Memperbaiki temuan Security Health Analytics

Halaman ini menyediakan daftar panduan dan teknik referensi untuk memperbaiki temuan Security Health Analytics menggunakan Security Command Center.

Anda memerlukan peran Identity and Access Management (IAM) yang memadai untuk melihat atau mengedit temuan, dan untuk mengakses atau mengubah Google Cloud resource. Jika Anda mengalami error izin saat mengakses Security Command Center di Google Cloud konsol, minta bantuan administrator Anda dan, untuk mempelajari peran, lihat Kontrol akses. Untuk mengatasi error resource, baca dokumentasi untuk produk yang terpengaruh.

Perbaikan Security Health Analytics

Bagian ini mencakup petunjuk perbaikan untuk semua temuan Security Health Analytics.

Untuk menemukan jenis yang dipetakan ke CIS Benchmark, panduan perbaikan berasal dari Center for Internet Security (CIS), kecuali dinyatakan lain. Untuk mengetahui informasi selengkapnya, lihat Detektor dan kepatuhan.

Deaktivasi otomatis temuan

Setelah Anda memperbaiki temuan kerentanan atau kesalahan konfigurasi, Security Health Analytics akan otomatis menyetel status temuan menjadi INACTIVE saat memindai temuan tersebut pada waktu berikutnya. Menonaktifkan detektor di Security Health Analytics juga akan menyetel status temuan yang dihasilkan oleh detektor tersebut ke INACTIVE. Durasi yang diperlukan Security Health Analytics untuk menetapkan temuan yang telah diperbaiki ke INACTIVE bergantung pada waktu temuan diperbaiki dan jadwal pemindaian yang mendeteksi temuan tersebut.

Security Health Analytics juga menetapkan status temuan ke INACTIVE jika pemindaian mendeteksi bahwa resource yang terpengaruh oleh temuan dihapus. Jika Anda ingin menghapus temuan untuk resource yang dihapus dari tampilan saat Anda menunggu Security Health Analytics mendeteksi bahwa resource tersebut telah dihapus, Anda dapat membisukan temuan tersebut. Untuk menonaktifkan temuan, lihat Menonaktifkan temuan di Security Command Center.

Jangan gunakan nonaktifkan untuk menyembunyikan temuan yang telah diperbaiki untuk resource yang ada. Jika masalah berulang dan Security Health Analytics memulihkan status temuan ACTIVE Anda, Anda mungkin tidak melihat temuan yang diaktifkan kembali, karena temuan yang disenyapkan dikecualikan dari kueri temuan yang menentukan NOT mute="MUTED", seperti kueri temuan default.

Untuk mengetahui informasi tentang interval pemindaian, lihat Jenis pemindaian Security Health Analytics.

Access Transparency disabled

Nama kategori di API: ACCESS_TRANSPARENCY_DISABLED

Log Transparansi Akses saat karyawan mengakses project di organisasi Anda untuk memberikan dukungan. Google Cloud Aktifkan Transparansi Akses untuk mencatat siapa dari Google Cloud yang mengakses informasi Anda, kapan, dan mengapa. Untuk mengetahui informasi selengkapnya, lihat Transparansi Akses.

Untuk mengaktifkan Transparansi Akses di project, project harus dikaitkan dengan akun penagihan.

Peran yang diperlukan

Untuk mendapatkan izin yang diperlukan untuk melakukan tugas ini, minta administrator Anda untuk memberi Anda peran IAM Admin Transparansi Akses (roles/axt.admin) di tingkat organisasi. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses.

Peran bawaan ini berisi izin axt.labels.get dan axt.labels.set, yang diperlukan untuk melakukan tugas ini. Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Langkah-langkah perbaikan

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Periksa izin tingkat organisasi Anda:

   1. Buka halaman Identity and Access Management di konsol Google Cloud .

      Buka Identity and Access Management

   2. Jika Anda diminta, pilih organisasi di menu pemilih. Google Cloud

2. Pilih project Google Cloud dalam organisasi menggunakan menu pemilih.

   Transparansi Akses dikonfigurasi di halaman Google Cloud project , tetapi Transparansi Akses diaktifkan untuk seluruh organisasi.

3. Buka halaman IAM & Admin > Settings.

4. Klik Aktifkan Transparansi Akses.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

AlloyDB auto backup disabled

Nama kategori di API: ALLOYDB_AUTO_BACKUP_DISABLED

Pencadangan otomatis tidak diaktifkan untuk cluster AlloyDB untuk PostgreSQL.

Untuk membantu mencegah kehilangan data, aktifkan pencadangan otomatis untuk cluster Anda. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi pencadangan otomatis tambahan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman cluster AlloyDB untuk PostgreSQL di Google Cloud konsol.

   Buka cluster AlloyDB untuk PostgreSQL

2. Klik cluster di kolom Nama Resource.

3. Klik Perlindungan data.

4. Di bagian Automated backup policy, klik Edit di baris Automated backups.

5. Centang kotak Pencadangan otomatis.

6. Klik Perbarui.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

AlloyDB backups disabled

Nama kategori di API: ALLOYDB_BACKUPS_DISABLED

Cluster AlloyDB untuk PostgreSQL tidak mengaktifkan pencadangan otomatis maupun berkelanjutan.

Untuk membantu mencegah kehilangan data, aktifkan pencadangan otomatis atau berkelanjutan untuk cluster Anda. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi cadangan tambahan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman cluster AlloyDB untuk PostgreSQL di Google Cloud konsol.

   Buka cluster AlloyDB untuk PostgreSQL

2. Di kolom Nama Resource, klik nama cluster yang diidentifikasi dalam temuan.

3. Klik Perlindungan data.

4. Siapkan kebijakan pencadangan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

AlloyDB CMEK disabled

Nama kategori di API: ALLOYDB_CMEK_DISABLED

Cluster AlloyDB tidak menggunakan kunci enkripsi yang dikelola pelanggan (CMEK).

Dengan CMEK, kunci yang Anda buat dan kelola di Cloud KMS akan menggabungkan kunci yang digunakan Google untuk mengenkripsi data Anda, sehingga Anda memiliki lebih banyak kontrol terhadap akses ke data Anda. Untuk mengetahui informasi selengkapnya, lihat Tentang CMEK. CMEK menimbulkan biaya tambahan terkait Cloud KMS.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman cluster AlloyDB untuk PostgreSQL di Google Cloud konsol.

   Buka cluster AlloyDB untuk PostgreSQL

2. Di kolom Nama Resource, klik nama cluster yang diidentifikasi dalam temuan.

3. Klik Buat Cadangan. Tetapkan ID cadangan.

4. Klik Buat.

5. Di bagian Pencadangan/Pemulihan, klik Pulihkan di samping entri ID Cadangan yang Anda pilih.

6. Tetapkan ID dan jaringan cluster baru.

7. Klik Advanced Encryption Options. Pilih CMEK yang ingin Anda gunakan untuk mengenkripsi cluster baru.

8. Klik Pulihkan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

AlloyDB log min error statement severity

Nama kategori di API: ALLOYDB_LOG_MIN_ERROR_STATEMENT_SEVERITY

Instance AlloyDB untuk PostgreSQL tidak memiliki setelan flag database log_min_error_statement ke error atau nilai rekomendasi lainnya.

Flag log_min_error_statement mengontrol apakah pernyataan SQL yang menyebabkan kondisi error dicatat dalam log server. Pernyataan SQL dengan tingkat keparahan tertentu atau yang lebih tinggi dicatat ke dalam log. Makin tinggi tingkat keparahan, makin sedikit pesan yang dicatat. Jika disetel ke tingkat keparahan yang terlalu tinggi, pesan error mungkin tidak dicatat ke dalam log.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi flag database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman cluster AlloyDB untuk PostgreSQL di Google Cloud konsol.

   Buka cluster AlloyDB untuk PostgreSQL

2. Klik cluster di kolom Nama Resource.

3. Di bagian Instances in your cluster, klik Edit untuk instance.

4. Klik Opsi Konfigurasi Lanjutan.

5. Di bagian Flags, setel flag database log_min_error_statement dengan salah satu nilai rekomendasi berikut, sesuai dengan kebijakan logging organisasi Anda.

   • debug5
   • debug4
   • debug3
   • debug2
   • debug1
   • info
   • notice
   • warning
   • error

6. Klik Update Instance.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

AlloyDB log min messages

Nama kategori di API: ALLOYDB_LOG_MIN_MESSAGES

Instance AlloyDB untuk PostgreSQL tidak memiliki setelan flag database log_min_messages ke minimal warning.

Flag log_min_messages mengontrol tingkat pesan mana yang dicatat dalam log server. Makin tinggi tingkat keparahan, makin sedikit pesan yang dicatat. Menyetel nilai minimum terlalu rendah dapat menyebabkan peningkatan ukuran dan panjang penyimpanan log, sehingga menyulitkan Anda untuk menemukan error sebenarnya.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi flag database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman cluster AlloyDB untuk PostgreSQL di Google Cloud konsol.

   Buka cluster AlloyDB untuk PostgreSQL

2. Klik cluster di kolom Nama Resource.

3. Di bagian Instances in your cluster, klik Edit untuk instance.

4. Klik Opsi Konfigurasi Lanjutan.

5. Di bagian Flags, setel flag database log_min_messages dengan salah satu nilai rekomendasi berikut, sesuai dengan kebijakan logging organisasi Anda.

   • debug5
   • debug4
   • debug3
   • debug2
   • debug1
   • info
   • notice
   • warning

6. Klik Update Instance.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

AlloyDB log error verbosity

Nama kategori di API: ALLOYDB_LOG_ERROR_VERBOSITY

Instance AlloyDB untuk PostgreSQL tidak memiliki log_error_verbosity flag database yang disetel ke default atau nilai lain yang tidak begitu ketat.

Flag log_error_verbosity mengontrol jumlah detail dalam pesan yang dicatat ke dalam log. Makin panjang informasi, makin banyak detail yang tercatat dalam pesan. Sebaiknya setel flag ini ke default atau nilai lain yang tidak terlalu ketat.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi flag database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman cluster AlloyDB untuk PostgreSQL di Google Cloud konsol.

   Buka cluster AlloyDB untuk PostgreSQL

2. Klik cluster di kolom Nama Resource.

3. Di bagian Instances in your cluster, klik Edit untuk instance.

4. Klik Opsi Konfigurasi Lanjutan.

5. Di bagian Flags, setel flag database log_error_verbosity dengan salah satu nilai rekomendasi berikut, sesuai dengan kebijakan logging organisasi Anda.

   • default
   • verbose

6. Klik Update Instance.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

AlloyDB Public IP

Nama kategori di API: ALLOYDB_PUBLIC_IP

Instance database AlloyDB untuk PostgreSQL memiliki alamat IP publik.

Untuk mengurangi permukaan serangan organisasi Anda, gunakan alamat IP pribadi, bukan publik. Alamat IP pribadi memberikan keamanan jaringan yang lebih baik dan latensi yang lebih rendah untuk aplikasi Anda.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman cluster AlloyDB untuk PostgreSQL di Google Cloud konsol.

   Buka cluster AlloyDB untuk PostgreSQL

2. Di kolom Nama Resource, klik nama cluster yang diidentifikasi dalam temuan.

3. Di bagian Instances in your cluster, klik Edit untuk instance.

4. Di bagian Connectivity, hapus centang pada kotak Enable Public IP.

5. Klik Update Instance.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaian.

AlloyDB SSL not enforced

Nama kategori di API: ALLOYDB_SSL_NOT_ENFORCED

Instance database AlloyDB untuk PostgreSQL tidak mewajibkan semua koneksi masuk menggunakan SSL.

Untuk menghindari kebocoran data sensitif dalam pengiriman melalui komunikasi yang tidak terenkripsi, semua koneksi masuk ke instance database AlloyDB Anda harus menggunakan SSL. Pelajari lebih lanjut Mengonfigurasi SSL/TLS.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman cluster AlloyDB untuk PostgreSQL di Google Cloud konsol.

   Buka cluster AlloyDB untuk PostgreSQL

2. Di kolom Nama Resource, klik nama cluster yang diidentifikasi dalam temuan.

3. Di bagian Instances in your cluster, klik Edit untuk instance.

4. Di bagian Network Security, klik kotak untuk Require SSL Encryption.

5. Klik Update Instance.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaian.

Admin service account

Nama kategori di API: ADMIN_SERVICE_ACCOUNT

Ada akun layanan di organisasi atau project Anda yang diberi hak istimewa Admin, Pemilik, atau Editor. Peran ini memiliki izin yang luas dan tidak boleh ditetapkan ke akun layanan. Untuk mempelajari akun layanan dan peran yang tersedia untuk akun layanan, lihat Akun layanan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman kebijakan IAM di konsol Google Cloud .

   Buka kebijakan IAM

2. Untuk setiap akun utama yang diidentifikasi dalam temuan:

   1. Klik edit Edit akun utama di samping akun utama.
   2. Untuk menghapus izin, klik delete Hapus peran di samping peran.
   3. Klik Simpan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Alpha cluster enabled

Nama kategori di API: ALPHA_CLUSTER_ENABLED

Fitur cluster alfa diaktifkan untuk cluster Google Kubernetes Engine (GKE).

Cluster alfa memungkinkan pengguna awal bereksperimen dengan workload yang menggunakan fitur baru sebelum fitur tersebut dirilis ke publik. Cluster alfa dilengkapi dengan semua fitur GKE API yang aktif, tetapi tidak tercakup dalam SLA GKE, tidak menerima update keamanan, tidak memiliki fitur upgrade otomatis node dan perbaikan otomatis node yang aktif, serta tidak dapat diupgrade. Cluster tersebut juga akan otomatis dihapus setelah 30 hari.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Cluster alfa tidak dapat dinonaktifkan. Anda harus membuat cluster baru dengan fitur alfa dinonaktifkan.

1. Buka halaman Kubernetes clusters di konsol Google Cloud .

   Buka cluster Kubernetes

2. Klik Buat.

3. Pilih Konfigurasi di samping jenis cluster yang ingin Anda buat.

4. Di tab Features, pastikan Enable Kubernetes alpha features in this cluster dinonaktifkan.

5. Klik Buat.

6. Untuk memindahkan workload ke cluster baru, lihat Memigrasikan workload ke jenis mesin yang berbeda.

7. Untuk menghapus cluster asli, lihat Menghapus cluster.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

API key APIs unrestricted

Nama kategori di API: API_KEY_APIS_UNRESTRICTED

Ada kunci API yang digunakan terlalu luas.

Kunci API yang tidak dibatasi tidak aman karena dapat diambil dari perangkat tempat kunci tersebut disimpan atau dapat dilihat secara publik, misalnya, dari dalam browser. Sesuai dengan prinsip hak istimewa terendah, konfigurasi kunci API hanya untuk memanggil API yang diperlukan oleh aplikasi. Untuk mengetahui informasi selengkapnya, lihat artikel Menerapkan pembatasan kunci API.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman kunci API di konsol Google Cloud .

   Buka kunci API

2. Untuk setiap kunci API:

   1. Di bagian API keys, di baris untuk setiap kunci API yang ingin Anda batasi API-nya, klik more_vert Actions.
   2. Dari menu Actions, klik Edit API key. Halaman Edit API key akan terbuka.
   3. Di bagian API restrictions, pilih Restrict APIs. Menu drop-down Pilih API akan muncul.
   4. Di menu drop-down Select APIs, pilih API yang akan diizinkan.
   5. Klik Simpan. Mungkin perlu waktu hingga lima menit agar setelan diterapkan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

API key apps unrestricted

Nama kategori di API: API_KEY_APPS_UNRESTRICTED

Ada kunci API yang digunakan tanpa batasan, sehingga memungkinkan penggunaan oleh aplikasi yang tidak tepercaya.

Kunci API yang tidak dibatasi tidak aman karena dapat diambil di perangkat tempat kunci tersebut disimpan atau dapat dilihat secara publik, misalnya, dari dalam browser. Sesuai dengan prinsip hak istimewa terendah, batasi penggunaan kunci API untuk host, perujuk HTTP, dan aplikasi tepercaya. Untuk mengetahui informasi selengkapnya, lihat artikel Menerapkan pembatasan kunci API.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman kunci API di konsol Google Cloud .

