données BigQuery et appartiennent au type de détecteur DATASET_SCANNER.
| Détecteur | Résumé | Paramètres d'analyse des éléments |
|---|---|---|
|
Description du résultat : une table BigQuery n'est pas configurée pour utiliser une clé de chiffrement gérée par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie si le champ
|
|
Description du résultat : un ensemble de données BigQuery n'est pas configuré pour utiliser une clé CMEK par défaut. Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie si le champ
|
|
Description du résultat : Un ensemble de données est configuré pour être accessible au public. Niveau de tarification : Premium ou Standard
Éléments compatibles Normes de conformité :
|
Vérifie la stratégie d'autorisation IAM des métadonnées de ressource pour les comptes principaux
|
Résultats de failles DNS
Les failles de ce type de détecteur sont toutes liées aux configurations Cloud DNS et appartiennent au type de détecteur DNS_SCANNER.
| Détecteur | Résumé | Paramètres d'analyse des éléments |
|---|---|---|
|
Description du résultat : DNSSEC est désactivé pour les zones Cloud DNS. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie si le champ
|
|
Description du résultat : RSASHA1 est utilisé pour la signature de clé dans les zones Cloud DNS. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie si l'objet
|
Résultats de failles de pare-feu
Les failles de ce type de détecteur sont toutes liées aux configurations de pare-feu et appartiennent au type de détecteur FIREWALL_SCANNER.
| Détecteur | Résumé | Paramètres d'analyse des éléments |
|---|---|---|
|
Description du résultat : Une règle de refus du trafic sortant n'est pas définie sur un pare-feu. Vous devez définir des règles de refus du trafic sortant pour bloquer le trafic sortant indésirable. Pour les activations du niveau Premium de Security Command Center au niveau des projets, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie si la propriété
|
|
Description du résultat : la journalisation des règles de pare-feu est désactivée. Activez la journalisation des règles de pare-feu pour pouvoir auditer les accès au réseau. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie la propriété
|
|
Description du résultat : un pare-feu est configuré pour disposer d'un port CASSANDRA ouvert qui autorise un accès générique. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Il vérifie la propriété
|
|
Description du résultat : un pare-feu est configuré de manière à disposer d'un port CISCOSECURE_WEBSM ouvert qui autorise l'accès générique. Niveau de tarification : Premium ou Standard
Éléments compatibles Normes de conformité :
|
Il vérifie la propriété
|
|
Description du résultat : un pare-feu est configuré pour disposer d'un port ouvert DIRECTORY_SERVICES permettant un accès générique. Niveau de tarification : Premium ou Standard
Éléments compatibles Normes de conformité :
|
Vérifie la propriété
|
|
Description du résultat : un pare-feu est configuré pour disposer d'un port DNS ouvert autorisant les accès génériques. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie la propriété
|
|
Description du résultat : un pare-feu est configuré de manière à disposer d'un port ELASTICSEARCH ouvert qui autorise l'accès générique. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Il vérifie la propriété
|
|
Description du résultat : un pare-feu est configuré pour être accessible au public. Niveau de tarification : Premium ou Standard
Éléments compatibles Normes de conformité :
|
Vérifie les propriétés
|
|
Description du résultat : un pare-feu est configuré pour disposer d'un port FTP ouvert autorisant l'accès générique. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Il vérifie la propriété
|
|
Description du résultat : un pare-feu est configuré pour disposer d'un port HTTP ouvert qui autorise l'accès générique. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Il vérifie la propriété
|
|
Description du résultat : un pare-feu est configuré de manière à disposer d'un port LDAP ouvert qui autorise l'accès générique. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie la propriété
|
|
Description du résultat : un pare-feu est configuré pour disposer d'un port MEMCACHED ouvert qui autorise un accès générique. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie la propriété
|
|
Description du résultat : un pare-feu est configuré de manière à disposer d'un port MONGODB ouvert qui autorise l'accès générique. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Il vérifie la propriété
|
|
Description du résultat : un pare-feu est configuré de manière à disposer d'un port MYSQL ouvert qui autorise l'accès générique. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Il vérifie la propriété
|
|
Description du résultat : un pare-feu est configuré pour disposer d'un port NETBIOS ouvert autorisant un accès générique. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie la propriété
|
|
Description du résultat : un pare-feu est configuré pour disposer d'un port ORACLEDB ouvert qui autorise un accès générique. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie la propriété
|
|
Description du résultat : un pare-feu est configuré de manière à disposer d'un port POP3 ouvert qui autorise l'accès générique. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Il vérifie la propriété
|
|
Description du résultat : un pare-feu est configuré pour disposer d'un port PostgreSQL ouvert qui autorise l'accès générique. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie la propriété
|
|
Description du résultat : un pare-feu est configuré pour disposer d'un port RDP ouvert autorisant l'accès générique. Niveau de tarification : Premium ou Standard
Éléments compatibles Normes de conformité :
|
Vérifie la propriété
|
|
Description du résultat : un pare-feu est configuré pour disposer d'un port REDIS ouvert autorisant l'accès générique. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie si la propriété
|
|
Description du résultat : un pare-feu est configuré pour disposer d'un port SMTP ouvert autorisant l'accès générique. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie si la propriété
|
|
Description du résultat : un pare-feu est configuré pour disposer d'un port SSH ouvert permettant un accès générique. Niveau de tarification : Premium ou Standard
Éléments compatibles Normes de conformité :
|
Vérifie si la propriété
|
|
Description du résultat : un pare-feu est configuré de manière à disposer d'un port TELNET ouvert qui autorise l'accès générique. Niveau de tarification : Premium ou Standard
Éléments compatibles Normes de conformité :
|
Vérifie si la propriété
|
Résultats de failles IAM
Les failles de ce type de détecteur sont toutes liées à la configuration de la gestion de l'authentification et des accès (IAM) et appartiennent au type de détecteur IAM_SCANNER.
| Détecteur | Résumé | Paramètres d'analyse des éléments |
|---|---|---|
|
Description du résultat : Google Cloud Access Transparency est désactivé pour votre organisation. Les journaux Access Transparency enregistrent les accès des employés Google Cloud aux projets de votre organisation pour vous fournir une assistance. Activez Access Transparency pour enregistrer qui accède à vos informations, quand et pourquoi. Google Cloud Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie si Access Transparency est activé pour votre organisation.
|
|
Description du résultat : un compte de service dispose des droits d'administrateur, de propriétaire ou d'éditeur. Ces rôles ne doivent pas être attribués à des comptes de service créés par l'utilisateur. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie la stratégie d'autorisation IAM dans les métadonnées de ressource de tous les comptes de service créés par l'utilisateur (indiqués par le préfixe iam.gserviceaccount.com) qui se voient attribuer
|
|
Description de la découverte : Votre organisation n'a pas désigné de personne ni de groupe pour recevoir les notifications de Google Cloud concernant les événements importants tels que les attaques, les failles et les incidents de données au sein de votre organisation Google Cloud . Nous vous recommandons de désigner un ou plusieurs contacts ou groupes essentiels dans votre organisation. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie qu'un contact est spécifié pour les catégories de contacts essentiels suivantes :
|
|
Description du résultat : la séparation des tâches n'est pas appliquée et il existe un utilisateur disposant simultanément de l'un des rôles Cloud Key Management Service (Cloud KMS) : Chiffreur/Déchiffreur de clés cryptographiques, Chiffreur ou Déchiffreur. Ce résultat n'est pas disponible pour les activations au niveau du projet. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie les stratégies d'autorisation IAM dans les métadonnées de ressource et récupère en même temps les comptes principaux auxquels l'un des rôles suivants est attribué : roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter, roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer, roles/cloudkms.signerVerifier, roles/cloudkms.publicKeyViewer.
|
|
Description du résultat : un utilisateur n'utilise pas d'identifiants d'organisation. Conformément aux règles CIS GCP Foundations 1.0, seules les identités disposant d'adresses e-mail @gmail.com déclenchent actuellement ce détecteur. Niveau de tarification : Premium ou Standard
Éléments compatibles Normes de conformité :
|
Compare les adresses e-mail @gmail.com dans le champ
|
|
Description du résultat : Un compte Google Groupes pouvant être associé sans approbation est utilisé comme compte principal de stratégie d'autorisation IAM. Niveau de tarification : Premium ou Standard
Éléments compatibles Normes de conformité : Cette catégorie de résultats n'est associée à aucun contrôle de norme de conformité. |
Vérifie la stratégie IAM dans les métadonnées de ressource pour toutes les liaisons contenant un membre (entité principale) préfixé par group. Si le groupe est un groupe ouvert, Security Health Analytics génère ce résultat.
|
|
Description du résultat : un utilisateur possède le rôle Utilisateur du compte de service ou Créateur de jetons du compte de service au niveau du projet, plutôt que pour un compte de service spécifique. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie la stratégie d'autorisation IAM dans les métadonnées de ressource pour tous les comptes principaux auxquels roles/iam.serviceAccountUser ou roles/iam.serviceAccountTokenCreator est attribué au niveau du projet.
|
|
Description du résultat : un utilisateur possède l'un des rôles de base suivants :
Ces rôles sont trop permissifs et ne doivent pas être utilisés. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie la stratégie d'autorisation IAM dans les métadonnées de ressource pour tous les comptes principaux auxquels un rôle
|
|
Description du résultat : un rôle IAM Redis est attribué au niveau de l'organisation ou du dossier. Ce résultat n'est pas disponible pour les activations au niveau du projet. Niveau de tarification : Premium
Éléments compatibles
Normes de conformité :
|
Vérifie la stratégie d'autorisation IAM dans les métadonnées de ressource pour les comptes principaux auxquels
|
|
Description du résultat : les rôles Administrateur de compte de service et Utilisateur du compte de service ont été attribués à un utilisateur. Cela enfreint le principe de "séparation des tâches". Ce résultat n'est pas disponible pour les activations au niveau du projet. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Il vérifie la stratégie d'autorisation IAM dans les métadonnées de ressource pour tous les comptes principaux auxquels roles/iam.serviceAccountUser et roles/iam.serviceAccountAdmin sont affectés simultanément.
|
|
Description du résultat : une clé de compte de service n'a pas été alternée depuis plus de 90 jours. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Évalue l'horodatage de la création de clé capturé dans la propriété
|
|
Description du résultat : un utilisateur gère une clé de compte de service. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie si la propriété
|
Résultats de failles KMS
Les failles de ce type de détecteur sont toutes liées aux configurations Cloud KMS et appartiennent au type de détecteur KMS_SCANNER.
| Détecteur | Résumé | Paramètres d'analyse des éléments |
|---|---|---|
|
Description du résultat : la rotation n'est pas configurée sur une clé de chiffrement Cloud KMS. Alternez les clés de chiffrement tous les 90 jours. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie l'existence de propriétés
|
|
Description du résultat : un utilisateur dispose des autorisations Propriétaire sur un projet disposant de clés cryptographiques. Pour les activations du niveau Premium de Security Command Center au niveau des projets, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie la stratégie d'autorisation IAM des métadonnées du projet pour les comptes principaux auxquels
|
|
Description du résultat : une clé cryptographique Cloud KMS est accessible au public. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie la stratégie d'autorisation IAM des métadonnées de ressource pour les comptes principaux
|
|
Description du résultat : il existe plus de trois utilisateurs de clés cryptographiques. Pour les activations du niveau Premium de Security Command Center au niveau du projet, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie les stratégies d'autorisation IAM pour détecter les trousseaux de clés, les projets et les organisations, puis récupère les comptes principaux dotés de rôles leur permettant de chiffrer, déchiffrer ou signer des données à l'aide de clés Cloud KMS : roles/owner, roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter, roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer et roles/cloudkms.signerVerifier.
|
Résultats de failles de journalisation
Les failles de ce type de détecteur sont toutes liées aux configurations de journalisation et appartiennent au type de détecteur LOGGING_SCANNER.
| Détecteur | Résumé | Paramètres d'analyse des éléments |
|---|---|---|
|
Description du résultat : la journalisation d'audit a été désactivée pour cette ressource. Ce résultat n'est pas disponible pour les activations au niveau du projet. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie l'existence d'un objet
|
|
Description du résultat : il existe un bucket de stockage sans la journalisation activée. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie si le champ
|
|
Description du résultat : une règle de conservation verrouillée n'est pas configurée pour les journaux. Pour les activations du niveau Premium de Security Command Center au niveau des projets, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie si le champ
|
|
Description du résultat : une ressource n'a pas de récepteur de journaux approprié configuré. Pour les activations du niveau Premium de Security Command Center au niveau des projets, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles
Normes de conformité :
|
Récupère un objet
|
|
Description du résultat : la gestion des versions d'objets n'est pas activée sur un bucket de stockage dans lequel les récepteurs sont configurés. Pour les activations du niveau Premium de Security Command Center au niveau des projets, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie si le champ
|
Résultats de failles de surveillance
Les failles de ce type de détecteur sont toutes liées aux configurations de surveillance et appartiennent au type MONITORING_SCANNER. Toutes les propriétés des données de détection Monitoring incluent :
- La valeur
RecommendedLogFilterà utiliser pour créer les statistiques de journal. - La valeur
QualifiedLogMetricNamesqui couvre les conditions répertoriées dans le filtre de journal recommandé. - La valeur
AlertPolicyFailureReasons, qui indique si le projet ne possède pas de règles d'alerte créées pour l'une des métriques de journal qualifiées, ou si les règles d'alerte existantes ne possèdent pas les paramètres recommandés.
| Détecteur | Résumé | Paramètres d'analyse des éléments |
|---|---|---|
|
Description du résultat : les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées à la configuration d'audit. Pour les activations du niveau Premium de Security Command Center au niveau des projets, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie si la propriété filter de la ressource LogsMetric du projet est définie sur protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.auditConfigDeltas:* et, si resource.type est spécifié, que cette valeur est global.
Le détecteur recherche également une ressource alertPolicy correspondante, en vérifiant que les propriétés conditions et notificationChannels sont correctement configurées.
|
|
Description du résultat : les métriques de journal et les alertes ne sont pas configurées pour surveiller les modifications des autorisations IAM Cloud Storage. Pour les activations du niveau Premium de Security Command Center au niveau des projets, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie si la propriété filter de la ressource LogsMetric du projet est définie sur resource.type=gcs_bucket AND
protoPayload.methodName="storage.setIamPermissions".
Le détecteur recherche également une ressource alertPolicy correspondante, en vérifiant que les propriétés conditions et notificationChannels sont correctement configurées.
|
|
Description du résultat : les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées au rôle personnalisé. Pour les activations du niveau Premium de Security Command Center au niveau des projets, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie si la propriété filter de la ressource LogsMetric du projet est définie sur resource.type="iam_role" AND
(protoPayload.methodName="google.iam.admin.v1.CreateRole"
OR
protoPayload.methodName="google.iam.admin.v1.DeleteRole"
OR
protoPayload.methodName="google.iam.admin.v1.UpdateRole").
Le détecteur recherche également une ressource alertPolicy correspondante, en vérifiant que les propriétés conditions et notificationChannels sont correctement configurées.
|
|
Description du résultat : les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées à règle de pare-feu du réseau VPC. Pour les activations du niveau Premium de Security Command Center au niveau des projets, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie si la propriété filter de la ressource LogsMetric du projet est définie sur
resource.type="gce_firewall_rule"
AND (protoPayload.methodName:"compute.firewalls.insert"
OR protoPayload.methodName:"compute.firewalls.patch"
OR protoPayload.methodName:"compute.firewalls.delete").
Le détecteur recherche également une ressource alertPolicy correspondante, en vérifiant que les propriétés conditions et notificationChannels sont correctement configurées.
|
|
Description du résultat : les métriques de journal et les alertes ne sont pas configurées pour surveiller les modifications du réseau VPC. Pour les activations du niveau Premium de Security Command Center au niveau du projet, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie si la propriété filter de la ressource LogsMetric du projet est définie sur
resource.type="gce_network"
AND (protoPayload.methodName:"compute.networks.insert"
OR protoPayload.methodName:"compute.networks.patch"
OR protoPayload.methodName:"compute.networks.delete"
OR protoPayload.methodName:"compute.networks.removePeering"
OR protoPayload.methodName:"compute.networks.addPeering").
