Os detectores do Security Health Analytics e do Web Security Scanner geram descobertas de vulnerabilidades que estão disponíveis no Security Command Center. Quando são ativados no Security Command Center, os serviços integrados, como o VM Manager, também geram descobertas de vulnerabilidades.
Sua capacidade de visualizar e editar descobertas é determinada pelos papéis e permissões do Identity and Access Management (IAM) atribuídos a você. Para mais informações sobre os papéis do IAM no Security Command Center, consulte Controle de acesso.
Detectores e compliance
O Security Command Center monitora sua conformidade com detectores mapeados para os controles de uma ampla variedade de padrões de segurança.
Para cada padrão de segurança compatível, o Security Command Center verifica um subconjunto dos controles. Para os controles verificados, o Security Command Center mostra quantos estão sendo aprovados. Para os controles que não estão sendo aprovados, o Security Command Center mostra uma lista de descobertas que descrevem as falhas de controle.
A CIS analisa e certifica os mapeamentos dos detectores do Security Command Center para cada versão compatível do comparativo de mercado do CIS Google Cloud Foundations. Outros mapeamentos de conformidade são incluídos apenas para fins de referência.
O Security Command Center adiciona suporte a novos padrões e versões de comparativo de mercado periodicamente. As versões anteriores ainda são compatíveis, mas estão obsoletas. Recomendamos que você use o comparativo de mercado ou padrão compatível mais recente disponível.
Com o serviço de postura de segurança, é possível mapear políticas da organização e detectores do Security Health Analytics para os padrões e controles aplicáveis à sua empresa. Depois de criar uma postura de segurança, é possível monitorar mudanças no ambiente que possam afetar a conformidade da sua empresa.
Para mais informações sobre como gerenciar a conformidade, consulte Avaliar e informar a conformidade com os padrões de segurança.
Padrões de segurança compatíveis
Google Cloud
O Security Command Center mapeia detectores para Google Cloud em um ou mais dos seguintes padrões de compliance:
- Controles 8.0 do Center for Information Security (CIS)
- Comparativo de mercado de fundamentos de computação do Google Cloud CIS v2.0.0, v1.3.0, v1.2.0, v1.1.0 e v1.0.0
- Comparativo de mercado CIS do Kubernetes v1.5.1
- Matriz de controles de nuvem (CCM) 4
- Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA)
- Organização Internacional de Normalização (ISO) 27001, 2022 e 2013
- Instituto Nacional de Padrões e Tecnologia (NIST) 800-53 R5 e R4
- Framework de segurança cibernética (CSF, na sigla em inglês) 1.0 do Instituto Nacional de Padrões e Tecnologia (NIST)
- Top 10 do Open Web Application Security Project (OWASP), 2021 e 2017
- Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) 4.0 e 3.2.1
- Controles de sistema e organização (SOC) 2 Critérios de serviços de confiança (TSC) de 2017
AWS
O Security Command Center mapeia detectores para Amazon Web Services (AWS) em um ou mais dos seguintes padrões de compliance:
- CIS Amazon Web Services Foundations 2.0.0
- CIS Critical Security Controls: versão 8.0
- Cloud Controls Matrix (CCM) 4 (em inglês)
- Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA)
- Organização Internacional de Normalização (ISO) 27001, 2022
- Instituto Nacional de Padrões e Tecnologia (NIST) 800-53 R5
- Instituto Nacional de Padrões e Tecnologia (NIST) Framework de segurança cibernética (CSF) 1.0
- Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) 4.0 e 3.2.1
- Controles de sistema e organização (SOC) 2 Critérios de serviços confiáveis (TSC) de 2017
Para instruções sobre como visualizar e exportar relatórios de conformidade, consulte Avaliar e informar a conformidade com os padrões de segurança.
Como encontrar a desativação após a correção
Depois de corrigir uma descoberta de vulnerabilidade ou configuração incorreta, o
serviço do Security Command Center que detectou a descoberta define automaticamente o
estado dela como INACTIVE na próxima vez que o serviço de detecção verificar a
descoberta. O tempo que o Security Command Center leva para definir uma descoberta corrigida como
INACTIVE depende da programação da verificação que detecta a descoberta.
Os serviços do Security Command Center também definem o estado de uma descoberta de vulnerabilidade ou
configuração incorreta como INACTIVE quando uma verificação detecta que o recurso
afetado pela descoberta foi excluído.
Para mais informações sobre intervalos de verificação, consulte os seguintes tópicos:
Descobertas da análise de integridade de segurança
Os detectores do Security Health Analytics monitoram um subconjunto de recursos do Cloud Asset Inventory (CAI), recebendo notificações de alterações na política de gerenciamento de identidade e acesso (IAM, na sigla em inglês). Alguns detectores recuperam dados chamando diretamente as APIs Google Cloud , conforme indicado em tabelas mais adiante nesta página.
Para mais informações sobre a Análise de integridade da segurança, programações de verificação e o suporte da Análise de integridade da segurança para detectores de módulo integrados e personalizados, consulte Visão geral da Análise de integridade da segurança.
As tabelas a seguir descrevem os detectores do Security Health Analytics, os recursos e os padrões de compliance compatíveis, as configurações usadas para verificações e os tipos de descobertas gerados. É possível filtrar as descobertas por vários atributos nas seguintes páginas do console Google Cloud :
- Nos níveis Standard e Premium, a página Vulnerabilidades.
- Na camada Enterprise, a página Visão geral de > riscos. Selecione a visualização Vulnerabilidades de CVE.
Para instruções sobre como corrigir descobertas e proteger seus recursos, consulte Como corrigir descobertas do Security Health Analytics.
Descobertas de vulnerabilidade da chave de API
O detector API_KEY_SCANNER identifica vulnerabilidades relacionadas às
chaves de API usadas na implantação na nuvem.
| Detector | Resumo | Configurações da verificação de recursos |
|---|---|---|
|
Como encontrar a descrição: há chaves de API sendo usadas muito amplamente. Para resolver isso, limite o uso da chave de API para permitir apenas as APIs necessárias ao aplicativo. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Recupera a propriedade
|
|
Como encontrar a descrição: há chaves de API sendo usadas de maneira irrestrita, permitindo o uso por qualquer aplicativo não confiável. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Recupera a
|
|
Descrição da descoberta: um projeto está usando chaves de API em vez da autenticação padrão. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Recupera todas as chaves de API de um projeto.
|
|
Como encontrar a descrição: a chave de API não é rotacionada há mais de 90 dias. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Recupera o carimbo de data/hora contido na
propriedade
|
Descobertas de vulnerabilidades do Inventário de recursos do Cloud
Todas as vulnerabilidades desse tipo de detector estão relacionadas às configurações do Inventário de recursos do Cloud e pertencem ao tipo CLOUD_ASSET_SCANNER.
| Detector | Resumo | Configurações da verificação de recursos |
|---|---|---|
|
Descrição da descoberta:a captura de recursos do Google Cloud e políticas do IAM pelo Inventário de recursos do Cloud permite análise de segurança, rastreamento de alterações de recursos e auditoria de compliance. Recomendamos que o serviço do Inventário de recursos do Cloud seja ativado para todos os projetos. Esse detector requer configuração adicional para ativar Para instruções, consulte Ativar e desativar detectores. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se o serviço do Inventário de recursos do Cloud está ativado.
|
Descobertas de vulnerabilidade do armazenamento
As vulnerabilidades desse tipo de detector estão relacionadas às configurações dos buckets do Cloud Storage
e pertencem ao tipo STORAGE_SCANNER.
| Detector | Resumo | Configurações da verificação de recursos |
|---|---|---|
|
Descrição da descoberta: um bucket não é criptografado com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar. Para instruções, consulte Ativar e desativar detectores. Nível de preços: Premium
Recursos compatíveis Padrões de compliance: Essa categoria de descoberta não está mapeada para nenhum controle de padrão de compliance. |
Verifica o campo
|
|
Como encontrar a descrição: o acesso uniforme no nível do bucket, anteriormente chamado de Somente política do bucket, não está configurado. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se a
propriedade
|
|
Como encontrar a descrição: um bucket do Cloud Storage é acessível publicamente. Nível de preços: Premium ou Standard
Recursos compatíveis Padrões de compliance:
|
Verifica a política de permissão do IAM de um bucket para
papéis públicos,
|
|
Como encontrar a descrição: um bucket de armazenamento usado como coletor de registros é acessível publicamente. Essa descoberta não está disponível para ativações no nível do projeto. Nível de preços: Premium ou Standard
Recursos compatíveis Padrões de compliance:
|
Verifica a política de permissão do IAM de um bucket para
os membros
|
Calcular descobertas de vulnerabilidade de imagem
O detector COMPUTE_IMAGE_SCANNER identifica vulnerabilidades relacionadas às
configurações de imagem doGoogle Cloud .
| Detector | Resumo | Configurações da verificação de recursos |
|---|---|---|
|
Como encontrar a descrição: uma imagem do Compute Engine pode ser acessada publicamente. Nível de preços: Premium ou Standard
Recursos compatíveis Padrões de compliance: Essa categoria de descoberta não está mapeada para nenhum controle de padrão de compliance. |
Verifica a política de permissão de IAM nos metadados
de recursos para os membros
|
Descobertas de vulnerabilidade da instância do Compute
O detector COMPUTE_INSTANCE_SCANNER identifica vulnerabilidades relacionadas às configurações da instância do Compute Engine.
Os detectores COMPUTE_INSTANCE_SCANNER não informam as descobertas nas instâncias do Compute Engine criadas pelo GKE. Esses instâncias têm nomes que começam com "gke-", que os usuários não podem editar. Para proteger essas instâncias, consulte a seção de descobertas de vulnerabilidades
do contêiner.
| Detector | Resumo | Configurações da verificação de recursos |
|---|---|---|
|
Como encontrar a descrição: a Computação confidencial está desativada em uma instância do Compute Engine. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a
propriedade
|
|
Como encontrar a descrição: chaves SSH do projeto inteiro são usadas, permitindo o login em todas as instâncias do projeto. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica o objeto
|
|
Como encontrar a descrição: esta VM protegida não tem a inicialização segura ativada. O uso da Inicialização segura ajuda a proteger instâncias de máquina virtual contra ameaças avançadas, como rootkits e bootkits. Nível de preços: Premium Recursos compatíveis Padrões de compliance: Essa categoria de descoberta não está mapeada para nenhum controle de padrão de compliance. |
Verifica a propriedade
|
|
Como encontrar a descrição: as portas seriais de uma instância são ativadas, permitindo conexões com o console serial da instância. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica o objeto
|
|
Como encontrar a descrição: uma instância é configurada para usar a conta de serviço padrão. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a propriedade
|
|
Como encontrar a descrição: os discos nesta VM não são criptografados com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores. Nível de preços: Premium
Recursos compatíveis Padrões de compliance: Essa categoria de descoberta não está mapeada para nenhum controle de padrão de compliance. |
Verifica o campo
|
|
Descrição da descoberta: os discos nesta VM não são criptografados com chaves de criptografia fornecidas pelo cliente (CSEK). Esse detector requer configuração adicional para ativar Para mais instruções, consulte Detector de casos especiais. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica o campo
|
|
Descrição da descoberta:uma instância é configurada para usar a conta de serviço padrão com acesso total a todas as APIs do Google Cloud. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Recupera o campo
|
|
Como encontrar a descrição: uma instância usa um balanceador de carga configurado para usar um proxy HTTP de destino em vez de um proxy HTTPS de destino. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Determina se a propriedade
|
|
Encontrar descrição: o Login do SO está desativado nesta instância. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis
Padrões de compliance:
|
Verifica se a propriedade
|
|
Descrição da descoberta: o encaminhamento de IP está ativado nas instâncias. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se a propriedade
|
|
Descrição da descoberta:o Login do SO está desativado neste projeto. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica o objeto
|
|
Como encontrar a descrição: uma instância tem um endereço IP público. Nível de preços: Premium ou Standard
Recursos compatíveis Padrões de compliance:
|
Verifica se a propriedade
|
|
Encontrando descrição: a VM protegida está desativada nesta instância. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a propriedade
|
|
Como encontrar a descrição: uma instância tem uma política de SSL fraca. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se
|
Descobertas da vulnerabilidade do contêiner
Todos esses tipos de localização estão relacionados às configurações de contêiner do GKE
e pertencem ao tipo de detector CONTAINER_SCANNER.
| Detector | Resumo | Configurações da verificação de recursos |
|---|---|---|
|
Como encontrar a descrição: os recursos do cluster Alfa estão ativados para um cluster do GKE. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se a propriedade
|
|
Como encontrar a descrição: o recurso de reparo automático de um cluster do GKE, que mantém os nós em estado íntegro e em execução, está desativado. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a propriedade
|
|
Como encontrar a descrição: o recurso de upgrade automático de um cluster do GKE, que mantém clusters e pools de nós na versão estável mais recente do Kubernetes, está desativado. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a propriedade
|
|
Descrição da descoberta: a autorização binária está desativada no cluster do GKE ou a política correspondente está configurada para permitir a implantação de todas as imagens. Nível de preços: Premium
Recursos compatíveis Padrões de compliance: Essa categoria de descoberta não está mapeada para nenhum controle de padrão de compliance. |
Verifica o seguinte:
|
|
Como encontrar a descrição: o Logging não está ativado para um cluster do GKE. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se a propriedade
|
|
Como encontrar a descrição: o Monitoring está desativado nos clusters do GKE. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se a propriedade
|
|
Como encontrar a descrição: hosts de cluster não estão configurados para usar apenas endereços IP internos privados para acessar as APIs do Google. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se a propriedade
|
|
Como encontrar a descrição: a criptografia de secrets da camada de aplicativos está desativada em um cluster do GKE. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a propriedade
|
|
Como encontrar a descrição:: os nós protegidos do GKE não estão ativados para um cluster. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a propriedade
|
|
Descrição da descoberta:as VMs do Compute Engine não estão usando o Container-Optimized OS projetado para executar contêineres do Docker em Google Cloud com segurança. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a propriedade
|
|
Como encontrar a descrição: o monitoramento de integridade está desativado para um cluster do GKE. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a propriedade
|
|
Como encontrar a descrição: a visibilidade intranós é desativada para um cluster do GKE. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a propriedade
|
|
Descrição da descoberta: um cluster do GKE foi criado com intervalos de IP de alias desativados. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se o campo
|
|
Descrição da descoberta: a autorização legada está ativada em clusters do GKE. Nível de preços: Premium ou Standard
Recursos compatíveis Padrões de compliance:
|
Verifica a propriedade
|
|
Como encontrar a descrição: metadados legados são ativados em clusters do GKE. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a propriedade
|
|
Descrição da descrição: redes autorizadas do plano de controle não está ativado em clusters do GKE. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a propriedade
|
|
Como encontrar a descrição: a política de rede está desativada nos clusters do GKE. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica o campo
|
|
Descrição da descoberta: os discos de inicialização neste pool de nós não são criptografados com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores. Nível de preços: Premium
Recursos compatíveis Padrões de compliance: Essa categoria de descoberta não está mapeada para nenhum controle de padrão de compliance. |
Verifica a propriedade
|
|
Como encontrar a descrição: a Inicialização segura está desativada para um cluster do GKE. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a propriedade
|
|
Descrição da descoberta: uma conta de serviço tem acesso excessivamente amplo ao projeto em um cluster. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Avalia a propriedade
|
|
Descrição da localização: uma conta de serviço de nó tem escopos de acesso amplo. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se o escopo de acesso listado na
propriedade config.oauthScopes de um pool de nós
é limitado por uma conta de serviço:
https://www.googleapis.com/auth/devstorage.read_only,
https://www.googleapis.com/auth/logging.write,
ou https://www.googleapis.com/auth/monitoring.
|
|
Como encontrar a descrição: PodSecurityPolicy está desativada em um cluster do GKE. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a propriedade
|
|
Descrição da descoberta: um cluster privado do GKE está desativado. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se o campo
|
|
Como encontrar a descrição: um cluster do GKE não está inscrito em um canal de lançamento. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a propriedade
|
|
Como encontrar a descrição: a IU da Web do GKE (painel) está ativada. Nível de preços: Premium or Standard
Recursos compatíveis Padrões de compliance:
|
Checks the
|
|
Como encontrar a descrição: a identidade da carga de trabalho está desativada em um cluster do GKE. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se a propriedade
|
Descobertas de vulnerabilidades do Dataproc
As vulnerabilidades desse tipo de detector estão todas relacionadas ao Dataproc e pertencem ao
tipo de detector DATAPROC_SCANNER.
| Detector | Resumo | Configurações da verificação de recursos |
|---|---|---|
|
Descrição da descoberta: um cluster do Dataproc foi criado sem uma CMEK de configuração de criptografia. Com a CMEK, as chaves que você cria e gerencia no Cloud Key Management Service encapsulam as chaves que o Google Cloud usa para criptografar seus dados, oferecendo mais controle sobre o acesso a eles. Esse detector requer configuração adicional para ativar. Para instruções, consulte Ativar e desativar detectores. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se o campo
|
|
Como encontrar a descrição: um cluster do Dataproc foi criado com uma versão de imagem do Dataproc que é afetada por vulnerabilidades de segurança no utilitário Apache Log4j 2 (CVE-2021-44228 e CVE-2021-45046). Nível de preços: Premium ou Standard
Recursos compatíveis Padrões de compliance: Essa categoria de descoberta não está mapeada para nenhum controle de padrão de compliance. |
Verifica se o campo
|
Descobertas de vulnerabilidade do conjunto de dados
As vulnerabilidades desse tipo de detector estão relacionadas às configurações
do conjunto de dados do BigQuery e pertencem ao tipo de detector DATASET_SCANNER.