   Buka kunci API

2. Untuk setiap kunci API:

   1. Di bagian API keys, di baris untuk setiap kunci API yang aplikasinya perlu Anda batasi, klik more_vert Actions.
   2. Dari menu Actions, klik Edit API key. Halaman Edit API key akan terbuka.
   3. Di halaman Edit API key, di bagian Application restrictions, pilih kategori pembatasan. Anda dapat menetapkan satu pembatasan aplikasi per kunci.
   4. Di kolom Tambahkan item yang muncul saat Anda memilih pembatasan, klik Tambahkan item untuk menambahkan pembatasan berdasarkan kebutuhan aplikasi Anda.
   5. Setelah selesai menambahkan item, klik Selesai.
   6. Klik Simpan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

API key exists

Nama kategori di API: API_KEY_EXISTS

Project menggunakan kunci API, bukan autentikasi standar.

Kunci API kurang aman dibandingkan metode autentikasi lainnya karena merupakan string terenkripsi sederhana yang mudah ditemukan dan digunakan orang lain. Kunci ini dapat diambil di perangkat tempat kunci tersebut disimpan atau dapat dilihat secara publik, misalnya dari dalam browser. Selain itu, kunci API tidak secara unik mengidentifikasi pengguna atau aplikasi yang membuat permintaan. Sebagai alternatif, Anda dapat menggunakan alur autentikasi standar, dengan akun layanan atau akun pengguna.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Pastikan aplikasi Anda dikonfigurasi dengan format autentikasi alternatif.

2. Buka halaman Kredensial API di konsol Google Cloud .

   Buka kredensial API

3. Di bagian API keys di baris untuk setiap kunci API yang ingin Anda hapus, klik more_vert Actions.

4. Dari menu Tindakan, klik Hapus kunci API.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

API key not rotated

Nama kategori di API: API_KEY_NOT_ROTATED

Kunci API belum dirotasi selama lebih dari 90 hari.

Kunci API tidak memiliki masa berakhir, jadi jika dicuri, kunci itu dapat terus-menerus digunakan kecuali jika pemilik project mencabut atau merotasi kunci. Mengganti kunci API secara rutin akan mengurangi jumlah waktu kunci API curian dapat digunakan untuk mengakses data pada akun yang dibobol atau dihentikan. Rotasi kunci API setidaknya setiap 90 hari. Untuk mengetahui informasi selengkapnya, lihat Praktik terbaik untuk mengelola kunci API.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman kunci API di konsol Google Cloud .

   Buka kunci API

2. Untuk setiap kunci API:

   1. Di bagian API keys, pada baris untuk setiap kunci API yang perlu Anda ganti, klik more_vert Actions.
   2. Dari menu Actions, klik Edit API key. Halaman Edit API key akan terbuka.
   3. Di halaman Edit kunci API, jika tanggal di kolom Tanggal pembuatan lebih dari 90 hari, klik refresh Ganti kunci. Kunci baru dibuat.
   4. Anda dapat mengubah nama kunci API.
   5. Klik Buat.
   6. Perbarui aplikasi Anda untuk menggunakan kunci baru.
   7. Setelah memperbarui aplikasi, kembali ke halaman Edit kunci API dan klik Hapus kunci sebelumnya untuk menghapus kunci lama. Kunci lama tidak akan dihapus secara otomatis.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Audit config not monitored

Nama kategori di API: AUDIT_CONFIG_NOT_MONITORED

Metrik dan pemberitahuan log tidak dikonfigurasi untuk memantau perubahan konfigurasi audit.

Cloud Logging menghasilkan log Aktivitas Admin dan Akses Data yang memungkinkan analisis keamanan, pelacakan perubahan resource, dan audit kepatuhan. Dengan memantau perubahan konfigurasi audit, Anda dapat memastikan bahwa semua aktivitas dalam project Anda dapat diaudit kapan saja. Untuk informasi lebih lanjut, baca Ringkasan metrik berbasis log.

Bergantung pada jumlah informasi, biaya Cloud Monitoring bisa signifikan. Untuk memahami penggunaan layanan dan biayanya, lihat Harga Google Cloud Observability.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Untuk memperbaiki temuan ini, buat metrik, jika perlu, dan kebijakan pemberitahuan:

Membuat metrik

1. Buka halaman Metrik Berbasis Log di konsol Google Cloud .

   Buka Logs-based Metrics

2. Klik Buat Metrik.

3. Di bagian Metric Type, pilih Counter.

4. Di bagian Detail:

   1. Setel Log metric name.
   2. Tambahkan deskripsi.
   3. Setel Units ke 1.

5. Di bagian Filter selection, salin dan tempel teks berikut pada kotak Build filter, yang menggantikan teks yang ada, jika diperlukan:

     protoPayload.methodName="SetIamPolicy"
     AND protoPayload.serviceData.policyDelta.auditConfigDeltas:*

6. Klik Buat Metrik. Anda akan melihat konfirmasi.

Buat Kebijakan Pemberitahuan

1. Di konsol Google Cloud , buka halaman Log-based Metrics:

   Buka Log-based Metrics

   Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Logging.

2. Di bagian Metrik yang ditentukan pengguna, pilih metrik yang Anda buat di bagian sebelumnya.

3. Klik Lainnya more_vert, lalu klik Buat pemberitahuan dari metrik.

   Dialog Kondisi baru akan terbuka dengan opsi metrik dan transformasi data yang telah diisi otomatis.

4. Klik Berikutnya.
   1. Tinjau setelan yang telah diisi otomatis. Anda mungkin ingin mengubah Nilai minimum.
   2. Klik Nama kondisi, lalu masukkan nama untuk kondisi.
5. Klik Berikutnya.

6. Untuk menambahkan notifikasi ke kebijakan pemberitahuan, klik Notification channels. Dalam dialog ini, pilih satu atau beberapa saluran notifikasi dari menu, lalu klik OK.

   Untuk menerima notifikasi saat insiden dibuka dan ditutup, centang Notify on incident closure. Secara default, notifikasi hanya dikirim saat insiden dibuka.

7. Opsional: Perbarui Incident autoclose duration. Kolom ini menentukan kapan Monitoring akan menutup insiden jika data metrik tidak ada.
8. Opsional: Klik Documentation, lalu tambahkan informasi apa pun yang ingin Anda sertakan dalam pesan notifikasi.
9. Klik Alert name dan masukkan nama untuk kebijakan pemberitahuan itu.
10. Klik Create Policy.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Audit logging disabled

Nama kategori di API: AUDIT_LOGGING_DISABLED

Temuan ini tidak tersedia untuk aktivasi level project.

Logging audit dinonaktifkan untuk satu atau beberapa Google Cloud layanan, atau satu atau beberapa akun utama dikecualikan dari logging audit akses data.

Aktifkan Cloud Logging untuk semua layanan guna melacak semua aktivitas admin, akses baca, dan akses tulis ke data pengguna. Bergantung pada jumlah informasi, biaya Cloud Logging bisa cukup besar. Untuk memahami penggunaan layanan dan biayanya, lihat Harga Google Cloud Observability.

Jika ada akun utama yang dikecualikan dari logging audit akses data pada konfigurasi logging audit akses data default atau konfigurasi logging untuk setiap layanan individual, hapus pengecualian tersebut.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Konfigurasi default log audit Akses Data di konsol Google Cloud .

   Buka konfigurasi default

2. Di tab Jenis log, aktifkan logging audit akses data dalam konfigurasi default:

   1. Pilih Admin Read, Data Read, dan Data Write.
   2. Klik Simpan.

3. Pada tab Akun utama yang dikecualikan, hapus semua pengguna yang dikecualikan dari konfigurasi default:

   1. Hapus setiap akun utama yang tercantum dengan mengklik delete Hapus di samping setiap nama.
   2. Klik Simpan.

4. Buka halaman Log Audit.

   Buka log audit

5. Hapus semua akun utama yang dikecualikan dari konfigurasi log audit akses data di layanan individu.

   1. Di bagian Konfigurasi log audit akses data, untuk setiap layanan yang menunjukkan akun utama yang dikecualikan, klik layanan tersebut. Panel konfigurasi log audit akan terbuka untuk layanan tersebut.
   2. Di tab Exempted principals, hapus semua akun utama yang dikecualikan dengan mengklik delete Hapus di samping setiap nama.
   3. Klik Simpan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaian.

Auto backup disabled

Nama kategori di API: AUTO_BACKUP_DISABLED

Database Cloud SQL tidak mengaktifkan pencadangan otomatis.

Untuk mencegah kehilangan data, aktifkan pencadangan otomatis untuk instance SQL Anda. Untuk mengetahui informasi selengkapnya, lihat Membuat dan mengelola pencadangan on-demand dan otomatis.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Di konsol Google Cloud , buka halaman Instance Cloud SQL.

   Buka Instance

2. Klik nama instance.

3. Klik Cadangan.

4. Di samping Setelan, klik edit Edit.

5. Centang kotak Automated daily backups.

6. Opsional: Di kotak Jumlah hari, masukkan jumlah hari cadangan yang ingin Anda pertahankan.

7. Opsional: Di daftar Periode pencadangan, pilih periode waktu untuk melakukan pencadangan.

8. Klik Simpan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Auto repair disabled

Nama kategori di API: AUTO_REPAIR_DISABLED

Fitur perbaikan otomatis cluster Google Kubernetes Engine (GKE), yang menjaga node dalam keadaan berjalan dengan baik, dinonaktifkan.

Jika diaktifkan, GKE akan melakukan pemeriksaan berkala pada status respons setiap node di cluster Anda. Jika health check node gagal berturut-turut dalam jangka waktu yang lama, GKE akan memulai proses perbaikan untuk node tersebut. Untuk mengetahui informasi selengkapnya, lihat Memperbaiki node secara otomatis.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Kubernetes clusters di konsol Google Cloud .

   Buka cluster Kubernetes

2. Klik tab Nodes.

3. Untuk setiap node pool:

   1. Klik nama node pool untuk membuka halaman detailnya.
   2. Klik edit Edit.
   3. Di bagian Pengelolaan, pilih Aktifkan perbaikan otomatis.
   4. Klik Simpan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Auto upgrade disabled

Nama kategori di API: AUTO_UPGRADE_DISABLED

Fitur upgrade otomatis cluster GKE, yang menjaga cluster dan node pool tetap menggunakan versi Kubernetes stabil terbaru, dinonaktifkan.

Untuk mengetahui informasi selengkapnya, lihat Mengupgrade node secara otomatis.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Kubernetes clusters di konsol Google Cloud .

   Buka cluster Kubernetes

2. Di daftar cluster, klik nama cluster.

3. Klik tab Nodes.

4. Untuk setiap node pool:

   1. Klik nama node pool untuk membuka halaman detailnya.
   2. Klik edit Edit.
   3. Di bagian Pengelolaan, pilih Aktifkan upgrade otomatis.
   4. Klik Simpan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

BigQuery table CMEK disabled

Nama kategori di API: BIGQUERY_TABLE_CMEK_DISABLED

Tabel BigQuery tidak dikonfigurasi untuk menggunakan kunci enkripsi yang dikelola pelanggan (CMEK).

Dengan CMEK, kunci yang Anda buat dan kelola di Cloud KMS akan menggabungkan kunci yang digunakan untuk mengenkripsi data Anda, sehingga Anda memiliki lebih banyak kontrol terhadap akses ke data Anda. Google Cloud Untuk mengetahui informasi selengkapnya, lihat Melindungi data dengan kunci Cloud KMS.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buat tabel yang dilindungi oleh Cloud Key Management Service.
2. Salin tabel Anda ke tabel baru yang mendukung CMEK.
3. Hapus tabel asli.

Untuk menyetel kunci CMEK default yang mengenkripsi semua tabel baru dalam set data, lihat Menetapkan kunci default set data.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaian.

Binary authorization disabled

Nama kategori di API: BINARY_AUTHORIZATION_DISABLED

Otorisasi Biner dinonaktifkan di cluster GKE.

Otorisasi Biner menyertakan fitur opsional yang melindungi keamanan supply chain dengan hanya mengizinkan image container yang ditandatangani oleh otoritas tepercaya selama proses pengembangan untuk di-deploy di cluster. Dengan menerapkan deployment berbasis tanda tangan, Anda dapat memperoleh kontrol lebih ketat atas lingkungan container, sehingga memastikan hanya image terverifikasi yang diizinkan untuk di-deploy.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Kubernetes clusters di konsol Google Cloud .

   Buka cluster Kubernetes

2. Di bagian Security, klik edit Edit di baris Binary Authorization.

   Jika konfigurasi cluster baru-baru ini diubah, tombol edit mungkin dinonaktifkan. Jika Anda tidak dapat mengedit setelan cluster, tunggu beberapa menit, lalu coba lagi.

3. Dalam dialog, pilih Enable Binary Authorization.

4. Klik Simpan perubahan.

5. Buka halaman penyiapan Binary Authorization.

   Buka Otorisasi Biner

6. Pastikan kebijakan yang memerlukan pengesah dikonfigurasi dan aturan default project tidak dikonfigurasi ke Izinkan semua gambar. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan untuk GKE.

   Untuk memastikan bahwa image yang melanggar kebijakan diizinkan untuk di-deploy dan pelanggaran dicatat ke Cloud Audit Logs, Anda dapat mengaktifkan mode uji coba.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Bucket CMEK disabled

Nama kategori di API: BUCKET_CMEK_DISABLED

Bucket tidak dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK).

Menyetel CMEK default di bucket memberi Anda lebih banyak kontrol terhadap akses ke data Anda. Untuk informasi selengkapnya, lihat Kunci enkripsi yang dikelola pelanggan.

Untuk memperbaiki temuan ini, gunakan CMEK dengan bucket dengan mengikuti Menggunakan kunci enkripsi yang dikelola pelanggan. CMEK menimbulkan biaya tambahan terkait Cloud KMS.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaian.

Bucket IAM not monitored

Nama kategori di API: BUCKET_IAM_NOT_MONITORED

Metrik dan pemberitahuan log tidak dikonfigurasi untuk memantau perubahan izin IAM Cloud Storage.

Memantau perubahan izin bucket Cloud Storage membantu Anda mengidentifikasi pengguna dengan hak istimewa berlebih atau aktivitas yang mencurigakan. Untuk informasi lebih lanjut, baca Ringkasan metrik berbasis log.

Bergantung pada jumlah informasi, biaya Cloud Monitoring bisa signifikan. Untuk memahami penggunaan layanan dan biayanya, lihat Harga Google Cloud Observability.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Membuat metrik

1. Buka halaman Metrik Berbasis Log di konsol Google Cloud .

   Buka Logs-based Metrics

2. Klik Buat Metrik.

3. Di bagian Metric Type, pilih Counter.

4. Di bagian Detail:

   1. Setel Log metric name.
   2. Tambahkan deskripsi.
   3. Setel Units ke 1.

5. Di bagian Filter selection, salin dan tempel teks berikut pada kotak Build filter, yang menggantikan teks yang ada, jika diperlukan:

     resource.type=gcs_bucket
     AND protoPayload.methodName="storage.setIamPermissions"

6. Klik Buat Metrik. Anda akan melihat konfirmasi.

Buat Kebijakan Pemberitahuan

1. Di konsol Google Cloud , buka halaman Log-based Metrics:

   Buka Log-based Metrics

   Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Logging.

2. Di bagian Metrik yang ditentukan pengguna, pilih metrik yang Anda buat di bagian sebelumnya.

3. Klik Lainnya more_vert, lalu klik Buat pemberitahuan dari metrik.

   Dialog Kondisi baru akan terbuka dengan opsi metrik dan transformasi data yang telah diisi otomatis.

4. Klik Berikutnya.
   1. Tinjau setelan yang telah diisi otomatis. Anda mungkin ingin mengubah Nilai minimum.
   2. Klik Nama kondisi, lalu masukkan nama untuk kondisi.
5. Klik Berikutnya.

6. Untuk menambahkan notifikasi ke kebijakan pemberitahuan, klik Notification channels. Dalam dialog ini, pilih satu atau beberapa saluran notifikasi dari menu, lalu klik OK.