Le détecteur recherche également une ressource alertPolicy correspondante, en vérifiant que les propriétés conditions et notificationChannels sont correctement configurées.
|
|
Description du résultat : les métriques et les alertes de journal ne sont pas configurées pour surveiller les attributions ni les modifications de propriété du projet. Pour les activations du niveau Premium de Security Command Center au niveau du projet, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie si la propriété filter de la ressource LogsMetric du projet est définie sur (protoPayload.serviceName="cloudresourcemanager.googleapis.com")
AND (ProjectOwnership OR projectOwnerInvitee) OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")
OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") et, si resource.type est spécifié, que cette valeur est global.
Le détecteur recherche également une ressource alertPolicy correspondante, en vérifiant que les propriétés conditions et notificationChannels sont correctement configurées.
|
|
Description du résultat : les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées à la route de réseau VPC. Pour les activations du niveau Premium de Security Command Center au niveau du projet, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie si la propriété filter de la ressource LogsMetric du projet est définie sur
resource.type="gce_route"
AND (protoPayload.methodName:"compute.routes.delete"
OR protoPayload.methodName:"compute.routes.insert").
Le détecteur recherche également une ressource alertPolicy correspondante, en vérifiant que les propriétés conditions et notificationChannels sont correctement configurées.
|
|
Description du résultat : les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées à la configuration des instances Cloud SQL. Pour les activations du niveau Premium de Security Command Center au niveau du projet, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie si la propriété filter de la ressource LogsMetric du projet est définie sur
protoPayload.methodName="cloudsql.instances.update"
OR protoPayload.methodName="cloudsql.instances.create"
OR protoPayload.methodName="cloudsql.instances.delete" et, si resource.type est spécifié, que cette valeur est global.
Le détecteur recherche également une ressource alertPolicy correspondante, en vérifiant que les propriétés conditions et notificationChannels sont correctement configurées.
|
Résultats de l'authentification multifacteur
Le détecteur MFA_SCANNER identifie les failles liées à l'authentification multifacteur pour les utilisateurs.
| Détecteur | Résumé | Paramètres d'analyse des éléments |
|---|---|---|
|
Certains utilisateurs n'utilisent pas la validation en deux étapes. Google Workspace vous permet de spécifier un délai d'inscription pour les nouveaux utilisateurs, au cours duquel ils doivent s'inscrire à la validation en deux étapes. Ce détecteur crée des résultats pour les utilisateurs pendant le délai de grâce pour l'inscription. Ce résultat n'est pas disponible pour les activations au niveau du projet. Niveau de tarification : Premium ou Standard
Éléments compatibles Normes de conformité :
|
Évalue les règles de gestion des identités dans les organisations et les paramètres utilisateur des comptes gérés dans Cloud Identity.
|
Résultats de failles de réseau
Les failles de ce type de détecteur sont toutes liées aux configurations de réseau d'une organisation et appartiennent au typeNETWORK_SCANNER.
| Détecteur | Résumé | Paramètres d'analyse des éléments |
|---|---|---|
|
Description du résultat : le réseau par défaut existe dans un projet. Pour les activations du niveau Premium de Security Command Center au niveau des projets, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie si la propriété
|
|
Description du résultat : la journalisation DNS sur un réseau VPC n'est pas activée. Pour les activations du niveau Premium de Security Command Center au niveau des projets, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie toutes les règles (
|
|
Description du résultat : un ancien réseau existe dans un projet. Pour les activations du niveau Premium de Security Command Center au niveau des projets, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie l'existence de la propriété
|
|
Description du résultat : la journalisation est désactivée pour l'équilibreur de charge. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie si la propriété
|
Résultats de failles liées aux règles d'administration
Les failles de ce type de détecteur sont toutes liées aux configurations des contraintes des règles d'administration et appartiennent au type ORG_POLICY.
| Détecteur | Résumé | Paramètres d'analyse des éléments |
|---|---|---|
|
Description du résultat : une ressource Compute Engine n'est pas conforme à la règle d'administration constraints/compute.restrictNonConfidentialComputing. Pour plus d'informations sur cette contrainte de règle d'administration, consultez la section Appliquer des contraintes de règle d'administration sur les VM Confidential VM.
Pour les activations du niveau Premium de Security Command Center au niveau des projets, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles Normes de conformité : Cette catégorie de résultats n'est associée à aucun contrôle de norme de conformité. |
Vérifie si la propriété
|
|
Description du résultat : une ressource Compute Engine ne respecte pas la contrainte constraints/gcp.resourceLocations. Pour plus d'informations sur cette contrainte de règle d'administration, consultez la section Appliquer des contraintes de règle d'administration.
Pour les activations du niveau Premium de Security Command Center au niveau du projet, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Niveau de tarification : Premium
Éléments compatibles Normes de conformité : Cette catégorie de résultats n'est associée à aucun contrôle de norme de conformité. |
Vérifie la propriété
|
|
Éléments compatibles avec ORG_POLICY_LOCATION_RESTRICTION
Compute Engine
GKE
Cloud Storage
Cloud KMS
Dataproc
BigQuery
Dataflow
Cloud SQL
Cloud Composer
Journalisation
Pub/Sub
Vertex AI
Artifact Registry 1 Étant donné que les éléments Cloud KMS ne peuvent pas être supprimés, ils ne sont pas considérés comme hors région si leurs données ont été détruites. 2 Étant donné que les tâches d'importation Cloud KMS ont un cycle de vie contrôlé et ne peuvent pas être arrêtées en amont, une tâche d'importation n'est pas considérée comme hors région si elle est arrivée à expiration et ne peut plus être utilisée pour importer des clés. 3 Étant donné que le cycle de vie des tâches Dataflow ne peut pas être géré, une tâche n'est pas considérée comme hors région une fois qu'elle a atteint un état final (arrêt ou drainage) dans lequel elle ne sera plus utilisées pour traiter des données. |
||
Résultats de failles Pub/Sub
Les failles de ce type de détecteur sont toutes liées aux configurations Pub/Sub et appartiennent au type PUBSUB_SCANNER.
| Détecteur | Résumé | Paramètres d'analyse des éléments |
|---|---|---|
|
Description du résultat : Un sujet Pub/Sub n'est pas chiffré avec des clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs. Niveau de tarification : Premium
Éléments compatibles Normes de conformité : Cette catégorie de résultats n'est associée à aucun contrôle de norme de conformité. |
Dans le champ
|
Résultats de failles SQL
Les sections suivantes décrivent les failles de sécurité détectées pour AlloyDB pour PostgreSQL et Cloud SQL.
Résultats de l'analyse des failles d'AlloyDB pour PostgreSQL
Les failles de ce type de détecteur sont toutes liées aux configurations AlloyDB pour PostgreSQL et appartiennent au type SQL_SCANNER.
| Détecteur | Résumé | Paramètres d'analyse des éléments |
|---|---|---|
|
Description du résultat : les sauvegardes automatiques ne sont pas activées pour un cluster AlloyDB pour PostgreSQL. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie si la propriété
|
|
Description du résultat : les sauvegardes ne sont pas activées pour un cluster AlloyDB pour PostgreSQL. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie si les propriétés
|
|
Description du résultat : un cluster AlloyDB n'est pas chiffré avec des clés de chiffrement gérées par le client (CMEK). Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie le champ
|
|
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Pour garantir une couverture adéquate des types de messages dans les journaux, génère un résultat si le champ
|
|
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Pour garantir une couverture adéquate des types de messages dans les journaux, génère un résultat si le champ
|
|
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Pour garantir une couverture adéquate des types de messages dans les journaux, génère un résultat si le champ
|
|
Description du résultat : une instance de base de données AlloyDB pour PostgreSQL possède une adresse IP publique. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie si le champ
|
|
Description du résultat : une instance de base de données AlloyDB pour PostgreSQL ne nécessite pas que toutes les connexions entrantes utilisent SSL. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie si la propriété
|
Résultats de failles Cloud SQL
Les failles de ce type de détecteur sont toutes liées aux configurations Cloud SQL et appartiennent au type SQL_SCANNER.
| Détecteur | Résumé | Paramètres d'analyse des éléments |
|---|---|---|
|
Description du résultat : les sauvegardes automatiques ne sont pas activées pour une base de données Cloud SQL. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie si la propriété
|
|
Description du résultat : une instance de base de données Cloud SQL accepte les connexions de toutes les adresses IP. Niveau de tarification : Premium ou Standard
Éléments compatibles Normes de conformité :
|
Vérifie si la propriété
|
|
Description du résultat : une instance de base de données Cloud SQL ne nécessite pas que toutes les connexions entrantes utilisent SSL. Niveau de tarification : Premium ou Standard
Éléments compatibles Normes de conformité :
|
Vérifie si la propriété
|
|
Description du résultat : une instance de base de données SQL n'est pas chiffrée avec des clés de chiffrement gérées par le client (CMEK). Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs. Niveau de tarification : Premium
Éléments compatibles Normes de conformité : Cette catégorie de résultats n'est associée à aucun contrôle de norme de conformité. |
Vérifie le champ
|
|
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie la propriété
|
|
Description du résultat : l'option de base de données Niveau de tarification : Premium
Composants acceptés Normes de conformité :
|
Vérifie la propriété
|
|
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie la propriété
|
|
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie la propriété
|
|
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie la propriété
|
|
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie la propriété
|
|
Description du résultat : l'option de base de données Niveau de tarification : Premium
Composants acceptés Normes de conformité :
|
Vérifie la propriété
|
|
Description du résultat : l'option de base de données Niveau de tarification : Premium
Composants acceptés Normes de conformité :
|
Vérifie la propriété
|
|
Description du résultat : l'option de base de données Niveau de tarification : Premium
Composants acceptés Normes de conformité :
|
Vérifie si la propriété
|
|
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie la propriété
|
|
Description du résultat : l'option Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie la propriété
|
|
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie si le champ
|
|
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie si le champ
|
|
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Pour garantir une couverture adéquate des types de messages dans les journaux, génère un résultat si le champ
|
|
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie si la propriété
|
|
Description du résultat : l'option de base de données Niveau de tarification : Premium
Composants acceptés Normes de conformité :
|
Vérifie si la propriété
|
|
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie si la propriété
|
|
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie si la propriété
|
|
Description du résultat : l'option de base de données Niveau de tarification : Premium
Composants acceptés Normes de conformité :
|
Vérifie si la propriété
|
|
Description du résultat : l'option de base de données Niveau de tarification : Premium
Composants acceptés Normes de conformité :
|
Vérifie si la propriété
|
|
Description du résultat : l'option Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie la propriété
|
|
Description du résultat : une base de données Cloud SQL qui possède une adresse IP publique n'a pas de mot de passe configuré pour le compte racine. Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs. Niveau de tarification : Premium
Composants acceptés Normes de conformité :
|
Vérifie si la propriété
|
|
Description du résultat : une base de données Cloud SQL possède une adresse IP publique. Niveau de tarification : Premium
Composants acceptés Normes de conformité :
|
Vérifie si le type d'adresse IP d'une base de données Cloud SQL est défini sur
|
|
Description du résultat : l'option de base de données Niveau de tarification : Premium
Composants acceptés Normes de conformité :
|
Vérifie la propriété
|
|
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie la propriété
|
|
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie la propriété
|
|
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie la propriété
|
|
Description du résultat : l'option de base de données Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie la propriété
|
|
Description du résultat : une base de données Cloud SQL qui possède une adresse IP publique a également un mot de passe faible configuré pour le compte racine. Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs. Niveau de tarification : Premium
Éléments compatibles Normes de conformité : Cette catégorie de résultats n'est associée à aucun contrôle de norme de conformité. |
Compare le mot de passe du compte racine de votre base de données Cloud SQL à une liste de mots de passe courants.
|
Résultats de failles de sous-réseau
Les failles de ce type de détecteur sont toutes liées aux configurations de sous-réseau d'une organisation et appartiennent au typeSUBNETWORK_SCANNER.
| Détecteur | Résumé | Paramètres d'analyse des éléments |
|---|---|---|
|
Description du résultat : il existe un sous-réseau VPC dans lequel les journaux de flux sont désactivés. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie si la propriété
|
|
Description du résultat : pour un sous-réseau VPC, les journaux de flux VPC sont désactivés ou ne sont pas configurés conformément aux recommandations tirées des benchmarks CIS 1.3. Une configuration supplémentaire est nécessaire pour activer ce détecteur. Pour obtenir des instructions, consultez la page Activer et désactiver des détecteurs. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie si la propriété
|
|
Description du résultat : il existe des sous-réseaux privés sans accès aux API publiques Google. Niveau de tarification : Premium
Éléments compatibles Normes de conformité :
|
Vérifie si la propriété
|
Résultats AWS
| Détecteur | Résumé | Paramètres d'analyse des éléments |
|---|---|---|
|
Description du résultat : AWS CloudShell est un moyen pratique d'exécuter des commandes CLI sur les services AWS. Une stratégie IAM gérée ("AWSCloudShellFullAccess") offre un accès complet à CloudShell, ce qui permet aux utilisateurs d'importer et d'exporter des fichiers entre leur système local et l'environnement CloudShell. Dans l'environnement Cloud Shell, un utilisateur dispose des autorisations sudo et peut accéder à Internet. Il est donc possible d'installer un logiciel de transfert de fichiers (par exemple) et de transférer des données de Cloud Shell vers des serveurs Internet externes. Niveau de tarification : Enterprise Normes de conformité :
|
Assurez-vous que l'accès à AWSCloudShellFullAccess est restreint
|
|
Description du résultat : Les clés d'accès se composent d'un ID de clé d'accès et d'une clé d'accès secrète, qui sont utilisés pour signer les requêtes programmatiques que vous envoyez à AWS. Les utilisateurs AWS ont besoin de leurs propres clés d'accès pour effectuer des appels programmatiques à AWS à partir de l'interface de ligne de commande AWS (CLI AWS), des outils pour Windows PowerShell, des SDK AWS ou des appels HTTP directs à l'aide des API pour les services AWS individuels. Il est recommandé d'alterner régulièrement toutes les clés d'accès. Niveau de tarification : Enterprise Normes de conformité :
|
Assurez-vous que les clés d'accès sont alternées tous les 90 jours au maximum
|
|
Description du résultat : Pour activer les connexions HTTPS à votre site Web ou application dans AWS, vous avez besoin d'un certificat de serveur SSL/TLS. Vous pouvez utiliser ACM ou IAM pour stocker et déployer des certificats de serveur. Niveau de tarification : Enterprise Normes de conformité :
|
Assurez-vous de la suppression de tous les certificats SSL/TLS expirés dans AWS IAM
|
|
Description du résultat : Cette vérification permet de déterminer si vos groupes Auto Scaling associés à un équilibreur de charge utilisent des vérifications de l'état Elastic Load Balancing. Cela permet au groupe de déterminer l'état d'une instance en fonction de tests supplémentaires fournis par l'équilibreur de charge. L'utilisation des vérifications de l'état d'Elastic Load Balancing peut contribuer à la disponibilité des applications qui utilisent des groupes Auto Scaling EC2. Niveau de tarification : Enterprise Normes de conformité :
|
Vérifie que tous les groupes d'autoscaling associés à un équilibreur de charge utilisent des vérifications de l'état
|
|
Description du résultat : Assurez-vous que le flag "Mise à niveau automatique des versions mineures" est activé pour les instances de base de données RDS afin de recevoir automatiquement les mises à niveau mineures du moteur pendant la période de maintenance spécifiée. Les instances RDS peuvent ainsi bénéficier des nouvelles fonctionnalités, des corrections de bugs et des correctifs de sécurité pour leurs moteurs de base de données. Niveau de tarification : Enterprise Normes de conformité :
|
Assurez-vous que la fonctionnalité de mise à niveau automatique des versions mineures est activée pour les instances RDS
|
|
Description du résultat : AWS Config est un service Web qui gère la configuration des ressources AWS compatibles dans votre compte et vous fournit des fichiers journaux. Les informations enregistrées incluent l'élément de configuration (ressource AWS), les relations entre les éléments de configuration (ressources AWS) et les modifications de configuration entre les ressources. Il est recommandé d'activer AWS Config dans toutes les régions. Niveau de tarification : Enterprise Normes de conformité :
|
Assurez-vous que la configuration AWS est activée dans toutes les régions
|
|
Description du résultat : Security Hub collecte des données de sécurité provenant de comptes, de services et de produits partenaires tiers compatibles avec AWS. Il vous aide à analyser vos tendances en matière de sécurité et à identifier les problèmes de sécurité les plus critiques. Lorsque vous activez Security Hub, il commence à consommer, agréger, organiser et hiérarchiser les résultats des services AWS que vous avez activés, tels qu'Amazon GuardDuty, Amazon Inspector et Amazon Macie. Vous pouvez également activer les intégrations avec les produits de sécurité partenaires AWS. Niveau de tarification : Enterprise Normes de conformité :
|
Assurez-vous qu'AWS Security Hub est activé
|
|
Description du résultat : AWS CloudTrail est un service Web qui enregistre les appels d'API AWS pour un compte et met ces journaux à la disposition des utilisateurs et des ressources conformément aux règles IAM. AWS Key Management Service (KMS) est un service géré qui permet de créer et de contrôler les clés de chiffrement utilisées pour chiffrer les données de compte. Il utilise des modules de sécurité matériels (HSM) pour protéger la sécurité des clés de chiffrement. Les journaux CloudTrail peuvent être configurés pour utiliser le chiffrement côté serveur (SSE) et les clés maîtres créées par le client KMS (CMK) afin de mieux protéger les journaux CloudTrail. Nous vous recommandons de configurer CloudTrail pour qu'il utilise SSE-KMS. Niveau de tarification : Enterprise Normes de conformité :
|
Assurez-vous que les journaux CloudTrail sont chiffrés au repos à l'aide de CMK KMS
|
|
Description du résultat : La validation des fichiers journaux CloudTrail crée un fichier récapitulatif signé numériquement contenant un hachage de chaque journal que CloudTrail écrit dans S3. Ces fichiers récapitulatifs peuvent être utilisés pour déterminer si un fichier journal a été modifié, supprimé ou non après que CloudTrail l'a fourni. Il est recommandé d'activer la validation des fichiers sur tous les journaux CloudTrail. Niveau de tarification : Enterprise Normes de conformité :
|
Assurez-vous que la validation du fichier journal CloudTrail est activée
|
|
Description du résultat : AWS CloudTrail est un service Web qui enregistre les appels à l'API AWS effectués dans un compte AWS donné. Les informations enregistrées incluent l'identité de l'appelant de l'API, l'heure de l'appel d'API, l'adresse IP source de l'appelant de l'API, les paramètres de la requête et les éléments de réponse renvoyés par le service AWS. CloudTrail utilise Amazon S3 pour le stockage et la diffusion des fichiers journaux, qui sont donc stockés de manière durable. En plus de capturer les journaux CloudTrail dans un bucket S3 spécifié pour une analyse à long terme, vous pouvez effectuer une analyse en temps réel en configurant CloudTrail pour qu'il envoie les journaux à CloudWatch Logs. Pour une piste activée dans toutes les régions d'un compte, CloudTrail envoie les fichiers journaux de toutes ces régions à un groupe de journaux CloudWatch Logs. Il est recommandé d'envoyer les journaux CloudTrail à CloudWatch Logs. Remarque : L'objectif de cette recommandation est de s'assurer que l'activité du compte AWS est enregistrée, surveillée et qu'une alerte est déclenchée de manière appropriée. CloudWatch Logs est une méthode native pour y parvenir à l'aide des services AWS, mais n'empêche pas l'utilisation d'une autre solution. Niveau de tarification : Enterprise Normes de conformité :
|
Assurez-vous que les pistes CloudTrail sont intégrées aux journaux CloudWatch
|
|
Description du résultat : Cette vérification permet de déterminer si Amazon CloudWatch a des actions définies lorsqu'une alarme passe des états "OK" à "ALARM" et à "INSUFFICIENT_DATA". Il est très important de configurer des actions pour l'état ALARM dans les alarmes Amazon CloudWatch afin de déclencher une réponse immédiate lorsque les métriques surveillées dépassent les seuils. Les alarmes comportent au moins une action. Niveau de tarification : Enterprise Normes de conformité :
|
Vérifie si les alarmes CloudWatch ont au moins une action d'alarme, une action INSUFFICIENT_DATA ou une action OK activée.