| Detector | Resumo | Configurações da verificação de recursos |
|---|---|---|
|
Como encontrar a descrição: uma tabela do BigQuery não está configurada para usar uma chave de criptografia gerenciada pelo cliente (CMEK). Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se o campo
|
|
Como encontrar a descrição: um conjunto de dados do BigQuery não está configurado para usar uma CMEK padrão. Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se o campo
|
|
Como encontrar a descrição: um conjunto de dados está configurado para ser aberto ao acesso público. Nível de preços: Premium ou Standard
Recursos compatíveis Padrões de compliance:
|
Verifica a política de permissão de IAM nos metadados
de recursos para os membros
|
Descobertas de vulnerabilidade de DNS
As vulnerabilidades desse tipo de detector estão relacionadas às configurações do Cloud DNS
e pertencem ao tipo de detector DNS_SCANNER.
| Detector | Resumo | Configurações da verificação de recursos |
|---|---|---|
|
Encontrando descrição: o DNSSEC está desativado para zonas do Cloud DNS. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se o campo
|
|
Encontrando descrição: o RSASHA1 é usado para assinatura de chaves em zonas do Cloud DNS. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se o objeto
|
Descobertas de vulnerabilidades de firewall
As vulnerabilidades desse tipo de detector se relacionam com as configurações de firewall e
pertencem ao tipo de detector FIREWALL_SCANNER.
| Detector | Resumo | Configurações da verificação de recursos |
|---|---|---|
|
Como encontrar a descrição: uma regra de negação de saída não é definida em um firewall. As regras de negação de saída precisam ser definidas para bloquear o tráfego de saída indesejado. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se a propriedade
|
|
Encontrando descrição: o registro de regras de firewall está desativado. O registro de regras de firewall deve estar ativado para que seja possível auditar o acesso da rede Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a propriedade
|
|
Como encontrar a descrição: um firewall está configurado para ter uma porta Cassandra aberta que permita o acesso genérico. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a propriedade
|
|
Descrição da descoberta: um firewall está configurado para ter uma porta CISCOSECURE_WEBSM aberta que permita acesso genérico. Nível de preços: Premium ou Standard
Recursos compatíveis Padrões de compliance:
|
Verifica a propriedade
|
|
Como encontrar a descrição: um firewall está configurado para ter uma porta DIRECTORY_SERVICES aberta que permita o acesso genérico. Nível de preços: Premium ou Standard
Recursos compatíveis Padrões de compliance:
|
Verifica a propriedade
|
|
Como encontrar a descrição: um firewall está configurado para ter uma porta DNS aberta que permita o acesso genérico. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a propriedade
|
|
Descrição da descoberta: um firewall está configurado para ter uma porta ELASTICSEARCH aberta que permita acesso genérico. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a propriedade
|
|
Como encontrar a descrição: um firewall está configurado para ser aberto ao acesso público. Nível de preços: Premium ou Standard
Recursos compatíveis Padrões de compliance:
|
Verifica as propriedades
|
|
Descrição da descoberta: um firewall está configurado para ter uma porta FTP aberta que permita o acesso genérico. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a propriedade
|
|
Como encontrar a descrição: um firewall está configurado para ter uma porta HTTP aberta que permite acesso genérico. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a propriedade
|
|
Descrição da descoberta: um firewall está configurado para ter uma porta LDAP aberta que permita o acesso genérico. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a propriedade
|
|
Como encontrar a descrição: um firewall está configurado para ter uma porta MEMCACHED aberta que permite acesso genérico. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a propriedade
|
|
Descrição da descoberta: um firewall está configurado para ter uma porta MONGODB aberta que permita o acesso genérico. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a propriedade
|
|
Descrição da descoberta: um firewall está configurado para ter uma porta MYSQL que permita acesso genérico. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a propriedade
|
|
Descrição da descoberta: um firewall está configurado para ter uma porta NETBIOS aberta que permita o acesso genérico. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a propriedade
|
|
Como encontrar a descrição: um firewall está configurado para ter uma porta ORACLEDB aberta que permita o acesso genérico. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a propriedade
|
|
Descrição da descoberta: um firewall está configurado para ter uma porta POP3 aberta que permita o acesso genérico. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a propriedade
|
|
Descrição da descoberta: um firewall está configurado para ter uma porta PostgreSQL aberta que permita acesso genérico. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a propriedade
|
|
Descrição da descoberta: um firewall está configurado para ter uma porta RDP aberta que permita o acesso genérico. Nível de preços: Premium ou Standard
Recursos compatíveis Padrões de compliance:
|
Verifica a propriedade
|
|
Como encontrar a descrição: um firewall está configurado para ter uma porta REDIS aberta que permite acesso genérico. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se a propriedade
|
|
Descrição da descoberta: um firewall está configurado para ter uma porta SMTP aberta que permita o acesso genérico. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se a propriedade
|
|
Como encontrar a descrição: um firewall está configurado para ter uma porta SSH aberta que permita o acesso genérico. Nível de preços: Premium ou Standard
Recursos compatíveis Padrões de compliance:
|
Verifica se a propriedade
|
|
Descrição da descoberta: um firewall está configurado para ter uma porta TELNET aberta que permita o acesso genérico. Nível de preços: Premium ou Standard
Recursos compatíveis Padrões de compliance:
|
Verifica se a propriedade
|
Descobertas da vulnerabilidade do IAM
As vulnerabilidades desse tipo de detector estão relacionadas à configuração do gerenciamento de identidade e acesso (IAM, na sigla em inglês)
e pertencem ao tipo de detector IAM_SCANNER.
| Detector | Resumo | Configurações da verificação de recursos |
|---|---|---|
|
Descrição da descoberta:a Google Cloud Transparência no acesso está desativada para sua organização. Registros de Transparência no acesso quando funcionários do Google Cloud acessam os projetos da sua organização para fornecer suporte. Ative a Transparência no acesso para registrar quem do Google Cloud está acessando suas informações, quando e por quê. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se sua organização tem a Transparência no acesso ativada.
|
|
Como encontrar a descrição: uma conta de serviço tem os privilégios de Administrador, Proprietário ou Editor. Esses papéis não devem ser atribuídos a contas de serviço criadas pelo usuário. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a política de permissão do IAM nos metadados de recursos para qualquer conta de serviço criada pelo usuário (indicada pelo prefixo iam.gserviceaccount.com), que recebem
|
|
Descrição da descoberta:sua organização não designou uma pessoa ou um grupo para receber notificações do Google Cloud sobre eventos importantes, como ataques, vulnerabilidades e incidentes de dados na organização do Google Cloud . Recomendamos designar como contato essencial uma ou mais pessoas ou grupos na sua organização de negócios. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se um contato foi especificado para as categorias de contato essencial a seguir:
|
|
Como encontrar a descrição: a separação de tarefas não é aplicada e existe um usuário que tem um dos seguintes papéis do Cloud Key Management Service (Cloud KMS) ao mesmo tempo: Criptografador/Descriptografador de CryptoKey, Criptografador ou Descriptografador. Essa descoberta não está disponível para ativações no nível do projeto. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica as políticas de permissão de IAM nos metadados de recursos
e recupera os membros atribuídos a qualquer um dos papéis
a seguir ao mesmo tempo:
roles/cloudkms.cryptoKeyEncrypterDecrypter,
roles/cloudkms.cryptoKeyEncrypter e
roles/cloudkms.cryptoKeyDecrypter,
roles/cloudkms.signer,
roles/cloudkms.signerVerifier,
roles/cloudkms.publicKeyViewer.
|
|
Encontrando descrição: há um usuário que não está usando credenciais organizacionais. De acordo com o CIS GCP Foundations 1.0, atualmente apenas identidades com endereços de e-mail @gmail.com acionam esse detector. Nível de preços: Premium ou Standard
Recursos compatíveis Padrões de compliance:
|
Compara os endereços de e-mail @gmail.com no campo
|
|
Descrição da descoberta: uma conta dos Grupos do Google que pode ser mesclada sem aprovação é usada como principal da política de permissão do IAM. Nível de preços: Premium ou Standard
Recursos compatíveis Padrões de compliance: Essa categoria de descoberta não está mapeada para nenhum controle de padrão de compliance. |
Verifica a política
de IAM nos metadados de
recursos para verificar se há vinculações
contendo um membro (principal) que tenha o prefixo group. Se o
grupo for aberto, o Security Health Analytics gerará essa descoberta.
|
|
Como encontrar a descrição: um usuário tem o papel Usuário da conta de serviço ou Criador de token da conta de serviço para envolvidos no projeto, em vez de para uma conta de serviço específica. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a política de permissão do IAM nos metadados de
recursos para qualquer membro atribuído
roles/iam.serviceAccountUser ou
roles/iam.serviceAccountTokenCreator no
nível do projeto.
|
|
Descrição da descoberta:um usuário tem um dos seguintes papéis básicos:
Esses papéis são muito permissivos e não devem ser usados. Nível de preços:Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a política de permissão do IAM nos metadados de recursos para qualquer principal atribuído a uma função
|
|
Descrição da descoberta: um papel do IAM do Redis é atribuído ao nível da organização ou da pasta. Essa descoberta não está disponível para ativações no nível do projeto. Nível de preços: Premium
Recursos compatíveis
Padrões de compliance:
|
Verifica a política de permissão do IAM nos metadados de
recursos para membros atribuídos a
|
|
Como encontrar a descrição: um usuário recebeu os papéis Administrador da conta de serviço e Usuário da conta de serviço. Isso viola o princípio de "Separação de tarefas". Essa descoberta não está disponível para ativações no nível do projeto. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a política de permissão do IAM nos metadados de
recursos para qualquer membro com
roles/iam.serviceAccountUser e
roles/iam.serviceAccountAdmin atribuídos.
|
|
Como encontrar a descrição: uma chave da conta de serviço não foi alternada por mais de 90 dias. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Avalia o carimbo de data/hora de criação da chave capturado na propriedade
|
|
Como encontrar a descrição: um usuário gerencia uma chave de conta de serviço. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se a propriedade
|
Descobertas de vulnerabilidade do KMS
As vulnerabilidades desse tipo de detector estão relacionadas às configurações do Cloud KMS
e pertencem ao tipo de detector KMS_SCANNER.
| Detector | Resumo | Configurações da verificação de recursos |
|---|---|---|
|
Como encontrar a descrição: a rotação não está configurada em uma chave de criptografia do Cloud KMS. As chaves de criptografia precisam ser trocadas dentro de um período de 90 dias Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica os metadados do recurso para a existência de propriedades
|
|
Como encontrar a descrição: um usuário tem permissões de Proprietário em um projeto que tem chaves criptográficas. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a política de permissão do IAM nos metadados do
projeto para os membros atribuídos
|
|
Como encontrar a descrição: uma chave criptográfica do Cloud KMS é acessível publicamente. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a política de permissão de IAM nos metadados
de recursos para os membros
|
|
Como encontrar a descrição: há mais de três usuários de chaves criptográficas. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica as políticas de permissão do IAM quanto a keyrings,
projetos e organizações e recupera membros com
papéis que permitem criptografar, descriptografar ou assinar dados usando
as chaves do Cloud KMS: roles/owner,
roles/cloudkms.cryptoKeyEncrypterDecrypter,
roles/cloudkms.cryptoKeyEncrypter,
roles/cloudkms.cryptoKeyDecrypter,
roles/cloudkms.signer e
roles/cloudkms.signerVerifier.
|
Descobertas de vulnerabilidade de geração de registros
As vulnerabilidades desse tipo de detector estão relacionadas às configurações de geração de registros e
pertencem ao tipo de detector LOGGING_SCANNER.
| Detector | Resumo | Configurações da verificação de recursos |
|---|---|---|
|
Descrição da descoberta: a geração de registros de auditoria foi desativada para este recurso. Essa descoberta não está disponível para ativações no nível do projeto. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a política de permissão do IAM nos metadados do recurso para a existência de um objeto
|
|
Como encontrar a descrição: há um bucket de armazenamento sem o registro ativado. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se o campo
|
|
Como encontrar a descrição: uma política de retenção bloqueada não está definida para os registros. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se o campo
|
|
Como encontrar a descrição: há um recurso que não tem um coletor de registros apropriado configurado. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis
Padrões de compliance:
|
Recupera um objeto
|
|
Como encontrar a descrição: o controle de versão de objeto não está ativado em um bucket de armazenamento em que os coletores são configurados. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se o campo
|
Como monitorar descobertas de vulnerabilidade
Todas as vulnerabilidades desse tipo de detector estão relacionadas às configurações de monitoramento
e pertencem ao tipo MONITORING_SCANNER. Todas as propriedades de descoberta do detector do Monitoring incluem:
-
O
RecommendedLogFiltera ser usado na criação das métricas de registro. -
O
QualifiedLogMetricNamesque abrange as condições listadas no filtro de registro recomendado. -
O
AlertPolicyFailureReasonsque indica se o projeto não tem políticas de alerta criadas para nenhuma das métricas de registro qualificadas ou se as políticas de alerta atuais não têm as configurações recomendadas.
| Detector | Resumo | Configurações da verificação de recursos |
|---|---|---|
|
Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar mudanças na configuração de auditoria. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.auditConfigDeltas:* e, se resource.type for especificado, se o valor é global ,
O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente
|
|
Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar alterações de permissão do IAM do Cloud Storage. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como resource.type=gcs_bucket AND
protoPayload.methodName="storage.setIamPermissions".
O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
|
|
Como encontrar a descrição: métricas e alertas de registro não são configurados para monitorar alterações de Papéis personalizados. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como resource.type="iam_role" AND
(protoPayload.methodName="google.iam.admin.v1.CreateRole"
OR
protoPayload.methodName="google.iam.admin.v1.DeleteRole"
OR
protoPayload.methodName="google.iam.admin.v1.UpdateRole").
O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
|
|
Como encontrar a descrição: as métricas e os alertas de registro não estão configurados para monitorar alterações na regra de firewall da rede de nuvem privada virtual (VPC). Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como
resource.type="gce_firewall_rule"
AND (protoPayload.methodName:"compute.firewalls.insert"
OR protoPayload.methodName:"compute.firewalls.patch"
OR protoPayload.methodName:"compute.firewalls.delete").
O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
|
|
Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar mudanças da rede VPC. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como
resource.type="gce_network"
AND (protoPayload.methodName:"compute.networks.insert"
OR protoPayload.methodName:"compute.networks.patch"
OR protoPayload.methodName:"compute.networks.delete"
OR protoPayload.methodName:"compute.networks.removePeering"
OR protoPayload.methodName:"compute.networks.addPeering").
O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
|
|
Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar atribuições ou alterações de propriedade do projeto. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como (protoPayload.serviceName="cloudresourcemanager.googleapis.com")
AND (ProjectOwnership OR projectOwnerInvitee) OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")
OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") e, se resource.type for especificado, se o valor é global.
O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
|
|
Descrição da descoberta: métricas e alertas de registro não estão configurados para monitorar mudanças na rota de rede VPC. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como
resource.type="gce_route"
AND (protoPayload.methodName:"compute.routes.delete"
OR protoPayload.methodName:"compute.routes.insert").
O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
|
|
Como encontrar a descrição: métricas e alertas de registro não são configurados para monitorar alterações na configuração da instância do Cloud SQL. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se a propriedade filter do recurso LogsMetric do projeto está definida como
protoPayload.methodName="cloudsql.instances.update"
OR protoPayload.methodName="cloudsql.instances.create"
OR protoPayload.methodName="cloudsql.instances.delete" e, se resource.type for especificado, se o valor é global.
O detector também pesquisa um recurso alertPolicy correspondente, verificando se as propriedades conditions e notificationChannels estão configuradas corretamente.
|
Descobertas da autenticação multifator
O detector MFA_SCANNER identifica vulnerabilidades relacionadas à autenticação multifator para usuários.
| Detector | Resumo | Configurações da verificação de recursos |
|---|---|---|
|
Há usuários que não estão usando a verificação em duas etapas. O Google Workspace permite especificar um período de carência de inscrição para novos usuários em que eles precisam se inscrever na verificação em duas etapas. Esse detector cria descobertas para os usuários durante o período de carência da inscrição. Essa descoberta não está disponível para ativações no nível do projeto. Nível de preços: Premium ou Standard
Recursos compatíveis Padrões de compliance:
|
Avalia políticas de gerenciamento de identidade em organizações e configurações de usuários para contas gerenciadas no Cloud Identity.
|
Descobertas de vulnerabilidades de rede
As vulnerabilidades desse tipo de detector estão relacionadas às configurações de rede
de uma organização e pertencem ao tipo NETWORK_SCANNER.
| Detector | Resumo | Configurações da verificação de recursos |
|---|---|---|
|
Como encontrar a descrição: a rede padrão existe em um projeto. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se a propriedade
|
|
Encontrar a descrição: a geração de registros DNS em uma rede VPC não está ativada. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica todos os
|
|
Como encontrar a descrição: há uma rede legada em um projeto. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a existência de metadados de rede na propriedade
|
|
Descrição da descoberta: a geração de registros está desativada no balanceador de carga. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se a propriedade
|
Descobertas da vulnerabilidade da política da organização
As vulnerabilidades desse tipo de detector estão relacionadas às configurações de política da organização e pertencem ao tipo ORG_POLICY.
| Detector | Resumo | Configurações da verificação de recursos |
|---|---|---|
|
Como encontrar a descrição: um recurso do Compute Engine não está em conformidade com a política da organização constraints/compute.restrictNonConfidentialComputing. Para mais informações sobre essa restrição da política da organização, consulte
Como aplicar restrições de políticas da organização na documentação da VM confidencial.
Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis Padrões de compliance: Essa categoria de descoberta não está mapeada para nenhum controle de padrão de compliance. |
Verifica se a propriedade
|
|
Como encontrar a descrição: um recurso do Compute Engine está fora da conformidade com a restrição constraints/gcp.resourceLocations. Para mais informações sobre essa restrição da política da organização, consulte Como aplicar restrições da política da organização.
Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. Nível de preços: Premium
Recursos compatíveis Padrões de compliance: Essa categoria de descoberta não está mapeada para nenhum controle de padrão de compliance. |
Verifica a propriedade
|
|
Recursos compatíveis para ORG_POLICY_LOCATION_RESTRICTION
Compute Engine
GKE
Cloud Storage
Cloud KMS
Dataproc
BigQuery
Dataflow
Cloud SQL
Cloud Composer
Logging
Pub/Sub
Vertex AI
Artifact Registry 1 Como não é possível excluir os recursos do Cloud KMS, eles não serão considerados fora da região se os dados deles tiverem sido destruídos. 2 Como os jobs de importação do Cloud KMS têm um ciclo de vida controlado e não podem ser encerrados antecipadamente, um ImportJob não é considerado fora da região se o job expirar e não puder mais ser usado para importar chaves. 3 Como o ciclo de vida dos jobs do Dataflow não pode ser gerenciado, um job não é considerado fora da região depois de atingir um estado terminal (interrompido ou drenado), em que pode não serão mais usados para processar dados. |
||
Descobertas de vulnerabilidades do Pub/Sub
As vulnerabilidades desse tipo de detector estão relacionadas às configurações do Pub/Sub
e pertencem ao tipo PUBSUB_SCANNER.
| Detector | Resumo | Configurações da verificação de recursos |
|---|---|---|
|
Como encontrar a descrição: um tópico do Pub/Sub não é criptografado com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores. Nível de preços: Premium
Recursos compatíveis Padrões de compliance: Essa categoria de descoberta não está mapeada para nenhum controle de padrão de compliance. |
Verifica o campo
|
Descobertas de vulnerabilidade SQL
As seções a seguir descrevem as descobertas de vulnerabilidade do AlloyDB para PostgreSQL e do Cloud SQL.
Resultados de vulnerabilidade do AlloyDB para PostgreSQL
As vulnerabilidades desse tipo de detector estão relacionadas às configurações do AlloyDB para PostgreSQL
e pertencem ao tipo SQL_SCANNER.
| Detector | Resumo | Configurações da verificação de recursos |
|---|---|---|
|
Descrição da descoberta:um cluster do AlloyDB para PostgreSQL não tem backups automáticos ativados. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se a propriedade
|
|
Descrição da descoberta:um cluster do AlloyDB para PostgreSQL não tem backups ativados. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se as propriedades
|
|
Descrição da descoberta:um cluster do AlloyDB não é criptografado com chaves de criptografia gerenciadas pelo cliente (CMEK). Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica o campo
|
|
Descrição da descoberta:a flag de banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Para garantir a cobertura adequada dos tipos de mensagem nos registros, gera uma descoberta se o
campo
|
|
Descrição da descoberta:a flag de banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Para garantir a cobertura adequada dos tipos de mensagem nos registros, gera uma descoberta se o
campo
|
|
Descrição da descoberta:a flag de banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Para garantir a cobertura adequada dos tipos de mensagem nos registros, gera uma descoberta se o
campo
|
|
Descrição da descoberta:uma instância de banco de dados do AlloyDB para PostgreSQL tem um endereço IP público. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se o campo
|
|
Descrição da descoberta:uma instância de banco de dados do AlloyDB para PostgreSQL não exige que todas as conexões de entrada usem SSL. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se a propriedade
|
Descobertas de vulnerabilidade do Cloud SQL
As vulnerabilidades desse tipo de detector estão relacionadas às configurações
do Cloud SQL e pertencem ao tipo SQL_SCANNER.
| Detector | Resumo | Configurações da verificação de recursos |
|---|---|---|
|
Descrição da descoberta: um banco de dados do Cloud SQL não tem backups automáticos ativados. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se a propriedade
|
|
Como encontrar a descrição: uma instância de banco de dados do Cloud SQL aceita conexões de todos os endereços IP. Nível de preços: Premium ou Standard
Recursos compatíveis Padrões de compliance:
|
Verifica se a propriedade
|
|
Descrição da descoberta: uma instância de banco de dados do Cloud SQL não requer que todas as conexões de entrada usem SSL. Nível de preços: Premium ou Standard
Recursos compatíveis Padrões de compliance:
|
Verifica se a propriedade
|
|
Descrição da descoberta: uma instância de banco de dados SQL não é criptografada com chaves de criptografia gerenciadas pelo cliente (CMEK). Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores. Nível de preços: Premium
Recursos compatíveis Padrões de compliance: Essa categoria de descoberta não está mapeada para nenhum controle de padrão de compliance. |
Verifica o campo
|
|
Como encontrar a descrição:
a sinalização do banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a propriedade
|
|
Descoberta de localização:
a sinalização do banco
de dados Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a propriedade
|
|
Descoberta de localização:
a sinalização do banco
de dados Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a propriedade
|
|
Encontrando descrição:
a sinalização do banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a propriedade
|
|
Como encontrar a descrição:
a sinalização de banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a propriedade
|
|
Como encontrar a descrição:
a sinalização de banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a propriedade
|
|
Descoberta de localização:
a sinalização do banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a propriedade
|
|
Descoberta de localização:
a sinalização do banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a propriedade
|
|
Descrição da descoberta:a flag do banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se a propriedade
|
|
Como encontrar a descrição:
a sinalização de banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a propriedade
|
|
Como encontrar a descrição:
a sinalização do banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a propriedade
|
|
Encontrando descrição
a sinalização do banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se o campo
|
|
Descrição da descoberta:
a sinalização do banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se o campo
|
|
Descrição da descoberta:
a sinalização de banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Para garantir a cobertura adequada dos tipos de mensagem nos registros, gera uma descoberta se o
campo
|
|
Como encontrar a descrição:
a sinalização de banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se a propriedade
|
|
Como encontrar a descrição:
a sinalização de banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se a propriedade
|
|
Como encontrar a descrição:
a sinalização de banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se a propriedade
|
|
Como encontrar a descrição:
a sinalização de banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se a propriedade
|
|
Como encontrar a descrição: a sinalização do banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se a propriedade
|
|
Como encontrar a descrição:
a sinalização de banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se a propriedade
|
|
Descoberta de localização:
a sinalização do banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a propriedade
|
|
Descrição da descoberta: um banco de dados do Cloud SQL que tem um endereço IP público não tem uma senha configurada para a conta raiz. Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se a propriedade
|
|
Como encontrar a descrição: um banco de dados do Cloud SQL tem um endereço IP público. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se o tipo de endereço IP de um
banco de dados do Cloud SQL está definido como
|
|
Como encontrar a descrição:
a sinalização do banco
de dados Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a propriedade
|
|
Encontrando descrição:
a sinalização do banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a propriedade
|
|
Como encontrar a descrição:
a sinalização do banco
de dados Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a propriedade
|
|
Como encontrar a descrição: a sinalização do banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a propriedade
|
|
Como encontrar a descrição: a sinalização do banco de dados Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica a propriedade
|
|
Descrição da descoberta: um banco de dados do Cloud SQL que tem um endereço IP público também tem uma senha fraca configurada para a conta raiz. Esse detector requer configuração adicional para ativar Para ver instruções, consulte Ativar e desativar detectores. Nível de preços: Premium
Recursos compatíveis Padrões de compliance: Essa categoria de descoberta não está mapeada para nenhum controle de padrão de compliance. |
Compara a senha da conta raiz do banco de dados do Cloud SQL com uma lista de senhas comuns.
|
Descobertas de vulnerabilidades de sub-rede
As vulnerabilidades desse tipo de detector estão relacionadas às configurações
de sub-rede da organização e pertencem ao tipo SUBNETWORK_SCANNER.
| Detector | Resumo | Configurações da verificação de recursos |
|---|---|---|
|
Como encontrar a descrição: há uma sub-rede VPC com registros de fluxo desativados. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se a propriedade
|
|
Descrição da descoberta: em uma sub-rede VPC, os registros de fluxo de VPC estão desativados ou não estão configurados de acordo com as recomendações do comparativo de mercado CIS 1.3. Esse detector requer configuração adicional para ativar. Para ver instruções, consulte Ativar e desativar detectores. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se a propriedade
|
|
Descrição da descoberta: há sub-redes particulares sem acesso às APIs públicas do Google. Nível de preços: Premium
Recursos compatíveis Padrões de compliance:
|
Verifica se a propriedade
|
Resultados da AWS
| Detector | Resumo | Configurações da verificação de recursos |
|---|---|---|
|
Descrição da descoberta: O AWS CloudShell é uma maneira conveniente de executar comandos da CLI nos serviços da AWS. Uma política gerenciada do IAM ("AWSCloudShellFullAccess") oferece acesso total ao CloudShell, permitindo o upload e o download de arquivos entre o sistema local de um usuário e o ambiente do CloudShell. No ambiente do CloudShell, um usuário tem permissões de sudo e pode acessar a Internet. Portanto, é possível instalar um software de transferência de arquivos (por exemplo) e mover dados do Cloud Shell para servidores externos da Internet. Nível de preços: Enterprise Padrões de compliance:
|
Verifique se o acesso ao AWSCloudShellFullAccess está restrito
|
|
Descrição da descoberta: As chaves de acesso consistem em um ID de chave de acesso e uma chave de acesso secreta, que são usados para assinar solicitações programáticas feitas à AWS. Os usuários da AWS precisam das próprias chaves de acesso para fazer chamadas programáticas para a AWS na interface de linha de comando da AWS (CLI da AWS), nas ferramentas para Windows PowerShell, nos SDKs da AWS ou em chamadas HTTP diretas usando as APIs para serviços individuais da AWS. Recomendamos que todas as chaves de acesso sejam trocadas regularmente. Nível de preços: Enterprise Padrões de compliance:
|
Verifique se as chaves de acesso são alternadas a cada 90 dias ou menos
|
|
Descrição da descoberta: Para ativar conexões HTTPS com seu site ou aplicativo na AWS, você precisa de um certificado de servidor SSL/TLS. É possível usar o ACM ou o IAM para armazenar e implantar certificados de servidor. Nível de preços: Enterprise Padrões de compliance:
|
Verifique se todos os certificados SSL/TLS expirados armazenados no AWS IAM foram removidos
|
|
Descrição da descoberta: Isso verifica se os grupos do Auto Scaling associados a um balanceador de carga estão usando verificações de integridade do Elastic Load Balancing. Isso garante que o grupo possa determinar a integridade de uma instância com base em testes adicionais fornecidos pelo balanceador de carga. O uso de verificações de integridade do Elastic Load Balancing pode ajudar a manter a disponibilidade de aplicativos que usam grupos de escalonamento automático do EC2. Nível de preços: Enterprise Padrões de compliance:
|
Verifica se todos os grupos de escalonamento automático associados a um balanceador de carga usam verificações de integridade
|
|
Descrição da descoberta: Verifique se as instâncias de banco de dados do RDS têm a flag de upgrade automático de versão secundária ativada para receber upgrades automáticos do mecanismo durante a janela de manutenção especificada. Assim, as instâncias do RDS podem receber os novos recursos, correções de bugs e patches de segurança para os mecanismos de banco de dados. Nível de preços: Enterprise Padrões de compliance:
|
Verifique se o recurso de upgrade automático de versão secundária está ativado nas instâncias do RDS
|
|
Descrição da descoberta: O AWS Config é um serviço da Web que realiza o gerenciamento de configuração dos recursos compatíveis da AWS na sua conta e entrega arquivos de registro. As informações registradas incluem o item de configuração (recurso da AWS), as relações entre itens de configuração (recursos da AWS) e as mudanças de configuração entre recursos. Recomendamos que o AWS Config seja ativado em todas as regiões. Nível de preços: Enterprise Padrões de compliance:
|
Verifique se o AWS Config está ativado em todas as regiões
|
|
Descrição da descoberta: O Security Hub coleta dados de segurança de contas, serviços e produtos de parceiros terceirizados compatíveis da AWS. Ele ajuda você a analisar suas tendências de segurança e identificar os problemas de segurança de maior prioridade. Quando você ativa o Security Hub, ele começa a consumir, agregar, organizar e priorizar descobertas dos serviços da AWS que você ativou, como o Amazon GuardDuty, o Amazon Inspector e o Amazon Macie. Também é possível ativar integrações com produtos de segurança de parceiros da AWS. Nível de preços: Enterprise Padrões de compliance:
|
Verifique se o AWS Security Hub está ativado
|
|
Descrição da descoberta: O AWS CloudTrail é um serviço da Web que registra chamadas de API da AWS para uma conta e disponibiliza esses registros a usuários e recursos de acordo com as políticas do IAM. O AWS Key Management Service (KMS) é um serviço gerenciado que ajuda a criar e controlar as chaves de criptografia usadas para criptografar dados da conta e usa módulos de segurança de hardware (HSMs) para proteger a segurança das chaves de criptografia. Os registros do CloudTrail podem ser configurados para aproveitar a criptografia do lado do servidor (SSE) e as chaves mestras criadas pelo cliente (CMK) do KMS para proteger ainda mais os registros do CloudTrail. Recomendamos que o CloudTrail seja configurado para usar SSE-KMS. Nível de preços: Enterprise Padrões de compliance:
|
Verifique se os registros do CloudTrail são criptografados em repouso usando CMKs do KMS
|
|
Descrição da descoberta: A validação de arquivos de registro do CloudTrail cria um arquivo de resumo assinado digitalmente que contém um hash de cada registro gravado pelo CloudTrail no S3. Esses arquivos de resumo podem ser usados para determinar se um arquivo de registro foi alterado, excluído ou permaneceu inalterado depois que o CloudTrail entregou o registro. Recomendamos que a validação de arquivos seja ativada em todos os CloudTrails. Nível de preços: Enterprise Padrões de compliance:
|
Verifique se a validação do arquivo de registros do CloudTrail foi ativada
|
|
Descrição da descoberta: O AWS CloudTrail é um serviço da Web que registra chamadas de API da AWS feitas em uma determinada conta da AWS. As informações registradas incluem a identidade do autor da chamada de API, o horário da chamada de API, o endereço IP de origem do autor da chamada de API, os parâmetros de solicitação e os elementos de resposta retornados pelo serviço da AWS. O CloudTrail usa o Amazon S3 para armazenamento e entrega de arquivos de registro, portanto, os arquivos são armazenados de forma durável. Além de capturar registros do CloudTrail em um bucket do S3 especificado para análise de longo prazo, é possível fazer análises em tempo real configurando o CloudTrail para enviar registros ao CloudWatch Logs. Para uma trilha ativada em todas as regiões de uma conta, o CloudTrail envia arquivos de registro de todas essas regiões para um grupo de registros do CloudWatch Logs. Recomendamos que os registros do CloudTrail sejam enviados para os registros do CloudWatch. Observação: o objetivo desta recomendação é garantir que a atividade da conta da AWS seja capturada, monitorada e alertada adequadamente. O CloudWatch Logs é uma maneira nativa de fazer isso usando os serviços da AWS, mas não impede o uso de uma solução alternativa. Nível de preços: Enterprise Padrões de compliance:
|
Verifique se as trilhas do CloudTrail estão integradas aos registros do CloudWatch
|
|
Descrição da descoberta: Verifica se o Amazon CloudWatch tem ações definidas quando um alarme faz a transição entre os estados "OK", "ALARM" e "INSUFFICIENT_DATA". Configurar ações para o estado ALARM nos alarmes do Amazon CloudWatch é muito importante para acionar uma resposta imediata quando as métricas monitoradas violam os limites. Os alarmes têm pelo menos uma ação. Nível de preços: Enterprise Padrões de compliance:
|
Verifique se os alarmes do CloudWatch têm pelo menos uma ação de alarme, uma ação INSUFFICIENT_DATA ou uma ação OK ativada.