   Untuk menerima notifikasi saat insiden dibuka dan ditutup, centang Notify on incident closure. Secara default, notifikasi hanya dikirim saat insiden dibuka.

7. Opsional: Perbarui Incident autoclose duration. Kolom ini menentukan kapan Monitoring akan menutup insiden jika data metrik tidak ada.
8. Opsional: Klik Documentation, lalu tambahkan informasi apa pun yang ingin Anda sertakan dalam pesan notifikasi.
9. Klik Alert name dan masukkan nama untuk kebijakan pemberitahuan itu.
10. Klik Create Policy.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Bucket logging disabled

Nama kategori di API: BUCKET_LOGGING_DISABLED

Ada bucket penyimpanan yang tidak mengaktifkan logging.

Untuk membantu menyelidiki masalah keamanan dan memantau konsumsi penyimpanan, aktifkan log akses dan informasi penyimpanan untuk bucket Cloud Storage Anda. Log akses memberikan informasi untuk semua permintaan yang dibuat pada bucket tertentu, dan log penyimpanan memberikan informasi tentang konsumsi penyimpanan dari bucket tersebut.

Untuk memperbaiki temuan ini, siapkan logging untuk bucket yang ditunjukkan oleh temuan Security Health Analytics dengan menyelesaikan panduan log penggunaan & log penyimpanan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Bucket policy only disabled

Nama kategori di API: BUCKET_POLICY_ONLY_DISABLED

Akses level bucket yang seragam, yang sebelumnya disebut Khusus Kebijakan Bucket, tidak dikonfigurasi.

Akses level bucket seragam menyederhanakan kontrol akses bucket dengan menonaktifkan izin level objek (ACL). Jika diaktifkan, hanya izin IAM level bucket yang memberikan akses ke bucket dan objek yang ada di dalamnya. Untuk mengetahui informasi selengkapnya, lihat Akses tingkat bucket seragam.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman browser Cloud Storage di konsol Google Cloud .

   Buka browser Cloud Storage

2. Dalam daftar bucket, klik nama bucket yang diinginkan.

3. Klik tab Configuration.

4. Di bagian Permissions, di baris untuk Access control, klik edit Edit access control model.

5. Dalam dialog, pilih Seragam.

6. Klik Simpan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Cloud Asset API disabled

Nama kategori di API: CLOUD_ASSET_API_DISABLED

Layanan Cloud Asset Inventory tidak diaktifkan untuk project.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman API Library di konsol Google Cloud .

   Buka Library API

2. Telusuri Cloud Asset Inventory.

3. Pilih hasil untuk layanan Cloud Asset API.

4. Pastikan API Enabled ditampilkan.

Cluster logging disabled

Nama kategori di API: CLUSTER_LOGGING_DISABLED

Logging tidak diaktifkan untuk cluster GKE.

Untuk membantu menyelidiki masalah keamanan dan memantau penggunaan, aktifkan Cloud Logging di cluster Anda.

Bergantung pada jumlah informasi, biaya Cloud Logging bisa cukup besar. Untuk memahami penggunaan layanan dan biayanya, lihat Harga Google Cloud Observability.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Kubernetes clusters di konsol Google Cloud .

   Buka cluster Kubernetes

2. Pilih cluster yang tercantum dalam temuan Security Health Analytics.

3. Klik edit Edit.

   Jika konfigurasi cluster baru-baru ini diubah, tombol edit mungkin dinonaktifkan. Jika Anda tidak dapat mengedit setelan cluster, tunggu beberapa menit lalu coba lagi.

4. Pada menu drop-down Legacy Stackdriver Logging atau Stackdriver Kubernetes Engine Monitoring, pilih Diaktifkan.

   Opsi ini tidak kompatibel. Pastikan Anda menggunakan Stackdriver Kubernetes Engine Monitoring saja, atau Legacy Stackdriver Logging dengan Legacy Stackdriver Monitoring.

5. Klik Simpan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Cluster monitoring disabled

Nama kategori di API: CLUSTER_MONITORING_DISABLED

Pemantauan dinonaktifkan di cluster GKE.

Untuk membantu menyelidiki masalah keamanan dan memantau penggunaan, aktifkan Cloud Monitoring di cluster Anda.

Bergantung pada jumlah informasi, biaya Cloud Monitoring bisa signifikan. Untuk memahami penggunaan layanan dan biayanya, lihat Harga Google Cloud Observability.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Kubernetes clusters di konsol Google Cloud .

   Buka cluster Kubernetes

2. Pilih cluster yang tercantum dalam temuan Security Health Analytics.

3. Klik edit Edit.

   Jika konfigurasi cluster baru-baru ini diubah, tombol edit mungkin dinonaktifkan. Jika Anda tidak dapat mengedit setelan cluster, tunggu beberapa menit lalu coba lagi.

4. Pada menu drop-down Stackdriver Monitoring Lama atau Stackdriver Kubernetes Engine Monitoring, pilih Diaktifkan.

   Opsi ini tidak kompatibel. Pastikan Anda menggunakan Stackdriver Kubernetes Engine Monitoring saja, atau Legacy Stackdriver Monitoring dengan Legacy Stackdriver Logging.

5. Klik Simpan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaian.

Cluster private Google access disabled

Nama kategori di API: CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED

Host cluster tidak dikonfigurasi untuk hanya menggunakan alamat IP internal pribadi untuk mengakses Google API.

Akses Google Pribadi memungkinkan instance virtual machine (VM) dengan hanya alamat IP internal pribadi untuk menjangkau alamat IP publik dari API dan layanan Google. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi Akses Pribadi Google.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Virtual Private Cloud networks di konsol Google Cloud .

   Buka VPC networks

2. Dalam daftar jaringan, klik nama jaringan yang diinginkan.

3. Di halaman VPC network details, klik tab Subnets.

4. Dalam daftar subnet, klik nama subnet yang terkait dengan cluster Kubernetes dalam temuan.

5. Di halaman Subnet details, klik edit Edit.

6. Di bagian Private Google Access, pilih On.

7. Klik Simpan.

8. Untuk menghapus IP publik (eksternal) dari instance VM yang traffic eksternalnya hanya ke Google API, lihat Membatalkan penetapan alamat IP eksternal statis.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Cluster secrets encryption disabled

Nama kategori di API: CLUSTER_SECRETS_ENCRYPTION_DISABLED

Enkripsi secret lapisan aplikasi dinonaktifkan di cluster GKE.

Enkripsi rahasia lapisan aplikasi memastikan rahasia GKE dienkripsi menggunakan kunci Cloud KMS. Fitur ini memberikan lapisan keamanan tambahan untuk data sensitif, seperti secret yang ditentukan pengguna dan secret yang diperlukan untuk operasi cluster, seperti kunci akun layanan, yang semuanya disimpan di etcd.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Kunci Cloud KMS di konsol Google Cloud .

   Buka kunci Cloud KMS

2. Tinjau kunci aplikasi Anda atau buat kunci enkripsi database (DEK). Untuk informasi selengkapnya, lihat Membuat kunci Cloud KMS.

3. Buka halaman cluster Kubernetes.

   Buka cluster Kubernetes

4. Pilih cluster dalam temuan.

5. Di bagian Security, di kolom Application-layer secrets encryption, klik edit Edit Application-layer Secrets Encryption.

6. Centang kotak Enable Application-layer Secrets Encryption, lalu pilih DEK yang Anda buat.

7. Klik Simpan Perubahan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Cluster shielded nodes disabled

Nama kategori di API: CLUSTER_SHIELDED_NODES_DISABLED

Node GKE yang terlindungi tidak diaktifkan untuk cluster.

Tanpa Shielded GKE Node, penyerang dapat mengeksploitasi kerentanan dalam Pod untuk mengekstrak kredensial bootstrap dan meniru identitas node di cluster Anda. Kerentanan ini dapat memberi penyerang akses ke secret cluster.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Kubernetes clusters di konsol Google Cloud .

   Buka cluster Kubernetes

2. Pilih cluster dalam temuan.

3. Di bagian Security, di kolom Shielded GKE nodes, klik edit Edit Shielded GKE nodes.

4. Pilih kotak centang Enable Shielded GKE nodes.

5. Klik Simpan Perubahan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Compute project wide SSH keys allowed

Nama kategori di API: COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

Kunci SSH di seluruh project digunakan, sehingga memungkinkan login ke semua instance dalam project.

Menggunakan kunci SSH di seluruh project akan memudahkan pengelolaan kunci SSH, tetapi jika dibobol, akan menimbulkan risiko keamanan yang dapat memengaruhi semua instance dalam project. Anda harus menggunakan kunci SSH khusus instance, yang membatasi permukaan serangan jika kunci SSH dibobol. Untuk mengetahui informasi selengkapnya, lihat Mengelola kunci SSH di metadata.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman VM instances di konsol Google Cloud .

   Buka instance VM

2. Dalam daftar instance, klik nama instance dalam temuan.

3. Di halaman VM instance details, klik edit Edit.

4. Di bagian SSH Keys, pilih Block project-wide SSH keys.

5. Klik Simpan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Compute Secure Boot disabled

Nama kategori di API: COMPUTE_SECURE_BOOT_DISABLED

Shielded VM tidak mengaktifkan Booting Aman.

Penggunaan Booting Aman membantu melindungi mesin virtual Anda dari rootkit dan bootkit. Compute Engine tidak mengaktifkan Booting Aman secara default karena beberapa driver yang tidak ditandatangani dan software tingkat rendah tidak kompatibel. Jika VM Anda tidak menggunakan software yang tidak kompatibel dan melakukan booting dengan mengaktifkan Booting Aman, Google merekomendasikan penggunaan Booting Aman. Jika Anda menggunakan modul pihak ketiga dengan driver Nvidia, pastikan modul tersebut kompatibel dengan Booting Aman sebelum Anda mengaktifkannya.

Untuk mengetahui informasi selengkapnya, lihat Booting Aman.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman VM instances di konsol Google Cloud .

   Buka instance VM

2. Dalam daftar instance, klik nama instance dalam temuan.

3. Di halaman VM instance details, klik stop Stop.

4. Setelah instance dihentikan, klik edit Edit.

5. Di bagian Shielded VM, pilih Turn on Secure Boot.

6. Klik Simpan.

7. Klik play_arrow Mulai untuk memulai instance.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Compute serial ports enabled

Nama kategori di API: COMPUTE_SERIAL_PORTS_ENABLED

Port serial diaktifkan untuk instance, sehingga memungkinkan koneksi ke konsol serial instance.

Jika Anda mengaktifkan konsol serial interaktif di instance, klien dapat mencoba terhubung ke instance tersebut dari alamat IP mana pun. Oleh karena itu, dukungan konsol serial interaktif harus dinonaktifkan. Untuk mengetahui informasi selengkapnya, lihat Mengaktifkan akses untuk project.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman VM instances di konsol Google Cloud .

   Buka instance VM

2. Dalam daftar instance, klik nama instance dalam temuan.

3. Di halaman VM instance details, klik edit Edit.

4. Di bagian Remote access, hapus centang Enable connecting to serial ports.

5. Klik Simpan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Confidential Computing disabled

Nama kategori di API: CONFIDENTIAL_COMPUTING_DISABLED

Instance Compute Engine tidak mengaktifkan Confidential Computing.

Confidential Computing menambahkan pilar ketiga ke dalam alur enkripsi end-to-end dengan mengenkripsi data selama penggunaan. Dengan lingkungan eksekusi rahasia yang disediakan oleh Confidential Computing dan AMD Secure Encrypted Virtualization (SEV), Google Cloud menjaga kode sensitif dan data lain yang terenkripsi di memori selama pemrosesan.

Confidential Computing hanya dapat diaktifkan saat instance dibuat. Oleh karena itu, Anda harus menghapus instance saat ini dan membuat yang baru.

Untuk mengetahui informasi selengkapnya, lihat Confidential VM dan Compute Engine.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman VM instances di konsol Google Cloud .

   Buka instance VM

2. Dalam daftar instance, klik nama instance dalam temuan.

3. Di halaman VM instance details, klik delete Delete.

4. Buat Confidential VM menggunakan konsol Google Cloud .

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

COS not used

Nama kategori di API: COS_NOT_USED

VM Compute Engine tidak menggunakan Container-Optimized OS, yang dirancang untuk menjalankan container Docker secara aman. Google Cloud

Container-Optimized OS adalah OS yang direkomendasikan Google untuk menghosting dan menjalankan container di Google Cloud. Jejak OS yang kecil meminimalkan bahaya keamanan, sedangkan update otomatis menerapkan patch pada kerentanan keamanan pada waktu yang tepat. Untuk mengetahui informasi selengkapnya, lihat Ringkasan Container-Optimized OS.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Kubernetes clusters di konsol Google Cloud .

   Buka cluster Kubernetes

2. Dalam daftar cluster, klik nama cluster dalam temuan.

3. Klik tab Nodes.

4. Untuk setiap node pool:

   1. Klik nama node pool untuk membuka halaman detailnya.
   2. Klik edit Edit .
   3. Di bagian Nodes -> Image type, klik Change.
   4. Pilih Container-Optimized OS, lalu klik Change.
   5. Klik Simpan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Custom role not monitored

Nama kategori di API: CUSTOM_ROLE_NOT_MONITORED

Metrik log dan pemberitahuan tidak dikonfigurasi untuk memantau perubahan peran kustom.

IAM menyediakan peran bawaan dan kustom yang memberikan akses ke resource Google Cloud tertentu. Dengan memantau aktivitas pembuatan, penghapusan, dan pembaruan peran, Anda dapat mengidentifikasi peran dengan hak istimewa berlebih secara dini. Untuk mengetahui informasi selengkapnya, lihat Ringkasan metrik berbasis log.

Bergantung pada jumlah informasi, biaya Cloud Monitoring bisa signifikan. Untuk memahami penggunaan layanan dan biayanya, lihat Harga Google Cloud Observability.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Membuat metrik

1. Buka halaman Metrik Berbasis Log di konsol Google Cloud .

   Buka Logs-based Metrics

2. Klik Buat Metrik.

3. Di bagian Metric Type, pilih Counter.

4. Di bagian Detail:

   1. Setel Log metric name.
   2. Tambahkan deskripsi.
   3. Setel Units ke 1.

5. Di bagian Filter selection, salin dan tempel teks berikut pada kotak Build filter, yang menggantikan teks yang ada, jika diperlukan:

     resource.type="iam_role"
     AND (protoPayload.methodName="google.iam.admin.v1.CreateRole"
     OR protoPayload.methodName="google.iam.admin.v1.DeleteRole"
     OR protoPayload.methodName="google.iam.admin.v1.UpdateRole")

6. Klik Buat Metrik. Anda akan melihat konfirmasi.

Buat Kebijakan Pemberitahuan

1. Di konsol Google Cloud , buka halaman Log-based Metrics:

   Buka Log-based Metrics

   Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Logging.

2. Di bagian Metrik yang ditentukan pengguna, pilih metrik yang Anda buat di bagian sebelumnya.

3. Klik Lainnya more_vert, lalu klik Buat pemberitahuan dari metrik.

   Dialog Kondisi baru akan terbuka dengan opsi metrik dan transformasi data yang telah diisi otomatis.

4. Klik Berikutnya.
   1. Tinjau setelan yang telah diisi otomatis. Anda mungkin ingin mengubah Nilai minimum.
   2. Klik Nama kondisi, lalu masukkan nama untuk kondisi.
5. Klik Berikutnya.

6. Untuk menambahkan notifikasi ke kebijakan pemberitahuan, klik Notification channels. Dalam dialog ini, pilih satu atau beberapa saluran notifikasi dari menu, lalu klik OK.

   Untuk menerima notifikasi saat insiden dibuka dan ditutup, centang Notify on incident closure. Secara default, notifikasi hanya dikirim saat insiden dibuka.