|
|
Description du résultat : Cette vérification permet de s'assurer que les journaux CloudWatch sont configurés avec KMS. Les données des groupes de journaux sont toujours chiffrées dans CloudWatch Logs. Par défaut, CloudWatch Logs utilise le chiffrement côté serveur pour les données de journaux au repos. Vous pouvez également utiliser AWS Key Management Service pour ce chiffrement. Si vous le faites, le chiffrement est effectué à l'aide d'une clé AWS KMS. Le chiffrement à l'aide d'AWS KMS est activé au niveau du groupe de journaux en associant une clé KMS à un groupe de journaux, soit lors de la création du groupe de journaux, soit après son existence. Niveau de tarification : Enterprise Normes de conformité :
|
Vérifiez que tous les groupes de journaux dans Amazon CloudWatch sont chiffrés avec KMS
|
|
Description du résultat : Ce contrôle vérifie si les pistes CloudTrail sont configurées pour envoyer des journaux à CloudWatch Logs. Le contrôle échoue si la propriété CloudWatchLogsLogGroupArn de la trace est vide. CloudTrail enregistre les appels d'API AWS effectués dans un compte donné. Les informations enregistrées incluent les éléments suivants :
CloudTrail utilise Amazon S3 pour le stockage et la distribution des fichiers journaux. Vous pouvez capturer les journaux CloudTrail dans un bucket S3 spécifié pour une analyse à long terme. Pour effectuer une analyse en temps réel, vous pouvez configurer CloudTrail pour qu'il envoie les journaux à CloudWatch Logs. Pour une piste activée dans toutes les régions d'un compte, CloudTrail envoie les fichiers journaux de toutes ces régions à un groupe de journaux CloudWatch Logs. Security Hub recommande d'envoyer les journaux CloudTrail à CloudWatch Logs. Notez que cette recommandation vise à garantir que l'activité du compte est enregistrée, surveillée et fait l'objet d'alertes appropriées. Vous pouvez utiliser CloudWatch Logs pour configurer cela avec vos services AWS. Cette recommandation n'empêche pas l'utilisation d'une autre solution. L'envoi des journaux CloudTrail à CloudWatch Logs facilite la journalisation de l'activité en temps réel et historique en fonction de l'utilisateur, de l'API, de la ressource et de l'adresse IP. Vous pouvez utiliser cette approche pour définir des alarmes et des notifications en cas d'activité anormale ou sensible sur votre compte. Niveau de tarification : Enterprise Normes de conformité :
|
Assurez-vous que toutes les pistes CloudTrail sont configurées pour envoyer des journaux à AWS CloudWatch
|
|
Description du résultat : Cette vérification permet de déterminer si le projet contient les variables d'environnement Les identifiants d'authentification Niveau de tarification : Enterprise Normes de conformité :
|
Vérifie que tous les projets contenant les variables d'environnement AWS_ACCESS_KEY_ID et AWS_SECRET_ACCESS_KEY ne sont pas en texte brut
|
|
Description du résultat : Cette règle vérifie si l'URL d'un dépôt source Bitbucket d'un projet AWS CodeBuild contient des jetons d'accès personnel ou un nom d'utilisateur et un mot de passe. Le contrôle échoue si l'URL du dépôt source Bitbucket contient des jetons d'accès personnels ou un nom d'utilisateur et un mot de passe. Les identifiants de connexion ne doivent pas être stockés ni transmis en texte clair, ni apparaître dans l'URL du dépôt source. Au lieu d'utiliser des jetons d'accès personnels ou des identifiants de connexion, vous devez accéder à votre fournisseur de source dans CodeBuild et modifier l'URL de votre dépôt source pour qu'elle ne contienne que le chemin d'accès à l'emplacement du dépôt Bitbucket. L'utilisation de jetons d'accès personnels ou d'identifiants de connexion peut entraîner une exposition involontaire des données ou un accès non autorisé. Niveau de tarification : Enterprise Normes de conformité : Cette catégorie de résultats n'est associée à aucun contrôle de norme de conformité. |
Vérifie que tous les projets utilisant GitHub ou Bitbucket comme source ont recours à OAuth
|
|
Description du résultat : Les utilisateurs AWS IAM peuvent accéder aux ressources AWS à l'aide de différents types d'identifiants, tels que des mots de passe ou des clés d'accès. Nous vous recommandons de désactiver ou de supprimer tous les identifiants qui n'ont pas été utilisés depuis au moins 45 jours. Niveau de tarification : Enterprise Normes de conformité :
|
Assurez-vous que les identifiants non utilisés pendant au moins 45 jours sont désactivés
|
|
Description du résultat : Un VPC est fourni avec un groupe de sécurité par défaut dont les paramètres initiaux refusent tout le trafic entrant, autorisent tout le trafic sortant et autorisent tout le trafic entre les instances attribuées au groupe de sécurité. Si vous ne spécifiez pas de groupe de sécurité lorsque vous lancez une instance, celle-ci est automatiquement attribuée à ce groupe de sécurité par défaut. Les groupes de sécurité fournissent un filtrage avec état du trafic réseau entrant/sortant vers les ressources AWS. Il est recommandé que le groupe de sécurité par défaut limite tout le trafic. Le groupe de sécurité par défaut du VPC par défaut de chaque région doit être mis à jour pour être conforme. Tout VPC nouvellement créé contiendra automatiquement un groupe de sécurité par défaut qui devra être corrigé pour respecter cette recommandation. REMARQUE : Lorsque vous implémentez cette recommandation, la journalisation des flux VPC est très utile pour déterminer l'accès aux ports avec le moindre privilège requis par les systèmes pour fonctionner correctement. En effet, elle peut enregistrer toutes les acceptations et tous les refus de paquets qui se produisent dans les groupes de sécurité actuels. Cela réduit considérablement le principal obstacle à l'ingénierie du moindre privilège : découvrir les ports minimaux requis par les systèmes de l'environnement. Même si la recommandation de journalisation des flux VPC de ce benchmark n'est pas adoptée comme mesure de sécurité permanente, elle doit être utilisée pendant toute période de découverte et d'ingénierie pour les groupes de sécurité avec le moins de privilèges. Niveau de tarification : Enterprise Normes de conformité :
|
Assurez-vous que le groupe de sécurité par défaut de chaque VPC limite tout le trafic
|
|
Description du résultat : Vérifie si les instances de réplication AWS DMS sont publiques. Pour ce faire, il examine la valeur du champ Une instance de réplication privée possède une adresse IP privée à laquelle vous ne pouvez pas accéder en dehors du réseau de réplication. Une instance de réplication doit disposer d'une adresse IP privée lorsque les bases de données source et cible se trouvent sur le même réseau. Le réseau doit également être connecté au VPC de l'instance de réplication à l'aide d'un VPN, d'AWS Direct Connect ou de l'appairage de VPC. Pour en savoir plus sur les instances de réplication publiques et privées, consultez Instances de réplication publiques et privées dans le guide de l'utilisateur AWS Database Migration Service. Vous devez également vous assurer que l'accès à la configuration de votre instance AWS DMS est limité aux utilisateurs autorisés. Pour ce faire, limitez les autorisations IAM des utilisateurs afin qu'ils ne puissent pas modifier les paramètres et les ressources AWS DMS. Niveau de tarification : Enterprise Normes de conformité :
|
Vérifie si les instances de réplication AWS Database Migration Service sont publiques
|
|
Description du résultat : Par défaut, aucune case à cocher n'est sélectionnée dans la console AWS lorsque vous créez un utilisateur IAM. Lorsque vous créez les identifiants utilisateur IAM, vous devez déterminer le type d'accès dont ils ont besoin. Accès programmatique : l'utilisateur IAM peut avoir besoin d'effectuer des appels d'API, d'utiliser l'AWS CLI ou d'utiliser les outils pour Windows PowerShell. Dans ce cas, créez une clé d'accès (ID de clé d'accès et clé d'accès secrète) pour cet utilisateur. Accès à la console de gestion AWS : si l'utilisateur doit accéder à la console de gestion AWS, créez un mot de passe pour lui. Niveau de tarification : Enterprise Normes de conformité :
|
Ne configurez pas les clés d'accès lors de la configuration initiale de l'utilisateur pour tous les utilisateurs IAM disposant d'un mot de passe de console
|
|
Description du résultat : Ce contrôle vérifie si une table Amazon DynamoDB peut adapter sa capacité de lecture et d'écriture en fonction des besoins. Ce contrôle est réussi si la table utilise le mode de capacité à la demande ou le mode provisionné avec l'autoscaling configuré. La mise à l'échelle de la capacité en fonction de la demande permet d'éviter les exceptions de limitation, ce qui contribue à maintenir la disponibilité de vos applications. Les tables DynamoDB en mode capacité à la demande ne sont limitées que par les quotas de table par défaut du débit DynamoDB. Pour augmenter ces quotas, vous pouvez envoyer une demande d'assistance via AWS Support. Les tables DynamoDB en mode provisionné avec autoscaling ajustent dynamiquement la capacité de débit provisionné en fonction des modèles de trafic. Pour en savoir plus sur la limitation des requêtes DynamoDB, consultez "Limitation des requêtes et capacité de pointe" dans le Guide du développeur Amazon DynamoDB. Niveau de tarification : Enterprise Normes de conformité :
|
Les tables DynamoDB doivent automatiquement adapter la capacité en fonction de la demande
|
|
Description du résultat : Ce contrôle évalue si une table DynamoDB est couverte par un plan de sauvegarde. Le contrôle échoue si une table DynamoDB n'est pas couverte par un plan de sauvegarde. Ce contrôle n'évalue que les tables DynamoDB à l'état ACTIF. Les sauvegardes vous aident à vous remettre plus rapidement d'un incident de sécurité. Elles renforcent également la résilience de vos systèmes. L'inclusion de tables DynamoDB dans un plan de sauvegarde vous aide à protéger vos données contre toute perte ou suppression involontaire. Niveau de tarification : Enterprise Normes de conformité :
|
Les tables DynamoDB doivent être couvertes par un plan de sauvegarde
|
|
Description du résultat : La récupération à un moment précis (PITR) est l'un des mécanismes disponibles pour sauvegarder les tables DynamoDB. Une sauvegarde à un instant donné est conservée pendant 35 jours. Si vous avez besoin d'une durée de conservation plus longue, consultez Configurer des sauvegardes planifiées pour Amazon DynamoDB à l'aide d'AWS Backup dans la documentation AWS. Niveau de tarification : Enterprise Normes de conformité :
|
Vérifie que la récupération à un moment précis (PITR) est activée pour toutes les tables AWS DynamoDB
|
|
Description du résultat : Vérifie si toutes les tables DynamoDB sont chiffrées avec une clé KMS gérée par le client (non définie par défaut). Niveau de tarification : Enterprise Normes de conformité :
|
Vérifie que toutes les tables DynamoDB sont chiffrées avec AWS Key Management Service (KMS)
|
|
Description du résultat : Vérifie si l'optimisation EBS est activée pour vos instances EC2 qui peuvent être optimisées pour EBS Niveau de tarification : Enterprise Normes de conformité :
|
Vérifiez que l'optimisation EBS est activée pour toutes les instances compatibles
|
|
Description du résultat : Vérifie si les instantanés Amazon Elastic Block Store ne sont pas publics. Le contrôle échoue si les instantanés Amazon EBS peuvent être restaurés par n'importe qui. Les instantanés EBS permettent de sauvegarder les données de vos volumes EBS sur Amazon S3 à un moment précis. Vous pouvez utiliser les instantanés pour restaurer les états précédents des volumes EBS. Il est rarement acceptable de partager un instantané avec le public. En général, la décision de partager un instantané publiquement a été prise par erreur ou sans comprendre pleinement les implications. Ce contrôle permet de s'assurer que tous les partages de ce type ont été entièrement planifiés et intentionnels. Niveau de tarification : Enterprise Normes de conformité :
|
Les instantanés Amazon EBS ne doivent pas pouvoir être restaurés publiquement
|
|
Description du résultat : Elastic Compute Cloud (EC2) est compatible avec le chiffrement au repos lorsque vous utilisez le service Elastic Block Store (EBS). Bien que désactivé par défaut, le forçage du chiffrement lors de la création de volumes EBS est possible. Niveau de tarification : Enterprise Normes de conformité :
|
Assurez-vous que le chiffrement de volume EBS est activé dans toutes les régions
|
|
Description du résultat : Amazon VPC offre plus de fonctionnalités de sécurité qu'EC2-Classic. Nous vous recommandons de faire en sorte que tous les nœuds appartiennent à un Amazon VPC. Niveau de tarification : Enterprise Normes de conformité :
|
Vérifiez que toutes les instances appartiennent à un VPC
|
|
Description du résultat : Les instances EC2 qui possèdent une adresse IP publique sont plus exposées au risque de compromission. Il est recommandé de ne pas configurer les instances EC2 avec une adresse IP publique. Niveau de tarification : Enterprise Normes de conformité :
|
Assurez-vous qu'aucune instance ne dispose d'une adresse IP publique
|
|
Description du résultat : Une association State Manager est une configuration attribuée à vos instances gérées. La configuration définit l'état que vous souhaitez maintenir sur vos instances. Par exemple, une association peut spécifier qu'un logiciel antivirus doit être installé et exécuté sur vos instances, ou que certains ports doivent être fermés. Les instances EC2 associées à AWS Systems Manager sont gérées par Systems Manager, ce qui facilite l'application de correctifs, la résolution des erreurs de configuration et la réponse aux événements de sécurité. Niveau de tarification : Enterprise Normes de conformité :
|
Vérifie l'état de conformité de l'association AWS Systems Manager
|
|
Description du résultat : Cette commande vérifie si l'état de conformité de l'association AWS Systems Manager est "COMPLIANT" (CONFORME) ou "NON_COMPLIANT" (NON CONFORME) après l'exécution de l'association sur une instance. Le contrôle échoue si l'état de conformité de l'association est NON_COMPLIANT. Une association State Manager est une configuration attribuée à vos instances gérées. La configuration définit l'état que vous souhaitez maintenir sur vos instances. Par exemple, une association peut spécifier qu'un logiciel antivirus doit être installé et exécuté sur vos instances, ou que certains ports doivent être fermés. Une fois que vous avez créé une ou plusieurs associations State Manager, les informations sur l'état de conformité sont immédiatement disponibles. Vous pouvez afficher l'état de conformité dans la console ou en réponse aux commandes AWS CLI ou aux actions d'API Systems Manager correspondantes. Pour les associations, la conformité de la configuration indique l'état de conformité (conforme ou non conforme). Il indique également le niveau de gravité attribué à l'association, par exemple "Critique" ou "Moyenne". Pour en savoir plus sur la conformité des associations State Manager, consultez À propos de la conformité des associations State Manager dans le guide de l'utilisateur AWS Systems Manager. Niveau de tarification : Enterprise Normes de conformité :
|
Vérifie l'état de conformité des correctifs AWS Systems Manager
|
|
Description du résultat : Lorsqu'ils activent le service de métadonnées sur les instances AWS EC2, les utilisateurs peuvent choisir d'utiliser la version 1 du service de métadonnées d'instance (IMDSv1, une méthode de requête/réponse) ou la version 2 (IMDSv2, une méthode orientée session). Niveau de tarification : Enterprise Normes de conformité :
|
Assurez-vous que seul IMDSv2 est autorisé par le service de métadonnées pour EC2
|
|