|
|
Descrição da descoberta: Essa verificação garante que os registros do CloudWatch estejam configurados com o KMS. Os dados do grupo de registros são sempre criptografados no CloudWatch Logs. Por padrão, o CloudWatch Logs usa a criptografia do lado do servidor para os dados de registro em repouso. Como alternativa, use o serviço de gerenciamento de chaves da AWS para essa criptografia. Nesse caso, a criptografia é feita usando uma chave do AWS KMS. A criptografia usando o AWS KMS é ativada no nível do grupo de registros, associando uma chave do KMS a um grupo de registros, seja ao criar o grupo ou depois que ele já existe. Nível de preços: Enterprise Padrões de compliance:
|
Verifica se todos os grupos de registro nos logs do Amazon CloudWatch estão criptografados com o KMS
|
|
Descrição da descoberta: Esse controle verifica se as trilhas do CloudTrail estão configuradas para enviar registros ao CloudWatch Logs. O controle falha se a propriedade "CloudWatchLogsLogGroupArn" da trilha estiver vazia. O CloudTrail registra chamadas de API da AWS feitas em uma determinada conta. As informações gravadas incluem o seguinte:
O CloudTrail usa o Amazon S3 para armazenamento e entrega de arquivos de registro. É possível capturar registros do CloudTrail em um bucket do S3 especificado para análise de longo prazo. Para fazer análises em tempo real, configure o CloudTrail para enviar registros ao CloudWatch Logs. Para uma trilha ativada em todas as regiões de uma conta, o CloudTrail envia arquivos de registro de todas essas regiões para um grupo de registros do CloudWatch Logs. O Security Hub recomenda que você envie registros do CloudTrail para o CloudWatch Logs. Essa recomendação tem como objetivo garantir que a atividade da conta seja capturada, monitorada e alertada adequadamente. É possível usar o CloudWatch Logs para configurar isso com seus serviços da AWS. Essa recomendação não impede o uso de uma solução diferente. O envio de registros do CloudTrail para o CloudWatch Logs facilita o registro de atividades em tempo real e históricas com base no usuário, na API, no recurso e no endereço IP. Você pode usar essa abordagem para definir alarmes e notificações de atividades anômalas ou sensíveis na conta. Nível de preços: Enterprise Padrões de compliance:
|
Verifica se todas as trilhas do CloudTrail estão configuradas para enviar registros ao AWS CloudWatch
|
|
Descrição da descoberta: Isso verifica se o projeto contém as variáveis de ambiente As credenciais de autenticação Nível de preços: Enterprise Padrões de compliance:
|
Verifique se todos os projetos que contêm variáveis de ambiente AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY não estão em texto simples
|
|
Descrição da descoberta: Verifica se um URL de repositório de origem do Bitbucket de um projeto do AWS CodeBuild contém tokens de acesso pessoal ou um nome de usuário e senha. O controle falha se o URL do repositório de origem do Bitbucket contiver tokens de acesso pessoal ou um nome de usuário e uma senha. As credenciais de login não devem ser armazenadas ou transmitidas em texto simples nem aparecer no URL do repositório de origem. Em vez de tokens de acesso pessoal ou credenciais de login, acesse seu provedor de origem no CodeBuild e mude o URL do repositório de origem para conter apenas o caminho até o local do repositório do Bitbucket. O uso de tokens de acesso pessoal ou credenciais de login pode resultar em exposição não intencional de dados ou acesso não autorizado. Nível de preços: Enterprise Padrões de compliance: Essa categoria de descoberta não está mapeada para nenhum controle de padrão de compliance. |
Verifica se todos os projetos que usam o github ou bitbucket como fonte usam o oauth
|
|
Descrição da descoberta: Os usuários do IAM da AWS podem acessar recursos da AWS usando diferentes tipos de credenciais, como senhas ou chaves de acesso. Recomendamos que todas as credenciais não usadas há 45 dias ou mais sejam desativadas ou removidas. Nível de preços: Enterprise Padrões de compliance:
|
Verifique se as credenciais não usadas há 45 dias ou mais estão desativadas
|
|
Descrição da descoberta: Uma VPC vem com um grupo de segurança padrão cujas configurações iniciais negam todo o tráfego de entrada, permitem todo o tráfego de saída e permitem todo o tráfego entre instâncias atribuídas ao grupo de segurança. Se você não especificar um grupo de segurança ao iniciar uma instância, ela será atribuída automaticamente a esse grupo de segurança padrão. Os grupos de segurança fornecem filtragem com estado do tráfego de rede de entrada/saída para recursos da AWS. Recomendamos que o grupo de segurança padrão restrinja todo o tráfego. A VPC padrão em cada região precisa ter o grupo de segurança padrão atualizado para estar em conformidade. Todas as VPCs recém-criadas vão conter automaticamente um grupo de segurança padrão que precisa de correção para obedecer a essa recomendação. OBSERVAÇÃO:ao implementar essa recomendação, a geração de registros de fluxo da VPC é muito útil para determinar o acesso à porta com privilégio mínimo necessário para que os sistemas funcionem corretamente, porque ela pode registrar todas as aceitações e rejeições de pacotes que ocorrem nos grupos de segurança atuais. Isso reduz drasticamente a principal barreira para a engenharia de privilégio mínimo: descobrir as portas mínimas necessárias pelos sistemas no ambiente. Mesmo que a recomendação de registro de fluxo da VPC neste comparativo não seja adotada como uma medida de segurança permanente, ela deve ser usada durante qualquer período de descoberta e engenharia para grupos de segurança com privilégios mínimos. Nível de preços: Enterprise Padrões de compliance:
|
Verifique se o grupo de segurança padrão de cada VPC restringe todo o tráfego
|
|
Descrição da descoberta: Verifica se as instâncias de replicação do AWS DMS são públicas. Para isso, ele examina o valor do campo Uma instância de replicação particular tem um endereço IP privado que não pode ser acessado fora da rede de replicação. Uma instância de replicação precisa ter um endereço IP particular quando os bancos de dados de origem e de destino estão na mesma rede. A rede também precisa estar conectada à VPC da instância de replicação usando uma VPN, o AWS Direct Connect ou o peering de VPC. Para saber mais sobre instâncias de replicação públicas e privadas, consulte Instâncias de replicação públicas e privadas no Guia do usuário do AWS Database Migration Service. Também é necessário garantir que o acesso à configuração da instância do AWS DMS seja limitado apenas a usuários autorizados. Para isso, restrinja as permissões do IAM dos usuários para modificar as configurações e os recursos do AWS DMS. Nível de preços: Enterprise Padrões de compliance:
|
Verifica se as instâncias de replicação do AWS Database Migration Service são públicas
|
|
Descrição da descoberta: Por padrão, o console da AWS não marca nenhuma caixa de seleção ao criar um usuário do IAM. Ao criar as credenciais de usuário do IAM, você precisa determinar o tipo de acesso necessário. Acesso programático: o usuário do IAM pode precisar fazer chamadas de API, usar a CLI da AWS ou usar as ferramentas para Windows PowerShell. Nesse caso, crie uma chave de acesso (ID da chave de acesso e uma chave de acesso secreta) para esse usuário. Acesso ao Console de Gerenciamento da AWS: se o usuário precisar acessar o Console de Gerenciamento da AWS, crie uma senha para ele. Nível de preços: Enterprise Padrões de compliance:
|
Não defina chaves de acesso durante a configuração inicial de usuário para todos os usuários do IAM que têm uma senha para o console
|
|
Descrição da descoberta: Isso verifica se uma tabela do Amazon DynamoDB pode escalonar a capacidade de leitura e gravação conforme necessário. Esse controle é aprovado se a tabela usa o modo de capacidade sob demanda ou provisionado com o escalonamento automático configurado. Ajustar a capacidade de acordo com a demanda evita exceções de limitação, o que ajuda a manter a disponibilidade dos aplicativos. As tabelas do DynamoDB no modo de capacidade sob demanda são limitadas apenas pelas cotas padrão de taxa de transferência do DynamoDB. Para aumentar essas cotas, registre um tíquete de suporte pelo AWS Support. As tabelas do DynamoDB no modo provisionado com escalonamento automático ajustam a capacidade de taxa de transferência provisionada de forma dinâmica em resposta aos padrões de tráfego. Para mais informações sobre a limitação de solicitações do DynamoDB, consulte "Limitação de solicitações e capacidade de burst" no Guia do desenvolvedor do Amazon DynamoDB. Nível de preços: Enterprise Padrões de compliance:
|
As tabelas DynamoDB precisam escalonar a capacidade automaticamente conforme a demanda
|
|
Descrição da descoberta: Esse controle avalia se uma tabela do DynamoDB está coberta por um plano de backup. O controle falha se uma tabela do DynamoDB não estiver coberta por um plano de backup. Esse controle avalia apenas as tabelas do DynamoDB que estão no estado "ACTIVE". Os backups ajudam você a se recuperar mais rapidamente de um incidente de segurança. Elas também fortalecem a resiliência dos seus sistemas. Incluir tabelas do DynamoDB em um plano de backup ajuda a proteger seus dados contra perdas ou exclusões não intencionais. Nível de preços: Enterprise Padrões de compliance:
|
As tabelas DynamoDB precisam estar cobertas por um plano de backup
|
|
Descrição da descoberta: A recuperação pontual (PITR) é um dos mecanismos disponíveis para fazer backup de tabelas do DynamoDB. Um backup point-in-time é mantido por 35 dias. Se você precisar de um período de retenção mais longo, consulte Configurar backups programados para o Amazon DynamoDB usando o AWS Backup na documentação da AWS. Nível de preços: Enterprise Padrões de compliance:
|
Verifica se a recuperação pontual (PITR) foi ativada em todas as tabelas do AWS DynamoDB
|
|
Descrição da descoberta: Verifica se todas as tabelas do DynamoDB estão criptografadas com uma chave do KMS gerenciada pelo cliente (não padrão). Nível de preços: Enterprise Padrões de compliance:
|
Verifica se todas as tabelas do DynamoDB foram criptografadas com o AWS Key Management Service (KMS)
|
|
Descrição da descoberta: Verifica se a otimização do EBS está ativada para as instâncias do EC2 que podem ser otimizadas para EBS Nível de preços: Enterprise Padrões de compliance:
|
Verifica se a otimização do EBS foi ativada em todas as instâncias com suporte à otimização do EBS
|
|
Descrição da descoberta: Verifica se os snapshots do Amazon Elastic Block Store não são públicos. O controle falha se os snapshots do Amazon EBS puderem ser restaurados por qualquer pessoa. Os snapshots do EBS são usados para fazer backup dos dados nos volumes do EBS para o Amazon S3 em um momento específico. É possível usar os snapshots para restaurar estados anteriores dos volumes do EBS. Raramente é aceitável compartilhar uma foto com o público. Normalmente, a decisão de compartilhar um snapshot publicamente foi tomada por engano ou sem uma compreensão completa das implicações. Essa verificação ajuda a garantir que todo o compartilhamento tenha sido totalmente planejado e intencional. Nível de preços: Enterprise Padrões de compliance:
|
Os snapshots do Amazon EBS não podem ser publicamente restauráveis
|
|
Descrição da descoberta: O Elastic Compute Cloud (EC2) oferece suporte à criptografia em repouso ao usar o serviço Elastic Block Store (EBS). Embora esteja desativada por padrão, é possível forçar a criptografia na criação de volumes do EBS. Nível de preços: Enterprise Padrões de compliance:
|
Verifique se a criptografia de volume do EBS foi ativada em todas as regiões
|
|
Descrição da descoberta: A Amazon VPC oferece mais funcionalidades de segurança do que o EC2 Classic. Recomendamos que todos os nós pertençam a uma VPC da Amazon. Nível de preços: Enterprise Padrões de compliance:
|
Verifique se todas as instâncias pertencem a uma VPC
|
|
Descrição da descoberta: As instâncias do EC2 com um endereço IP público correm um risco maior de serem comprometidas. Recomendamos que as instâncias do EC2 não sejam configuradas com um endereço IP público. Nível de preços: Enterprise Padrões de compliance:
|
Verifique se nenhuma instância tem IP público
|
|
Descrição da descoberta: Uma associação do State Manager é uma configuração atribuída às suas instâncias gerenciadas. A configuração define o estado que você quer manter nas instâncias. Por exemplo, uma associação pode especificar que um software antivírus precisa estar instalado e em execução nas suas instâncias ou que determinadas portas precisam ser fechadas. As instâncias do EC2 associadas ao AWS Systems Manager são gerenciadas por ele, o que facilita a aplicação de patches, a correção de configurações incorretas e a resposta a eventos de segurança. Nível de preços: Enterprise Padrões de compliance:
|
Verifica o status de compliance da associação do AWS Systems Manager
|
|
Descrição da descoberta: Esse controle verifica se o status de compliance da associação do AWS Systems Manager é COMPLIANT ou NON_COMPLIANT depois que a associação é executada em uma instância. O controle falha se o status de compliance da associação for NON_COMPLIANT. Uma associação do State Manager é uma configuração atribuída às suas instâncias gerenciadas. A configuração define o estado que você quer manter nas instâncias. Por exemplo, uma associação pode especificar que um software antivírus precisa ser instalado e executado nas suas instâncias ou que determinadas portas precisam ser fechadas. Depois de criar uma ou mais associações do State Manager, as informações de status de conformidade ficam disponíveis imediatamente. É possível conferir o status de conformidade no console ou em resposta a comandos da AWS CLI ou ações correspondentes da API do Systems Manager. Para associações, o Compliance de configuração mostra o status de compliance (em conformidade ou em não conformidade). Ele também mostra o nível de gravidade atribuído à associação, como "Crítica" ou "Média". Para saber mais sobre a conformidade da associação do State Manager, consulte Sobre a conformidade da associação do State Manager no Guia do usuário do AWS Systems Manager. Nível de preços: Enterprise Padrões de compliance:
|
Verifica o status de compliance do patch do AWS Systems Manager
|
|
Descrição da descoberta: Ao ativar o serviço de metadados em instâncias do AWS EC2, os usuários podem usar a versão 1 do serviço de metadados de instância (IMDSv1, um método de solicitação/resposta) ou a versão 2 (IMDSv2, um método orientado a sessão). Nível de preços: Enterprise Padrões de compliance:
|
Verifique se o serviço de metadados do EC2 permite apenas IMDSv2
|
|
Descrição da descoberta: Identificar e remover volumes não conectados (não utilizados) do Elastic Block Store (EBS) na sua conta da AWS para reduzir o custo da fatura mensal da AWS. A exclusão de volumes do EBS não utilizados também reduz o risco de dados confidenciais/sensíveis saírem da sua empresa. Além disso, esse controle também verifica se as instâncias do EC2 arquivadas estão configuradas para excluir volumes no encerramento. Por padrão, as instâncias do EC2 são configuradas para excluir os dados em todos os volumes do EBS associados à instância e para excluir o volume raiz do EBS da instância. No entanto, todos os volumes do EBS não raiz anexados à instância, no lançamento ou durante a execução, são mantidos após o encerramento por padrão. Nível de preços: Enterprise Padrões de compliance:
|
Verifica se os volumes do EBS estão anexados às instâncias do EC2 e configurados para exclusão no encerramento da instância
|
|
Descrição da descoberta: O Amazon EFS oferece duas formas de criptografia para sistemas de arquivos: de dados em trânsito e em repouso. Isso verifica se todos os sistemas de arquivos EFS estão configurados com criptografia em repouso em todas as regiões ativadas na conta. Nível de preços: Enterprise Padrões de compliance:
|
Verifica se o EFS foi configurado para criptografar dados de arquivos usando o KMS
|
|
Descrição da descoberta: As práticas recomendadas da Amazon recomendam configurar backups para seus Elastic File Systems (EFS). Isso verifica todos os EFS em todas as regiões ativadas na sua conta da AWS para backups ativados. Nível de preços: Enterprise Padrões de compliance:
|
Verifica se os sistemas de arquivos do EFS estão incluídos nos planos de backup do AWS
|
|
Descrição da descoberta: Verifica se o balanceador de carga clássico usa certificados HTTPS/SSL fornecidos pelo AWS Certificate Manager (ACM). O controle falha se o balanceador de carga clássico configurado com listener HTTPS/SSL não usar um certificado fornecido pelo ACM. Para criar um certificado, use o ACM ou uma ferramenta compatível com os protocolos SSL e TLS, como o OpenSSL. O Security Hub recomenda usar o ACM para criar ou importar certificados para o balanceador de carga. O ACM se integra aos balanceadores de carga clássicos para que você possa implantar o certificado no seu balanceador de carga. Você também precisa renovar esses certificados automaticamente. Nível de preços: Enterprise Padrões de compliance:
|
Verifica se todos os balanceadores de carga clássicos usam os certificados SSL fornecidos pelo AWS Certificate Manager
|
|
Descrição da descoberta: Verifica se um balanceador de carga de aplicativo tem a proteção contra exclusão ativada. O controle falha se a proteção contra exclusão não estiver configurada. Ative a proteção contra exclusão para proteger o balanceador de carga de aplicativo contra exclusão. Nível de preços: Enterprise Padrões de compliance:
|
A proteção contra exclusões do balanceador de carga de aplicativo precisa ser ativada
|
|