7. Opsional: Perbarui Incident autoclose duration. Kolom ini menentukan kapan Monitoring akan menutup insiden jika data metrik tidak ada.
8. Opsional: Klik Documentation, lalu tambahkan informasi apa pun yang ingin Anda sertakan dalam pesan notifikasi.
9. Klik Alert name dan masukkan nama untuk kebijakan pemberitahuan itu.
10. Klik Create Policy.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Dataproc CMEK disabled

Nama kategori di API: DATAPROC_CMEK_DISABLED

Cluster Dataproc dibuat tanpa CMEK konfigurasi enkripsi. Dengan CMEK, kunci yang Anda buat dan kelola di Cloud Key Management Service akan menggabungkan kunci yang digunakan Google Cloud untuk mengenkripsi data Anda, sehingga Anda memiliki lebih banyak kontrol terhadap akses ke data Anda.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Dataproc cluster di konsol Google Cloud .

   Buka cluster Dataproc

2. Pilih project Anda, lalu klik Create Cluster.

3. Di bagian Manage security, klik Encryption, lalu pilih Customer-managed key.

4. Pilih kunci yang dikelola pelanggan dari daftar.

   Jika Anda tidak memiliki kunci yang dikelola pelanggan, Anda harus membuatnya untuk digunakan. Untuk informasi selengkapnya, lihat Kunci enkripsi yang dikelola pelanggan.

5. Pastikan kunci KMS yang dipilih memiliki peran Cloud KMS CryptoKey Encrypter/Decrypter yang ditetapkan ke akun layanan Cluster Dataproc ("serviceAccount:service-project_number@compute-system.iam.gserviceaccount.com").

6. Setelah cluster dibuat, migrasikan semua workload Anda dari cluster lama ke cluster baru.

7. Buka cluster Dataproc, lalu pilih project Anda.

8. Pilih cluster lama, lalu klik delete Delete cluster.

9. Ulangi semua langkah di atas untuk cluster Dataproc lain yang tersedia di project yang dipilih.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Dataproc image outdated

Nama kategori di API: DATAPROC_IMAGE_OUTDATED

Cluster Dataproc dibuat menggunakan versi image Dataproc yang terpengaruh oleh kerentanan keamanan di utilitas Apache Log4j 2 (CVE-2021-44228 dan CVE-2021-45046).

Detektor ini menemukan kerentanan dengan memeriksa apakah kolom softwareConfig.imageVersion di properti config Cluster memiliki salah satu versi yang terpengaruh berikut:

• Versi gambar yang lebih lama dari 1.3.95.
• Versi image subminor yang lebih lama dari 1.4.77, 1.5.53, dan 2.0.27.

Nomor versi image Dataproc kustom dapat ditimpa secara manual. Perhatikan skenario berikut:

• Seseorang dapat mengubah versi gambar kustom yang terpengaruh agar tampak tidak terpengaruh. Dalam kasus ini, detektor ini tidak menghasilkan temuan.
• Seseorang dapat mengganti versi image kustom yang tidak terpengaruh dengan versi yang diketahui memiliki kerentanan. Dalam kasus ini, detektor ini memancarkan temuan positif palsu. Untuk menyembunyikan temuan positif palsu ini, Anda dapat membisukannya.

Untuk memperbaiki temuan ini, buat ulang dan perbarui cluster yang terpengaruh.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Dataset CMEK disabled

Nama kategori di API: DATASET_CMEK_DISABLED

Set data BigQuery tidak dikonfigurasi untuk menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) default.

Dengan CMEK, kunci yang Anda buat dan kelola di Cloud KMS akan menggabungkan kunci yang digunakan untuk mengenkripsi data Anda, sehingga Anda memiliki lebih banyak kontrol terhadap akses ke data Anda. Google Cloud Untuk mengetahui informasi selengkapnya, lihat Melindungi data dengan kunci Cloud KMS.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Anda tidak dapat mengganti tabel antara enkripsi default dan enkripsi CMEK. Untuk menyetel kunci CMEK default yang dapat digunakan untuk mengenkripsi semua tabel baru di set data, ikuti petunjuk untuk Menyetel kunci default set data.

Menyetel kunci default tidak akan secara retroaktif mengenkripsi ulang tabel yang saat ini berada di set data dengan kunci baru. Untuk menggunakan CMEK bagi data yang ada, lakukan hal berikut:

1. Buat set data baru.
2. Tetapkan kunci CMEK default pada set data yang Anda buat.
3. Untuk menyalin tabel ke set data yang mendukung CMEK, ikuti petunjuk untuk Menyalin tabel.
4. Setelah berhasil menyalin data, hapus set data asli.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Default network

Nama kategori di API: DEFAULT_NETWORK

Jaringan default ada dalam project.

Jaringan default secara otomatis membuat aturan firewall dan konfigurasi jaringan yang mungkin tidak aman. Untuk mengetahui informasi selengkapnya, lihat Jaringan default.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman VPC networks di konsol Google Cloud .

   Buka jaringan VPC

2. Dalam daftar jaringan, klik nama jaringan default.

3. Di halaman detail jaringan VPC, klik delete Hapus Jaringan VPC.

4. Untuk membuat jaringan baru dengan aturan firewall kustom, lihat Membuat jaringan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Default service account used

Nama kategori di API: DEFAULT_SERVICE_ACCOUNT_USED

Instance Compute Engine dikonfigurasi untuk menggunakan akun layanan default.

Akun layanan Compute Engine default memiliki peran Editor di project, yang memungkinkan akses baca dan tulis ke sebagian besar Google Cloud layanan. Untuk melindungi dari eskalasi akses dan akses tidak sah, jangan gunakan akun layanan Compute Engine default. Sebagai gantinya, buat akun layanan baru dan hanya berikan izin yang diperlukan oleh instance Anda. Baca Kontrol akses untuk mengetahui informasi tentang peran dan izin.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman VM instances di konsol Google Cloud .

   Buka instance VM

2. Pilih instance yang terkait dengan temuan Security Health Analytics.

3. Di halaman Instance details yang dimuat, klik stop Stop.

4. Setelah instance dihentikan, klik edit Edit.

5. Di bagian Service Account, pilih akun layanan Compute Engine other than the default. Anda mungkin perlu membuat akun layanan baru terlebih dahulu. Baca Kontrol akses untuk mengetahui informasi tentang peran dan izin IAM.

6. Klik Simpan. Konfigurasi baru akan muncul di halaman Instance details.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Disk CMEK disabled

Nama kategori di API: DISK_CMEK_DISABLED

Disk di VM ini tidak dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK).

Dengan CMEK, kunci yang Anda buat dan kelola di Cloud KMS akan menggabungkan kunci yang digunakan Google Cloud untuk mengenkripsi data Anda, sehingga Anda memiliki lebih banyak kontrol terhadap akses ke data Anda. Untuk mengetahui informasi selengkapnya, lihat Melindungi Resource dengan Kunci Cloud KMS.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Compute Engine disks di konsol Google Cloud .

   Buka disk Compute Engine

2. Dalam daftar disk, klik nama disk yang ditunjukkan dalam temuan.

3. Di halaman Manage disk, klik delete Hapus.

4. Untuk membuat disk baru dengan CMEK yang diaktifkan, lihat Mengenkripsi persistent disk baru dengan kunci Anda sendiri. CMEK menimbulkan biaya tambahan terkait Cloud KMS.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Disk CSEK disabled

Nama kategori di API: DISK_CSEK_DISABLED

Disk di VM ini tidak dienkripsi dengan Kunci Enkripsi yang Disediakan Pelanggan (CSEK). Disk untuk VM penting harus dienkripsi dengan CSEK.

Jika Anda menyediakan kunci enkripsi, Compute Engine akan menggunakan kunci dari Anda untuk melindungi kunci buatan Google yang digunakan untuk mengenkripsi dan mendekripsi data Anda. Untuk informasi selengkapnya, lihat Kunci Enkripsi yang Disediakan Pelanggan. CSEK menimbulkan biaya tambahan terkait dengan Cloud KMS.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Menghapus dan membuat disk

Anda hanya dapat mengenkripsi persistent disk baru dengan kunci Anda sendiri. Anda tidak dapat mengenkripsi persistent disk yang sudah ada dengan kunci Anda sendiri.

1. Buka halaman Compute Engine disks di konsol Google Cloud .

   Buka disk Compute Engine

2. Dalam daftar disk, klik nama disk yang ditunjukkan dalam temuan.

3. Di halaman Manage disk, klik delete Hapus.

4. Untuk membuat disk baru dengan CSEK yang diaktifkan, lihat Mengenkripsi disk dengan kunci enkripsi yang disediakan pelanggan.

5. Selesaikan langkah-langkah yang tersisa untuk mengaktifkan detektor.

Mengaktifkan detektor

1. Buka halaman Aset Security Command Center di konsolGoogle Cloud .

   Buka Aset

2. Di bagian Jenis resource pada panel Filter cepat, pilih compute.Disk.

   Jika Anda tidak melihat compute.Disk, klik View more, masukkan Disk di kolom penelusuran, lalu klik Apply.

   Panel Hasil diperbarui untuk menampilkan hanya instance jenis resource compute.Disk.

3. Di kolom Nama tampilan, centang kotak di samping nama disk yang ingin Anda gunakan dengan CSEK, lalu klik Tetapkan Marka Keamanan.

4. Pada dialog, klik Tambahkan Mark.

5. Di kolom key, masukkan enforce_customer_supplied_disk_encryption_keys, dan di kolom value, masukkan true.

6. Klik Simpan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

DNS logging disabled

Nama kategori di API: DNS_LOGGING_DISABLED

Pemantauan log Cloud DNS memberikan visibilitas ke nama DNS yang diminta oleh klien dalam jaringan VPC. Log ini dapat dipantau untuk nama domain yang memiliki anomali dan dievaluasi berdasarkan kecerdasan ancaman. Sebaiknya aktifkan logging DNS untuk jaringan VPC.

Bergantung pada jumlah informasi, biaya logging Cloud DNS bisa signifikan. Untuk memahami penggunaan layanan dan biayanya, lihat Harga Google Cloud Observability: Cloud Logging.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman VPC networks di konsol Google Cloud .

   Buka jaringan VPC

2. Dalam daftar jaringan, klik nama jaringan VPC.

3. Buat kebijakan server baru (jika belum ada) atau edit kebijakan yang ada:

   • Jika jaringan tidak memiliki kebijakan server DNS, selesaikan langkah-langkah berikut:

     1. Klik edit Edit.
     2. Di kolom DNS server policy, klik Create a new server policy.
     3. Masukkan nama untuk kebijakan server baru.
     4. Setel Logs ke On.
     5. Klik Simpan.

   • Jika jaringan memiliki kebijakan server DNS, selesaikan langkah-langkah berikut:

     1. Di kolom DNS server policy, klik nama kebijakan DNS.
     2. Klik edit Edit kebijakan.
     3. Setel Logs ke On.
     4. Klik Simpan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

DNSSEC disabled

Nama kategori di API: DNSSEC_DISABLED

Domain Name System Security Extensions (DNSSEC) dinonaktifkan untuk zona Cloud DNS.

DNSSEC memvalidasi respons DNS dan memitigasi risiko, seperti pembajakan DNS dan serangan person-in-the-middle, dengan menandatangani data DNS secara kriptografis. Anda harus mengaktifkan DNSSEC. Untuk mengetahui informasi selengkapnya, lihat Ringkasan DNS Security Extensions (DNSSEC).

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Cloud DNS di konsol Google Cloud .

   Buka jaringan Cloud DNS

2. Temukan baris dengan zona DNS yang ditunjukkan dalam temuan.

3. Klik setelan DNSSEC di baris, lalu di bagian DNSSEC, pilih Aktif.

4. Baca dialog yang muncul. Jika sudah puas, klik Aktifkan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaian.

Effectively Anonymous Users Granted GKE Cluster Access

Nama kategori di API: GKE_PRIVILEGE_ESCALATION_DEFAULT_USERS_GROUPS

Seseorang membuat binding RBAC yang mereferensikan salah satu pengguna atau grup berikut:

• system:anonymous
• system:authenticated
• system:unauthenticated

Pengguna dan grup ini secara efektif bersifat anonim dan tidak boleh digunakan dalam RoleBindings atau ClusterRoleBindings. Untuk mengetahui detailnya, lihat Menghindari peran dan grup default.

Untuk memperbaiki temuan ini, terapkan langkah-langkah berikut pada resource yang terpengaruh:

1. Buka manifes untuk setiap ClusterRoleBinding atau RoleBinding yang terpengaruh.
2. Tetapkan kolom terbatas berikut ke salah satu nilai yang diizinkan.

Kolom yang dibatasi

• subjects[*].name

Nilai yang diizinkan

• Grup, pengguna, atau akun layanan yang tidak menyertakan system:anonymous, system:authenticated, atau system:unauthenticated.

Egress deny rule not set

Nama kategori di API: EGRESS_DENY_RULE_NOT_SET

Aturan penolakan keluar tidak ditetapkan di firewall.

Firewall yang menolak semua traffic jaringan keluar akan mencegah koneksi jaringan keluar yang tidak diinginkan, kecuali koneksi yang secara eksplisit diizinkan oleh firewall lain. Untuk mengetahui informasi selengkapnya, lihat Kasus keluar.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Firewall di konsol Google Cloud .

   Buka Firewall

2. Klik Create Firewall Rule.

3. Beri nama firewall dan deskripsi (opsional).

4. Di bagian Direction of traffic, pilih Egress.

5. Di bagian Action on match, pilih Deny.

6. Di menu drop-down Target, pilih Semua instance di jaringan.

7. Di menu drop-down Destination filter, pilih IP ranges, lalu ketik 0.0.0.0/0 ke dalam kotak Destination IP ranges.

8. Di bagian Protocols and ports, pilih Deny all.

9. Klik Nonaktifkan Aturan, lalu di bagian Penerapan, pilih Diaktifkan.

10. Klik Buat.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Essential contacts not configured

Nama kategori di API: ESSENTIAL_CONTACTS_NOT_CONFIGURED

Organisasi Anda belum menunjuk orang atau grup untuk menerima notifikasi dari Google Cloud tentang peristiwa penting seperti serangan, kerentanan, dan insiden data dalam organisasi Google Cloud Anda. Sebaiknya Anda menunjuk satu atau beberapa orang atau grup di organisasi bisnis Anda sebagai kontak penting.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Kontak Penting di konsol Google Cloud .

   Buka Kontak Penting

2. Pastikan organisasi muncul di pemilih resource di bagian atas halaman. Pemilih resource memberi tahu Anda project, folder, atau organisasi yang saat ini Anda kelola kontaknya.

3. Klik +Tambahkan kontak. Panel Tambahkan kontak akan terbuka.

4. Di kolom Email dan Confirm Email, masukkan alamat email kontak.

5. Dari bagian Notification categories, pilih kategori notifikasi yang Anda inginkan untuk komunikasi yang diterima kontak. Pastikan alamat email yang benar telah dikonfigurasi untuk setiap kategori notifikasi berikut:

   1. Hukum
   2. Keamanan
   3. Penangguhan
   4. Teknis

6. Klik Simpan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Firewall not monitored

Nama kategori di API: FIREWALL_NOT_MONITORED

Metrik dan pemberitahuan log tidak dikonfigurasi untuk memantau perubahan aturan Firewall Jaringan VPC.

Dengan memantau peristiwa pembuatan dan pembaruan aturan firewall, Anda akan memperoleh data terkait perubahan akses jaringan dan dapat mendeteksi aktivitas mencurigakan dengan cepat. Untuk mengetahui informasi selengkapnya, lihat Ringkasan metrik berbasis log.

Bergantung pada jumlah informasi, biaya Cloud Monitoring bisa signifikan. Untuk memahami penggunaan layanan dan biayanya, lihat Harga Google Cloud Observability.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Membuat metrik

1. Buka halaman Metrik Berbasis Log di konsol Google Cloud .

   Buka Logs-based Metrics

2. Klik Buat Metrik.

3. Di bagian Metric Type, pilih Counter.

4. Di bagian Detail:

   1. Setel Log metric name.
   2. Tambahkan deskripsi.
   3. Setel Units ke 1.

5. Di bagian Filter selection, salin dan tempel teks berikut pada kotak Build filter, yang menggantikan teks yang ada, jika diperlukan:

     resource.type="gce_firewall_rule"
     AND (protoPayload.methodName:"compute.firewalls.insert"
     OR protoPayload.methodName:"compute.firewalls.patch"
     OR protoPayload.methodName:"compute.firewalls.delete")

6. Klik Buat Metrik. Anda akan melihat konfirmasi.

Buat Kebijakan Pemberitahuan

1. Di konsol Google Cloud , buka halaman Log-based Metrics:

   Buka Log-based Metrics

   Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Logging.