Description du résultat : Identifier et supprimer les volumes EBS (Elastic Block Store) non associés (inutilisés) dans votre compte AWS afin de réduire le coût de votre facture AWS mensuelle. La suppression des volumes EBS inutilisés réduit également le risque que des données confidentielles/sensibles quittent vos locaux. Ce contrôle vérifie également si les instances EC2 archivées sont configurées pour supprimer les volumes à l'arrêt. Par défaut, les instances EC2 sont configurées pour supprimer les données de tous les volumes EBS associés à l'instance, ainsi que le volume EBS racine de l'instance. Toutefois, tous les volumes EBS non racine associés à l'instance, au lancement ou pendant l'exécution, sont conservés après l'arrêt par défaut. Niveau de tarification : Enterprise Normes de conformité :
|
Vérifie si les volumes EBS sont associés aux instances EC2 et configurés pour être supprimés à l'arrêt de l'instance
|
|
Description du résultat : Amazon EFS prend en charge deux formes de chiffrement pour les systèmes de fichiers : le chiffrement des données en transit et le chiffrement au repos. Cette vérification permet de s'assurer que tous les systèmes de fichiers EFS sont configurés avec le chiffrement au repos dans toutes les régions activées du compte. Niveau de tarification : Enterprise Normes de conformité :
|
Vérifie si EFS est configuré pour chiffrer les données de fichiers à l'aide de KMS
|
|
Description du résultat : Les bonnes pratiques d'Amazon recommandent de configurer des sauvegardes pour vos systèmes de fichiers Elastic File System (EFS). Cette vérification porte sur tous les systèmes de fichiers EFS de chaque région activée de votre compte AWS pour les sauvegardes activées. Niveau de tarification : Enterprise Normes de conformité :
|
Vérifie si les systèmes de fichiers EFS sont inclus dans les plans de sauvegarde AWS
|
|
Description du résultat : Vérifie si l'équilibreur de charge classique utilise des certificats HTTPS/SSL fournis par AWS Certificate Manager (ACM). Le contrôle échoue si l'équilibreur de charge classique configuré avec un écouteur HTTPS/SSL n'utilise pas de certificat fourni par ACM. Pour créer un certificat, vous pouvez utiliser ACM ou un outil compatible avec les protocoles SSL et TLS, comme OpenSSL. Security Hub vous recommande d'utiliser ACM pour créer ou importer des certificats pour votre équilibreur de charge. ACM s'intègre aux équilibreurs de charge classiques pour vous permettre de déployer le certificat sur votre équilibreur de charge. Vous devez également renouveler automatiquement ces certificats. Niveau de tarification : Enterprise Normes de conformité :
|
Vérifie que tous les équilibreurs de charge classiques utilisent les certificats SSL fournis par AWS Certificate Manager
|
|
Description du résultat : Vérifie si la protection contre la suppression est activée pour un équilibreur de charge d'application. Le contrôle échoue si la protection contre la suppression n'est pas configurée. Activez la protection contre la suppression pour protéger votre équilibreur de charge d'application contre la suppression. Niveau de tarification : Enterprise Normes de conformité :
|
La protection contre la suppression de l'équilibreur de charge d'application doit être activée
|
|
Description du résultat : Vérifie si la journalisation est activée sur l'équilibreur de charge d'application et l'équilibreur de charge classique. Le contrôle échoue si access_logs.s3.enabled est défini sur "false". Elastic Load Balancing fournit des journaux d'accès qui capturent des informations détaillées sur les requêtes envoyées à votre équilibreur de charge. Chaque journal contient des informations telles que l'heure à laquelle la requête a été reçue, l'adresse IP du client, les latences, les chemins d'accès aux requêtes et les réponses du serveur. Vous pouvez utiliser ces journaux d'accès pour analyser les tendances du trafic et résoudre les problèmes. Pour en savoir plus, consultez Journaux d'accès pour votre équilibreur de charge classique dans le guide de l'utilisateur pour les équilibreurs de charge classiques. Niveau de tarification : Enterprise Normes de conformité :
|
Vérifie si la journalisation est activée sur les équilibreurs de charge classiques et d'application
|
|
Description du résultat : Cette vérification permet de s'assurer que tous les équilibreurs de charge classiques sont configurés pour utiliser une communication sécurisée. Un écouteur est un processus qui recherche les demandes de connexion. Il est configuré avec un protocole et un port pour les connexions frontales (du client à l'équilibreur de charge), ainsi qu'un protocole et un port pour les connexions dorsales (de l'équilibreur de charge à l'instance). Pour en savoir plus sur les ports, les protocoles et les configurations d'écouteur compatibles avec Elastic Load Balancing, consultez Écouteurs pour votre équilibreur de charge classique. Niveau de tarification : Enterprise Normes de conformité :
|
Vérifie que tous les équilibreurs de charge classiques sont configurés avec des écouteurs SSL ou HTTPS
|
|
Description du résultat : Vérifie si les volumes EBS associés sont chiffrés. Pour que cette vérification soit réussie, les volumes EBS doivent être utilisés et chiffrés. Si le volume EBS n'est pas associé, il n'est pas soumis à cette vérification. Pour renforcer la sécurité de vos données sensibles dans les volumes EBS, vous devez activer le chiffrement EBS au repos. Le chiffrement Amazon EBS offre une solution de chiffrement simple pour vos ressources EBS, qui ne nécessite pas de créer, de gérer ni de sécuriser votre propre infrastructure de gestion des clés. Il utilise des clés KMS lors de la création de volumes et d'instantanés chiffrés. Pour en savoir plus sur le chiffrement Amazon EBS, consultez la section "Chiffrement Amazon EBS" du guide de l'utilisateur Amazon EC2 pour les instances Linux. Niveau de tarification : Enterprise Normes de conformité :
|
Les volumes Amazon EBS associés doivent être chiffrés au repos
|
|
Description du résultat : Les instances de base de données chiffrées Amazon RDS utilisent l'algorithme de chiffrement AES-256 standard du secteur pour chiffrer vos données sur le serveur qui héberge vos instances de base de données Amazon RDS. Une fois vos données chiffrées, Amazon RDS gère l'authentification de l'accès et le déchiffrement de vos données de manière transparente, avec un impact minimal sur les performances. Niveau de tarification : Enterprise Normes de conformité :
|
Assurez-vous que le chiffrement au repos est activé pour les instances RDS
|
|
Description du résultat : Les données EFS doivent être chiffrées au repos à l'aide d'AWS KMS (Key Management Service). Niveau de tarification : Enterprise Normes de conformité :
|
Assurez-vous que le chiffrement est activé pour les systèmes de fichiers EFS
|
|
Description du résultat : AWS vous permet de définir des règles personnalisées pour les mots de passe de votre compte AWS. Vous pouvez ainsi spécifier des exigences de complexité et des périodes de rotation obligatoires pour les mots de passe de vos utilisateurs IAM. Si vous ne définissez pas de stratégie de mot de passe personnalisée, les mots de passe des utilisateurs IAM doivent respecter la stratégie de mot de passe AWS par défaut. Les bonnes pratiques de sécurité d'AWS recommandent les exigences suivantes en matière de complexité des mots de passe :
Ce contrôle vérifie toutes les exigences spécifiées de la stratégie de mot de passe. Niveau de tarification : Enterprise Normes de conformité :
|
Vérifie si la stratégie de mots de passe du compte pour les utilisateurs IAM répond aux exigences spécifiées
|
|
Description du résultat : Les stratégies de mots de passe IAM peuvent empêcher un même utilisateur de réutiliser un mot de passe donné. Nous vous recommandons d'empêcher la réutilisation des mots de passe dans la stratégie de mots de passe. Niveau de tarification : Enterprise Normes de conformité :
|
Assurez-vous que la stratégie IAM relative aux mots de passe empêche la réutilisation des mots de passe
|
|
Description du résultat : Les règles relatives aux mots de passe sont en partie utilisées pour appliquer des exigences de complexité des mots de passe. Les règles relatives aux mots de passe IAM peuvent être utilisées pour s'assurer que les mots de passe ont au moins une longueur donnée. Nous vous recommandons de définir une longueur minimale de mot de passe de 14 caractères dans la stratégie de mot de passe. Niveau de tarification : Enterprise Normes de conformité :
|
Assurez-vous que la stratégie de mot de passe IAM nécessite au moins 14 caractères
|
|
Description du résultat : Les stratégies IAM permettent d'accorder des droits d'accès aux utilisateurs, aux groupes ou aux rôles. Il est recommandé d'accorder le moindre privilège, c'est-à-dire de n'accorder que les autorisations nécessaires à l'exécution d'une tâche. Déterminez ce que les utilisateurs doivent faire, puis créez des règles qui leur permettent d'effectuer uniquement ces tâches, au lieu de leur accorder des droits d'administrateur complets. Niveau de tarification : Enterprise Normes de conformité :
|
Assurez-vous que des stratégies IAM accordant les droits d'administrateur complets "*:*" ne sont pas associées
|
|
Description du résultat : Les utilisateurs IAM ont accès aux services, aux fonctions et aux données grâce aux règles IAM. Il existe quatre façons de définir des règles pour un utilisateur : 1) modifier directement la règle de l'utilisateur (règle intégrée ou utilisateur) ; 2) associer directement une règle à un utilisateur ; 3) ajouter l'utilisateur à un groupe IAM auquel une règle est associée ; 4) ajouter l'utilisateur à un groupe IAM auquel une règle intégrée est associée. Seule la troisième implémentation est recommandée. Niveau de tarification : Enterprise Normes de conformité :
|
Assurez-vous que les utilisateurs IAM ne reçoivent des autorisations que via des groupes
|
|
Description du résultat : Les utilisateurs IAM doivent toujours faire partie d'un groupe IAM pour respecter les bonnes pratiques de sécurité IAM. En ajoutant des utilisateurs à un groupe, vous pouvez partager des règles entre différents types d'utilisateurs. Niveau de tarification : Enterprise Normes de conformité :
|
Vérifie si les utilisateurs IAM sont membres d'au moins un groupe IAM
|
|
Description du résultat : L'authentification multifacteur (MFA) est une bonne pratique qui ajoute une couche de protection supplémentaire aux noms d'utilisateur et aux mots de passe. Avec l'AMF, lorsqu'un utilisateur se connecte à la console de gestion AWS, il doit fournir un code d'authentification temporaire fourni par un appareil virtuel ou physique enregistré. Niveau de tarification : Enterprise Normes de conformité :
|
Vérifiez que l'authentification multifacteur (MFA) est activée pour les utilisateurs AWS IAM
|
|
Description du résultat : Cette vérification porte sur les mots de passe IAM ou les clés d'accès actives qui n'ont pas été utilisés au cours des 90 derniers jours. Les bonnes pratiques recommandent de supprimer, de désactiver ou de faire alterner tous les identifiants inutilisés depuis 90 jours ou plus. Cela réduit la fenêtre d'opportunité pour l'utilisation des identifiants associés à un compte compromis ou abandonné. Niveau de tarification : Enterprise Normes de conformité :
|
Vérifie que tous les utilisateurs AWS IAM disposent de mots de passe ou de clés d'accès actives qui n'ont pas été utilisés depuis maxCredentialUsageAge jours (90 par défaut)
|
|
Description du résultat : Cette vérification permet de déterminer si la suppression des clés KMS est programmée. Le contrôle échoue si la suppression d'une clé KMS est planifiée. Une fois supprimées, les clés KMS ne peuvent pas être récupérées. Les données chiffrées avec une clé KMS sont également définitivement irrécupérables si la clé KMS est supprimée. Si des données importantes ont été chiffrées à l'aide d'une clé KMS dont la suppression est programmée, envisagez de les déchiffrer ou de les chiffrer à nouveau à l'aide d'une nouvelle clé KMS, sauf si vous effectuez intentionnellement un effacement cryptographique. Lorsqu'une clé KMS est programmée pour suppression, un délai d'attente obligatoire est appliqué pour permettre d'annuler la suppression si elle a été programmée par erreur. La période d'attente par défaut est de 30 jours, mais elle peut être réduite à 7 jours lorsque la clé KMS est programmée pour suppression. Pendant le délai d'attente, la suppression programmée peut être annulée et la clé KMS ne sera pas supprimée. Pour en savoir plus sur la suppression des clés KMS, consultez Supprimer des clés KMS dans le guide du développeur AWS Key Management Service. Niveau de tarification : Enterprise Normes de conformité :
|
Vérifie que la suppression de toutes les CMK n'est pas planifiée
|
|
Description du résultat : Vérifie si la fonction Lambda est configurée avec une limite d'exécution simultanée au niveau de la fonction. La règle est NON_CONFORME si la fonction Lambda n'est pas configurée avec une limite d'exécution simultanée au niveau de la fonction. Niveau de tarification : Enterprise Normes de conformité : Cette catégorie de résultats n'est associée à aucun contrôle de norme de conformité. |
Vérifie si les fonctions Lambda sont configurées avec une limite d'exécution simultanée au niveau de la fonction
|
|
Description du résultat : Vérifie si une fonction Lambda est configurée avec une file d'attente de lettres mortes. La règle est NON_CONFORME si la fonction Lambda n'est pas configurée avec une file d'attente de lettres mortes. Niveau de tarification : Enterprise Normes de conformité :
|
Assurez-vous que les fonctions Lambda sont configurées avec une file d'attente de lettres mortes
|
|
Description du résultat : Les bonnes pratiques AWS recommandent de ne pas exposer publiquement les fonctions Lambda. Cette règle vérifie toutes les fonctions Lambda déployées dans toutes les régions activées de votre compte et échoue si elles sont configurées pour autoriser l'accès public. Niveau de tarification : Enterprise Normes de conformité :
|
Vérifie si la stratégie associée à la fonction Lambda interdit l'accès public
|
|
Description du résultat : Vérifie si une fonction Lambda se trouve dans un VPC. Il est possible que des résultats d'analyse échouent pour les ressources Lambda@Edge. Il n'évalue pas la configuration du routage de sous-réseau VPC pour déterminer l'accessibilité publique. Niveau de tarification : Enterprise Normes de conformité :
|
Assurez-vous que les fonctions Lambda existent dans un VPC
|
|
Description du résultat : Une fois la suppression MFA activée sur votre bucket S3 sensible et classifié, l'utilisateur doit disposer de deux formes d'authentification. Niveau de tarification : Enterprise Normes de conformité :
|
Assurez-vous que la suppression MFA est activée sur les buckets S3
|
|
Description du résultat : Le compte utilisateur racine est celui qui dispose des privilèges les plus élevés dans un compte AWS. L'authentification multifacteur (MFA, Multi-factor authentication) ajoute une couche de protection supplémentaire à un nom d'utilisateur et un mot de passe. Lorsque l'authentification multifacteur est activée, un utilisateur qui se connecte à un site Web AWS est invité à saisir son nom d'utilisateur et son mot de passe, ainsi qu'un code d'authentification provenant de son appareil AWS MFA. Remarque : Lorsque l'MFA virtuelle est utilisée pour les comptes "root", il est recommandé que l'appareil utilisé ne soit PAS un appareil personnel, mais plutôt un appareil mobile dédié (tablette ou téléphone) qui est géré pour rester chargé et sécurisé indépendamment de tout appareil personnel individuel. (MFA virtuelle non personnelle) Cela réduit les risques de perte d'accès à la MFA en cas de perte ou d'échange de l'appareil, ou si la personne possédant l'appareil ne travaille plus dans l'entreprise. Niveau de tarification : Enterprise Normes de conformité :
|
Assurez-vous que la MFA est activée pour le compte utilisateur "root"
|
|