Descrição da descoberta: Isso verifica se o balanceador de carga de aplicativo e o balanceador de carga clássico estão com a geração de registros ativada. O controle falha se "access_logs.s3.enabled" for "false". O Elastic Load Balancing fornece registros de acesso que capturam informações detalhadas sobre as solicitações enviadas ao seu balanceador de carga. Cada registro contém informações como o horário em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor. É possível usar esses registros de acesso para analisar padrões de tráfego e solucionar problemas. Para saber mais, consulte Registros de acesso para seu balanceador de carga clássico no guia do usuário para balanceadores de carga clássicos. Nível de preços: Enterprise Padrões de compliance:
|
Verifica se os balanceadores de carga de aplicativo e clássicos estão com a geração de registros ativada
|
|
Descrição da descoberta: Essa verificação garante que todos os balanceadores de carga clássicos estejam configurados para usar comunicação segura. Um listener é um processo que verifica solicitações de conexão. Ele é configurado com um protocolo e uma porta para conexões de front-end (cliente para balanceador de carga) e um protocolo e uma porta para conexões de back-end (balanceador de carga para instância). Para informações sobre as portas, protocolos e configurações de listener compatíveis com o Elastic Load Balancing, consulte Listeners para o balanceador de carga clássico. Nível de preços: Enterprise Padrões de compliance:
|
Verifica se todos os balanceadores de carga clássicos foram configurados com listeners HTTPS ou SSL
|
|
Descrição da descoberta: Verifica se os volumes do EBS anexados estão criptografados. Para passar nessa verificação, os volumes EBS precisam estar em uso e criptografados. Se o volume do EBS não estiver anexado, ele não estará sujeito a essa verificação. Para uma camada extra de segurança dos seus dados sensíveis em volumes do EBS, ative a criptografia do EBS em repouso. A criptografia do Amazon EBS oferece uma solução simples para seus recursos do EBS que não exige que você crie, mantenha e proteja sua própria infraestrutura de gerenciamento de chaves. Ele usa chaves do KMS ao criar volumes e snapshots criptografados. Para saber mais sobre a criptografia do Amazon EBS, consulte "Criptografia do Amazon EBS" no Guia do usuário do Amazon EC2 para instâncias do Linux. Nível de preços: Enterprise Padrões de compliance:
|
Os volumes anexados do Amazon EBS precisam estar criptografados em repouso
|
|
Descrição da descoberta: As instâncias de banco de dados criptografadas do Amazon RDS usam o algoritmo de criptografia AES-256 padrão do setor para criptografar seus dados no servidor que hospeda as instâncias de banco de dados do Amazon RDS. Depois que os dados são criptografados, o Amazon RDS processa a autenticação de acesso e a descriptografia de dados de forma transparente, com um impacto mínimo no desempenho. Nível de preços: Enterprise Padrões de compliance:
|
Verifique se a criptografia em repouso foi ativada nas instâncias do RDS
|
|
Descrição da descoberta: Os dados do EFS precisam ser criptografados em repouso usando o AWS KMS (Serviço de gerenciamento de chaves). Nível de preços: Enterprise Padrões de compliance:
|
Verifique se a criptografia foi ativada nos sistemas de arquivos EFS
|
|
Descrição da descoberta: A AWS permite políticas de senha personalizadas na sua conta da AWS para especificar requisitos de complexidade e períodos de rotação obrigatórios para as senhas dos usuários do IAM. Se você não definir uma política de senhas personalizada, as senhas de usuários do IAM precisarão atender à política de senhas padrão da AWS. As práticas recomendadas de segurança da AWS recomendam os seguintes requisitos de complexidade de senha:
Esse controle verifica todos os requisitos especificados da política de senhas. Nível de preços: Enterprise Padrões de compliance:
|
Verifica se a política de senha da conta para usuários do IAM atende aos requisitos especificados
|
|
Descrição da descoberta: As políticas de senha do IAM podem impedir a reutilização de uma determinada senha pelo mesmo usuário. Recomendamos que a política de senhas impeça a reutilização de senhas. Nível de preços: Enterprise Padrões de compliance:
|
Verifique se a política de senha do IAM impede a reutilização da senha
|
|
Descrição da descoberta: As políticas de senha são usadas, em parte, para aplicar requisitos de complexidade de senha. As políticas de senha do IAM podem ser usadas para garantir que as senhas tenham pelo menos um determinado tamanho. Recomendamos que a política de senha exija um tamanho mínimo de 14 caracteres. Nível de preços: Enterprise Padrões de compliance:
|
Verifique se a política de senha do IAM requer o tamanho mínimo de 14 ou mais
|
|
Descrição da descoberta: As políticas do IAM são a maneira de conceder privilégios a usuários, grupos ou papéis. É recomendável e considerado um conselho de segurança padrão conceder privilégio mínimo, ou seja, conceder apenas as permissões necessárias para realizar uma tarefa. Determine o que os usuários precisam fazer e crie políticas para que eles realizem apenas essas tarefas, em vez de permitir privilégios administrativos completos. Nível de preços: Enterprise Padrões de compliance:
|
Verifique se as políticas do IAM que permitem privilégios de administrador "*:*" completos não estão anexadas
|
|
Descrição da descoberta: Os usuários do IAM recebem acesso a serviços, funções e dados por políticas do IAM. Há quatro maneiras de definir políticas para um usuário: 1) editar a política do usuário diretamente, também conhecida como política inline ou do usuário; 2) anexar uma política diretamente a um usuário; 3) adicionar o usuário a um grupo do IAM que tenha uma política anexada; 4) adicionar o usuário a um grupo do IAM que tenha uma política inline. Apenas a terceira implementação é recomendada. Nível de preços: Enterprise Padrões de compliance:
|
Verifique se os usuários do IAM recebem permissões somente pelos grupos
|
|
Descrição da descoberta: Os usuários do IAM precisam sempre fazer parte de um grupo do IAM para seguir as práticas recomendadas de segurança do IAM. Ao adicionar usuários a um grupo, é possível compartilhar políticas entre tipos de usuários. Nível de preços: Enterprise Padrões de compliance:
|
Verifica se os usuários do IAM são membros de pelo menos um grupo do IAM
|
|
Descrição da descoberta: A autenticação multifator (MFA) é uma prática recomendada que adiciona uma camada extra de proteção além de nomes de usuários e senhas. Com a MFA, quando um usuário faz login no Console de Gerenciamento da AWS, ele precisa fornecer um código de autenticação sensível ao tempo, fornecido por um dispositivo virtual ou físico registrado. Nível de preços: Enterprise Padrões de compliance:
|
Verifica se a autenticação multifator (MFA) está ativada para os usuários do AWS IAM
|
|
Descrição da descoberta: Isso verifica se há senhas do IAM ou chaves de acesso ativas que não foram usadas nos últimos 90 dias. As práticas recomendadas sugerem que você remova, desative ou faça a rotação de todas as credenciais não usadas por 90 dias ou mais. Isso reduz a janela de oportunidade para o uso de credenciais associadas a uma conta comprometida ou abandonada. Nível de preços: Enterprise Padrões de compliance:
|
Verifique se todos os usuários do IAM da AWS têm senhas ou chaves de acesso ativas que não tenham sido usadas em maxCredentialUsageAge dias (padrão 90)
|
|
Descrição da descoberta: Esse controle verifica se as chaves do KMS estão programadas para exclusão. O controle falha se uma chave do KMS estiver programada para exclusão. Não é possível recuperar chaves do KMS depois de excluídas. Os dados criptografados com uma chave do KMS também não podem ser recuperados permanentemente se a chave for excluída. Se dados significativos foram criptografados com uma chave do KMS programada para exclusão, considere descriptografar ou recriptografar os dados com uma nova chave do KMS, a menos que você esteja realizando uma exclusão criptográfica intencional. Quando uma chave do KMS é programada para exclusão, um período de espera obrigatório é aplicado para permitir a reversão da exclusão, caso ela tenha sido programada por engano. O período de espera padrão é de 30 dias, mas pode ser reduzido para até 7 dias quando a chave do KMS é programada para exclusão. Durante o período de espera, a exclusão programada pode ser cancelada, e a chave do KMS não será excluída. Para mais informações sobre como excluir chaves do KMS, consulte Excluir chaves do KMS no Guia do desenvolvedor do AWS Key Management Service. Nível de preços: Enterprise Padrões de compliance:
|
Verifica se todas as CMKs não estão programadas para exclusão
|
|
Descrição da descoberta: Verifica se a função do Lambda está configurada com um limite de execução simultânea no nível da função. A regra é NON_COMPLIANT se a função do Lambda não estiver configurada com um limite de execução simultânea no nível da função. Nível de preços: Enterprise Padrões de compliance: Essa categoria de descoberta não está mapeada para nenhum controle de padrão de compliance. |
Verifica se as funções do lambda foram configuradas com limite de execução simultânea no nível da função
|
|
Descrição da descoberta: Verifica se uma função do Lambda está configurada com uma fila de mensagens mortas. A regra é NON_COMPLIANT se a função do Lambda não estiver configurada com uma fila de mensagens mortas. Nível de preços: Enterprise Padrões de compliance:
|
Verifica se as funções do lambda foram configuradas com uma fila de mensagens mortas
|
|
Descrição da descoberta: As práticas recomendadas da AWS recomendam que a função do Lambda não seja exposta publicamente. Essa política verifica todas as funções do Lambda implantadas em todas as regiões ativadas na sua conta e falha se elas estiverem configuradas para permitir acesso público. Nível de preços: Enterprise Padrões de compliance:
|
Verifica se a política anexada à função do lambda proíbe o acesso público
|
|
Descrição da descoberta: Verifica se uma função do Lambda está em uma VPC. Talvez você veja descobertas com falha para recursos do Lambda@Edge. Ele não avalia a configuração de roteamento de sub-rede da VPC para determinar a acessibilidade pública. Nível de preços: Enterprise Padrões de compliance:
|
Verifica se existem funções do lambda em uma VPC
|
|
Descrição da descoberta: Depois que a exclusão da MFA é ativada no bucket sensível e classificado do S3, o usuário precisa ter duas formas de autenticação. Nível de preços: Enterprise Padrões de compliance:
|
Verifique se a exclusão da MFA foi ativada nos buckets do S3
|
|
Descrição da descoberta: A conta de usuário "raiz" é a mais privilegiada em uma conta da AWS. A autenticação multifator (MFA) adiciona uma camada extra de proteção além de um nome de usuário e uma senha. Com a MFA ativada, quando um usuário faz login em um site da AWS, ele precisa informar o nome de usuário e a senha, além de um código de autenticação do dispositivo de MFA da AWS. Observação:quando a MFA virtual é usada em contas "raiz", recomendamos que o dispositivo usado NÃO seja pessoal, mas sim um dispositivo móvel dedicado (tablet ou smartphone) gerenciado para ser mantido carregado e seguro, independente de qualquer dispositivo pessoal individual. ("MFA virtual não pessoal") Isso reduz os riscos de perder o acesso à MFA devido à perda ou troca de dispositivo ou se a pessoa proprietária do dispositivo não estiver mais empregada na empresa. Nível de preços: Enterprise Padrões de compliance:
|
Verifique se a autenticação multifator (MFA) está ativada para a conta de usuário "raiz"
|
|
Descrição da descoberta: A autenticação multifator (MFA) adiciona uma camada extra de garantia de autenticação além das credenciais tradicionais. Com a MFA ativada, quando um usuário faz login no console da AWS, ele precisa informar o nome de usuário e a senha, além de um código de autenticação do token de MFA físico ou virtual. Recomendamos que a MFA seja ativada para todas as contas que têm uma senha do console. Nível de preços: Enterprise Padrões de compliance:
|
Verifique se a autenticação multifator (MFA) foi ativada para todos os usuários do IAM que têm uma senha do console
|
|
Descrição da descoberta: A função de lista de controle de acesso à rede (NACL) oferece filtragem sem estado do tráfego de rede de entrada e saída para recursos da AWS. Recomendamos que nenhuma NACL permita acesso de entrada irrestrito a portas de administração de servidor remoto, como SSH para a porta Nível de preços: Enterprise Padrões de compliance:
|
Verifique se nenhuma ACL de rede permite a entrada de 0.0.0.0/0 em portas de administração de servidor remoto
|
|
Descrição da descoberta: A conta de usuário "raiz" é a mais privilegiada em uma conta da AWS. As chaves de acesso da AWS oferecem acesso programático a uma determinada conta da AWS. Recomendamos que todas as chaves de acesso associadas à conta de usuário "raiz" sejam excluídas. Nível de preços: Enterprise Padrões de compliance:
|
Verifique se não existe uma chave de acesso da conta de usuário "raiz"
|
|
Descrição da descoberta: Os grupos de segurança oferecem filtragem com estado do tráfego de rede de entrada e saída para recursos da AWS. Recomendamos que nenhum grupo de segurança permita acesso de entrada irrestrito a portas de administração remotas do servidor, como SSH para a porta Nível de preços: Enterprise Padrões de compliance:
|
Verifique se nenhum grupo de segurança permite a entrada de 0.0.0.0/0 em portas de administração remotas do servidor
|
|
Descrição da descoberta: Os grupos de segurança oferecem filtragem com estado do tráfego de rede de entrada e saída para recursos da AWS. Recomendamos que nenhum grupo de segurança permita acesso de entrada irrestrito a portas de administração de servidor remoto, como SSH para a porta Nível de preços: Enterprise Padrões de compliance:
|
Verifique se nenhum grupo de segurança permite a entrada de portas ::/0 em portas de administração remotas do servidor
|
|
Descrição da descoberta: As chaves de acesso são credenciais de longo prazo para um usuário do IAM ou o usuário "root" da conta da AWS. É possível usar chaves de acesso para assinar solicitações programáticas à CLI da AWS ou à API da AWS (diretamente ou usando o SDK da AWS). Nível de preços: Enterprise Padrões de compliance:
|
Verifique se há apenas uma chave de acesso ativa disponível para cada usuário do IAM
|
|
Descrição da descoberta: Verifique se as instâncias de banco de dados do RDS provisionadas na sua conta da AWS restringem o acesso não autorizado para minimizar os riscos de segurança. Para restringir o acesso a qualquer instância de banco de dados do RDS acessível publicamente, desative a flag "Acessível publicamente" do banco de dados e atualize o grupo de segurança da VPC associado à instância. Nível de preços: Enterprise Padrões de compliance:
|
Verifique se o acesso público não foi concedido à instância do RDS
|
|
Descrição da descoberta: O monitoramento avançado fornece métricas em tempo real sobre o sistema operacional em que a instância do RDS é executada, usando um agente instalado na instância. Para mais detalhes, consulte Monitorar métricas do SO com o Enhanced Monitoring. Nível de preços: Enterprise Padrões de compliance:
|
Verifica se o monitoramento aprimorado foi ativado em todas as instâncias do RDS DB
|
|
Descrição da descoberta: Ativar a proteção contra exclusão de instâncias é uma camada extra de proteção contra exclusão acidental de bancos de dados ou exclusão por uma entidade não autorizada. Enquanto a proteção contra exclusão está ativada, não é possível excluir uma instância de banco de dados do RDS. Antes que uma solicitação de exclusão seja concluída, a proteção contra exclusão precisa ser desativada. Nível de preços: Enterprise Padrões de compliance:
|
Verifica se a proteção contra exclusões foi ativada em todas as instâncias do RDS
|
|
Descrição da descoberta: Essa verificação avalia se as instâncias do Amazon RDS DB estão cobertas por um plano de backup. Esse controle falha se uma instância de banco de dados do RDS não estiver coberta por um plano de backup. O AWS Backup é um serviço de backup totalmente gerenciado que centraliza e automatiza o backup de dados em todos os serviços da AWS. Com o AWS Backup, é possível criar políticas de backup chamadas de planos de backup. Use esses planos para definir seus requisitos de backup, como a frequência com que os dados são salvos e por quanto tempo eles são mantidos. Incluir instâncias de banco de dados do RDS em um plano de backup ajuda a proteger seus dados contra perdas ou exclusões não intencionais. Nível de preços: Enterprise Padrões de compliance:
|
As instâncias do RDS DB precisam estar cobertas por um plano de backup
|
|
Descrição da descoberta: Isso verifica se os seguintes registros do Amazon RDS estão ativados e enviados para o CloudWatch. Os bancos de dados do RDS precisam ter os registros relevantes ativados. O registro em banco de dados fornece registros detalhados de solicitações feitas ao RDS. Os registros do banco de dados podem ajudar com auditorias de segurança e acesso e a diagnosticar problemas de disponibilidade. Nível de preços: Enterprise Padrões de compliance:
|
Verifica se os registros exportados foram ativados em todas as instâncias do RDS DB
|
|
Descrição da descoberta: As instâncias de banco de dados do RDS precisam ser configuradas para várias zonas de disponibilidade (AZs). Isso garante a disponibilidade dos dados armazenados. As implantações em várias AZs permitem failover automático se houver um problema com a disponibilidade da zona e durante a manutenção regular do RDS. Nível de preços: Enterprise Padrões de compliance:
|
Verifica se a alta disponibilidade foi ativada em todas as instâncias do RDS DB
|
|
Descrição da descoberta: Isso verifica os elementos essenciais de um cluster do Redshift: criptografia em repouso, geração de registros e tipo de nó. Esses itens de configuração são importantes para manter um cluster do Redshift seguro e observável. Nível de preços: Enterprise Padrões de compliance:
|
Verifica se todos os clusters do Redshift têm criptografia em repouso, geração de registros e tipo de nó.