2. Di bagian Metrik yang ditentukan pengguna, pilih metrik yang Anda buat di bagian sebelumnya.

3. Klik Lainnya more_vert, lalu klik Buat pemberitahuan dari metrik.

   Dialog Kondisi baru akan terbuka dengan opsi metrik dan transformasi data yang telah diisi otomatis.

4. Klik Berikutnya.
   1. Tinjau setelan yang telah diisi otomatis. Anda mungkin ingin mengubah Nilai minimum.
   2. Klik Nama kondisi, lalu masukkan nama untuk kondisi.
5. Klik Berikutnya.

6. Untuk menambahkan notifikasi ke kebijakan pemberitahuan, klik Notification channels. Dalam dialog ini, pilih satu atau beberapa saluran notifikasi dari menu, lalu klik OK.

   Untuk menerima notifikasi saat insiden dibuka dan ditutup, centang Notify on incident closure. Secara default, notifikasi hanya dikirim saat insiden dibuka.

7. Opsional: Perbarui Incident autoclose duration. Kolom ini menentukan kapan Monitoring akan menutup insiden jika data metrik tidak ada.
8. Opsional: Klik Documentation, lalu tambahkan informasi apa pun yang ingin Anda sertakan dalam pesan notifikasi.
9. Klik Alert name dan masukkan nama untuk kebijakan pemberitahuan itu.
10. Klik Create Policy.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Firewall rule logging disabled

Nama kategori di API: FIREWALL_RULE_LOGGING_DISABLED

Logging aturan firewall dinonaktifkan.

Logging aturan firewall memungkinkan Anda mengaudit, memverifikasi, dan menganalisis efek aturan firewall Anda. Tindakan ini dapat berguna untuk mengaudit akses jaringan atau memberikan peringatan dini bahwa jaringan sedang digunakan dengan cara yang tidak disetujui. Biaya log bisa sangat besar. Untuk mengetahui informasi selengkapnya tentang Logging Aturan Firewall dan biayanya, lihat Menggunakan Logging Aturan Firewall.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Firewall di konsol Google Cloud .

   Buka Firewall

2. Dalam daftar aturan firewall, klik nama aturan firewall yang diinginkan.

3. Klik edit Edit.

4. Di bagian Logs, pilih On.

5. Klik Simpan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Flow logs disabled

Nama kategori di API: FLOW_LOGS_DISABLED

Ada subnetwork VPC yang menonaktifkan log alur.

VPC Flow Logs mencatat sampel alur jaringan yang dikirim dari dan diterima oleh instance VM. Log ini dapat digunakan untuk pemantauan jaringan, forensik, analisis keamanan real-time, dan pengoptimalan biaya. Untuk mengetahui informasi selengkapnya tentang log alur dan biayanya, lihat Menggunakan VPC Flow Logs.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman VPC networks di konsol Google Cloud .

   Buka jaringan VPC

2. Dalam daftar jaringan, klik nama jaringan yang diinginkan.

3. Di halaman VPC network details, klik tab Subnets.

4. Dalam daftar subnet, klik nama subnet yang ditunjukkan dalam temuan.

5. Di halaman Subnet details, klik edit Edit.

6. Di bagian Flow logs, pilih On.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Flow logs settings not recommended

Nama kategori di API: VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Dalam konfigurasi subnet di jaringan VPC, layanan VPC Flow Logs tidak aktif atau tidak dikonfigurasi berdasarkan rekomendasi CIS Benchmark 1.3. VPC Flow Logs mencatat sampel alur jaringan yang dikirim dari dan diterima oleh instance VM yang dapat digunakan untuk mendeteksi ancaman.

Untuk mengetahui informasi selengkapnya tentang Log Aliran VPC dan biayanya, lihat Menggunakan Log Aliran VPC.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman VPC networks di konsol Google Cloud .

   Buka jaringan VPC

2. Dalam daftar jaringan, klik nama jaringan.

3. Di halaman VPC network details, klik tab Subnets.

4. Dalam daftar subnet, klik nama subnet yang ditunjukkan dalam temuan.

5. Di halaman Subnet details, klik edit Edit.

6. Di bagian Flow logs, pilih On.

   1. Anda memiliki opsi untuk mengubah konfigurasi log dengan mengklik tombol Configure logs untuk memperluas tab. CIS Benchmarks merekomendasikan setelan berikut:
      1. Setel Aggregation Interval ke 5 SEC.
      2. Di kotak centang Additional fields, pilih opsi Include metadata.
      3. Tetapkan Sample rate ke 100%.
      4. Klik tombol SIMPAN.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Full API access

Nama kategori di API: FULL_API_ACCESS

Instance Compute Engine dikonfigurasi untuk menggunakan akun layanan default dengan akses penuh ke semua Google Cloud API.

Instance yang dikonfigurasi dengan akun layanan default dan cakupan akses API yang ditetapkan ke Allow full access to all Cloud APIs mungkin mengizinkan pengguna untuk melakukan operasi atau panggilan API yang izin IAM-nya tidak dimiliki. Untuk mengetahui informasi selengkapnya, lihat Akun layanan default Compute Engine.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman VM instances di konsol Google Cloud .

   Buka instance VM

2. Dalam daftar instance, klik nama instance dalam temuan.

3. Jika instance berjalan, klik stop Hentikan.

4. Saat instance dihentikan, klik edit Edit.

5. Di bagian Security and access, di bagian Service accounts, pilih Compute Engine default service account.

6. Di bagian Access scopes, pilih Allow default access atau Set access for each API. Hal ini membatasi API yang dapat diakses oleh proses atau workload yang menggunakan akun layanan VM default.

7. Jika Anda memilih Set access for each API, lakukan hal berikut:

   • Nonaktifkan Cloud Platform dengan menyetelnya ke Tidak ada.
   • Aktifkan API tertentu yang memerlukan akses akun layanan VM default.

8. Klik Simpan.

9. Klik play_arrow Mulai untuk memulai instance.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

HTTP load balancer

Nama kategori di API: HTTP_LOAD_BALANCER

Instance Compute Engine menggunakan load balancer yang dikonfigurasi untuk menggunakan proxy HTTP target, bukan proxy HTTPS target.

Untuk melindungi integritas data Anda dan mencegah penyusup mengutak-atik komunikasi Anda, konfigurasikan load balancer HTTP(S) untuk hanya mengizinkan traffic HTTPS. Untuk mengetahui informasi selengkapnya, lihat Ringkasan Load Balancing HTTP(S) Eksternal.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Target proxies di konsol Google Cloud .

   Buka Target proxy

2. Dalam daftar target proxy, klik nama target proxy dalam temuan.

3. Klik link di bagian URL map.

4. Klik edit Edit.

5. Klik Frontend configuration.

6. Hapus semua konfigurasi Frontend IP dan port yang mengizinkan traffic HTTP dan buat konfigurasi baru yang mengizinkan traffic HTTPS.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Instance OS login disabled

Nama kategori di API: INSTANCE_OS_LOGIN_DISABLED

Login OS dinonaktifkan di instance Compute Engine ini.

Login OS mengaktifkan pengelolaan kunci SSH terpusat dengan IAM, dan menonaktifkan konfigurasi kunci SSH berbasis metadata di semua instance dalam project. Pelajari cara menyiapkan dan mengonfigurasi Login OS.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman VM instances di konsol Google Cloud .

   Buka instance VM

2. Dalam daftar instance, klik nama instance dalam temuan.

3. Di halaman Instance details yang dimuat, klik stop Stop.

4. Setelah instance dihentikan, klik edit Edit.

5. Di bagian Custom metadata, pastikan bahwa item dengan kunci enable-oslogin memiliki nilai TRUE.

6. Klik Simpan.

7. Klik play_arrow Mulai untuk memulai instance.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Integrity monitoring disabled

Nama kategori di API: INTEGRITY_MONITORING_DISABLED

Pemantauan integritas dinonaktifkan di cluster GKE.

Pemantauan integritas memungkinkan Anda memantau dan memverifikasi integritas booting runtime node terlindungi menggunakan Monitoring. Hal ini memungkinkan Anda merespons kegagalan integritas dan mencegah agar node yang dibobol tidak di-deploy ke dalam cluster.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Setelah disediakan, node tidak dapat diupdate untuk mengaktifkan pemantauan integritas. Anda harus membuat node pool baru dengan pemantauan integritas yang diaktifkan.

1. Buka halaman Kubernetes clusters di konsol Google Cloud .

   Buka cluster Kubernetes

2. Klik nama cluster dalam temuan.

3. Klik Add Node Pool.

4. Di tab Security, pastikan Enable integrity monitoring sudah diaktifkan.

5. Klik Buat.

6. Untuk memigrasikan workload Anda dari node pool saat ini yang tidak sesuai ke node pool baru, lihat Memigrasikan workload ke jenis mesin yang berbeda.

7. Setelah workload Anda dipindahkan, hapus node pool awal yang tidak sesuai.

   1. Di halaman Kubernetes cluster, di menu Node pools, klik nama node pool yang ingin Anda hapus.
   2. Klik Remove node pool.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Intranode visibility disabled

Nama kategori di API: INTRANODE_VISIBILITY_DISABLED

Visibilitas intranode dinonaktifkan untuk cluster GKE.

Dengan mengaktifkan visibilitas intranode, traffic Pod-to-Pod intranode Anda akan dapat dilihat oleh fabric jaringan. Dengan fitur ini, Anda dapat menggunakan logging alur VPC atau fitur VPC lainnya untuk memantau atau mengontrol traffic intranode. Untuk mendapatkan log, Anda harus mengaktifkan log alur VPC di subnetwork yang dipilih. Untuk mengetahui informasi selengkapnya, lihat Menggunakan log alur VPC.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Setelah disediakan, node tidak dapat diupdate untuk mengaktifkan pemantauan integritas. Anda harus membuat node pool baru dengan pemantauan integritas yang diaktifkan.

1. Buka halaman Kubernetes clusters di konsol Google Cloud .

   Buka cluster Kubernetes

2. Di bagian Networking, klik edit Edit intranode visibility di baris Intranode visibility.

   Jika konfigurasi cluster baru-baru ini diubah, tombol edit mungkin dinonaktifkan. Jika Anda tidak dapat mengedit setelan cluster, tunggu beberapa menit, lalu coba lagi.

3. Dalam dialog, pilih Enable Intranode visibility.

4. Klik Simpan Perubahan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

IP alias disabled

Nama kategori di API: IP_ALIAS_DISABLED

Cluster GKE dibuat dengan rentang IP alias dinonaktifkan.

Jika Anda mengaktifkan rentang IP alias, cluster GKE akan mengalokasikan alamat IP dari blok CIDR yang diketahui, sehingga cluster Anda dapat diskalakan dan berinteraksi lebih baik dengan produk dan entity Google Cloud . Untuk mengetahui informasi selengkapnya, lihat Ringkasan rentang IP alias.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Anda tidak dapat memigrasikan cluster yang ada untuk menggunakan IP alias. Untuk membuat cluster baru dengan IP alias diaktifkan, lakukan langkah-langkah berikut:

1. Buka halaman Kubernetes clusters di konsol Google Cloud .

   Buka cluster Kubernetes

2. Klik Buat.

3. Dari panel navigasi, di bagian Cluster, klik Networking.

4. Di bagian Advanced networking options, pilih Enable VPC-native traffic routing (menggunakan IP alias).

5. Klik Buat.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

IP forwarding enabled

Nama kategori di API: IP_FORWARDING_ENABLED

Penerusan IP diaktifkan pada instance Compute Engine.

Cegah kehilangan data atau pengungkapan informasi dengan menonaktifkan penerusan IP paket data untuk VM Anda.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman VM instances di konsol Google Cloud .

   Buka instance VM

2. Dalam daftar instance, centang kotak di samping nama instance dalam temuan.

3. Klik delete Delete.

4. Pilih Buat Instance untuk membuat instance baru guna menggantikan instance yang Anda hapus.

5. Untuk memastikan IP forwarding dinonaktifkan, klik Management, disks, networking, SSH keys, lalu klik Networking.

6. Di bagian Network interfaces, klik edit Edit.

7. Di bagian Penerusan IP, di menu drop-down, pastikan Nonaktif dipilih.

8. Tentukan parameter instance lainnya, lalu klik Create. Untuk mengetahui informasi selengkapnya, lihat Membuat dan memulai instance VM.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

KMS key not rotated

Nama kategori di API: KMS_KEY_NOT_ROTATED

Rotasi tidak dikonfigurasi pada kunci enkripsi Cloud KMS.

Merotasi kunci enkripsi Anda secara rutin memberikan perlindungan jika kunci disusupi dan membatasi jumlah pesan terenkripsi yang tersedia bagi kriptoanalisis untuk versi kunci tertentu. Untuk mengetahui informasi selengkapnya, lihat Rotasi kunci.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Kunci Cloud KMS di konsol Google Cloud .

   Buka kunci Cloud KMS

2. Klik nama key ring yang ditunjukkan dalam temuan.

3. Klik nama kunci yang ditunjukkan dalam temuan.

4. Klik Edit Periode Rotasi.

5. Tetapkan periode rotasi maksimum 90 hari.

6. Klik Simpan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

KMS project has owner

Nama kategori di API: KMS_PROJECT_HAS_OWNER

Pengguna memiliki izin roles/Owner di project yang memiliki kunci kriptografis. Untuk mengetahui informasi selengkapnya, lihat Izin dan peran.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman IAM di konsol Google Cloud .

   Buka halaman IAM

2. Jika perlu, pilih project dalam temuan.

3. Untuk setiap akun utama yang diberi peran Pemilik:

   1. Klik edit Edit.
   2. Di panel Edit izin, di samping peran Pemilik, klik delete Hapus.
   3. Klik Simpan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

KMS public key

Nama kategori di API: KMS_PUBLIC_KEY

Cryptokey Cloud KMS atau Key Ring Cloud KMS bersifat publik dan dapat diakses oleh siapa saja di internet. Untuk mengetahui informasi selengkapnya, lihat Menggunakan IAM dengan Cloud KMS.

Untuk memperbaiki temuan ini, jika terkait dengan Cryptokey:

1. Buka halaman Cryptographic Keys di konsol Google Cloud .

   Cryptographic Keys

2. Di bagian Name, pilih key ring yang berisi kunci kriptografi yang terkait dengan temuan Security Health Analytics.

3. Di halaman Detail ring kunci yang dimuat, centang kotak di samping kunci kriptografi.

4. Jika INFO PANEL tidak ditampilkan, klik tombol SHOW INFO PANEL.

5. Gunakan kotak filter sebelum Peran / Akun Utama untuk menelusuri akun utama untuk allUsers dan allAuthenticatedUsers, lalu klik delete Hapus untuk menghapus akses untuk akun utama tersebut.

Untuk memperbaiki temuan ini, jika terkait dengan Key Ring:

1. Buka halaman Cryptographic Keys di konsol Google Cloud .

   Cryptographic Keys

2. Temukan baris dengan key ring dalam temuan dan pilih kotak centangnya.

3. Jika INFO PANEL tidak ditampilkan, klik tombol SHOW INFO PANEL.

4. Gunakan kotak filter sebelum Peran / Akun Utama untuk menelusuri akun utama untuk allUsers dan allAuthenticatedUsers, lalu klik delete Hapus untuk menghapus akses untuk akun utama tersebut.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

KMS role separation

Nama kategori di API: KMS_ROLE_SEPARATION

Temuan ini tidak tersedia untuk aktivasi level project.

Satu atau beberapa akun utama memiliki beberapa izin Cloud KMS yang ditetapkan. Sebaiknya tidak ada akun yang secara bersamaan memiliki Admin Cloud KMS beserta izin Cloud KMS lainnya. Untuk mengetahui informasi selengkapnya, lihat Izin dan peran.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman IAM di konsol Google Cloud .