Description du résultat : L'authentification multifacteur (MFA) ajoute un niveau d'assurance supplémentaire à l'authentification par rapport aux identifiants traditionnels. Lorsque l'authentification multifacteur est activée, lorsqu'un utilisateur se connecte à la console AWS, il est invité à saisir son nom d'utilisateur et son mot de passe, ainsi qu'un code d'authentification provenant de son jeton MFA physique ou virtuel. Nous vous recommandons d'activer l'authentification MFA pour tous les comptes disposant d'un mot de passe de console. Niveau de tarification : Enterprise Normes de conformité :
|
Assurez-vous que l'authentification multifacteur (MFA) est activée pour tous les utilisateurs IAM disposant d'un mot de passe de console
|
|
Description du résultat : La fonctionnalité de liste de contrôle d'accès au réseau (NACL) permet de filtrer sans état le trafic réseau entrant et sortant vers les ressources AWS. Il est recommandé qu'aucune ACL réseau n'autorise un accès entrant illimité aux ports d'administration du serveur distant, tels que SSH au port Niveau de tarification : Enterprise Normes de conformité :
|
Assurez-vous qu'aucune LCA réseau n'autorise l'entrée depuis la plage 0.0.0.0/0 vers les ports d'administration du serveur distant
|
|
Description du résultat : Le compte utilisateur racine est celui qui dispose des privilèges les plus élevés dans un compte AWS. Les clés d'accès AWS permettent d'accéder par programmation à un compte AWS donné. Nous vous recommandons de supprimer toutes les clés d'accès associées au compte utilisateur "root". Niveau de tarification : Enterprise Normes de conformité :
|
Assurez-vous qu'aucune clé d'accès n'existe pour le compte utilisateur "root"
|
|
Description du résultat : Les groupes de sécurité fournissent un filtrage avec état du trafic réseau entrant et sortant vers les ressources AWS. Il est recommandé qu'aucun groupe de sécurité n'autorise l'accès d'entrée illimité aux ports d'administration du serveur distant, tels que SSH au port Niveau de tarification : Enterprise Normes de conformité :
|
Assurez-vous qu'aucun groupe de sécurité n'autorise le trafic d'entrée provenant de la plage 0.0.0.0/0 vers les ports d'administration du serveur distant
|
|
Description du résultat : Les groupes de sécurité fournissent un filtrage avec état du trafic réseau entrant et sortant vers les ressources AWS. Il est recommandé qu'aucun groupe de sécurité n'autorise l'accès d'entrée sans restriction aux ports d'administration du serveur distant, tels que SSH au port Niveau de tarification : Enterprise Normes de conformité :
|
Assurez-vous qu'aucun groupe de sécurité n'autorise le trafic d'entrée provenant de la plage ::/0 vers les ports d'administration du serveur distant
|
|
Description du résultat : Les clés d 'accès sont des identifiants à long terme pour un utilisateur IAM ou l'utilisateur racine du compte AWS. Vous pouvez utiliser des clés d'accès pour signer des requêtes programmatiques adressées à la CLI AWS ou à l'API AWS (directement ou à l'aide du SDK AWS). Niveau de tarification : Enterprise Normes de conformité :
|
Assurez-vous qu'une seule clé d'accès active est disponible par utilisateur IAM
|
|
Description du résultat : Assurez-vous et vérifiez que les instances de base de données RDS provisionnées dans votre compte AWS limitent l'accès non autorisé afin de minimiser les risques de sécurité. Pour limiter l'accès à une instance de base de données RDS accessible au public, vous devez désactiver le flag "Publicly Accessible" (Accessible au public) de la base de données et mettre à jour le groupe de sécurité VPC associé à l'instance. Niveau de tarification : Enterprise Normes de conformité :
|
Assurez-vous qu'aucun accès public n'est accordé pour l'instance RDS
|
|
Description du résultat : La surveillance avancée fournit des métriques en temps réel sur le système d'exploitation sur lequel l'instance RDS s'exécute, via un agent installé dans l'instance. Pour en savoir plus, consultez Surveiller les métriques de l'OS avec la surveillance améliorée. Niveau de tarification : Enterprise Normes de conformité :
|
Vérifiez que la surveillance avancée est activée pour toutes les instances de base de données RDS
|
|
Description du résultat : L'activation de la protection contre la suppression d'instance constitue une couche de protection supplémentaire contre la suppression accidentelle de bases de données ou la suppression par une entité non autorisée. Lorsqu'elle est activée, la protection contre la suppression empêche la suppression d'une instance de base de données RDS. Pour qu'une demande de suppression aboutisse, la protection contre la suppression doit être désactivée. Niveau de tarification : Enterprise Normes de conformité :
|
Vérifiez que la protection contre la suppression est activée pour toutes les instances RDS
|
|
Description du résultat : Ce contrôle évalue si les instances de base de données Amazon RDS sont couvertes par un plan de sauvegarde. Ce contrôle échoue si une instance de base de données RDS n'est pas couverte par un plan de sauvegarde. AWS Backup est un service de sauvegarde entièrement géré qui centralise et automatise la sauvegarde des données dans les services AWS. Avec AWS Backup, vous pouvez créer des stratégies de sauvegarde appelées plans de sauvegarde. Vous pouvez utiliser ces plans pour définir vos exigences de sauvegarde, par exemple la fréquence de sauvegarde de vos données et la durée de conservation de ces sauvegardes. L'inclusion des instances de base de données RDS dans un plan de sauvegarde vous aide à protéger vos données contre toute perte ou suppression involontaire. Niveau de tarification : Enterprise Normes de conformité :
|
Les instances de base de données RDS doivent être couvertes par un plan de sauvegarde
|
|
Description du résultat : Cette vérification permet de déterminer si les journaux Amazon RDS suivants sont activés et envoyés à CloudWatch. Les journaux appropriés doivent être activés pour les bases de données RDS. La journalisation de la base de données fournit des enregistrements détaillés des requêtes envoyées à RDS. Les journaux de base de données peuvent vous aider à effectuer des audits de sécurité et d'accès, et à diagnostiquer les problèmes de disponibilité. Niveau de tarification : Enterprise Normes de conformité :
|
Vérifiez que les journaux exportés sont activés pour toutes les instances de base de données RDS
|
|
Description du résultat : Les instances de base de données RDS doivent être configurées pour plusieurs zones de disponibilité (AZ). Cela garantit la disponibilité des données stockées. Les déploiements multizones de disponibilité permettent un basculement automatique en cas de problème de disponibilité des zones de disponibilité et lors de la maintenance RDS régulière. Niveau de tarification : Enterprise Normes de conformité :
|
Vérifiez que la haute disponibilité est activée pour toutes les instances de base de données RDS
|
|
Description du résultat : Cette vérification porte sur les éléments essentiels d'un cluster Redshift : chiffrement au repos, journalisation et type de nœud. Ces éléments de configuration sont importants pour la maintenance d'un cluster Redshift sécurisé et observable. Niveau de tarification : Enterprise Normes de conformité :
|
Vérifiez que tous les clusters Redshift disposent d'un chiffrement au repos, d'une journalisation et d'un type de nœud.
|
|
Description du résultat : Les mises à niveau automatiques des versions majeures ont lieu pendant l'intervalle de maintenance. Niveau de tarification : Enterprise Normes de conformité :
|
Vérifiez qu'allowVersionUpgrade est activé et que preferredMaintenanceWindow et automatedSnapshotRetentionPeriod sont définis pour tous les clusters Redshift
|
|
Description du résultat : L'attribut PubliclyAccessible de la configuration du cluster Amazon Redshift indique si le cluster est accessible au public. Lorsque le cluster est configuré avec PubliclyAccessible défini sur "true", il s'agit d'une instance accessible sur Internet qui possède un nom DNS pouvant être résolu publiquement et qui est associé à une adresse IP publique. Lorsque le cluster n'est pas accessible au public, il s'agit d'une instance interne avec un nom DNS qui se résout en adresse IP privée. Sauf si vous souhaitez que votre cluster soit accessible publiquement, il ne doit pas être configuré avec la valeur "true" pour PubliclyAccessible. Niveau de tarification : Enterprise Normes de conformité :
|
Vérifiez si les clusters Redshift sont accessibles au public
|
|
Description du résultat : Cette vérification permet de déterminer si le trafic entrant illimité pour les groupes de sécurité est accessible aux ports spécifiés qui présentent le risque le plus élevé. Ce contrôle échoue si l'une des règles d'un groupe de sécurité autorise le trafic entrant depuis "0.0.0.0/0" ou "::/0" pour ces ports. Un accès non restreint (0.0.0.0/0) augmente les possibilités d'activités malveillantes, telles que le piratage, les attaques par déni de service et la perte de données. Les groupes de sécurité fournissent un filtrage avec état du trafic réseau entrant et sortant vers les ressources AWS. Aucun groupe de sécurité ne doit autoriser un accès d'entrée illimité aux ports suivants :
Niveau de tarification : Enterprise Normes de conformité :
|
Les groupes de sécurité ne doivent pas autoriser un accès illimité aux ports à haut risque
|
|
Description du résultat : Les groupes de sécurité fournissent un filtrage avec état du trafic réseau entrant et sortant vers les ressources AWS. Le CIS recommande qu'aucun groupe de sécurité n'autorise un accès d'entrée illimité au port 22. La suppression de la connectivité illimitée aux services de console à distance, tels que SSH, réduit l'exposition d'un serveur aux risques. Niveau de tarification : Enterprise Normes de conformité :
|
Les groupes de sécurité ne doivent pas autoriser le trafic d'entrée de 0.0.0.0/0 vers le port 22
|
|
Description du résultat : Vérifie si la rotation automatique des clés est activée pour chaque clé et si elle correspond à l'ID de clé de la clé KMS AWS créée par le client. La règle est NON_COMPLIANT si le rôle d'enregistreur AWS Config pour une ressource ne dispose pas de l'autorisation kms:DescribeKey. Niveau de tarification : Enterprise Normes de conformité : Cette catégorie de résultats n'est associée à aucun contrôle de norme de conformité. |
Assurez-vous que la rotation des clés CMK créées par le client est activée
|
|
Description du résultat : AWS Key Management Service (KMS) permet aux clients de faire pivoter la clé de sauvegarde, qui est un élément clé stocké dans KMS et associé à l'ID de clé de la clé principale du client (CMK) créée par le client. Il s'agit de la clé de sauvegarde utilisée pour effectuer des opérations cryptographiques telles que le chiffrement et le déchiffrement. La rotation automatique des clés conserve actuellement toutes les clés de sauvegarde précédentes afin que le déchiffrement des données chiffrées puisse s'effectuer de manière transparente. Il est recommandé d'activer la rotation des clés des CMK pour les clés symétriques. La rotation des clés ne peut pas être activée pour les CMK asymétriques. Niveau de tarification : Enterprise Normes de conformité :
|
Assurez-vous que la rotation des clés CMK symétriques créées par le client est activée
|
|
Description du résultat : Vérifie si les tables de routage pour l'appairage de VPC sont configurées avec le principe du moindre privilège. Niveau de tarification : Enterprise Normes de conformité : Cette catégorie de résultats n'est associée à aucun contrôle de norme de conformité. |
Assurez-vous que les tables de routage pour l'appairage de VPC sont en "accès limité"
|
|
Description du résultat : La fonctionnalité Amazon S3 Block Public Access fournit des paramètres pour les points d'accès, les buckets et les comptes afin de vous aider à gérer l'accès public aux ressources Amazon S3. Par défaut, les nouveaux buckets, points d'accès et objets n'autorisent pas l'accès public. Niveau de tarification : Enterprise Normes de conformité : Cette catégorie de résultats n'est associée à aucun contrôle de norme de conformité. |
Vérifiez si les paramètres de blocage de l'accès public S3 requis sont configurés au niveau du compte
|
|
Description du résultat : Amazon S3 fournit Niveau de tarification : Enterprise Normes de conformité :
|
Assurez-vous que les buckets S3 sont configurés avec
|
|
Description du résultat : La journalisation de l'accès au bucket S3 génère un journal contenant les enregistrements d'accès pour chaque requête adressée à votre bucket S3. Un enregistrement du journal des accès contient des informations sur la requête, comme son type, les ressources spécifiées dans la requête et la date et l'heure de traitement de la requête. Il est recommandé d'activer la journalisation de l'accès au bucket sur le bucket CloudTrail S3. Niveau de tarification : Enterprise Normes de conformité :
|
Assurez-vous que la journalisation de l'accès au bucket S3 est activée sur le bucket CloudTrail S3
|
|
Description du résultat : La fonctionnalité de journalisation des accès au serveur AWS S3 enregistre les demandes d'accès aux buckets de stockage, ce qui est utile pour les audits de sécurité. Par défaut, la journalisation des accès au serveur n'est pas activée pour les buckets S3. Niveau de tarification : Enterprise Normes de conformité :
|
Vérifiez si la journalisation est activée sur tous les buckets S3
|
|
Description du résultat : Au niveau du bucket Amazon S3, vous pouvez configurer des autorisations via une stratégie de bucket pour rendre les objets accessibles uniquement via HTTPS. Niveau de tarification : Enterprise Normes de conformité :
|
Assurez-vous que la stratégie de bucket S3 est définie pour refuser les requêtes HTTP
|
|
Description du résultat : Ce contrôle vérifie si la réplication interrégionale est activée pour un bucket Amazon S3. Le contrôle échoue si la réplication interrégionale n'est pas activée pour le bucket ou si la réplication dans la même région est également activée. La réplication est la copie automatique et asynchrone d'objets entre des buckets dans la même région AWS ou dans des régions AWS différentes. La réplication copie les objets nouvellement créés et les mises à jour d'objets d'un bucket source vers un ou plusieurs buckets de destination. Les bonnes pratiques AWS recommandent la réplication pour les buckets source et de destination appartenant au même compte AWS. En plus de la disponibilité, vous devez tenir compte des autres paramètres de renforcement du système. Niveau de tarification : Enterprise Normes de conformité :
|
Vérifiez si la réplication interrégionale est activée sur les buckets S3
|
|
Description du résultat : Cette vérification permet de s'assurer que le chiffrement Amazon S3 par défaut est activé pour votre bucket S3 ou que la stratégie de bucket S3 refuse explicitement les requêtes put-object sans chiffrement côté serveur. Niveau de tarification : Enterprise Normes de conformité :
|
Assurez-vous que tous les buckets S3 appliquent le chiffrement au repos
|
|
Description du résultat : Amazon S3 permet de conserver plusieurs variantes d'un objet dans le même bucket. Il peut vous aider à récupérer plus facilement des données en cas d'actions involontaires de l'utilisateur et de défaillances d'application. Niveau de tarification : Enterprise Normes de conformité :
|
Vérifiez que la gestion des versions est activée pour tous les buckets S3
|
|
Description du résultat : Vérifie si les buckets Amazon S3 sont chiffrés avec AWS Key Management Service (AWS KMS) Niveau de tarification : Enterprise Normes de conformité :
|
Vérifiez que tous les buckets sont chiffrés avec KMS
|
|
Description du résultat : Vérifie si une clé AWS Key Management Service (AWS KMS) est configurée pour une instance de notebook Amazon SageMaker. La règle est NON_CONFORME si "KmsKeyId" n'est pas spécifié pour l'instance de notebook SageMaker. Niveau de tarification : Enterprise Normes de conformité :