|
|
Descrição da descoberta: Os upgrades automáticos de versão principal acontecem de acordo com a janela de manutenção Nível de preços: Enterprise Padrões de compliance:
|
Verifique se todos os clusters do Redshift têm allowVersionUpgrade ativado e preferredMaintenanceWindow e automatedSnapshotRetentionPeriod definidos
|
|
Descrição da descoberta: O atributo "PubliclyAccessible" da configuração do cluster do Amazon Redshift indica se o cluster está acessível publicamente. Quando o cluster é configurado com "PubliclyAccessible" definido como "true", ele é uma instância voltada para a Internet com um nome DNS resolvível publicamente, que é resolvido para um endereço IP público. Quando o cluster não está acessível publicamente, ele é uma instância interna com um nome DNS que aponta para um endereço IP particular. A menos que você queira que o cluster seja acessível publicamente, ele não deve ser configurado com "PubliclyAccessible" definido como "true". Nível de preços: Enterprise Padrões de compliance:
|
Verifica se os clusters do Redshift são acessíveis publicamente
|
|
Descrição da descoberta: Isso verifica se o tráfego de entrada irrestrito para os grupos de segurança está acessível às portas especificadas que têm o maior risco. Esse controle falha se alguma das regras em um grupo de segurança permitir o tráfego de entrada de "0.0.0.0/0" ou "::/0" para essas portas. O acesso irrestrito (0.0.0.0/0) aumenta as oportunidades de atividades maliciosas, como invasão, ataques de negação de serviço e perda de dados. Os grupos de segurança oferecem filtragem com estado do tráfego de rede de entrada e saída para recursos da AWS. Nenhum grupo de segurança pode permitir acesso de entrada irrestrito às seguintes portas:
Nível de preços: Enterprise Padrões de compliance:
|
Os grupos de segurança não podem permitir acesso irrestrito a portas de alto risco
|
|
Descrição da descoberta: Os grupos de segurança fornecem filtragem com estado do tráfego de rede de entrada e saída para recursos da AWS. O CIS recomenda que nenhum grupo de segurança permita acesso de entrada irrestrito à porta 22. Remover a conectividade irrestrita a serviços de console remoto, como SSH, reduz a exposição de um servidor a riscos. Nível de preços: Enterprise Padrões de compliance:
|
Os grupos de segurança não podem permitir entradas de 0.0.0.0/0 na porta 22
|
|
Descrição da descoberta: Verifica se a rotação automática de chaves está ativada para cada chave e corresponde ao ID da chave KMS da AWS criada pelo cliente. A regra é NON_COMPLIANT se a função de gravador do AWS Config para um recurso não tiver a permissão kms:DescribeKey. Nível de preços: Enterprise Padrões de compliance: Essa categoria de descoberta não está mapeada para nenhum controle de padrão de compliance. |
Verifique se a rotação das CMKs criadas pelo cliente foi ativada
|
|
Descrição da descoberta: O serviço de gerenciamento de chaves (KMS) da AWS permite que os clientes façam a rotação da chave de suporte, que é o material da chave armazenado no KMS e vinculado ao ID da chave mestre do cliente (CMK) criada pelo cliente. É a chave de suporte usada para realizar operações criptográficas, como criptografia e descriptografia. A rotação automática de chaves retém todas as chaves de backup anteriores para que a descriptografia dos dados criptografados possa ocorrer de maneira transparente. Recomendamos que a rotação de chaves da CMK seja ativada para chaves simétricas. A rotação de chaves não pode ser ativada para nenhuma CMK assimétrica. Nível de preços: Enterprise Padrões de compliance:
|
Verifique se a rotação das CMKs simétricas criadas pelo cliente foi ativada
|
|
Descrição da descoberta: Verifica se as tabelas de rotas para peering de VPC estão configuradas com o princípio de menor privilégio. Nível de preços: Enterprise Padrões de compliance: Essa categoria de descoberta não está mapeada para nenhum controle de padrão de compliance. |
Verifique se as tabelas de roteamento do peering de VPC são de "acesso mínimo"
|
|
Descrição da descoberta: O Bloqueio de acesso público do Amazon S3 oferece configurações para pontos de acesso, buckets e contas que ajudam a gerenciar o acesso público aos recursos do Amazon S3. Por padrão, novos buckets, pontos de acesso e objetos não permitem acesso público. Nível de preços: Enterprise Padrões de compliance: Essa categoria de descoberta não está mapeada para nenhum controle de padrão de compliance. |
Verifica se as configurações necessárias de bloqueio de acesso público do S3 foram definidas no nível da conta
|
|
Descrição da descoberta: O Amazon S3 oferece Nível de preços: Enterprise Padrões de compliance:
|
Verifique se os buckets do S3 estão configurados com
|
|
Descrição da descoberta: A geração de registros de acesso ao bucket do S3 cria um registro com os registros de acesso de cada solicitação feita ao bucket do S3. Um registro de acesso contém detalhes sobre a solicitação, como o tipo de solicitação, os recursos especificados na solicitação que funcionaram e a hora e a data em que a solicitação foi processada. Recomendamos ativar a geração de registros de acesso ao bucket no bucket do CloudTrail S3. Nível de preços: Enterprise Padrões de compliance:
|
Verifique se a geração de registros de acesso do bucket S3 está ativada no bucket do CloudTrail S3
|
|
Descrição da descoberta: O recurso de geração de registros de acesso ao servidor S3 da AWS registra solicitações de acesso a buckets de armazenamento, o que é útil para auditorias de segurança. Por padrão, o registro de acesso ao servidor não está ativado para buckets do S3. Nível de preços: Enterprise Padrões de compliance:
|
Verifica se a geração de registros foi ativada em todos os buckets do S3
|
|
Descrição da descoberta: No nível do bucket do Amazon S3, é possível configurar permissões usando uma política do bucket, o que torna os objetos acessíveis apenas por HTTPS. Nível de preços: Enterprise Padrões de compliance:
|
Verifique se a política de bucket do S3 foi definida para negar as solicitações HTTP
|
|
Descrição da descoberta: Esse controle verifica se um bucket do Amazon S3 tem a replicação entre regiões ativada. O controle falha se o bucket não tiver a replicação entre regiões ativada ou se a replicação na mesma região também estiver ativada. A replicação é a cópia automática e assíncrona de objetos entre buckets na mesma região da AWS ou em regiões diferentes. A replicação copia objetos recém-criados e atualizações de objetos de um bucket de origem para um ou mais buckets de destino. As práticas recomendadas da AWS recomendam a replicação para buckets de origem e destino pertencentes à mesma conta da AWS. Além da disponibilidade, considere outras configurações de proteção do sistema. Nível de preços: Enterprise Padrões de compliance:
|
Verifica se os buckets do S3 estão com a replicação entre regiões ativada
|
|
Descrição da descoberta: Isso verifica se o bucket do S3 tem a criptografia padrão do Amazon S3 ativada ou se a política do bucket do S3 nega explicitamente as solicitações de inclusão de objetos sem criptografia do lado do servidor. Nível de preços: Enterprise Padrões de compliance:
|
Verifique se todos os buckets do S3 usam a criptografia em repouso
|
|
Descrição da descoberta: O Amazon S3 é uma maneira de manter várias variantes de um objeto no mesmo bucket e pode ajudar você a se recuperar mais facilmente de ações não intencionais do usuário e falhas de aplicativos. Nível de preços: Enterprise Padrões de compliance:
|
Verifica se o controle de versões foi ativado em todos os buckets do S3
|
|
Descrição da descoberta: Verifica se os buckets do Amazon S3 estão criptografados com o AWS Key Management Service (AWS KMS) Nível de preços: Enterprise Padrões de compliance:
|
Verifica se todos os buckets foram criptografados com o KMS
|
|
Descrição da descoberta: Verifica se uma chave do AWS Key Management Service (AWS KMS) está configurada para uma instância de notebook do Amazon SageMaker. A regra é NON_COMPLIANT se "KmsKeyId" não for especificado para a instância de notebook do SageMaker. Nível de preços: Enterprise Padrões de compliance:
|
Verifica se todas as instâncias de notebook do SageMaker foram definidas para usar o KMS
|
|
Descrição da descoberta: Verifica se o acesso direto à Internet está desativado para uma instância de notebook do SageMaker. Para isso, ele verifica se o campo "DirectInternetAccess" está desativado para a instância de notebook. Se você configurar a instância do SageMaker sem uma VPC, o acesso direto à Internet será ativado por padrão. Configure a instância com uma VPC e mude a configuração padrão para "Desativar: acessar a Internet por uma VPC". Para treinar ou hospedar modelos de um notebook, você precisa de acesso à Internet. Para ativar o acesso à Internet, verifique se a VPC tem um gateway NAT e se o grupo de segurança permite conexões de saída. Para saber mais sobre como conectar uma instância de notebook a recursos em uma VPC, consulte "Conectar uma instância de notebook a recursos em uma VPC" no Guia do desenvolvedor do Amazon SageMaker. Além disso, limite o acesso à sua configuração do SageMaker apenas a usuários autorizados. Restrinja as permissões do IAM dos usuários para modificar as configurações e os recursos do SageMaker. Nível de preços: Enterprise Padrões de compliance:
|
Verifica se o acesso direto à Internet foi desativado em todas as instâncias de notebook do Amazon SageMaker
|
|
Descrição da descoberta: Verifica se um secret armazenado no AWS Secrets Manager está configurado com rotação automática. O controle falha se o secret não estiver configurado com rotação automática. Se você fornecer um valor personalizado para o parâmetro O Secret Manager ajuda você a melhorar a postura de segurança da sua organização. Os secrets incluem credenciais de banco de dados, senhas e chaves de API de terceiros. Use o Secrets Manager para armazenar secrets de forma centralizada, criptografar secrets automaticamente, controlar o acesso a secrets e alternar secrets com segurança e de forma automática. O Secrets Manager pode fazer a rotação de secrets. Você pode usar a rotação para substituir segredos de longo prazo por segredos de curto prazo. A rotação de secrets limita o tempo que um usuário não autorizado pode usar um secret comprometido. Por isso, é importante fazer a rotação dos seus secrets com frequência. Para saber mais sobre a rotação, consulte "Como fazer a rotação dos seus secrets do AWS Secrets Manager" no Guia do usuário do AWS Secrets Manager. Nível de preços: Enterprise Padrões de compliance:
|
Verifica se os secrets do AWS Secrets Manager estão com a rotação ativada
|
|
Descrição da descoberta: Verifica se um tópico do SNS está criptografado em repouso usando o AWS KMS. Os controles falham se um tópico do SNS não usa uma chave do KMS para criptografia do lado do servidor (SSE). A criptografia de dados em repouso reduz o risco de acesso a dados armazenados em disco por um usuário não autenticado no AWS. Ele também adiciona outro conjunto de controles de acesso para limitar a capacidade de usuários não autorizados de acessar os dados. Por exemplo, as permissões da API são necessárias para descriptografar os dados antes que eles possam ser lidos. Os tópicos do SNS precisam ser criptografados em repouso para aumentar a segurança. Nível de preços: Enterprise Padrões de compliance:
|
Verifica se todos os tópicos do SNS foram criptografados com o KMS
|
|
Descrição da descoberta: Esse controle verifica se o grupo de segurança padrão de uma VPC permite tráfego de entrada ou saída. O controle falha se o grupo de segurança permitir tráfego de entrada ou saída. As regras do grupo de segurança padrão permitem todo o tráfego de saída e entrada das interfaces de rede (e das instâncias associadas) atribuídas ao mesmo grupo de segurança. Recomendamos que você não use o grupo de segurança padrão. Como o grupo de segurança padrão não pode ser excluído, mude a configuração das regras dele para restringir o tráfego de entrada e saída. Isso evita tráfego não intencional se o grupo de segurança padrão for configurado acidentalmente para recursos como instâncias do EC2. Nível de preços: Enterprise Padrões de compliance:
|
Verifique se o grupo de segurança padrão de cada VPC restringe todo o tráfego
|
|
Descrição da descoberta: Os registros de fluxo da VPC são um recurso que permite capturar informações sobre o tráfego de IP de e para interfaces de rede na sua VPC. Depois de criar um registro de fluxo, é possível ver e recuperar os dados dele nos registros do Amazon CloudWatch. Recomendamos ativar os registros de fluxo da VPC para "Rejeições" de pacotes nas VPCs. Nível de preços: Enterprise Padrões de compliance:
|
Verifique se a geração de registros do fluxo de VPC está ativada em todas as VPCs
|
|
Descrição da descoberta: Esse controle verifica se um grupo de segurança do Amazon EC2 permite tráfego de entrada irrestrito de portas não autorizadas. O status de controle é determinado da seguinte forma: Se você usar o valor padrão para authorizedTcpPorts, o controle vai falhar se o grupo de segurança permitir tráfego de entrada irrestrito de qualquer porta que não seja a 80 e a 443. Se você fornecer valores personalizados para "authorizedTcpPorts" ou "authorizedUdpPorts", o controle vai falhar se o grupo de segurança permitir tráfego de entrada irrestrito de qualquer porta não listada. Se nenhum parâmetro for usado, o controle vai falhar para qualquer grupo de segurança que tenha uma regra de tráfego de entrada sem restrições. Os grupos de segurança fornecem filtragem com estado do tráfego de rede de entrada e saída para a AWS. As regras do grupo de segurança precisam seguir o princípio de acesso com privilégios mínimos. O acesso irrestrito (endereço IP com um sufixo /0) aumenta a oportunidade de atividades maliciosas, como invasão, ataques de negação de serviço e perda de dados. A menos que uma porta seja especificamente permitida, ela deve negar o acesso irrestrito. Nível de preços: Enterprise Padrões de compliance:
|
Verifica se os grupos de segurança com 0.0.0.0/0 de qualquer VPC permitem apenas o tráfego TCP/UDP de entrada
|
|
Descrição da descoberta: Um túnel de VPN é um link criptografado em que os dados podem passar da rede do cliente para ou da AWS em uma conexão de VPN site a site da AWS. Cada conexão VPN inclui dois túneis VPN que podem ser usados simultaneamente para alta disponibilidade. É importante garantir que os dois túneis VPN estejam ativos para uma conexão VPN, confirmando uma conexão segura e de alta disponibilidade entre uma VPC da AWS e sua rede remota. Esse controle verifica se ambos os túneis VPN fornecidos pela VPN site-to-site da AWS estão no status UP. O controle falha se um ou os dois túneis estiverem no status "DOWN". Nível de preços: Enterprise Padrões de compliance:
|
Verifica se ambos os túneis do AWS VPN fornecidos pela AWS site a site têm o status UP
|
Descobertas do Web Security Scanner
As verificações personalizadas e gerenciadas do Web Security Scanner identificam os seguintes tipos de descobertas. No nível Standard, o Web Security Scanner é compatível com verificações personalizadas de aplicativos implantados com URLs e IPs públicos que não estão protegidos por firewall.
| Categoria | Descrição da descoberta | Categoria da descoberta | 10 principais OWASP de 2017 | Top 10 do OWASP 2021 |
|---|---|---|---|---|
|
Um repositório GIT é exposto publicamente. Para resolver esse problema, remova o acesso público não intencional ao repositório do GIT. Nível de preços: Premium ou Standard |
Vulnerabilidade | A5 | A01 |
|
Um repositório SVN é exposto publicamente. Para resolver isso, remova o acesso público não intencional ao repositório SVN. Nível de preços: Premium ou Standard |
Vulnerabilidade | A5 | A01 |
|
Um arquivo ENV é exposto publicamente. Para resolver isso, remova o acesso público não intencional ao arquivo ENV. Nível de preços: Premium ou Standard |
Vulnerabilidade | A5 | A01 |
|
As senhas inseridas no aplicativo da Web podem ser armazenadas em um cache normal do navegador, em vez de um armazenamento seguro de senhas. Nível de preços: Premium |
Vulnerabilidade | A3 | A04 |
|
As senhas estão sendo transmitidas em texto não criptografado e podem ser interceptadas. Para resolver isso, criptografe a senha transmitida pela rede. Nível de preços: Premium ou Standard |
Vulnerabilidade | A3 | A02 |
|
Um endpoint HTTP ou HTTPS entre sites valida apenas um sufixo do cabeçalho de solicitação Nível de preços: Premium |
Vulnerabilidade | A5 | A01 |
|
Um endpoint HTTP ou HTTPS entre sites valida apenas um prefixo do cabeçalho de solicitação Nível de preços: Premium |
Vulnerabilidade | A5 | A01 |
|
Um recurso foi carregado e ele não corresponde ao cabeçalho HTTP da resposta Content-Type. Para
resolver isso, defina o cabeçalho HTTP Nível de preços: Premium ou Standard |
Vulnerabilidade | A6 | A05 |
|
Um cabeçalho de segurança tem um erro de sintaxe e é ignorado pelos navegadores. Para resolver isso, defina os cabeçalhos de segurança HTTP corretamente. Nível de preços: Premium ou Standard |
Vulnerabilidade | A6 | A05 |
|
Um cabeçalho de segurança tem valores duplicados e incompatíveis, o que resulta em comportamento indefinido. Para resolver isso, defina os cabeçalhos de segurança HTTP corretamente. Nível de preços: Premium ou Standard |
Vulnerabilidade | A6 | A05 |
|
Um cabeçalho de segurança está incorreto e foi ignorado. Para resolver isso, defina os cabeçalhos de segurança HTTP corretamente. Nível de preços: Premium ou Standard |
Vulnerabilidade | A6 | A05 |
|
Os recursos são exibidos por HTTP em uma página HTTPS. Para resolver essa descoberta, verifique se todos os recursos são exibidos por HTTPS. Nível de preços: Premium ou Standard |
Vulnerabilidade | A6 | A05 |
|
Foi detectada uma biblioteca com vulnerabilidades conhecidas. Para resolver essa descoberta, faça upgrade das bibliotecas para uma versão mais recente. Nível de preços: Premium ou Standard |
Vulnerabilidade | A9 | A06 |
|
Uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF, na sigla em inglês) foi detectada. Para resolver essa descoberta, use uma lista de permissões para limitar os domínios e endereços IP aos quais o aplicativo da Web pode fazer solicitações. Nível de preços: Premium ou Standard |
Vulnerabilidade | Não relevante | A10 |
|
Ao fazer uma solicitação entre domínios, o aplicativo da Web inclui o identificador de sessão do usuário
no cabeçalho da solicitação Nível de preços: Premium |
Vulnerabilidade | A2 | A07 |
|
Foi detectada uma possível vulnerabilidade de injeção de SQL. Para resolver essa descoberta, use consultas parametrizadas para evitar que as entradas do usuário influenciem a estrutura da consulta SQL. Nível de preços: Premium |
Vulnerabilidade | A1 | A03 |
|
Foi detectado o uso de uma versão vulnerável do Apache Struts. Para resolver essa descoberta, faça upgrade do Apache Struts para a versão mais recente. Nível de preços: Premium |
Vulnerabilidade | A8 | A08 |
|
Um campo nesse aplicativo da Web é vulnerável a um ataque de script entre sites (XSS). Para resolver isso, valide e escape dados não confiáveis fornecidos pelo usuário. Nível de preços: Premium ou Standard |
Vulnerabilidade | A7 | A03 |
|
Uma string fornecida pelo usuário não tem escape e o AngularJS pode intercalá-la. Para resolver isso, valide e escape dados não confiáveis fornecidos pelo usuário manipulados pela estrutura Angular. Nível de preços: Premium ou Standard |
Vulnerabilidade | A7 | A03 |
|
Um campo neste aplicativo da Web é vulnerável a um ataque de scripting em vários locais. Para resolver isso, valide e escape dados não confiáveis fornecidos pelo usuário. Nível de preços: Premium ou Standard |
Vulnerabilidade | A7 | A03 |
|
Uma vulnerabilidade de entidade externa de XML (XXE) foi detectada. Essa vulnerabilidade pode fazer com que o aplicativo da Web vaze um arquivo no host. Para resolver essa descoberta, configure seus analisadores de XML para proibir entidades externas. Nível de preços: Premium |
Vulnerabilidade | A4 | A05 |
|
O aplicativo está vulnerável à poluição de protótipos. Essa vulnerabilidade surge quando
propriedades do objeto Nível de preços: Premium ou Standard |
Vulnerabilidade | A1 | A03 |
|
Um cabeçalho HTTP Strict Transport Security (HSTS) mal configurado foi detectado. Para reduzir significativamente o risco de downgrade e ataques de escuta não autorizada em conexões HTTP, resolva o cabeçalho HSTS configurado incorretamente. Os cabeçalhos HSTS forçam as conexões por canais criptografados (TLS) para que as conexões HTTP de texto simples falhem. Saiba mais sobre cabeçalhos HSTS
Nível de preços: Premium |
Configuração incorreta | Não relevante | Não relevante |
|
Foi detectado um cabeçalho de resposta HTTP da política de segurança de conteúdo (CSP) ausente. Os cabeçalhos CSP mitigam a exploração de vulnerabilidades comuns da Web, principalmente scripting em vários locais XSS, impedindo o carregamento de scripts ou plug-ins não confiáveis. É recomendável usar um cabeçalho CSP estrito. Saiba mais sobre os cabeçalhos CSP
Nível de preços: Premium |
Configuração incorreta | Não relevante | Não relevante |
|
Foi detectado um cabeçalho de resposta HTTP da política de segurança de conteúdo (CSP) configurado incorretamente. Os cabeçalhos CSP mitigam a exploração de vulnerabilidades comuns da Web, principalmente o scripting entre sites (XSS), impedindo o carregamento de scripts ou plug-ins não confiáveis. É recomendável usar um cabeçalho CSP estrito. Saiba mais sobre cabeçalhos CSP
Nível de preços: Premium |
Configuração incorreta | Não relevante | Não relevante |
|
Um cabeçalho HTTP Cross-Origin-Opener-Policy (COOP) ausente foi detectado. O COOP é um mecanismo de segurança da Web que restringe o acesso de uma página aberta em uma nova janela às propriedades da página de origem. A COOP oferece uma camada forte de proteção contra ataques comuns da Web.