   Buka IAM

2. Untuk setiap akun utama yang tercantum dalam temuan, lakukan hal berikut:

   1. Periksa apakah peran diwariskan dari folder atau resource organisasi dengan melihat kolom Inheritance. Jika kolom berisi link ke resource induk, klik link untuk membuka halaman IAM resource induk.
   2. Klik edit Edit di samping akun utama.
   3. Untuk menghapus izin, klik delete Hapus di samping Admin Cloud KMS. Jika Anda ingin menghapus semua izin untuk akun utama, klik Hapus di samping semua izin lainnya.

3. Klik Simpan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Legacy authorization enabled

Nama kategori di API: LEGACY_AUTHORIZATION_ENABLED

Otorisasi Lama diaktifkan di cluster GKE.

Di Kubernetes, kontrol akses berbasis peran (RBAC) memungkinkan Anda menentukan peran dengan aturan yang berisi serangkaian izin, dan memberikan izin pada level cluster dan namespace. Fitur ini memberikan keamanan yang lebih baik dengan memastikan bahwa pengguna hanya dapat mengakses resource tertentu. Pertimbangkan untuk menonaktifkan kontrol akses berbasis atribut (ABAC) lama.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Kubernetes clusters di konsol Google Cloud .

   Buka cluster Kubernetes

2. Pilih cluster yang tercantum dalam temuan Security Health Analytics.

3. Klik edit Edit.

   Jika konfigurasi cluster baru-baru ini diubah, tombol edit mungkin dinonaktifkan. Jika Anda tidak dapat mengedit setelan cluster, tunggu beberapa menit lalu coba lagi.

4. Di menu drop-down Legacy Authorization, pilih Disabled.

5. Klik Simpan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Legacy metadata enabled

Nama kategori di API: LEGACY_METADATA_ENABLED

Metadata lama diaktifkan di cluster GKE.

Server metadata instance Compute Engine mengekspos endpoint /0.1/ dan /v1beta1/ lama, yang tidak menerapkan header kueri metadata. Ini adalah fitur di API /v1/ yang mempersulit calon penyerang untuk mengambil metadata instance. Kecuali jika diperlukan, sebaiknya nonaktifkan API /0.1/ dan /v1beta1/ lama ini.

Untuk mengetahui informasi selengkapnya, lihat Menonaktifkan dan bertransisi dari API metadata lama.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Anda hanya dapat menonaktifkan API metadata lama saat membuat cluster baru atau saat menambahkan node pool baru ke cluster yang sudah ada. Untuk memperbarui cluster yang ada dan menonaktifkan API metadata lama, lihat Memigrasikan workload ke jenis mesin yang berbeda.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Legacy network

Nama kategori di API: LEGACY_NETWORK

Jaringan lama ada dalam project.

Jaringan lama tidak direkomendasikan karena banyak fitur keamanan baru tidak didukung di jaringan lama. Google Cloud Sebagai gantinya, gunakan jaringan VPC. Untuk mengetahui informasi selengkapnya, lihat Jaringan lama.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman VPC networks di konsol Google Cloud .

   Buka jaringan VPC

2. Untuk membuat jaringan non-lama yang baru, klik Create Network.

3. Kembali ke halaman Jaringan VPC.

4. Di daftar jaringan, klik legacy_network.

5. Di halaman detail jaringan VPC, klik delete Hapus Jaringan VPC.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Load balancer logging disabled

Nama kategori di API: LOAD_BALANCER_LOGGING_DISABLED

Logging dinonaktifkan untuk layanan backend di load balancer.

Dengan mengaktifkan logging untuk load balancer, Anda dapat melihat traffic jaringan HTTP(S) untuk aplikasi web Anda. Untuk mengetahui informasi selengkapnya, lihat Load balancer.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Cloud Load Balancing di konsolGoogle Cloud .

   Buka Cloud Load Balancing

2. Klik nama load balancer Anda.

3. Klik edit Edit.

4. Klik Backend configuration.

5. Di halaman Backend configuration, klik edit Edit.

6. Di bagian Logging, pilih Enable logging dan pilih frekuensi sampel terbaik untuk project Anda.

7. Untuk menyelesaikan pengeditan layanan backend, klik Update.

8. Untuk menyelesaikan pengeditan load balancer, klik Update.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Locked retention policy not set

Nama kategori di API: LOCKED_RETENTION_POLICY_NOT_SET

Kebijakan retensi terkunci tidak disetel untuk log.

Kebijakan retensi terkunci mencegah agar log tidak ditimpa dan bucket log tidak dihapus. Untuk mengetahui informasi selengkapnya, lihat Bucket Lock.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Storage Browser di konsol Google Cloud .

   Buka Browser Penyimpanan

2. Pilih bucket yang tercantum dalam temuan Security Health Analytics.

3. Di halaman Detail bucket, klik tab Retensi.

4. Jika kebijakan retensi belum disetel, klik Tetapkan Kebijakan Retensi.

5. Masukkan periode retensi data.

6. Klik Simpan. Kebijakan retensi ditampilkan di tab Retensi.

7. Klik Kunci untuk memastikan periode retensi tidak dipersingkat atau dihapus.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaian.

Log not exported

Nama kategori di API: LOG_NOT_EXPORTED

Resource tidak memiliki sink log yang sesuai.

Cloud Logging membantu Anda menemukan penyebab utama masalah dalam sistem dan aplikasi Anda dengan cepat. Namun, sebagian besar log hanya disimpan selama 30 hari secara default. Ekspor salinan semua entri log untuk memperpanjang periode penyimpanan. Untuk mengetahui informasi selengkapnya, lihat Ringkasan ekspor log.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Log Router di konsol Google Cloud .

   Buka Router Log

2. Klik Create Sink.

3. Untuk memastikan semua log diekspor, biarkan filter penyertaan dan pengecualian tetap kosong.

4. Klik Create Sink.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Master authorized networks disabled

Nama kategori di API: MASTER_AUTHORIZED_NETWORKS_DISABLED

Jaringan yang Diizinkan Bidang Kontrol tidak diaktifkan di cluster GKE.

Jaringan Terotorisasi Bidang Kontrol meningkatkan keamanan cluster container Anda dengan memblokir alamat IP tertentu agar tidak mengakses bidang kontrol cluster Anda. Untuk mengetahui informasi selengkapnya, lihat Menambahkan jaringan yang diizinkan untuk akses bidang kontrol.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Kubernetes clusters di konsol Google Cloud .

   Buka cluster Kubernetes

2. Pilih cluster yang tercantum dalam temuan Security Health Analytics.

3. Klik edit Edit.

   Jika konfigurasi cluster baru-baru ini diubah, tombol edit mungkin dinonaktifkan. Jika Anda tidak dapat mengedit setelan cluster, tunggu beberapa menit lalu coba lagi.

4. Di menu drop-down Control Plane Authorized Networks, pilih Enabled.

5. Klik Add authorized network.

6. Tentukan jaringan yang diizinkan yang ingin Anda gunakan.

7. Klik Simpan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

MFA not enforced

Nama kategori di API: MFA_NOT_ENFORCED

Temuan ini tidak tersedia untuk aktivasi level project.

Autentikasi multi-faktor, khususnya Verifikasi 2 Langkah (2SV), dinonaktifkan untuk beberapa pengguna di organisasi Anda.

Autentikasi multi-faktor digunakan untuk melindungi akun dari akses yang tidak sah dan merupakan alat paling penting untuk melindungi organisasi Anda dari pembobolan kredensial login. Untuk mengetahui informasi selengkapnya, lihat Melindungi bisnis Anda dengan Verifikasi 2 Langkah.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman konsol Admin di konsol Google Cloud .

   Buka konsol Admin

2. Terapkan Verifikasi 2 Langkah untuk semua unit organisasi.

Menyembunyikan temuan jenis ini

Untuk menyembunyikan temuan jenis ini, tentukan aturan nonaktif yang secara otomatis menonaktifkan temuan jenis ini di masa mendatang. Untuk mengetahui informasi selengkapnya, lihat Menonaktifkan temuan di Security Command Center.

Meskipun bukan cara yang direkomendasikan untuk menyembunyikan temuan, Anda juga dapat menambahkan tanda keamanan khusus ke aset agar detektor Security Health Analytics tidak membuat temuan keamanan untuk aset tersebut.

• Untuk mencegah temuan ini diaktifkan lagi, tambahkan tanda keamanan allow_mfa_not_enforced dengan nilai true ke aset.
• Untuk mengabaikan potensi pelanggaran untuk unit organisasi tertentu, tambahkan tanda keamanan excluded_orgunits ke aset dengan daftar jalur unit organisasi yang dipisahkan koma di kolom value. Contohnya, excluded_orgunits:/people/vendors/vendorA,/people/contractors/contractorA.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaian.

Network not monitored

Nama kategori di API: NETWORK_NOT_MONITORED

Metrik dan pemberitahuan log tidak dikonfigurasi untuk memantau perubahan jaringan VPC.

Untuk mendeteksi perubahan yang salah atau tanpa izin dalam penyiapan jaringan, pantau perubahan jaringan VPC. Untuk mengetahui informasi selengkapnya, lihat Ringkasan metrik berbasis log.

Bergantung pada jumlah informasi, biaya Cloud Monitoring bisa signifikan. Untuk memahami penggunaan layanan dan biayanya, lihat Harga Google Cloud Observability.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Membuat metrik

1. Buka halaman Metrik Berbasis Log di konsol Google Cloud .

   Buka Logs-based Metrics

2. Klik Buat Metrik.

3. Di bagian Metric Type, pilih Counter.

4. Di bagian Detail:

   1. Setel Log metric name.
   2. Tambahkan deskripsi.
   3. Setel Units ke 1.

5. Di bagian Filter selection, salin dan tempel teks berikut pada kotak Build filter, yang menggantikan teks yang ada, jika diperlukan:

     resource.type="gce_network"
     AND (protoPayload.methodName:"compute.networks.insert"
     OR protoPayload.methodName:"compute.networks.patch"
     OR protoPayload.methodName:"compute.networks.delete"
     OR protoPayload.methodName:"compute.networks.removePeering"
     OR protoPayload.methodName:"compute.networks.addPeering")

6. Klik Buat Metrik. Anda akan melihat konfirmasi.

Buat Kebijakan Pemberitahuan

1. Di konsol Google Cloud , buka halaman Log-based Metrics:

   Buka Log-based Metrics

   Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Logging.

2. Di bagian Metrik yang ditentukan pengguna, pilih metrik yang Anda buat di bagian sebelumnya.

3. Klik Lainnya more_vert, lalu klik Buat pemberitahuan dari metrik.

   Dialog Kondisi baru akan terbuka dengan opsi metrik dan transformasi data yang telah diisi otomatis.

4. Klik Berikutnya.
   1. Tinjau setelan yang telah diisi otomatis. Anda mungkin ingin mengubah Nilai minimum.
   2. Klik Nama kondisi, lalu masukkan nama untuk kondisi.
5. Klik Berikutnya.

6. Untuk menambahkan notifikasi ke kebijakan pemberitahuan, klik Notification channels. Dalam dialog ini, pilih satu atau beberapa saluran notifikasi dari menu, lalu klik OK.

   Untuk menerima notifikasi saat insiden dibuka dan ditutup, centang Notify on incident closure. Secara default, notifikasi hanya dikirim saat insiden dibuka.

7. Opsional: Perbarui Incident autoclose duration. Kolom ini menentukan kapan Monitoring akan menutup insiden jika data metrik tidak ada.
8. Opsional: Klik Documentation, lalu tambahkan informasi apa pun yang ingin Anda sertakan dalam pesan notifikasi.
9. Klik Alert name dan masukkan nama untuk kebijakan pemberitahuan itu.
10. Klik Create Policy.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Network policy disabled

Nama kategori di API: NETWORK_POLICY_DISABLED

Kebijakan jaringan dinonaktifkan di cluster GKE.

Secara default, komunikasi pod to pod terbuka. Komunikasi terbuka memungkinkan pod untuk terhubung langsung di seluruh node, dengan atau tanpa network address translation. Resource NetworkPolicy seperti firewall tingkat pod yang membatasi koneksi antar-pod, kecuali jika resource NetworkPolicy secara eksplisit mengizinkan koneksi. Pelajari cara menentukan kebijakan jaringan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Kubernetes clusters di konsol Google Cloud .

   Buka cluster Kubernetes

2. Klik nama cluster yang tercantum dalam temuan Security Health Analytics.

3. Di bagian Networking, di baris Calico Kubernetes Network policy, klik edit Edit.

   Jika konfigurasi cluster baru-baru ini diubah, tombol edit mungkin dinonaktifkan. Jika Anda tidak dapat mengedit setelan cluster, tunggu beberapa menit lalu coba lagi.

4. Di kotak dialog, pilih Enable Calico Kubernetes network policy for control plane dan Enable Calico Kubernetes network policy for nodes.

5. Klik Simpan Perubahan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaian.

Nodepool boot CMEK disabled

Nama kategori di API: NODEPOOL_BOOT_CMEK_DISABLED

Boot disk di node pool ini tidak dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK). CMEK memungkinkan pengguna mengonfigurasi kunci enkripsi default untuk boot disk di node pool.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Kubernetes clusters di konsol Google Cloud .

   Buka cluster Kubernetes

2. Dalam daftar cluster, klik nama cluster dalam temuan.

3. Klik tab Nodes.

4. Untuk setiap kumpulan node default-pool, klik delete Hapus.

5. Saat diminta untuk mengonfirmasi, klik Delete.

6. Untuk membuat node pool baru menggunakan CMEK, lihat Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK). CMEK menimbulkan biaya tambahan terkait Cloud KMS.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Nodepool secure boot disabled

Nama kategori di API: NODEPOOL_SECURE_BOOT_DISABLED

Booting aman dinonaktifkan untuk cluster GKE.

Aktifkan Booting Aman untuk Node GKE yang Terlindungi guna memverifikasi tanda tangan digital komponen booting node. Untuk mengetahui informasi selengkapnya, lihat Booting Aman.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Setelah disediakan, Node pool tidak dapat diupdate untuk mengaktifkan Booting Aman. Anda harus membuat Node pool baru dengan Booting Aman yang diaktifkan.

1. Buka halaman Kubernetes clusters di konsol Google Cloud .

   Buka cluster Kubernetes

2. Klik nama cluster dalam temuan.

3. Klik Add Node Pool.

4. Di menu Node pools, lakukan langkah berikut:

   1. Klik nama Node pool baru untuk memperluas tab.
   2. Pilih Security, lalu di bagian Shielded options, pilih Enable secure boot.
   3. Klik Buat.
   4. Untuk memigrasikan workload Anda dari node pool saat ini yang tidak sesuai ke node pool baru, lihat Memigrasikan workload ke jenis mesin yang berbeda.
   5. Setelah workload Anda dipindahkan, hapus node pool awal yang tidak sesuai.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Non org IAM member

Nama kategori di API: NON_ORG_IAM_MEMBER

Seorang pengguna di luar organisasi atau project Anda memiliki izin IAM untuk project atau organisasi. Pelajari lebih lanjut izin IAM.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman IAM di konsol Google Cloud .

   Buka IAM

2. Pilih kotak centang di samping pengguna di luar organisasi atau project Anda.

3. Klik Hapus.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Object versioning disabled

Nama kategori di API: OBJECT_VERSIONING_DISABLED

Pembuatan versi objek tidak diaktifkan pada bucket penyimpanan tempat sink dikonfigurasi.

Untuk mendukung pengambilan objek yang dihapus atau ditimpa, Cloud Storage menawarkan fitur Pembuatan Versi Objek. Aktifkan Pembuatan Versi Objek untuk melindungi data Cloud Storage Anda agar tidak ditimpa atau dihapus secara tak sengaja. Pelajari cara Mengaktifkan Pembuatan Versi Objek.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Untuk memperbaiki temuan ini, gunakan flag --versioning dalam perintah gcloud storage buckets update dengan nilai yang sesuai:

    gcloud storage buckets update gs://finding.assetDisplayName --versioning

Ganti finding.assetDisplayName dengan nama bucket yang relevan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Open Cassandra port

Nama kategori di API: OPEN_CASSANDRA_PORT

Aturan firewall yang mengizinkan alamat IP apa pun untuk terhubung ke port Cassandra dapat mengekspos layanan Cassandra Anda kepada penyerang. Untuk mengetahui informasi selengkapnya, lihat Ringkasan aturan firewall VPC.