|
Vérifiez que toutes les instances de notebook SageMaker sont configurées pour utiliser KMS
|
|
Description du résultat : Vérifie si l'accès direct à Internet est désactivé pour une instance de notebook SageMaker. Pour ce faire, il vérifie si le champ "DirectInternetAccess" est désactivé pour l'instance de notebook. Si vous configurez votre instance SageMaker sans VPC, l'accès direct à Internet est activé par défaut sur votre instance. Vous devez configurer votre instance avec un VPC et remplacer le paramètre par défaut par "Désactiver : accéder à Internet via un VPC". Pour entraîner ou héberger des modèles à partir d'un notebook, vous devez avoir accès à Internet. Pour activer l'accès à Internet, assurez-vous que votre VPC dispose d'une passerelle NAT et que votre groupe de sécurité autorise les connexions sortantes. Pour savoir comment connecter une instance de notebook à des ressources dans un VPC, consultez "Connecter une instance de notebook à des ressources dans un VPC" dans le guide du développeur Amazon SageMaker. Vous devez également vous assurer que l'accès à votre configuration SageMaker est limité aux seuls utilisateurs autorisés. Limitez les autorisations IAM des utilisateurs pour modifier les paramètres et les ressources SageMaker. Niveau de tarification : Enterprise Normes de conformité :
|
Vérifiez si l'accès direct à Internet est désactivé pour toutes les instances de notebook Amazon SageMaker
|
|
Description du résultat : Vérifie si un secret stocké dans AWS Secrets Manager est configuré avec la rotation automatique. Le contrôle échoue si la rotation automatique n'est pas configurée pour le secret. Si vous fournissez une valeur personnalisée pour le paramètre Secrets Manager vous aide à améliorer la stratégie de sécurité de votre organisation. Les secrets incluent les identifiants de base de données, les mots de passe et les clés API tierces. Vous pouvez utiliser Secrets Manager pour stocker les secrets de manière centralisée, les chiffrer automatiquement, contrôler leur accès et les faire pivoter de manière sécurisée et automatique. Secret Manager peut faire tourner les secrets. Vous pouvez utiliser la rotation pour remplacer les secrets à long terme par des secrets à court terme. La rotation de vos secrets limite la durée pendant laquelle un utilisateur non autorisé peut utiliser un secret compromis. C'est pourquoi vous devez effectuer une rotation fréquente de vos secrets. Pour en savoir plus sur la rotation, consultez "Rotation de vos secrets AWS Secrets Manager" dans le guide de l'utilisateur AWS Secrets Manager. Niveau de tarification : Enterprise Normes de conformité :
|
Vérifiez que la rotation de tous les secrets AWS Secrets Manager est activée
|
|
Description du résultat : Vérifie si un sujet SNS est chiffré au repos à l'aide d'AWS KMS. Le contrôle échoue si un sujet SNS n'utilise pas de clé KMS pour le chiffrement côté serveur (SSE). Le chiffrement des données au repos réduit le risque d'accès aux données stockées sur le disque par un utilisateur non authentifié auprès d'AWS. Il ajoute également un autre ensemble de contrôles d'accès pour limiter la capacité des utilisateurs non autorisés à accéder aux données. Par exemple, des autorisations d'API sont nécessaires pour déchiffrer les données avant de pouvoir les lire. Les rubriques SNS doivent être chiffrées au repos pour renforcer la sécurité. Niveau de tarification : Enterprise Normes de conformité :
|
Vérifiez que tous les sujets SNS sont chiffrés avec KMS
|
|
Description du résultat : Ce contrôle vérifie si le groupe de sécurité par défaut d'un VPC autorise le trafic entrant ou sortant. Le contrôle échoue si le groupe de sécurité autorise le trafic entrant ou sortant. Les règles du groupe de sécurité par défaut autorisent tout le trafic entrant et sortant des interfaces réseau (et des instances associées) qui sont attribuées au même groupe de sécurité. Nous vous recommandons de ne pas utiliser le groupe de sécurité par défaut. Étant donné que le groupe de sécurité par défaut ne peut pas être supprimé, vous devez modifier le paramètre des règles du groupe de sécurité par défaut pour limiter le trafic entrant et sortant. Cela empêche le trafic involontaire si le groupe de sécurité par défaut est accidentellement configuré pour des ressources telles que les instances EC2. Niveau de tarification : Enterprise Normes de conformité :
|
Assurez-vous que le groupe de sécurité par défaut de chaque VPC limite tout le trafic
|
|
Description du résultat : Les journaux de flux VPC sont une fonctionnalité qui vous permet de recueillir des informations sur le trafic IP entre les différentes interfaces réseau de votre VPC. Une fois que vous avez créé un journal de flux, vous pouvez afficher et récupérer ses données dans Amazon CloudWatch Logs. Il est recommandé d'activer les journaux de flux VPC pour les paquets "Rejects" pour les VPC. Niveau de tarification : Enterprise Normes de conformité :
|
Assurez-vous que la journalisation de flux VPC est activée dans tous les VPC
|
|
Description du résultat : Ce contrôle vérifie si un groupe de sécurité Amazon EC2 autorise le trafic entrant illimité à partir de ports non autorisés. L'état du contrôle est déterminé comme suit : Si vous utilisez la valeur par défaut pour authorizedTcpPorts, le contrôle échoue si le groupe de sécurité autorise le trafic entrant illimité depuis n'importe quel port autre que les ports 80 et 443. Si vous fournissez des valeurs personnalisées pour authorizedTcpPorts ou authorizedUdpPorts, le contrôle échoue si le groupe de sécurité autorise le trafic entrant illimité depuis un port non listé. Si aucun paramètre n'est utilisé, le contrôle échoue pour tout groupe de sécurité disposant d'une règle de trafic entrant sans restriction. Les groupes de sécurité fournissent un filtrage avec état du trafic réseau entrant et sortant vers AWS. Les règles des groupes de sécurité doivent suivre le principe du moindre privilège. Un accès non restreint (adresse IP avec un suffixe /0) augmente le risque d'activité malveillante, comme le piratage, les attaques par déni de service et la perte de données. Sauf si un port est spécifiquement autorisé, il doit refuser l'accès illimité. Niveau de tarification : Enterprise Normes de conformité :
|
Vérifiez que les groupes de sécurité avec la plage 0.0.0.0/0 de n'importe quel VPC autorisent uniquement le trafic TCP/UDP entrant spécifique
|
|
Description du résultat : Un tunnel VPN est un lien chiffré permettant aux données de transiter du réseau client vers AWS ou inversement dans une connexion AWS Site-to-Site VPN. Chaque connexion VPN inclut deux tunnels VPN que vous pouvez utiliser simultanément pour la haute disponibilité. Il est important de s'assurer que les deux tunnels VPN sont opérationnels pour une connexion VPN afin de confirmer une connexion sécurisée et à disponibilité élevée entre un VPC AWS et votre réseau distant. Ce contrôle vérifie que les deux tunnels VPN fournis par AWS Site-to-Site VPN sont activés. Le contrôle échoue si l'un des tunnels ou les deux sont à l'état "DOWN" (DÉSACTIVÉ). Niveau de tarification : Enterprise Normes de conformité :
|
Vérifiez que les deux tunnels VPN AWS fournis par AWS site à site sont activés
|
Résultats de Web Security Scanner
Les analyses personnalisées et gérées de Web Security Scanner identifient les types de résultats suivants. Au niveau Standard, Web Security Scanner accepte les analyses personnalisées des applications déployées avec des URL et des adresses IP publiques qui ne sont pas protégées par un pare-feu.
| Catégorie | Description du résultat | Catégorie de résultats | OWASP 2017 Top 10 | OWASP 2021 Top 10 |
|---|---|---|---|---|
|
Un dépôt GIT est exposé publiquement. Pour résoudre ce problème, supprimez l'accès public involontaire au dépôt GIT. Niveau de tarification : Premium ou Standard |
Faille | A5 | A01 |
|
Un dépôt SVN est exposé publiquement. Pour résoudre ce problème, supprimez l'accès public involontaire au dépôt SVN. Niveau de tarification : Premium ou Standard |
Faille | A5 | A01 |
|
Un fichier ENV est exposé publiquement. Pour résoudre ce problème, supprimez l'accès public involontaire au fichier ENV. Niveau de tarification : Premium ou Standard |
Faille | A5 | A01 |
|
Les mots de passe saisis dans l'application Web peuvent être mis en cache dans un cache de navigateur standard au lieu d'un espace de stockage sécurisé. Niveau de tarification : Premium |
Faille | A3 | A04 |
|
Les mots de passe sont transmis en texte clair et peuvent être interceptés. Pour résoudre ce problème, chiffrez les mots de passe transmis sur le réseau. Niveau de tarification : Premium ou Standard |
Faille | A3 | A02 |
|
Un point de terminaison HTTP ou HTTPS intersites ne valide qu'un suffixe de l'en-tête de requête Niveau de tarification : Premium |
Faille | A5 | A01 |
|
Un point de terminaison HTTP ou HTTPS intersites ne valide qu'un préfixe de l'en-tête de requête Niveau de tarification : Premium |
Faille | A5 | A01 |
|
Une des ressources chargées ne correspond pas à l'en-tête HTTP "Content-Type" de la réponse. Pour résoudre ce problème, définissez l'en-tête HTTP Niveau de tarification : Premium ou Standard |
Faille | A6 | A05 |
|
Un en-tête de sécurité contient une erreur de syntaxe et est ignoré par les navigateurs. Pour résoudre ce problème, définissez correctement l'en-tête de sécurité HTTP. Niveau de tarification : Premium ou Standard |
Faille | A6 | A05 |
|
Un en-tête de sécurité contient des valeurs en double incompatibles et non concordantes, ce qui entraîne un comportement indéfini. Pour résoudre ce problème, définissez correctement l'en-tête de sécurité HTTP. Niveau de tarification : Premium ou Standard |
Faille | A6 | A05 |
|
Un en-tête de sécurité est mal orthographié et ignoré. Pour résoudre ce problème, définissez correctement les en-têtes de sécurité HTTP. Niveau de tarification : Premium ou Standard |
Faille | A6 | A05 |
|
Les ressources sont diffusées via HTTP sur une page HTTPS. Pour résoudre ce problème, assurez-vous que toutes les ressources sont diffusées via HTTPS. Niveau de tarification : Premium ou Standard |
Faille | A6 | A05 |
|
Une bibliothèque contenant des failles connues a été détectée. Pour résoudre ce problème, mettez à niveau les bibliothèques vers une version plus récente. Niveau de tarification : Premium ou Standard |
Faille | A9 | A06 |
|
Une faille SSRF (Server Side Request Forgery, falsification de requête côté serveur) a été détectée. Pour résoudre ce résultat, utilisez une liste d'autorisation pour limiter les domaines et les adresses IP auxquels l'application Web peut envoyer des requêtes. Niveau de tarification : Premium ou Standard |
Faille | Non applicable | A10 |
|
Lors d'une requête interdomaine, l'application Web inclut l'identifiant de session de l'utilisateur dans son en-tête de requête Niveau de tarification : Premium |
Faille | A2 | A07 |
|
Une faille potentielle d'injection SQL a été détectée. Pour résoudre ce problème, utilisez des requêtes paramétrées afin d'empêcher les entrées utilisateur d'affecter la structure de la requête SQL. Niveau de tarification : Premium |
Faille | A1 | A03 |
|
L'utilisation d'une version vulnérable d'Apache Struts a été détectée. Pour résoudre ce résultat, mettez à niveau Apache Struts vers la dernière version. Niveau de tarification : Premium |
Faille | A8 | A08 |
|
Un champ dans cette application Web est vulnérable aux attaques de script intersites (XSS). Pour résoudre ce problème, validez les données fournies par l'utilisateur non approuvées et faites-les échapper. Niveau de tarification : Premium ou Standard |
Faille | A7 | A03 |
|
Une chaîne fournie par l'utilisateur n'est pas échappée et AngularJS peut l'interpoler. Pour résoudre ce problème, validez les données fournies par l'utilisateur non approuvées qui sont gérées par le framework Angular et faites-les échapper. Niveau de tarification : Premium ou Standard |
Faille | A7 | A03 |
|
Un champ dans cette application Web est vulnérable aux attaques de script intersites. Pour résoudre ce problème, validez les données fournies par l'utilisateur non approuvées et faites-les échapper. Niveau de tarification : Premium ou Standard |
Faille | A7 | A03 |
|
Une faille XML External Entity (XXE) a été détectée. Cette faille peut entraîner la fuite d'un fichier sur l'hôte par l'application Web. Pour corriger ce résultat, configurez vos analyseurs XML de manière à interdire les entités externes. Niveau de tarification : Premium |
Faille | A4 | A05 |
|
L'application est vulnérable à la pollution du prototype. Cette faille survient lorsque les propriétés de l'objet Niveau de tarification : Premium ou Standard |
Faille | A1 | A03 |
|
Un en-tête HTTP Strict Transport Security (HSTS) mal configuré a été détecté. Pour réduire considérablement le risque d'attaques par écoute et par rétrogradation en connexion HTTP, corrigez l'en-tête HSTS mal configuré. Les en-têtes HSTS forcent les connexions à passer par des canaux chiffrés (TLS), de sorte que les connexions HTTP en texte brut échouent. En savoir plus sur les en-têtes HSTS
Niveau de tarification : Premium |
Erreur de configuration | Non applicable | Non applicable |
|
Un en-tête de réponse HTTP Content Security Policy (CSP) manquant a été détecté. Les en-têtes CSP atténuent l'exploitation des failles Web courantes, en particulier les scripts intersites (XSS), en empêchant le chargement de scripts ou de plug-ins non fiables. Il est recommandé d'utiliser un en-tête CSP strict. En savoir plus sur les en-têtes CSP
Niveau de tarification : Premium |
Erreur de configuration | Non applicable | Non applicable |
|
Un en-tête de réponse HTTP Content Security Policy (CSP) mal configuré a été détecté. Les en-têtes CSP atténuent l'exploitation des failles Web courantes, en particulier les scripts intersites (XSS), en empêchant le chargement de scripts ou de plug-ins non fiables. Il est recommandé d'utiliser un en-tête CSP strict. En savoir plus sur les en-têtes CSP
Niveau de tarification : Premium |
Erreur de configuration | Non applicable | Non applicable |
|
Un en-tête HTTP Cross-Origin-Opener-Policy (COOP) manquant a été détecté. COOP est un mécanisme de sécurité Web qui empêche une page ouverte dans une nouvelle fenêtre d'accéder aux propriétés de sa page d'origine. COOP offre une protection renforcée contre les attaques Web courantes.
Niveau de tarification : Premium |
Erreur de configuration | Non applicable | Non applicable |
|
Un en-tête de réponse manquant a été détecté. Pour éviter le clickjacking, implémentez un en-tête de réponse HTTP tel que
Niveau de tarification : Premium |
Erreur de configuration | Non applicable | Non applicable |
Résultats de Notebook Security Scanner
Notebook Security Scanner détecte les failles liées aux packages Python utilisés dans vos notebooks Colab Enterprise et les publie dans la catégorie Faille de package.
Une découverte de faille de package affiche les détails de la version d'un package contenant des failles connues. Une version donnée d'un package Python peut comporter plusieurs résultats de vulnérabilité de package, chacun correspondant à une vulnérabilité connue différente.
Pour résoudre un problème de sécurité lié à un package, vous devez utiliser une autre version du package, comme recommandé dans la section Étapes suivantes du résultat.
Pour en savoir plus, consultez Activer et utiliser Notebook Security Scanner.
Résultats de l'outil de recommandation IAM
Le tableau suivant liste les résultats Security Command Center générés par le recommandeur IAM.
Chaque résultat de l'outil de recommandation IAM contient des recommandations spécifiques pour supprimer ou remplacer un rôle qui inclut des autorisations excessives d'un compte principal dans votre environnementGoogle Cloud .