Nível de preços: Premium |
Configuração incorreta | Não relevante | Não relevante |
|
Foi detectado um cabeçalho de resposta ausente. Para evitar clickjacking, implemente um cabeçalho de resposta HTTP, como
Nível de preços: Premium |
Configuração incorreta | Não relevante | Não relevante |
Descobertas do Notebook Security Scanner
O Notebook Security Scanner detecta vulnerabilidades relacionadas aos pacotes do Python usados nos notebooks do Colab Enterprise e os publica na categoria Vulnerabilidade do pacote.
Uma descoberta de vulnerabilidade de pacote mostra os detalhes da versão de um pacote que tem vulnerabilidades conhecidas. Uma determinada versão de um pacote Python pode ter várias descobertas de vulnerabilidade de pacote, cada uma correspondendo a uma vulnerabilidade conhecida diferente.
Para resolver uma descoberta de vulnerabilidade de pacote, use uma versão diferente do pacote, conforme recomendado na seção Próximas etapas da descoberta.
Para mais informações, consulte Ativar e usar o Notebook Security Scanner.
Descobertas do recomendador do IAM
A tabela a seguir lista as descobertas do Security Command Center geradas pelo recomendador do IAM.
Cada descoberta do recomendador do IAM contém recomendações específicas para remover ou substituir um papel que inclui permissões excessivas de um principal no seu ambienteGoogle Cloud .
As descobertas geradas pelo recomendador do IAM correspondem às recomendações que aparecem no console Google Cloud na página do IAM do projeto, da pasta ou da organização afetada.
Para mais informações sobre a integração do recomendador do IAM com o Security Command Center, consulte Fontes de segurança.
| Detector | Resumo |
|---|---|
|
Descrição da descoberta: o recomendador do IAM detectou uma conta de serviço que tem um ou mais papéis do IAM com permissões excessivas para a conta de usuário. Nível de preços: Premium Recursos compatíveis:
Corrigir essa descoberta : Use o recomendador do IAM para aplicar a correção recomendada desta descoberta seguindo estas etapas:
Depois que o problema é corrigido, o recomendador do IAM atualiza o status da descoberta para
|
|
Descrição da descoberta: o recomendador do IAM detectou que o papel do IAM padrão original concedido a um agente de serviço foi substituído por um dos papéis básicos do IAM: Proprietário, Editor ou Leitor. Os papéis básicos são papéis legados excessivamente permissivos e não devem ser concedidos a agentes de serviço. Nível de preços: Premium Recursos compatíveis:
Corrigir essa descoberta : Use o recomendador do IAM para aplicar a correção recomendada desta descoberta seguindo estas etapas:
Depois que o problema é corrigido, o recomendador do IAM atualiza o status da descoberta para
|
|
Descrição da descoberta: o recomendador do IAM detectou que um agente de serviço recebeu um dos papéis básicos do IAM: Proprietário, Editor ou Leitor. Papéis básicos são papéis legados excessivamente permissivos e não devem ser concedidos a agentes de serviço. Nível de preços: Premium Recursos compatíveis:
Corrigir essa descoberta : Use o recomendador do IAM para aplicar a correção recomendada desta descoberta seguindo estas etapas:
Depois que o problema é corrigido, o recomendador do IAM atualiza o status da descoberta para
|
|
Descrição da descoberta: o recomendador do IAM detectou uma conta de usuário que tem um papel de IAM que não foi usado nos últimos 90 dias. Nível de preços: Premium Recursos compatíveis:
Corrigir essa descoberta : Use o recomendador do IAM para aplicar a correção recomendada desta descoberta seguindo estas etapas:
Depois que o problema é corrigido, o recomendador do IAM atualiza o status da descoberta para
|
Descobertas da CIEM
A tabela a seguir lista as descobertas de identidade e acesso do Security Command Center para a AWS geradas pelo gerenciamento de direitos de infraestrutura na nuvem (CIEM, na sigla em inglês).
As descobertas da CIEM contêm recomendações específicas para remover ou substituir políticas do IAM da AWS altamente permissivas associadas a identidades presumidas, usuários ou grupos no seu ambiente da AWS.
Para mais informações sobre o CIEM, consulte a Visão geral do gerenciamento de direitos de infraestrutura em nuvem.
| Detector | Resumo |
|---|---|
|
Descrição da descoberta: no seu ambiente da AWS, o CIEM detectou uma função do IAM assumida com uma ou mais políticas altamente permissivas que violam o princípio de privilégio mínimo e aumentam os riscos de segurança. Essa descoberta é baseada nos registros de uso mais recentes, que abrangem de 83 a 90 dias. Nível de preços: Enterprise Corrigir essa descoberta : Dependendo da descoberta, use o AWS Management Console para realizar uma das seguintes tarefas de correção:
Consulte os detalhes da descoberta para ver etapas específicas de correção. |
|
Descrição da descoberta: no seu ambiente da AWS, a CIEM detectou um grupo do IAM da AWS ou do AWS IAM Identity Center com uma ou mais políticas altamente permissivas que violam o princípio do privilégio mínimo e aumentam os riscos de segurança. Essa descoberta é baseada nos registros de uso mais recentes, que abrangem de 83 a 90 dias. Nível de preços: Enterprise Corrigir essa descoberta : Dependendo da descoberta, use o AWS Management Console para realizar uma das seguintes tarefas de correção:
Consulte os detalhes da descoberta para ver etapas específicas de correção. |
|
Descrição da descoberta: no seu ambiente da AWS, a CIEM detectou um usuário do AWS IAM ou do AWS IAM Identity Center com uma ou mais políticas altamente permissivas que violam o princípio do menor privilégio e aumentam os riscos de segurança. Essa descoberta é baseada nos registros de uso mais recentes, que abrangem de 83 a 90 dias. Nível de preços: Enterprise Corrigir essa descoberta : Dependendo da descoberta, use o AWS Management Console para realizar uma das seguintes tarefas de correção:
Consulte os detalhes da descoberta para ver etapas específicas de correção. |
|
Descrição da descoberta: no seu ambiente da AWS, a CIEM detectou um usuário do AWS IAM ou do AWS IAM Identity Center inativo com uma ou mais permissões. Isso viola o princípio de privilégio mínimo e aumenta os riscos de segurança. Essa descoberta é baseada nos registros de uso mais recentes, que abrangem de 83 a 90 dias. Nível de preços: Enterprise Corrigir essa descoberta : Dependendo da descoberta, use o console de gerenciamento da AWS para realizar uma das seguintes tarefas de correção:
Consulte os detalhes da descoberta para ver etapas específicas de correção. |
|
Descrição da descoberta: no seu ambiente da AWS, a CIEM detectou um grupo do IAM da AWS ou da Central de identificação do IAM da AWS que está inativo e tem uma ou mais permissões. Isso viola o princípio de privilégio mínimo e aumenta os riscos de segurança. Essa descoberta é baseada nos registros de uso mais recentes, que abrangem de 83 a 90 dias. Nível de preços: Enterprise Corrigir essa descoberta : Dependendo da descoberta, use o console de gerenciamento da AWS para realizar uma das seguintes tarefas de correção:
Consulte os detalhes da descoberta para ver etapas específicas de correção. |
|
Descrição da descoberta: no seu ambiente da AWS, o CIEM detectou uma função do IAM assumida que está inativa e tem uma ou mais permissões. Isso viola o princípio de privilégio mínimo e aumenta os riscos de segurança. Essa descoberta é baseada nos registros de uso mais recentes, que abrangem de 83 a 90 dias. Nível de preços: Enterprise Corrigir essa descoberta : Dependendo da descoberta, use o console de gerenciamento da AWS para realizar uma das seguintes tarefas de correção:
Consulte os detalhes da descoberta para ver etapas específicas de correção. |
|
Descrição da descoberta: no seu ambiente da AWS, o CIEM detectou uma política de confiança excessivamente permissiva aplicada a um papel do IAM da AWS que viola o princípio de privilégio mínimo e aumenta os riscos de segurança. Essa descoberta é baseada nos registros de uso mais recentes, que abrangem de 83 a 90 dias. Nível de preços: Enterprise Corrigir essa descoberta : Use o Console de gerenciamento da AWS para editar as permissões na política de confiança aplicada ao papel do IAM da AWS e aderir ao princípio de privilégio mínimo. Consulte os detalhes da descoberta para ver etapas específicas de correção. |
|
Descrição da descoberta: no seu ambiente da AWS, a CIEM detectou uma ou mais identidades que podem se mover lateralmente por representação. Essa descoberta é baseada nos registros de uso mais recentes, que abrangem de 83 a 90 dias. Nível de preços: Enterprise Corrigir essa descoberta : Use o console de gerenciamento da AWS para remover a política ou as políticas anexadas à identidade ou às identidades que permitem o movimento lateral. Consulte os detalhes da descoberta para ver etapas específicas de correção. |
Descobertas do serviço de postura de segurança
Nesta seção, listamos as descobertas do Security Command Center geradas pelo serviço de postura de segurança.
O serviço de postura de segurança gera os seguintes conjuntos de categorias de descobertas:
Desvio de uma postura de segurança implantada
A tabela a seguir lista as descobertas de postura de segurança que identificam uma instância de desvio da postura de segurança definida.
| Descoberta | Resumo |
|---|---|
|
Descrição da descoberta: o serviço de postura de segurança detectou uma mudança em um detector da Análise de integridade da segurança que ocorreu fora de uma atualização de postura. Nível de preços: Premium
Corrigir essa descoberta : Para resolver isso, aceite ou reverta a mudança para que as configurações do detector na sua postura e no seu ambiente correspondam. Você tem duas opções para resolver essa descoberta: atualizar o detector do Security Health Analytics ou atualizar a postura e a implantação de postura. Para reverter a mudança, atualize o detector da Análise de integridade da segurança no console Google Cloud . Para instruções, consulte Ativar e desativar detectores. Para aceitar a mudança, faça o seguinte:
|
|
Descrição da descoberta: o serviço de postura de segurança detectou uma mudança em um módulo personalizado da Análise de integridade da segurança que ocorreu fora de uma atualização de postura. Nível de preços: Premium Corrigir essa descoberta : Para resolver isso, aceite ou reverta a mudança para que as configurações personalizadas do módulo na sua postura e no ambiente correspondam. Você tem duas opções para resolver essa descoberta: atualizar o módulo personalizado do Security Health Analytics ou atualizar a postura e a implantação de postura. Para desfazer a mudança, atualize o módulo personalizado do Security Health Analytics no console do Google Cloud . Para instruções, consulte Atualizar um módulo personalizado. Para aceitar a mudança, faça o seguinte:
|
|
Descrição da descoberta: o serviço de postura de segurança detectou que um módulo personalizado do Security Health Analytics foi excluído. Essa exclusão ocorreu fora de uma atualização de postura. Nível de preços: Premium Corrigir essa descoberta : Para resolver isso, aceite ou reverta a mudança para que as configurações personalizadas do módulo na sua postura e no ambiente correspondam. Você tem duas opções para resolver essa descoberta: atualizar o módulo personalizado do Security Health Analytics ou atualizar a postura e a implantação de postura. Para desfazer a mudança, atualize o módulo personalizado do Security Health Analytics no console do Google Cloud . Para instruções, consulte Atualizar um módulo personalizado. Para aceitar a mudança, faça o seguinte:
|
|
Descrição da descoberta: o serviço de postura de segurança detectou uma mudança em uma política da organização que ocorreu fora de uma atualização de postura. Nível de preços: Premium Corrigir essa descoberta : Para resolver isso, aceite ou reverta a mudança para que as definições de política da organização na postura e no ambiente correspondam. Você tem duas opções para resolver essa descoberta: atualizar a política da organização ou a postura e a implantação de postura. Para reverter a mudança, atualize a política da organização no console Google Cloud . Para instruções, consulte Como criar e editar políticas. Para aceitar a mudança, faça o seguinte:
|
|
Descrição da descoberta: o serviço de postura de segurança detectou que uma política da organização foi excluída. Essa exclusão ocorreu fora de uma atualização de postura. Nível de preços: Premium Corrigir essa descoberta : Para resolver isso, aceite ou reverta a mudança para que as definições de política da organização na postura e no ambiente correspondam. Você tem duas opções para resolver essa descoberta: atualizar a política da organização ou a postura e a implantação de postura. Para reverter a mudança, atualize a política da organização no console Google Cloud . Para instruções, consulte Como criar e editar políticas. Para aceitar a mudança, faça o seguinte:
|
|
Descrição da descoberta: o serviço de postura de segurança detectou uma mudança em uma política personalizada da organização que ocorreu fora de uma atualização de postura. Nível de preços: Premium Corrigir essa descoberta : Para resolver isso, aceite ou reverta a mudança para que as definições de política da organização personalizadas na postura e no ambiente correspondam. Você tem duas opções para resolver esse problema: atualizar a política personalizada da organização ou atualizar a postura e a implantação de postura. Para reverter a mudança, atualize a política personalizada da organização no console Google Cloud . Para instruções, consulte Atualizar uma restrição personalizada. Para aceitar a mudança, faça o seguinte:
|
|
Descrição da descoberta: o serviço de postura de segurança detectou que uma política personalizada da organização foi excluída. Essa exclusão ocorreu fora de uma atualização de postura. Nível de preços: Premium Corrigir essa descoberta : Para resolver isso, aceite ou reverta a mudança para que as definições de política da organização personalizadas na postura e no ambiente correspondam. Você tem duas opções para resolver esse problema: atualizar a política personalizada da organização ou atualizar a postura e a implantação de postura. Para reverter a mudança, atualize a política personalizada da organização no console Google Cloud . Para instruções, consulte Atualizar uma restrição personalizada. Para aceitar a mudança, faça o seguinte:
|
Recurso que viola uma postura de segurança implantada
O serviço de postura de segurança e a Análise de integridade de segurança geram as seguintes descobertas, que identificam instâncias de recursos que violam sua postura de segurança definida.