Port layanan Cassandra adalah:

• TCP - 7000, 7001, 7199, 8888, 9042, 9160, 61620, 61621

Temuan ini dibuat untuk aturan firewall yang rentan, meskipun Anda dengan sengaja menonaktifkan aturan tersebut. Temuan aktif untuk aturan firewall yang dinonaktifkan akan memberi tahu Anda tentang konfigurasi yang tidak aman yang akan mengizinkan traffic yang tidak diinginkan jika diaktifkan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Firewall di konsol Google Cloud .

   Buka Firewall

2. Dalam daftar aturan firewall, klik nama aturan firewall dalam temuan.

3. Klik edit Edit.

4. Di bagian Rentang IP sumber, hapus 0.0.0.0/0.

5. Tambahkan alamat IP atau rentang IP tertentu yang ingin Anda izinkan untuk terhubung ke instance.

6. Tambahkan protokol dan port tertentu yang ingin Anda buka di instance Anda.

7. Klik Simpan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Open ciscosecure websm port

Nama kategori di API: OPEN_CISCOSECURE_WEBSM_PORT

Aturan firewall yang mengizinkan alamat IP apa pun untuk terhubung ke port CiscoSecure/WebSM dapat mengekspos layanan CiscoSecure/WebSM Anda kepada penyerang. Untuk mengetahui informasi selengkapnya, lihat Ringkasan aturan firewall VPC.

Port layanan CiscoSecure/WebSM adalah:

• TCP - 9090

Temuan ini dibuat untuk aturan firewall yang rentan, meskipun Anda dengan sengaja menonaktifkan aturan tersebut. Temuan aktif untuk aturan firewall yang dinonaktifkan akan memberi tahu Anda tentang konfigurasi yang tidak aman yang akan mengizinkan traffic yang tidak diinginkan jika diaktifkan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Firewall di konsol Google Cloud .

   Buka Firewall

2. Dalam daftar aturan firewall, klik nama aturan firewall dalam temuan.

3. Klik edit Edit.

4. Di bagian Rentang IP sumber, hapus 0.0.0.0/0.

5. Tambahkan alamat IP atau rentang IP tertentu yang ingin Anda izinkan untuk terhubung ke instance.

6. Tambahkan protokol dan port tertentu yang ingin Anda buka di instance Anda.

7. Klik Simpan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaian.

Open directory services port

Nama kategori di API: OPEN_DIRECTORY_SERVICES_PORT

Aturan firewall yang mengizinkan alamat IP apa pun untuk terhubung ke port Directory dapat mengekspos layanan Directory Anda kepada penyerang. Untuk mengetahui informasi selengkapnya, lihat Ringkasan aturan firewall VPC.

Port layanan Direktori adalah:

• TCP - 445
• UDP - 445

Temuan ini dibuat untuk aturan firewall yang rentan, meskipun Anda dengan sengaja menonaktifkan aturan tersebut. Temuan aktif untuk aturan firewall yang dinonaktifkan akan memberi tahu Anda tentang konfigurasi yang tidak aman yang akan mengizinkan traffic yang tidak diinginkan jika diaktifkan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Firewall di konsol Google Cloud .

   Buka Firewall

2. Dalam daftar aturan firewall, klik nama aturan firewall dalam temuan.

3. Klik edit Edit.

4. Di bagian Rentang IP sumber, hapus 0.0.0.0/0.

5. Tambahkan alamat IP atau rentang IP tertentu yang ingin Anda izinkan untuk terhubung ke instance.

6. Tambahkan protokol dan port tertentu yang ingin Anda buka di instance Anda.

7. Klik Simpan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaian.

Open DNS port

Nama kategori di API: OPEN_DNS_PORT

Aturan firewall yang mengizinkan alamat IP apa pun untuk terhubung ke port DNS dapat mengekspos layanan DNS Anda kepada penyerang. Untuk mengetahui informasi selengkapnya, lihat Ringkasan aturan firewall VPC.

Port layanan DNS adalah:

• TCP - 53
• UDP - 53

Temuan ini dibuat untuk aturan firewall yang rentan, meskipun Anda dengan sengaja menonaktifkan aturan tersebut. Temuan aktif untuk aturan firewall yang dinonaktifkan akan memberi tahu Anda tentang konfigurasi yang tidak aman yang akan mengizinkan traffic yang tidak diinginkan jika diaktifkan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Firewall di konsol Google Cloud .

   Buka Firewall

2. Dalam daftar aturan firewall, klik nama aturan firewall dalam temuan.

3. Klik edit Edit.

4. Di bagian Rentang IP sumber, hapus 0.0.0.0/0.

5. Tambahkan alamat IP atau rentang IP tertentu yang ingin Anda izinkan untuk terhubung ke instance.

6. Tambahkan protokol dan port tertentu yang ingin Anda buka di instance Anda.

7. Klik Simpan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Open Elasticsearch port

Nama kategori di API: OPEN_ELASTICSEARCH_PORT

Aturan firewall yang mengizinkan alamat IP apa pun untuk terhubung ke port Elasticsearch dapat mengekspos layanan Elasticsearch Anda kepada penyerang. Untuk mengetahui informasi selengkapnya, lihat Ringkasan aturan firewall VPC.

Port layanan Elasticsearch adalah:

• TCP - 9200, 9300

Temuan ini dibuat untuk aturan firewall yang rentan, meskipun Anda dengan sengaja menonaktifkan aturan tersebut. Temuan aktif untuk aturan firewall yang dinonaktifkan akan memberi tahu Anda tentang konfigurasi yang tidak aman yang akan mengizinkan traffic yang tidak diinginkan jika diaktifkan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Firewall di konsol Google Cloud .

   Buka Firewall

2. Dalam daftar aturan firewall, klik nama aturan firewall dalam temuan.

3. Klik edit Edit.

4. Di bagian Rentang IP sumber, hapus 0.0.0.0/0.

5. Tambahkan alamat IP atau rentang IP tertentu yang ingin Anda izinkan untuk terhubung ke instance.

6. Tambahkan protokol dan port tertentu yang ingin Anda buka di instance Anda.

7. Klik Simpan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaian.

Open firewall

Nama kategori di API: OPEN_FIREWALL

Aturan firewall yang mengizinkan koneksi dari semua alamat IP, seperti 0.0.0.0/0, atau dari semua port dapat tidak sengaja mengekspos resource terhadap serangan dari sumber yang tidak diinginkan. Aturan ini harus dihapus atau dibatasi secara eksplisit ke rentang IP sumber atau port yang dituju. Misalnya, dalam aplikasi yang ditujukan untuk publik, pertimbangkan untuk membatasi port yang diizinkan ke port yang diperlukan untuk aplikasi, seperti 80 dan 443. Jika aplikasi Anda perlu mengizinkan koneksi dari semua alamat IP atau port, pertimbangkan untuk menambahkan aset ke daftar yang diizinkan. Pelajari lebih lanjut cara Memperbarui aturan firewall.

Temuan ini dibuat untuk aturan firewall yang rentan, meskipun Anda dengan sengaja menonaktifkan aturan tersebut. Temuan aktif untuk aturan firewall yang dinonaktifkan akan memberi tahu Anda tentang konfigurasi yang tidak aman yang akan mengizinkan traffic yang tidak diinginkan jika diaktifkan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Firewall rules di konsol Google Cloud .

   Buka Aturan firewall

2. Klik aturan firewall yang tercantum dalam temuan Security Health Analytics, lalu klik edit Edit.

3. Di bagian Source IP ranges, edit nilai IP untuk membatasi rentang IP yang diizinkan.

4. Di bagian Protocols and ports, pilih Specified protocols and ports, pilih protokol yang diizinkan, lalu masukkan port yang diizinkan.

5. Klik Simpan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Open FTP port

Nama kategori di API: OPEN_FTP_PORT

Aturan firewall yang mengizinkan alamat IP apa pun untuk terhubung ke port FTP dapat mengekspos layanan FTP Anda kepada penyerang. Untuk mengetahui informasi selengkapnya, lihat Ringkasan aturan firewall VPC.

Port layanan FTP adalah:

• TCP - 21

Temuan ini dibuat untuk aturan firewall yang rentan, meskipun Anda dengan sengaja menonaktifkan aturan tersebut. Temuan aktif untuk aturan firewall yang dinonaktifkan akan memberi tahu Anda tentang konfigurasi yang tidak aman yang akan mengizinkan traffic yang tidak diinginkan jika diaktifkan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Firewall di konsol Google Cloud .

   Buka Firewall

2. Dalam daftar aturan firewall, klik nama aturan firewall dalam temuan.

3. Klik edit Edit.

4. Di bagian Rentang IP sumber, hapus 0.0.0.0/0.

5. Tambahkan alamat IP atau rentang IP tertentu yang ingin Anda izinkan untuk terhubung ke instance.

6. Tambahkan protokol dan port tertentu yang ingin Anda buka di instance Anda.

7. Klik Simpan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Open group IAM member

Nama kategori di API: OPEN_GROUP_IAM_MEMBER

Satu atau beberapa akun utama yang memiliki akses ke organisasi, project, atau folder adalah akun Google Grup yang dapat diikuti tanpa persetujuan.

PelangganGoogle Cloud dapat menggunakan Grup Google untuk mengelola peran dan izin bagi anggota di organisasi mereka, atau menerapkan kebijakan akses ke kumpulan pengguna. Daripada memberikan peran langsung kepada anggota, administrator dapat memberikan peran dan izin ke Grup Google, lalu menambahkan anggota ke grup tertentu. Anggota grup mewarisi semua peran dan izin grup, yang memungkinkan anggota mengakses resource dan layanan tertentu.

Jika akun Google Grup terbuka digunakan sebagai akun utama dalam binding IAM, siapa pun dapat mewarisi peran terkait hanya dengan bergabung ke grup secara langsung atau tidak langsung (melalui subgrup). Sebaiknya cabut peran grup terbuka atau batasi akses ke grup tersebut.

Untuk memperbaiki temuan ini, lakukan salah satu prosedur berikut.

Hapus grup dari kebijakan IAM

1. Buka halaman IAM di konsol Google Cloud .

   Buka IAM

2. Jika perlu, pilih project, folder, atau organisasi dalam temuan.

3. Mencabut peran setiap grup terbuka yang diidentifikasi dalam temuan.

Membatasi akses ke grup terbuka

1. Login ke Google Grup.
2. Perbarui setelan setiap grup yang terbuka, dan subgrupnya, untuk menentukan siapa yang dapat bergabung ke grup dan siapa yang harus menyetujui mereka.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaian.

Open HTTP port

Nama kategori di API: OPEN_HTTP_PORT

Aturan firewall yang mengizinkan alamat IP apa pun untuk terhubung ke port HTTP dapat mengekspos layanan HTTP Anda kepada penyerang. Untuk mengetahui informasi selengkapnya, lihat Ringkasan aturan firewall VPC.

Port layanan HTTP adalah:

• TCP - 80

Temuan ini dibuat untuk aturan firewall yang rentan, meskipun Anda dengan sengaja menonaktifkan aturan tersebut. Temuan aktif untuk aturan firewall yang dinonaktifkan akan memberi tahu Anda tentang konfigurasi yang tidak aman yang akan mengizinkan traffic yang tidak diinginkan jika diaktifkan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Firewall di konsol Google Cloud .

   Buka Firewall

2. Dalam daftar aturan firewall, klik nama aturan firewall dalam temuan.

3. Klik edit Edit.

4. Di bagian Rentang IP sumber, hapus 0.0.0.0/0.

5. Tambahkan alamat IP atau rentang IP tertentu yang ingin Anda izinkan untuk terhubung ke instance.

6. Tambahkan protokol dan port tertentu yang ingin Anda buka di instance Anda.

7. Klik Simpan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Open LDAP port

Nama kategori di API: OPEN_LDAP_PORT

Aturan firewall yang mengizinkan alamat IP apa pun untuk terhubung ke port LDAP dapat mengekspos layanan LDAP Anda kepada penyerang. Untuk mengetahui informasi selengkapnya, lihat Ringkasan aturan firewall VPC.

Port layanan LDAP adalah:

• TCP - 389, 636
• UDP - 389

Temuan ini dibuat untuk aturan firewall yang rentan, meskipun Anda dengan sengaja menonaktifkan aturan tersebut. Temuan aktif untuk aturan firewall yang dinonaktifkan akan memberi tahu Anda tentang konfigurasi yang tidak aman yang akan mengizinkan traffic yang tidak diinginkan jika diaktifkan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Firewall di konsol Google Cloud .

   Buka Firewall

2. Dalam daftar aturan firewall, klik nama aturan firewall dalam temuan.

3. Klik edit Edit.

4. Di bagian Rentang IP sumber, hapus 0.0.0.0/0.

5. Tambahkan alamat IP atau rentang IP tertentu yang ingin Anda izinkan untuk terhubung ke instance.

6. Tambahkan protokol dan port tertentu yang ingin Anda buka di instance Anda.

7. Klik Simpan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Open Memcached port

Nama kategori di API: OPEN_MEMCACHED_PORT

Aturan firewall yang mengizinkan alamat IP apa pun untuk terhubung ke port Memcached dapat mengekspos layanan Memcached Anda kepada penyerang. Untuk mengetahui informasi selengkapnya, lihat Ringkasan aturan firewall VPC.

Port layanan Memcached adalah:

• TCP - 11211, 11214, 11215
• UDP - 11211, 11214, 11215

Temuan ini dibuat untuk aturan firewall yang rentan, meskipun Anda dengan sengaja menonaktifkan aturan tersebut. Temuan aktif untuk aturan firewall yang dinonaktifkan akan memberi tahu Anda tentang konfigurasi yang tidak aman yang akan mengizinkan traffic yang tidak diinginkan jika diaktifkan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Firewall di konsol Google Cloud .

   Buka Firewall

2. Dalam daftar aturan firewall, klik nama aturan firewall dalam temuan.

3. Klik edit Edit.

4. Di bagian Rentang IP sumber, hapus 0.0.0.0/0.

5. Tambahkan alamat IP atau rentang IP tertentu yang ingin Anda izinkan untuk terhubung ke instance.

6. Tambahkan protokol dan port tertentu yang ingin Anda buka di instance Anda.

7. Klik Simpan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Open MongoDB port

Nama kategori di API: OPEN_MONGODB_PORT

Aturan firewall yang mengizinkan alamat IP apa pun untuk terhubung ke port MongoDB dapat mengekspos layanan MongoDB Anda kepada penyerang. Untuk mengetahui informasi selengkapnya, lihat Ringkasan aturan firewall VPC.

Port layanan MongoDB adalah:

• TCP - 27017, 27018, 27019

Temuan ini dibuat untuk aturan firewall yang rentan, meskipun Anda dengan sengaja menonaktifkan aturan tersebut. Temuan aktif untuk aturan firewall yang dinonaktifkan akan memberi tahu Anda tentang konfigurasi yang tidak aman yang akan mengizinkan traffic yang tidak diinginkan jika diaktifkan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Firewall di konsol Google Cloud .

   Buka Firewall

2. Dalam daftar aturan firewall, klik nama aturan firewall dalam temuan.

3. Klik edit Edit.

4. Di bagian Rentang IP sumber, hapus 0.0.0.0/0.

5. Tambahkan alamat IP atau rentang IP tertentu yang ingin Anda izinkan untuk terhubung ke instance.

6. Tambahkan protokol dan port tertentu yang ingin Anda buka di instance Anda.

7. Klik Simpan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Open MySQL port

Nama kategori di API: OPEN_MYSQL_PORT

Aturan firewall yang mengizinkan alamat IP apa pun untuk terhubung ke port MySQL dapat mengekspos layanan MySQL Anda kepada penyerang. Untuk mengetahui informasi selengkapnya, lihat Ringkasan aturan firewall VPC.