Les résultats générés par IAM Recommender correspondent aux recommandations qui s'affichent dans la console Google Cloud sur la page IAM du projet, du dossier ou de l'organisation concernés.
Pour en savoir plus sur l'intégration de l'outil de recommandation IAM à Security Command Center, consultez Sources de sécurité.
| Détecteur | Résumé |
|---|---|
|
Description du résultat : le service de recommandation IAM a détecté un compte de service qui possède un ou plusieurs rôles IAM accordant des autorisations excessives au compte utilisateur. Niveau de tarification : Premium Composants acceptés :
Corriger ce résultat : Utilisez l'outil de recommandation IAM pour appliquer la correction recommandée à ce problème en procédant comme suit :
Une fois le problème résolu, IAM Recommender met à jour l'état du résultat sur |
|
Description du résultat : l'outil de recommandation IAM a détecté que le rôle IAM par défaut d'origine attribué à un agent de service a été remplacé par l'un des rôles IAM de base : Propriétaire, Éditeur ou Lecteur. Les rôles de base sont des rôles anciens excessivement permissifs et ne doivent pas être attribués aux agents de service. Niveau de tarification : Premium Composants acceptés :
Corriger ce résultat : Utilisez l'outil de recommandation IAM pour appliquer la correction recommandée à ce problème en procédant comme suit :
Une fois le problème résolu, IAM Recommender met à jour l'état du résultat sur |
|
Description du résultat : l'outil de recommandation IAM a détecté qu'un agent de service s'était vu attribuer l'un des rôles IAM de base : Propriétaire, Éditeur ou Lecteur. Les rôles de base sont des rôles anciens excessivement permissifs et ne doivent pas être attribués aux agents de service. Niveau de tarification : Premium Composants acceptés :
Corriger ce résultat : Utilisez l'outil de recommandation IAM pour appliquer la correction recommandée à ce problème en procédant comme suit :
Une fois le problème résolu, IAM Recommender met à jour l'état du résultat sur |
|
Description du résultat : l'outil de recommandation IAM a détecté un compte utilisateur disposant d'un rôle IAM qui n'a pas été utilisé au cours des 90 derniers jours. Niveau de tarification : Premium Composants acceptés :
Corriger ce résultat : Utilisez l'outil de recommandation IAM pour appliquer la correction recommandée à ce problème en procédant comme suit :
Une fois le problème résolu, IAM Recommender met à jour l'état du résultat sur |
Résultats CIEM
Le tableau suivant répertorie les résultats Security Command Center sur l'identité et l'accès pour AWS générés par Cloud Infrastructure Entitlement Management (CIEM).
Les résultats CIEM contiennent des recommandations spécifiques pour supprimer ou remplacer les stratégies AWS IAM très permissives associées aux identités, utilisateurs ou groupes supposés dans votre environnement AWS.
Pour en savoir plus sur CIEM, consultez la présentation de Cloud Infrastructure Entitlement Management.
| Détecteur | Résumé |
|---|---|
|
Description du résultat : dans votre environnement AWS, CIEM a détecté un rôle IAM assumé qui comporte une ou plusieurs stratégies très permissives qui ne respectent pas le principe du moindre privilège et augmentent les risques de sécurité. Ce résultat est basé sur les journaux d'utilisation les plus récents, qui couvrent une période de 83 à 90 jours. Niveau de tarification : Enterprise Corriger ce résultat : Selon le résultat, utilisez la console de gestion AWS pour effectuer l'une des tâches de correction suivantes :
Consultez les détails du résultat pour connaître les étapes de correction spécifiques. |
|
Description de la découverte : dans votre environnement AWS, CIEM a détecté un groupe AWS IAM ou AWS IAM Identity Center qui comporte une ou plusieurs stratégies très permissives qui enfreignent le principe du moindre privilège et augmentent les risques de sécurité. Ce résultat est basé sur les journaux d'utilisation les plus récents, qui couvrent une période de 83 à 90 jours. Niveau de tarification : Enterprise Corriger ce résultat : Selon le résultat, utilisez la console de gestion AWS pour effectuer l'une des tâches de correction suivantes :
Consultez les détails du résultat pour connaître les étapes de correction spécifiques. |
|
Description de la découverte : dans votre environnement AWS, CIEM a détecté un utilisateur AWS IAM ou AWS IAM Identity Center qui dispose d'une ou de plusieurs règles très permissives qui enfreignent le principe du moindre privilège et augmentent les risques de sécurité. Ce résultat est basé sur les journaux d'utilisation les plus récents, qui couvrent une période de 83 à 90 jours. Niveau de tarification : Enterprise Corriger ce résultat : Selon le résultat, utilisez la console de gestion AWS pour effectuer l'une des tâches de correction suivantes :
Consultez les détails du résultat pour connaître les étapes de correction spécifiques. |
|
Description du résultat : dans votre environnement AWS, CIEM a détecté un utilisateur AWS IAM ou AWS IAM Identity Center inactif disposant d'une ou plusieurs autorisations. Cela enfreint le principe du moindre privilège et augmente les risques de sécurité. Ce résultat est basé sur les journaux d'utilisation les plus récents, qui couvrent une période de 83 à 90 jours. Niveau de tarification : Enterprise Corriger ce résultat : Selon le résultat, utilisez la console de gestion AWS pour effectuer l'une des tâches de correction suivantes :
Consultez les détails du résultat pour connaître les étapes de correction spécifiques. |
|
Description de la découverte : dans votre environnement AWS, CIEM a détecté un groupe AWS IAM ou AWS IAM Identity Center inactif et disposant d'une ou plusieurs autorisations. Cela enfreint le principe du moindre privilège et augmente les risques de sécurité. Ce résultat est basé sur les journaux d'utilisation les plus récents, qui couvrent une période de 83 à 90 jours. Niveau de tarification : Enterprise Corriger ce résultat : Selon le résultat, utilisez la console de gestion AWS pour effectuer l'une des tâches de correction suivantes :
Consultez les détails du résultat pour connaître les étapes de correction spécifiques. |
|
Description de la découverte : dans votre environnement AWS, CIEM a détecté un rôle IAM supposé inactif et disposant d'une ou plusieurs autorisations. Cela enfreint le principe du moindre privilège et augmente les risques de sécurité. Ce résultat est basé sur les journaux d'utilisation les plus récents, qui couvrent une période de 83 à 90 jours. Niveau de tarification : Enterprise Corriger ce résultat : Selon le résultat, utilisez la console de gestion AWS pour effectuer l'une des tâches de correction suivantes :
Consultez les détails du résultat pour connaître les étapes de correction spécifiques. |
|
Description de la découverte : dans votre environnement AWS, CIEM a détecté une stratégie de confiance trop permissive appliquée à un rôle AWS IAM qui ne respecte pas le principe du moindre privilège et augmente les risques de sécurité. Ce résultat est basé sur les journaux d'utilisation les plus récents, qui couvrent une période de 83 à 90 jours. Niveau de tarification : Enterprise Corriger ce résultat : Utilisez la console de gestion AWS pour modifier les autorisations de la stratégie de confiance appliquée au rôle IAM AWS afin de respecter le principe du moindre privilège. Consultez les détails du résultat pour connaître les étapes de correction spécifiques. |
|
Description de la découverte : dans votre environnement AWS, CIEM a détecté une ou plusieurs identités pouvant se déplacer latéralement par usurpation d'identité. Ce résultat est basé sur les journaux d'utilisation les plus récents, qui couvrent une période de 83 à 90 jours. Niveau de tarification : Enterprise Corriger ce résultat : Utilisez la console de gestion AWS pour supprimer la ou les stratégies associées aux identités qui autorisent le déplacement latéral. Consultez les détails du résultat pour connaître les étapes de correction spécifiques. |
Résultats du service de stratégie de sécurité
Cette section liste les résultats Security Command Center générés par le service de posture de sécurité.
Le service de posture de sécurité génère les ensembles suivants de catégories de résultats :
- Dérive par rapport à une stratégie de sécurité déployée
- Ressource ne respectant pas une stratégie de sécurité déployée
Dérive par rapport à une posture de sécurité déployée
Le tableau suivant liste les résultats de l'état de sécurité qui identifient une instance de dérive par rapport à l'état de sécurité que vous avez défini.
| Résultat | Résumé |
|---|---|
|
Description du résultat : le service de posture de sécurité a détecté une modification apportée à un détecteur Security Health Analytics en dehors d'une mise à jour de la posture. Niveau de tarification : Premium
Corriger ce résultat : Cette conclusion vous oblige à accepter ou à annuler la modification afin que les paramètres du détecteur dans votre posture et votre environnement correspondent. Pour résoudre ce problème, vous avez deux options : mettre à jour le détecteur Security Health Analytics ou mettre à jour la posture et le déploiement de posture. Pour annuler la modification, mettez à jour le détecteur Security Health Analytics dans la console Google Cloud . Pour obtenir des instructions, consultez Activer et désactiver des détecteurs. Pour accepter la modification, procédez comme suit :
|
|
Description du résultat : le service de posture de sécurité a détecté une modification apportée à un module personnalisé Security Health Analytics en dehors d'une mise à jour de la posture. Niveau de tarification : Premium Corriger ce résultat : Cette conclusion vous oblige à accepter ou à annuler la modification afin que les paramètres du module personnalisé de votre posture et de votre environnement correspondent. Pour résoudre ce problème, vous avez deux options : mettre à jour le module personnalisé Security Health Analytics ou mettre à jour la posture et le déploiement de la posture. Pour annuler la modification, mettez à jour le module personnalisé Security Health Analytics dans la console Google Cloud . Pour obtenir des instructions, consultez Mettre à jour un module personnalisé. Pour accepter la modification, procédez comme suit :
|
|
Description du résultat : le service de posture de sécurité a détecté qu'un module personnalisé Security Health Analytics a été supprimé. Cette suppression a eu lieu en dehors d'une mise à jour de la posture. Niveau de tarification : Premium Corriger ce résultat : Cette conclusion vous oblige à accepter ou à annuler la modification afin que les paramètres du module personnalisé de votre posture et de votre environnement correspondent. Pour résoudre ce problème, vous avez deux options : mettre à jour le module personnalisé Security Health Analytics ou mettre à jour la posture et le déploiement de la posture. Pour annuler la modification, mettez à jour le module personnalisé Security Health Analytics dans la console Google Cloud . Pour obtenir des instructions, consultez Mettre à jour un module personnalisé. Pour accepter la modification, procédez comme suit :
|
|
Description du résultat : le service de posture de sécurité a détecté une modification d'une règle d'administration qui s'est produite en dehors d'une mise à jour de la posture. Niveau de tarification : Premium Corriger ce résultat : Cette conclusion vous oblige à accepter ou à annuler la modification afin que les définitions des règles d'administration dans votre posture et votre environnement correspondent. Vous avez deux options pour résoudre ce problème : vous pouvez mettre à jour la règle d'administration ou la posture et son déploiement. Pour annuler la modification, mettez à jour la règle d'administration dans la console Google Cloud . Pour obtenir des instructions, consultez Créer et modifier des règles. Pour accepter la modification, procédez comme suit :
|
|
Description du résultat : le service de posture de sécurité a détecté la suppression d'une règle d'administration. Cette suppression a eu lieu en dehors d'une mise à jour de la posture. Niveau de tarification : Premium Corriger ce résultat : Cette conclusion vous oblige à accepter ou à annuler la modification afin que les définitions des règles d'administration dans votre posture et votre environnement correspondent. Vous avez deux options pour résoudre ce problème : vous pouvez mettre à jour la règle d'administration ou la posture et son déploiement. Pour annuler la modification, mettez à jour la règle d'administration dans la console Google Cloud . Pour obtenir des instructions, consultez Créer et modifier des règles. Pour accepter la modification, procédez comme suit :
|
|
Description du résultat : le service de posture de sécurité a détecté une modification apportée à une règle d'administration personnalisée qui s'est produite en dehors d'une mise à jour de la posture. Niveau de tarification : Premium Corriger ce résultat : Cette constatation vous oblige à accepter ou à annuler la modification afin que les définitions de règles d'administration personnalisées de votre posture et de votre environnement correspondent. Pour résoudre ce problème, vous avez deux options : vous pouvez mettre à jour la règle d'administration personnalisée ou la posture et son déploiement. Pour annuler la modification, mettez à jour la règle d'administration personnalisée dans la console Google Cloud . Pour obtenir des instructions, consultez Mettre à jour une contrainte personnalisée. Pour accepter la modification, procédez comme suit :
|
|
Description du résultat : le service de posture de sécurité a détecté qu'une règle d'administration personnalisée a été supprimée. Cette suppression a eu lieu en dehors d'une mise à jour de la posture. Niveau de tarification : Premium Corriger ce résultat : Cette constatation vous oblige à accepter ou à annuler la modification afin que les définitions de règles d'administration personnalisées de votre posture et de votre environnement correspondent. Pour résoudre ce problème, vous avez deux options : vous pouvez mettre à jour la règle d'administration personnalisée ou la posture et son déploiement. Pour annuler la modification, mettez à jour la règle d'administration personnalisée dans la console Google Cloud . Pour obtenir des instructions, consultez Mettre à jour une contrainte personnalisée. Pour accepter la modification, procédez comme suit :
|
Ressource ne respectant pas une stratégie de sécurité déployée
Le service de stratégie de sécurité et Security Health Analytics génèrent les résultats suivants, qui identifient les instances de ressources non conformes à votre stratégie de sécurité définie.
| Résultat | Résumé |
|---|---|
|
Description du résultat : le service de posture de sécurité a détecté qu'une adresse IPv6 externe est activée pour un sous-réseau. Niveau de tarification : Premium Corriger ce résultat : Vous avez deux options pour résoudre ce problème : supprimer la ressource non conforme ou mettre à jour la posture et la redéployer. Pour supprimer la ressource, procédez comme suit :
Si vous souhaitez conserver la ressource dans la même configuration, vous devez mettre à jour la posture. Pour mettre à jour la posture, procédez comme suit :
|
|
Description du résultat : le service de posture de sécurité a détecté qu'une adresse IPv6 interne était activée pour un sous-réseau. Niveau de tarification : Premium Corriger ce résultat : Vous avez deux options pour résoudre ce problème : supprimer la ressource non conforme ou mettre à jour la posture et la redéployer. Pour supprimer la ressource, procédez comme suit :
Si vous souhaitez conserver la ressource dans la même configuration, vous devez mettre à jour la posture. Pour mettre à jour la posture, procédez comme suit :
|
|
Description du résultat : Le service de posture de sécurité a détecté qu'OS Login est désactivé dans une instance de VM. Niveau de tarification : Premium Corriger ce résultat : Vous avez deux options pour résoudre ce problème : vous pouvez mettre à jour la ressource non conforme ou mettre à jour la posture et la redéployer. Pour mettre à jour la ressource, procédez comme suit :
Si vous souhaitez conserver la ressource dans la même configuration, vous devez mettre à jour la posture. Pour mettre à jour la posture, procédez comme suit :
|
|
Description du résultat : le service de posture de sécurité a détecté qu'un réseau autorisé a été ajouté à une instance SQL. Niveau de tarification : Premium Corriger ce résultat : Ce résultat nécessite que vous corrigiez la violation ou que vous mettiez à jour la posture. Vous avez deux options pour résoudre ce problème : vous pouvez mettre à jour la ressource non conforme ou mettre à jour la posture et la redéployer. Pour mettre à jour la ressource, procédez comme suit :
Si vous souhaitez conserver la ressource dans la même configuration, vous devez mettre à jour la posture. Pour mettre à jour la posture, procédez comme suit :
|
|
Description du résultat : le service de posture de sécurité a détecté qu'un connecteur VPC n'est pas activé pour une instance Cloud Run Functions. Niveau de tarification : Premium Corriger ce résultat : Vous avez deux options pour résoudre ce problème : vous pouvez mettre à jour la ressource non conforme ou mettre à jour la posture et la redéployer. Pour mettre à jour la ressource, procédez comme suit :
Si vous souhaitez conserver la ressource dans la même configuration, vous devez mettre à jour la posture. Pour mettre à jour la posture, procédez comme suit :
|
|
Description du résultat : le service de posture de sécurité a détecté que l'accès au port série d'une instance de VM est activé. Niveau de tarification : Premium Corriger ce résultat : Vous avez deux options pour résoudre ce problème : vous pouvez mettre à jour la ressource non conforme ou mettre à jour la posture et la redéployer. Pour mettre à jour la ressource, procédez comme suit :
Si vous souhaitez conserver la ressource dans la même configuration, vous devez mettre à jour la posture. Pour mettre à jour la posture, procédez comme suit :
|
|
Description du résultat : le service de posture de sécurité a détecté qu'un réseau par défaut a été créé. Niveau de tarification : Premium Corriger ce résultat : Vous avez deux options pour résoudre ce problème : supprimer la ressource non conforme ou mettre à jour la posture et la redéployer. Pour supprimer la ressource, procédez comme suit :
Si vous souhaitez conserver la ressource dans la même configuration, vous devez mettre à jour la posture. Pour mettre à jour la posture, procédez comme suit :
|
|
Description du résultat : le service de posture de sécurité a détecté qu'un service Cloud Run ne respecte pas les paramètres d'entrée spécifiés. Niveau de tarification : Premium Corriger ce résultat : Vous avez deux options pour résoudre ce problème : vous pouvez mettre à jour la ressource non conforme ou mettre à jour la posture et la redéployer. Pour mettre à jour la ressource, procédez comme suit :
Si vous souhaitez conserver la ressource dans la même configuration, vous devez mettre à jour la posture. Pour mettre à jour la posture, procédez comme suit :
|
|
Description du résultat : le service de posture de sécurité a détecté qu'un accès au niveau du bucket est précis au lieu d'être uniforme. Niveau de tarification : Premium Corriger ce résultat : Vous avez deux options pour résoudre ce problème : vous pouvez mettre à jour la ressource non conforme ou mettre à jour la posture et la redéployer. Pour mettre à jour la ressource, procédez comme suit :
Si vous souhaitez conserver la ressource dans la même configuration, vous devez mettre à jour la posture. Pour mettre à jour la posture, procédez comme suit :
|
|
Description du résultat : le service de posture de sécurité a détecté qu'un service Cloud Run ne respecte pas les paramètres de sortie spécifiés. Niveau de tarification : Premium Corriger ce résultat : Vous avez deux options pour résoudre ce problème : vous pouvez mettre à jour la ressource non conforme ou mettre à jour la posture et la redéployer. Pour mettre à jour la ressource, procédez comme suit :
Si vous souhaitez conserver la ressource dans la même configuration, vous devez mettre à jour la posture. Pour mettre à jour la posture, procédez comme suit :
|
Model Armor
Model Armor est un service Google Cloud entièrement géré qui améliore la sécurité des applications d'IA en examinant les requêtes et les réponses des LLM pour détecter divers risques de sécurité.