| Descoberta | Resumo |
|---|---|
|
Descrição da descoberta: o serviço de postura de segurança detectou que uma sub-rede tem um endereço IPv6 externo ativado. Nível de preços: Premium Corrigir essa descoberta : Você tem duas opções para resolver essa descoberta: excluir o recurso em violação ou atualizar e reimplantar a postura. Para excluir o recurso, siga estas etapas:
Se você quiser manter o recurso na mesma configuração, atualize a postura. Para atualizar a postura, siga estas etapas:
|
|
Descrição da descoberta: o serviço de postura de segurança detectou que uma sub-rede tem um endereço IPv6 interno ativado. Nível de preços: Premium Corrigir essa descoberta : Você tem duas opções para resolver essa descoberta: excluir o recurso em violação ou atualizar e reimplantar a postura. Para excluir o recurso, siga estas etapas:
Se você quiser manter o recurso na mesma configuração, atualize a postura. Para atualizar a postura, siga estas etapas:
|
|
Descrição da descoberta: o serviço de postura de segurança detectou que o Login do SO está desativado em uma instância de VM. Nível de preços: Premium Corrigir essa descoberta : Você tem duas opções para resolver essa descoberta: atualizar o recurso em violação ou atualizar e reimplantar a postura. Para atualizar o recurso, siga estas etapas:
Se você quiser manter o recurso na mesma configuração, atualize a postura. Para atualizar a postura, siga estas etapas:
|
|
Descrição da descoberta: o serviço de postura de segurança detectou que uma rede autorizada foi adicionada a uma instância do SQL. Nível de preços: Premium Corrigir essa descoberta : Essa descoberta exige que você corrija a violação ou atualize a postura. Você tem duas opções para resolver essa descoberta: atualizar o recurso em violação ou atualizar a postura e fazer uma nova implantação. Para atualizar o recurso, siga estas etapas:
Se você quiser manter o recurso na mesma configuração, atualize a postura. Para atualizar a postura, siga estas etapas:
|
|
Descrição da descoberta: o serviço de postura de segurança detectou que um conector de VPC não está ativado para uma instância de função do Cloud Run. Nível de preços: Premium Corrigir essa descoberta : Você tem duas opções para resolver essa descoberta: atualizar o recurso em violação ou atualizar e reimplantar a postura. Para atualizar o recurso, siga estas etapas:
Se você quiser manter o recurso na mesma configuração, atualize a postura. Para atualizar a postura, siga estas etapas:
|
|
Descrição da descoberta: o serviço de postura de segurança detectou que o acesso à porta serial de uma instância de VM está ativado. Nível de preços: Premium Corrigir essa descoberta : Você tem duas opções para resolver essa descoberta: atualizar o recurso em violação ou atualizar e reimplantar a postura. Para atualizar o recurso, siga estas etapas:
Se você quiser manter o recurso na mesma configuração, atualize a postura. Para atualizar a postura, siga estas etapas:
|
|
Descrição da descoberta: o serviço de postura de segurança detectou que uma rede padrão foi criada. Nível de preços: Premium Corrigir essa descoberta : Você tem duas opções para resolver essa descoberta: excluir o recurso em violação ou atualizar e reimplantar a postura. Para excluir o recurso, siga estas etapas:
Se você quiser manter o recurso na mesma configuração, atualize a postura. Para atualizar a postura, siga estas etapas:
|
|
Descrição da descoberta: o serviço de postura de segurança detectou que um serviço do Cloud Run não está em conformidade com as configurações de entrada especificadas. Nível de preços: Premium Corrigir essa descoberta : Você tem duas opções para resolver essa descoberta: atualizar o recurso em violação ou atualizar e reimplantar a postura. Para atualizar o recurso, siga estas etapas:
Se você quiser manter o recurso na mesma configuração, atualize a postura. Para atualizar a postura, siga estas etapas:
|
|
Descrição da descoberta: o serviço de postura de segurança detectou que um acesso no nível do bucket é refinado em vez de uniforme. Nível de preços: Premium Corrigir essa descoberta : Você tem duas opções para resolver essa descoberta: atualizar o recurso em violação ou atualizar e reimplantar a postura. Para atualizar o recurso, siga estas etapas:
Se você quiser manter o recurso na mesma configuração, atualize a postura. Para atualizar a postura, siga estas etapas:
|
|
Descrição da descoberta: o serviço de postura de segurança detectou que um serviço do Cloud Run não está em conformidade com as configurações de saída especificadas. Nível de preços: Premium Corrigir essa descoberta : Você tem duas opções para resolver essa descoberta: atualizar o recurso em violação ou atualizar e reimplantar a postura. Para atualizar o recurso, siga estas etapas:
Se você quiser manter o recurso na mesma configuração, atualize a postura. Para atualizar a postura, siga estas etapas:
|
Model Armor
O Model Armor é um serviço Google Cloud totalmente gerenciado que aumenta a segurança dos aplicativos de IA ao analisar comandos e respostas de LLMs em busca de vários riscos de segurança.
Descobertas do Model Armor
A tabela a seguir lista as descobertas do Security Command Center geradas pelo Model Armor.
| Descoberta | Resumo |
|---|---|
|
Descrição da descoberta: uma violação de configuração mínima que ocorre quando um modelo do Model Armor não atende aos padrões mínimos de segurança definidos pelas configurações mínimas da hierarquia de recursos. Nível de preços: Premium
Para resolver esse problema, atualize o modelo do Model Armor para que ele esteja em conformidade com as configurações mínimas definidas na hierarquia de recursos. |
Analisar descobertas no console do Google Cloud
- No console Google Cloud , acesse a página Descobertas do Security Command Center.
- Selecione o projeto Google Cloud ou a organização.
- Na seção Filtros rápidos, na subseção Nome de exibição da origem, selecione Model Armor. Os resultados da consulta de descobertas são atualizados para mostrar apenas as descobertas dessa origem.
- Para ver os detalhes de uma descoberta específica, clique no nome dela na coluna Categoria. O painel de detalhes da descoberta é aberto e mostra a guia Resumo.
- Na guia Resumo, revise os detalhes da descoberta, incluindo informações sobre o que foi detectado, o recurso afetado e as etapas que você pode seguir para corrigir a descoberta.
- Opcional: para conferir a definição JSON completa da descoberta, clique na guia JSON.
Remediar descobertas do Model Armor
A descoberta FLOOR_SETTINGS_VIOLATION indica que o modelo do Model Armor não atendeu aos padrões mínimos de segurança definidos pelas configurações mínimas da hierarquia de recursos.
Para corrigir essa descoberta, faça o seguinte:
- No console Google Cloud , acesse a página Model Armor.
- Verifique se você está visualizando o projeto em que ativou o Model Armor. A página "Model Armor" é exibida com os modelos criados para seu projeto.
- Clique no modelo que você quer modificar.
- Modifique o modelo de acordo com as configurações de limite definidas na hierarquia de recursos.
- Clique em Salvar.
VM Manager
O VM Manager é um conjunto de ferramentas que podem ser usadas para gerenciar sistemas operacionais para grandes frotas de máquinas virtuais (VMs) que executam o Windows e o Linux no Compute Engine.
Se você ativar o VM Manager com o Security Command Center Premium no nível da organização, o VM Manager gravará as descobertas dos relatórios de vulnerabilidade, que estão em pré-lançamento, no Security Command Center. Os relatórios identificam vulnerabilidades nos sistemas operacionais instalados em VMs, incluindo Vulnerabilidades e exposições comuns (CVEs, na sigla em inglês).
Para usar o VM Manager com ativações no nível do projeto do Security Command Center Premium, ative o Security Command Center Standard na organização mãe.
Os relatórios de vulnerabilidades não estão disponíveis para o Security Command Center Standard.
As descobertas simplificam o processo de uso do recurso Conformidade com o patch do VM Manager, que está em fase de pré-lançamento. O recurso permite realizar o gerenciamento de patches no nível da organização em todos os projetos.
A gravidade das descobertas de vulnerabilidade recebidas do
VM Manager é sempre CRITICAL ou HIGH.
Descobertas do VM Manager
Todas as vulnerabilidades desse tipo estão relacionadas aos pacotes de sistema operacional instalados nas VMs do Compute Engine compatíveis.
| Detector | Resumo | Configurações da verificação de recursos |
|---|---|---|
|
Descrição da descoberta: o VM Manager detectou uma vulnerabilidade no pacote do sistema operacional (SO) instalado de uma VM do Compute Engine. Nível de preços: Premium Recursos compatíveis |
Os relatórios de vulnerabilidade do VM Manager detalham as vulnerabilidades em pacotes de sistema operacional instalados em VMs do Compute Engine, incluindo Vulnerabilidades e exposições comuns (CVEs, na sigla em inglês). Para conferir uma lista completa de sistemas operacionais compatíveis, consulte Detalhes do sistema operacional. As descobertas são exibidas no Security Command Center pouco depois que as vulnerabilidades são detectadas. Os relatórios de vulnerabilidades no VM Manager são gerados da seguinte maneira:
|
Analisar descobertas no console
Padrão ou Premium
- No console Google Cloud , acesse a página Descobertas do Security Command Center.
- Selecione o projeto Google Cloud ou a organização.
- Na seção Filtros rápidos, na subseção Nome de exibição da origem, selecione VM Manager. Os resultados da consulta de descobertas são atualizados para mostrar apenas as descobertas dessa fonte.
- Para ver os detalhes de uma descoberta específica, clique no nome dela na coluna Categoria. O painel de detalhes da descoberta é aberto e mostra a guia Resumo.
- Na guia Resumo, revise os detalhes da descoberta, incluindo informações sobre o que foi detectado, o recurso afetado e, se disponível, as etapas que você pode seguir para corrigir a descoberta.
- Opcional: para conferir a definição JSON completa da descoberta, clique na guia JSON.
Enterprise
- No console Google Cloud , acesse a página Descobertas do Security Command Center.
- Selecione sua Google Cloud organização.
- Na seção Agregações, clique para expandir a subseção Nome de exibição da origem.
- Selecione VM Manager. Os resultados da consulta de descobertas são atualizados para mostrar apenas as descobertas dessa fonte.
- Para ver os detalhes de uma descoberta específica, clique no nome dela na coluna Categoria. O painel de detalhes da descoberta é aberto e mostra a guia Resumo.
- Na guia Resumo, revise os detalhes da descoberta, incluindo informações sobre o que foi detectado, o recurso afetado e, se disponível, as etapas que você pode seguir para corrigir a descoberta.
- Opcional: para conferir a definição JSON completa da descoberta, clique na guia JSON.
Como corrigir as descobertas do VM Manager
Uma descoberta OS_VULNERABILITY indica que o VM Manager encontrou uma
vulnerabilidade nos pacotes do sistema operacional instalados em uma VM do Compute
Engine.
Para corrigir essa descoberta, faça o seguinte:
Abra uma descoberta
OS vulnerabilitye confira a definição JSON dela.Copie o valor do campo
externalUri. Esse valor é o URI da página Informações do SO da instância de VM do Compute Engine em que o sistema operacional vulnerável está instalado.Aplique todos os patches apropriados para o SO exibido na seção Informações básicas. Para instruções sobre como implantar patches, consulte Criar jobs de patch.
Saiba mais sobre recursos compatíveis e configurações de verificação desse tipo de descoberta.
Silenciar descobertas do VM Manager
Talvez você queira ocultar algumas ou todas as descobertas do VM Manager no Security Command Center se elas não forem relevantes para seus requisitos de segurança.
É possível ocultar descobertas do VM Manager criando uma regra de silenciamento e adicionando atributos de consulta específicos às descobertas do VM Manager que você quer ocultar.
Para informações sobre como criar uma regra de silenciamento, consulte Criar uma regra de silenciamento.
Por exemplo, se você quiser ocultar IDs de CVE específicos nas descobertas de vulnerabilidade do VM Manager, selecione Vulnerabilidade > ID de CVE e escolha os IDs que quer ocultar.
O campo Consulta de descobertas da regra de exclusão temporária é semelhante a este:
parent_display_name="VM Manager"
AND vulnerability.cv.id="CVE-2025-26923" OR vulnerability.cve.id="CVE-2025-27635"
Resultados da avaliação de vulnerabilidades do Artifact Registry
A tabela a seguir lista descobertas que alertam sobre possíveis vulnerabilidades detectadas nas imagens de contêiner. Essas descobertas só são geradas para imagens de contêiner vulneráveis armazenadas no Artifact Registry e implantadas em um dos seguintes recursos:
- Cluster do Google Kubernetes Engine
- Serviço do Cloud Run
- Job do Cloud Run
- App Engine
Essas descobertas são classificadas como de gravidade HIGH ou CRITICAL.
Para informações sobre como ativar, desativar e conferir as descobertas da avaliação de vulnerabilidade do Artifact Registry no console do Google Cloud , consulte Serviço de detecção de avaliação de vulnerabilidade do Artifact Registry.
| Detector | Resumo |
|---|---|
|
Nome da categoria na API: |
Descrição da descoberta: uma vulnerabilidade foi detectada em uma imagem de contêiner verificada no Artifact Registry. Essa imagem é implantada em um dos seguintes recursos:
Nível de preços: Standard, Premium ou Enterprise Corrigir essa descoberta : Dependendo do tipo de recurso de ambiente de execução, faça o seguinte:
Consulte os detalhes da descoberta para conferir as etapas de correção específicas com base no recurso de tempo de execução adequado. Para clientes do nível Standard, não é possível usar o recurso de consulta de recursos do Inventário de recursos do Cloud para determinar onde a imagem de contêiner vulnerável está implantada. Recomendamos fazer upgrade para os níveis Premium ou Enterprise e receber informações mais detalhadas. |
Proteção de dados sensíveis
Nesta seção, descrevemos as descobertas de vulnerabilidade geradas pela proteção de dados confidenciais, quais padrões de conformidade têm suporte e como corrigir essas descobertas.
A proteção de dados confidenciais também envia descobertas observacionais ao Security Command Center. Para mais informações sobre as descobertas de observação e a proteção de dados confidenciais, consulte Proteção de dados confidenciais.
Para saber como acessar as descobertas, consulte Analisar descobertas da proteção de dados sensíveis no console do Google Cloud .
Descobertas de vulnerabilidades da Proteção de Dados Sensíveis
O serviço de descoberta da Proteção de Dados Sensíveis ajuda a determinar se você está armazenando dados altamente sensíveis que não estão protegidos.
| Categoria | Resumo |
|---|---|
|
Descrição da descoberta: o recurso especificado tem dados de alta sensibilidade que podem ser acessados por qualquer pessoa na Internet. Recursos compatíveis:
Remediação: Para dados Google Cloud , remova Para dados do Amazon S3, configure as configurações de bloqueio de acesso público ou atualize a ACL do objeto para negar o acesso público de leitura. Para mais informações, consulte Como configurar o bloqueio de acesso público para seus buckets do S3 e Como configurar ACLs na documentação da AWS. Para dados do Azure Blob Storage, remova o acesso público ao contêiner e aos blobs. Para mais informações, consulte Visão geral: correção do acesso de leitura anônimo para dados de blob na documentação do Azure. Padrões de compliance: não mapeados |
|
Descrição da descoberta: há secrets, como senhas, tokens de autenticação e credenciais do Google Cloud , em variáveis de ambiente. Para ativar esse detector, consulte Informar secrets em variáveis de ambiente para o Security Command Center na documentação da proteção de dados confidenciais. Recursos compatíveis: Remediação: Para variáveis de ambiente de funções do Cloud Run, remova o secret da variável de ambiente e armazene-o no Secret Manager. Para variáveis de ambiente de revisão do serviço do Cloud Run, mova todo o tráfego da revisão e exclua-a. Padrões de compliance:
|
|
Descrição da descoberta: há secrets, como senhas, tokens de autenticação e credenciais da nuvem, no recurso especificado. Recursos compatíveis:
Remediação:
Padrões de compliance: não mapeados |
Descobertas de configuração incorreta da Proteção de Dados Sensíveis
O serviço de descoberta da Proteção de Dados Sensíveis ajuda a determinar se você tem configurações incorretas que podem expor dados sensíveis.
| Categoria | Resumo |
|---|---|
|
Descrição da descoberta: o recurso especificado tem dados de alta ou média sensibilidade e não está usando uma chave de criptografia gerenciada pelo cliente (CMEK). Recursos compatíveis:
Remediação:
Padrões de compliance: não mapeados |
Policy Controller
O Policy Controller permite a aplicação de políticas programáveis aos clusters do Kubernetes registrados como associações de frotas. Essas políticas funcionam como proteções e podem ajudar nas práticas recomendadas, na segurança e no gerenciamento de conformidade dos clusters e da frota.
Esta página não lista todas as descobertas individuais do Policy Controller, mas
as informações sobre as descobertas da classe Misconfiguration que o Policy Controller
grava no Security Command Center são as mesmas que as violações de cluster documentadas
para cada pacote do Policy Controller. A documentação dos tipos de descobertas individuais do
Policy Controller está nos seguintes pacotes:
Comparativo de mercado CIS do Kubernetes v1.5.1, um conjunto de recomendações para configurar o Kubernetes e oferecer suporte a uma postura de segurança forte. Também é possível ver informações sobre esse pacote no repositório do GitHub para
cis-k8s-v1.5.1.PCI-DSS v3.2.1, um pacote que avalia a conformidade dos recursos do cluster em relação a alguns aspectos do Padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) v3.2.1. Também é possível ver informações sobre esse pacote no repositório do GitHub para
pci-dss-v3.
Essa capacidade não é compatível com os perímetros de serviço do VPC Service Controls na API Stackdriver.
Como encontrar e corrigir descobertas do Policy Controller
As categorias do Policy Controller correspondem aos nomes de restrição listados na
documentação dos pacotes do Policy Controller. Por exemplo, uma descoberta de
require-namespace-network-policies
indica que um namespace viola a política de que todo namespace em um
cluster tem um NetworkPolicy.
Para corrigir uma descoberta, faça o seguinte:
Padrão ou Premium
- No console Google Cloud , acesse a página Descobertas do Security Command Center.
- Selecione o projeto Google Cloud ou a organização.
- Na seção Filtros rápidos, na subseção Nome de exibição da origem, selecione Policy Controller On-Cluster. Os resultados da consulta de descobertas são atualizados para mostrar apenas as descobertas dessa fonte.
- Para ver os detalhes de uma descoberta específica, clique no nome dela na coluna Categoria. O painel de detalhes da descoberta é aberto e mostra a guia Resumo.
- Na guia Resumo, revise os detalhes da descoberta, incluindo informações sobre o que foi detectado, o recurso afetado e, se disponível, as etapas que você pode seguir para corrigir a descoberta.
- Opcional: para conferir a definição JSON completa da descoberta, clique na guia JSON.
Enterprise
- No console Google Cloud , acesse a página Descobertas do Security Command Center.
- Selecione sua Google Cloud organização.
- Na seção Agregações, clique para expandir a subseção Nome de exibição da origem.
- Selecione Policy Controller no cluster. Os resultados da consulta de descobertas são atualizados para mostrar apenas as descobertas dessa fonte.
- Para ver os detalhes de uma descoberta específica, clique no nome dela na coluna Categoria. O painel de detalhes da descoberta é aberto e mostra a guia Resumo.
- Na guia Resumo, revise os detalhes da descoberta, incluindo informações sobre o que foi detectado, o recurso afetado e, se disponível, as etapas que você pode seguir para corrigir a descoberta.
- Opcional: para conferir a definição JSON completa da descoberta, clique na guia JSON.
A seguir
Saiba como usar o Security Health Analytics.
Saiba como usar o Web Security Scanner.
Leia sugestões para corrigir descobertas do Security Health Analytics e corrigir descobertas do Web Security Scanner.