Résultats Model Armor
Le tableau suivant liste les résultats Security Command Center générés par Model Armor.
| Résultat | Résumé |
|---|---|
|
Description du résultat : non-respect d'un paramètre de plancher qui se produit lorsqu'un modèle Model Armor ne respecte pas les normes de sécurité minimales définies par les paramètres de plancher de la hiérarchie des ressources. Niveau de tarification : Premium
Cette découverte vous oblige à mettre à jour le modèle Model Armor pour qu'il soit conforme aux paramètres de plancher définis au niveau de la hiérarchie des ressources. |
Examiner les résultats dans la console Google Cloud
- Dans la console Google Cloud , accédez à la page Résultats de Security Command Center.
- Sélectionnez votre projet Google Cloud ou votre organisation.
- Dans la sous-section Nom à afficher pour la source de la section Filtres rapides, sélectionnez Model Armor. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats provenant de cette source.
- Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la colonne Catégorie. Le panneau de détails du résultat s'ouvre et affiche l'onglet Récapitulatif.
- Dans l'onglet Récapitulatif, examinez les détails du résultat, y compris les informations sur ce qui a été détecté, la ressource concernée et les étapes à suivre pour résoudre le problème.
- Facultatif : Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.
Corriger les résultats Model Armor
Le résultat FLOOR_SETTINGS_VIOLATION indique que le modèle Model Armor n'a pas respecté les normes de sécurité minimales définies par les paramètres de plancher de la hiérarchie des ressources.
Pour corriger ce résultat, procédez comme suit :
- Dans la console Google Cloud , accédez à la page Model Armor.
- Vérifiez que vous consultez le projet sur lequel vous avez activé Model Armor. La page "Model Armor" s'affiche et liste les modèles créés pour votre projet.
- Cliquez sur le modèle que vous souhaitez modifier.
- Modifiez le modèle en fonction des paramètres de plancher définis au niveau de la hiérarchie des ressources.
- Cliquez sur Enregistrer.
VM Manager
VM Manager est une suite d'outils qui permet de gérer les systèmes d'exploitation des grands parcs de machines virtuelles (VM) exécutant Windows et Linux sur Compute Engine.
Si vous activez VM Manager avec Security Command Center Premium au niveau de l'organisation, VM Manager écrit les résultats de ses rapports de failles en version bêta dans Security Command Center. Les rapports identifient les failles dans les systèmes d'exploitation installés sur les VM, y compris les failles CVE courantes (Common Vulnerabilities and Exposures).
Pour utiliser VM Manager avec les activations au niveau du projet de Security Command Center Premium, activez Security Command Center Standard dans l'organisation parente.
Les rapports de failles ne sont pas disponibles dans le niveau Standard de Security Command Center.
Les résultats simplifient l'utilisation de la fonctionnalité de conformité des correctifs de VM Manager, qui est en version bêta. Cette fonctionnalité vous permet de gérer les correctifs au niveau de l'organisation dans tous vos projets.
La gravité des résultats de failles reçus de VM Manager est toujours CRITICAL ou HIGH.
Résultats de VM Manager
Les failles de ce type concernent toutes les packages de système d'exploitation installés dans les VM Compute Engine compatibles.
| Détecteur | Résumé | Paramètres d'analyse des éléments |
|---|---|---|
|
Description du résultat : VM Manager a détecté une faille dans le package du système d'exploitation (OS) installé pour une VM Compute Engine. Niveau de tarification : Premium Composants acceptés |
Les rapports sur les failles de VM Manager détaillent les failles dans les packages de système d'exploitation installés pour les VM Compute Engine, y compris les failles et risques courants (CVE). Pour obtenir la liste complète des systèmes d'exploitation compatibles, consultez la page Détails des systèmes d'exploitation. Des résultats s'affichent dans Security Command Center peu de temps après la détection de failles. Dans VM Manager, les rapports de failles sont générés comme suit :
|
Examiner les résultats dans la console
Standard ou Premium
- Dans la console Google Cloud , accédez à la page Résultats de Security Command Center.
- Sélectionnez votre projet Google Cloud ou votre organisation.
- Dans la sous-section Nom à afficher pour la source de la section Filtres rapides, sélectionnez VM Manager. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats provenant de cette source.
- Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la colonne Catégorie. Le panneau de détails du résultat s'ouvre et affiche l'onglet Résumé.
- Dans l'onglet Récapitulatif, examinez les détails du résultat, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les étapes à suivre pour corriger le résultat.
- Facultatif : Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.
Entreprise
- Dans la console Google Cloud , accédez à la page Résultats de Security Command Center.
- Sélectionnez votre Google Cloud organisation.
- Dans la section Aggregations (Agrégations), cliquez pour développer la sous-section Source Display Name (Nom à afficher de la source).
- Sélectionnez VM Manager. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats provenant de cette source.
- Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la colonne Catégorie. Le panneau de détails du résultat s'ouvre et affiche l'onglet Résumé.
- Dans l'onglet Récapitulatif, examinez les détails du résultat, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les étapes à suivre pour corriger le résultat.
- Facultatif : Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.
Corriger les résultats de VM Manager
Un résultat OS_VULNERABILITY indique que VM Manager a détecté une faille dans les packages du système d'exploitation installés dans une VM Compute Engine.
Pour corriger ce résultat, procédez comme suit :
Ouvrez un résultat
OS vulnerabilityet affichez sa définition JSON.Copiez la valeur du champ
externalUri. Cette valeur correspond à l'URI de la page Infos sur l'OS de l'instance de VM Compute Engine sur laquelle le système d'exploitation vulnérable est installé.Appliquez tous les correctifs appropriés pour l'OS indiqué dans la section Informations de base. Pour obtenir des instructions sur le déploiement des correctifs, consultez Créer des jobs de correctif.
En savoir plus sur les éléments et les paramètres d'analyse compatibles de ce type de résultat.
Ignorer les résultats de VM Manager
Vous pouvez masquer tout ou partie des résultats VM Manager dans Security Command Center s'ils ne sont pas pertinents pour vos exigences de sécurité.
Vous pouvez masquer les résultats de VM Manager en créant une règle de désactivation et en ajoutant des attributs de requête spécifiques aux résultats VM Manager que vous souhaitez masquer.
Pour savoir comment créer une règle de blocage, consultez Créer une règle de blocage.
Par exemple, si vous souhaitez masquer des ID CVE spécifiques dans les résultats d'analyse des failles de VM Manager, sélectionnez Faille > ID CVE, puis sélectionnez les ID CVE que vous souhaitez masquer.
Le champ Requête sur les résultats de votre règle de désactivation ressemble à ce qui suit :
parent_display_name="VM Manager"
AND vulnerability.cv.id="CVE-2025-26923" OR vulnerability.cve.id="CVE-2025-27635"
Résultats de l'évaluation des failles Artifact Registry
Le tableau suivant liste les résultats qui vous alertent sur les failles potentielles détectées dans vos images de conteneurs. Ces résultats ne sont générés que pour les images de conteneurs vulnérables stockées dans Artifact Registry et déployées sur l'un des éléments suivants :
- Cluster Google Kubernetes Engine
- Service Cloud Run
- Job Cloud Run
- App Engine
Ces résultats sont classés comme étant de gravité HIGH ou CRITICAL.
Pour savoir comment activer, désactiver et afficher les résultats de l'évaluation des failles d'Artifact Registry dans la console Google Cloud , consultez Service de détection de l'évaluation des failles d'Artifact Registry.
| Détecteur | Résumé |
|---|---|
|
Nom de la catégorie dans l'API : |
Description du résultat : une faille a été détectée dans une image de conteneur analysée dans Artifact Registry. Cette image est déployée sur l'un des composants suivants :
Niveau de tarification : Standard, Premium ou Enterprise Corriger ce résultat : En fonction du type de ressource d'exécution, procédez comme suit :
Consultez les détails du résultat pour connaître les étapes de correction spécifiques en fonction de la ressource d'exécution appropriée. Pour les clients du niveau Standard, l'utilisation de la fonctionnalité de requête sur les assets de inventaire des éléments cloud pour déterminer où l'image de conteneur vulnérable est déployée n'est pas prise en charge. Nous vous recommandons de passer aux niveaux Premium ou Enterprise pour obtenir des informations plus détaillées. |
Protection des données sensibles
Cette section décrit les résultats de faille générés par la protection des données sensibles, les normes de conformité qu'ils prennent en charge et la façon de les corriger.
Sensitive Data Protection envoie également des résultats d'observation à Security Command Center. Pour en savoir plus sur les résultats d'observation et Sensitive Data Protection, consultez Sensitive Data Protection.
Pour savoir comment afficher les résultats, consultez Examiner les résultats de Sensitive Data Protection dans la console Google Cloud .
Résultats de failles de Sensitive Data Protection
Le service de découverte Sensitive Data Protection vous aide à déterminer si vous stockez des données très sensibles qui ne sont pas protégées.
| Catégorie | Résumé |
|---|---|
|
Description du résultat : la ressource spécifiée contient des données à sensibilité élevée accessibles par tous les internautes. Composants acceptés :
Remédiation : Pour les données Google Cloud , supprimez Pour les données Amazon S3, configurez les paramètres de blocage de l'accès public ou mettez à jour la LCA de l'objet pour refuser l'accès public en lecture. Pour en savoir plus, consultez les pages Configurer les paramètres de blocage de l'accès public pour vos buckets S3 et Configurer les ACL dans la documentation AWS. Pour les données Azure Blob Storage, supprimez l'accès public au conteneur et aux blobs. Pour en savoir plus, consultez Présentation : corriger l'accès en lecture anonyme aux données blob dans la documentation Azure. Normes de conformité : non mappées |
|
Description du résultat : des secrets (tels que des mots de passe, des jetons d'authentification et des identifiants Google Cloud ) sont présents dans les variables d'environnement. Pour activer ce détecteur, consultez Signaler les secrets dans les variables d'environnement à Security Command Center dans la documentation Sensitive Data Protection. Composants acceptés : Remédiation : Pour les variables d'environnement des fonctions Cloud Run, supprimez le secret de la variable d'environnement et stockez-le plutôt dans Secret Manager. Pour les variables d'environnement de révision du service Cloud Run, supprimez tout le trafic de la révision, puis supprimez la révision. Normes de conformité :
|
|
Description du résultat : la ressource spécifiée contient secrets, tels que des mots de passe, des jetons d'authentification et des identifiants Cloud. Composants acceptés :
Remédiation :
Normes de conformité : non mappées |
Résultats de configuration incorrecte de Sensitive Data Protection
Le service de découverte Sensitive Data Protection vous aide à déterminer si vous avez des erreurs de configuration qui pourraient exposer des données sensibles.
| Catégorie | Résumé |
|---|---|
|
Description du résultat : la ressource spécifiée contient des données à sensibilité élevée ou modérée et n'utilise pas de clé de chiffrement gérée par le client (CMEK). Composants acceptés :
Remédiation :
Normes de conformité : non mappées |
Policy Controller
Policy Controller permet d'appliquer des règles programmables à vos clusters Kubernetes enregistrés en tant que membres d'un parc. Ces règles servent de garde-fous et peuvent vous aider à appliquer les bonnes pratiques, ainsi qu'à gérer la sécurité et la conformité de vos clusters et de votre parc.
Cette page ne liste pas tous les résultats individuels de Policy Controller, mais les informations sur les résultats de la classe Misconfiguration que Policy Controller écrit dans Security Command Center sont les mêmes que les cas de non-respect des règles du cluster documentés pour chaque bundle Policy Controller. La documentation pour les différents types de résultats Policy Controller se trouve dans les groupes Policy Controller suivants :
Benchmark CIS de Kubernetes v1.5.1, un ensemble de recommandations permettant de configurer Kubernetes pour garantir un niveau de sécurité élevé. Vous pouvez également consulter des informations sur ce bundle dans le dépôt GitHub pour
cis-k8s-v1.5.1.PCI-DSS v3.2.1, un bundle qui évalue la conformité des ressources de votre cluster par rapport à certains aspects de la norme PCI-DSS (Payment Card Industry Data Security Standard) v3.2.1. Vous pouvez également consulter des informations sur ce bundle dans le dépôt GitHub pour
pci-dss-v3.
Cette fonctionnalité n'est pas compatible avec les périmètres de service VPC Service Controls autour de l'API Stackdriver.
Rechercher et corriger les résultats de Policy Controller
Les catégories Policy Controller correspondent aux noms de contraintes listés dans la documentation sur les groupes Policy Controller. Par exemple, un résultat require-namespace-network-policies indique qu'un espace de noms ne respecte pas la règle selon laquelle chaque espace de noms d'un cluster doit disposer d'un NetworkPolicy.
Pour corriger un résultat, procédez comme suit :
Standard ou Premium
- Dans la console Google Cloud , accédez à la page Résultats de Security Command Center.
- Sélectionnez votre projet Google Cloud ou votre organisation.
- Dans la sous-section Nom à afficher pour la source de la section Filtres rapides, sélectionnez Policy Controller sur le cluster. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats provenant de cette source.
- Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la colonne Catégorie. Le panneau de détails du résultat s'ouvre et affiche l'onglet Résumé.
- Dans l'onglet Récapitulatif, examinez les détails du résultat, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les étapes à suivre pour corriger le résultat.
- Facultatif : Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.
Entreprise
- Dans la console Google Cloud , accédez à la page Résultats de Security Command Center.
- Sélectionnez votre Google Cloud organisation.
- Dans la section Aggregations (Agrégations), cliquez pour développer la sous-section Source Display Name (Nom à afficher de la source).
- Sélectionnez Policy Controller sur le cluster. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats provenant de cette source.
- Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la colonne Catégorie. Le panneau de détails du résultat s'ouvre et affiche l'onglet Résumé.
- Dans l'onglet Récapitulatif, examinez les détails du résultat, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les étapes à suivre pour corriger le résultat.
- Facultatif : Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.
Étapes suivantes
Découvrez comment utiliser Security Health Analytics.
Découvrez comment utiliser Web Security Scanner.
Consultez les suggestions pour corriger les résultats de Security Health Analytics et corriger les résultats de Web Security Scanner.