Port layanan MySQL adalah:

• TCP - 3306

Temuan ini dibuat untuk aturan firewall yang rentan, meskipun Anda dengan sengaja menonaktifkan aturan tersebut. Temuan aktif untuk aturan firewall yang dinonaktifkan akan memberi tahu Anda tentang konfigurasi yang tidak aman yang akan mengizinkan traffic yang tidak diinginkan jika diaktifkan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Firewall di konsol Google Cloud .

   Buka Firewall

2. Dalam daftar aturan firewall, klik nama aturan firewall dalam temuan.

3. Klik edit Edit.

4. Di bagian Rentang IP sumber, hapus 0.0.0.0/0.

5. Tambahkan alamat IP atau rentang IP tertentu yang ingin Anda izinkan untuk terhubung ke instance.

6. Tambahkan protokol dan port tertentu yang ingin Anda buka di instance Anda.

7. Klik Simpan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Open NetBIOS port

Nama kategori di API: `OPEN_NETBIOS_PORT

Aturan firewall yang mengizinkan alamat IP apa pun untuk terhubung ke port NetBIOS dapat mengekspos layanan NetBIOS Anda kepada penyerang. Untuk mengetahui informasi selengkapnya, lihat Ringkasan aturan firewall VPC.

Port layanan NetBIOS adalah:

• TCP - 137, 138, 139
• UDP - 137, 138, 139

Temuan ini dibuat untuk aturan firewall yang rentan, meskipun Anda dengan sengaja menonaktifkan aturan tersebut. Temuan aktif untuk aturan firewall yang dinonaktifkan akan memberi tahu Anda tentang konfigurasi yang tidak aman yang akan mengizinkan traffic yang tidak diinginkan jika diaktifkan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Firewall di konsol Google Cloud .

   Buka Firewall

2. Dalam daftar aturan firewall, klik nama aturan firewall dalam temuan.

3. Klik edit Edit.

4. Di bagian Rentang IP sumber, hapus 0.0.0.0/0.

5. Tambahkan alamat IP atau rentang IP tertentu yang ingin Anda izinkan untuk terhubung ke instance.

6. Tambahkan protokol dan port tertentu yang ingin Anda buka di instance Anda.

7. Klik Simpan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Open OracleDB port

Nama kategori di API: OPEN_ORACLEDB_PORT

Aturan firewall yang mengizinkan alamat IP apa pun untuk terhubung ke port OracleDB dapat mengekspos layanan OracleDB Anda kepada penyerang. Untuk mengetahui informasi selengkapnya, lihat Ringkasan aturan firewall VPC.

Port layanan OracleDB adalah:

• TCP - 1521, 2483, 2484
• UDP - 2483, 2484

Temuan ini dibuat untuk aturan firewall yang rentan, meskipun Anda dengan sengaja menonaktifkan aturan tersebut. Temuan aktif untuk aturan firewall yang dinonaktifkan akan memberi tahu Anda tentang konfigurasi yang tidak aman yang akan mengizinkan traffic yang tidak diinginkan jika diaktifkan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Firewall di konsol Google Cloud .

   Buka Firewall

2. Dalam daftar aturan firewall, klik nama aturan firewall dalam temuan.

3. Klik edit Edit.

4. Di bagian Rentang IP sumber, hapus 0.0.0.0/0.

5. Tambahkan alamat IP atau rentang IP tertentu yang ingin Anda izinkan untuk terhubung ke instance.

6. Tambahkan protokol dan port tertentu yang ingin Anda buka di instance Anda.

7. Klik Simpan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Open POP3 port

Nama kategori di API: OPEN_POP3_PORT

Aturan firewall yang mengizinkan alamat IP apa pun untuk terhubung ke port POP3 dapat mengekspos layanan POP3 Anda kepada penyerang. Untuk mengetahui informasi selengkapnya, lihat Ringkasan aturan firewall VPC.

Port layanan POP3 adalah:

• TCP - 110

Temuan ini dibuat untuk aturan firewall yang rentan, meskipun Anda dengan sengaja menonaktifkan aturan tersebut. Temuan aktif untuk aturan firewall yang dinonaktifkan akan memberi tahu Anda tentang konfigurasi yang tidak aman yang akan mengizinkan traffic yang tidak diinginkan jika diaktifkan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Firewall di konsol Google Cloud .

   Buka Firewall

2. Dalam daftar aturan firewall, klik nama aturan firewall dalam temuan.

3. Klik edit Edit.

4. Di bagian Rentang IP sumber, hapus 0.0.0.0/0.

5. Tambahkan alamat IP atau rentang IP tertentu yang ingin Anda izinkan untuk terhubung ke instance.

6. Tambahkan protokol dan port tertentu yang ingin Anda buka di instance Anda.

7. Klik Simpan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaian.

Open PostgreSQL port

Nama kategori di API: OPEN_POSTGRESQL_PORT

Aturan firewall yang mengizinkan alamat IP apa pun untuk terhubung ke port PostgreSQL dapat mengekspos layanan PostgreSQL Anda kepada penyerang. Untuk mengetahui informasi selengkapnya, lihat Ringkasan aturan firewall VPC.

Port layanan PostgreSQL adalah:

• TCP - 5432
• UDP - 5432

Temuan ini dibuat untuk aturan firewall yang rentan, meskipun Anda dengan sengaja menonaktifkan aturan tersebut. Temuan aktif untuk aturan firewall yang dinonaktifkan akan memberi tahu Anda tentang konfigurasi yang tidak aman yang akan mengizinkan traffic yang tidak diinginkan jika diaktifkan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Firewall di konsol Google Cloud .

   Buka Firewall

2. Dalam daftar aturan firewall, klik nama aturan firewall dalam temuan.

3. Klik edit Edit.

4. Di bagian Rentang IP sumber, hapus 0.0.0.0/0.

5. Tambahkan alamat IP atau rentang IP tertentu yang ingin Anda izinkan untuk terhubung ke instance.

6. Tambahkan protokol dan port tertentu yang ingin Anda buka di instance Anda.

7. Klik Simpan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Open RDP port

Nama kategori di API: OPEN_RDP_PORT

Aturan firewall yang mengizinkan alamat IP apa pun untuk terhubung ke port RDP dapat mengekspos layanan RDP Anda kepada penyerang. Untuk mengetahui informasi selengkapnya, lihat Ringkasan aturan firewall VPC.

Port layanan RDP adalah:

• TCP - 3389
• UDP - 3389

Temuan ini dibuat untuk aturan firewall yang rentan, meskipun Anda dengan sengaja menonaktifkan aturan tersebut. Temuan aktif untuk aturan firewall yang dinonaktifkan akan memberi tahu Anda tentang konfigurasi yang tidak aman yang akan mengizinkan traffic yang tidak diinginkan jika diaktifkan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Firewall di konsol Google Cloud .

   Buka Firewall

2. Dalam daftar aturan firewall, klik nama aturan firewall dalam temuan.

3. Klik edit Edit.

4. Di bagian Rentang IP sumber, hapus 0.0.0.0/0.

5. Tambahkan alamat IP atau rentang IP tertentu yang ingin Anda izinkan untuk terhubung ke instance.

6. Tambahkan protokol dan port tertentu yang ingin Anda buka di instance Anda.

7. Klik Simpan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Open Redis port

Nama kategori di API: OPEN_REDIS_PORT

Aturan firewall yang mengizinkan alamat IP apa pun untuk terhubung ke port Redis dapat mengekspos layanan Redis Anda kepada penyerang. Untuk mengetahui informasi selengkapnya, lihat Ringkasan aturan firewall VPC.

Port layanan Redis adalah:

• TCP - 6379

Temuan ini dibuat untuk aturan firewall yang rentan, meskipun Anda dengan sengaja menonaktifkan aturan tersebut. Temuan aktif untuk aturan firewall yang dinonaktifkan akan memberi tahu Anda tentang konfigurasi yang tidak aman yang akan mengizinkan traffic yang tidak diinginkan jika diaktifkan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Firewall di konsol Google Cloud .

   Buka Firewall

2. Dalam daftar aturan firewall, klik nama aturan firewall dalam temuan.

3. Klik edit Edit.

4. Di bagian Rentang IP sumber, hapus 0.0.0.0/0.

5. Tambahkan alamat IP atau rentang IP tertentu yang ingin Anda izinkan untuk terhubung ke instance.

6. Tambahkan protokol dan port tertentu yang ingin Anda buka di instance Anda.

7. Klik Simpan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Open SMTP port

Nama kategori di API: OPEN_SMTP_PORT

Aturan firewall yang mengizinkan alamat IP apa pun untuk terhubung ke port SMTP dapat mengekspos layanan SMTP Anda kepada penyerang. Untuk mengetahui informasi selengkapnya, lihat Ringkasan aturan firewall VPC.

Port layanan SMTP adalah:

• TCP - 25

Temuan ini dibuat untuk aturan firewall yang rentan, meskipun Anda dengan sengaja menonaktifkan aturan tersebut. Temuan aktif untuk aturan firewall yang dinonaktifkan akan memberi tahu Anda tentang konfigurasi yang tidak aman yang akan mengizinkan traffic yang tidak diinginkan jika diaktifkan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Firewall di konsol Google Cloud .

   Buka Firewall

2. Dalam daftar aturan firewall, klik nama aturan firewall dalam temuan.

3. Klik edit Edit.

4. Di bagian Rentang IP sumber, hapus 0.0.0.0/0.

5. Tambahkan alamat IP atau rentang IP tertentu yang ingin Anda izinkan untuk terhubung ke instance.

6. Tambahkan protokol dan port tertentu yang ingin Anda buka di instance Anda.

7. Klik Simpan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Open SSH port

Nama kategori di API: OPEN_SSH_PORT

Aturan firewall yang mengizinkan alamat IP apa pun untuk terhubung ke port SSH dapat mengekspos layanan SSH Anda kepada penyerang. Untuk mengetahui informasi selengkapnya, lihat Ringkasan aturan firewall VPC.

Port layanan SSH adalah:

• SCTP - 22
• TCP - 22

Temuan ini dibuat untuk aturan firewall yang rentan, meskipun Anda dengan sengaja menonaktifkan aturan tersebut. Temuan aktif untuk aturan firewall yang dinonaktifkan akan memberi tahu Anda tentang konfigurasi yang tidak aman yang akan mengizinkan traffic yang tidak diinginkan jika diaktifkan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Firewall di konsol Google Cloud .

   Buka Firewall

2. Dalam daftar aturan firewall, klik nama aturan firewall dalam temuan.

3. Klik edit Edit.

4. Di bagian Rentang IP sumber, hapus 0.0.0.0/0.

5. Tambahkan alamat IP atau rentang IP tertentu yang ingin Anda izinkan untuk terhubung ke instance.

6. Tambahkan protokol dan port tertentu yang ingin Anda buka di instance Anda.

7. Klik Simpan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Open Telnet port

Nama kategori di API: OPEN_TELNET_PORT

Aturan firewall yang mengizinkan alamat IP apa pun untuk terhubung ke port Telnet dapat mengekspos layanan Telnet Anda kepada penyerang. Untuk mengetahui informasi selengkapnya, lihat Ringkasan aturan firewall VPC.

Port layanan Telnet adalah:

• TCP - 23

Temuan ini dibuat untuk aturan firewall yang rentan, meskipun Anda dengan sengaja menonaktifkan aturan tersebut. Temuan aktif untuk aturan firewall yang dinonaktifkan akan memberi tahu Anda tentang konfigurasi yang tidak aman yang akan mengizinkan traffic yang tidak diinginkan jika diaktifkan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Firewall di konsol Google Cloud .

   Buka Firewall

2. Dalam daftar aturan firewall, klik nama aturan firewall dalam temuan.

3. Klik edit Edit.

4. Di bagian Rentang IP sumber, hapus 0.0.0.0/0.

5. Tambahkan alamat IP atau rentang IP tertentu yang ingin Anda izinkan untuk terhubung ke instance.

6. Tambahkan protokol dan port tertentu yang ingin Anda buka di instance Anda.

7. Klik Simpan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaian.

Org policy Confidential VM policy

Nama kategori di API: ORG_POLICY_CONFIDENTIAL_VM_POLICY

Resource Compute Engine tidak mematuhi kebijakan organisasi constraints/compute.restrictNonConfidentialComputing. Untuk mengetahui informasi selengkapnya tentang batasan kebijakan organisasi ini, lihat Menerapkan batasan kebijakan organisasi.

Organisasi Anda mewajibkan VM ini memiliki layanan Confidential VM yang aktif. VM yang tidak mengaktifkan layanan ini tidak akan menggunakan enkripsi memori runtime, sehingga membuatnya terekspos serangan memori runtime.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman VM instances di konsol Google Cloud .

   Buka instance VM

2. Dalam daftar instance, klik nama instance dalam temuan.

3. Jika VM tidak memerlukan layanan Confidential VM, pindahkan VM tersebut ke folder atau project baru.

4. Jika VM memerlukan Confidential VM, klik delete Hapus.

5. Untuk membuat instance baru dengan Confidential VM yang diaktifkan, lihat Panduan memulai: Membuat instance Confidential VM.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Org policy location restriction

Nama kategori di API: ORG_POLICY_LOCATION_RESTRICTION

Batasan Kebijakan Organisasi gcp.resourceLocations memungkinkan Anda membatasi pembuatan resource baru ke Region Cloud yang Anda pilih. Untuk mengetahui informasi selengkapnya, lihat Membatasi lokasi resource.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Detektor ORG_POLICY_LOCATION_RESTRICTION mencakup banyak jenis resource dan petunjuk perbaikan berbeda untuk setiap resource. Pendekatan umum untuk memperbaiki pelanggaran lokasi mencakup hal berikut:

1. Salin, pindahkan, atau cadangkan resource di luar region atau datanya ke dalam resource yang berada di dalam region. Baca dokumentasi untuk setiap layanan guna mendapatkan petunjuk tentang cara memindahkan resource.
2. Hapus resource di luar wilayah atau datanya yang asli.

Pendekatan ini tidak mungkin dilakukan untuk semua jenis resource. Untuk mendapatkan panduan, lihat rekomendasi yang disesuaikan yang diberikan dalam temuan.

Pertimbangan lainnya

Saat memperbaiki temuan ini, pertimbangkan hal berikut.

Resource terkelola

Siklus proses resource terkadang dikelola dan dikontrol oleh resource lainnya. Misalnya, grup instance Compute Engine terkelola membuat dan menghancurkan instance Compute Engine sesuai dengan kebijakan penskalaan otomatis grup instance. Jika resource terkelola dan resource pengelola berada dalam cakupan penegakan lokasi, keduanya dapat ditandai sebagai melanggar Kebijakan Organisasi. Perbaikan temuan untuk resource terkelola harus dilakukan di resource pengelola untuk memastikan stabilitas operasional.

Resource yang sedang digunakan

Resource tertentu digunakan oleh resource lain. Misalnya, disk Compute Engine yang terpasang ke instance Compute Engine yang sedang berjalan dianggap sedang digunakan oleh instance tersebut. Jika resource yang sedang digunakan melanggar Kebijakan Organisasi lokasi, Anda harus memastikan bahwa resource tersebut tidak sedang digunakan sebelum mengatasi pelanggaran lokasi.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

OS login disabled

Nama kategori di API: OS_LOGIN_DISABLED

Login OS dinonaktifkan pada instance Compute Engine dalam project ini.

Login OS mengaktifkan pengelolaan kunci SSH terpusat dengan IAM, dan menonaktifkan konfigurasi kunci SSH berbasis metadata di semua instance dalam project. Pelajari cara menyiapkan dan mengonfigurasi Login OS.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Metadata di konsol Google Cloud .

   Buka Metadata

2. Klik Edit, lalu klik Add item.

3. Tambahkan item dengan kunci enable-oslogin dan nilai TRUE.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Over privileged account

Nama kategori di API: OVER_PRIVILEGED_ACCOUNT

Node GKE menggunakan node layanan default Compute Engine, yang memiliki akses luas secara default dan mungkin memiliki hak berlebih untuk menjalankan cluster GKE Anda.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Ikuti petunjuk di Menggunakan akun layanan Google dengan hak istimewa terendah.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Over privileged scopes

Nama kategori di API: OVER_PRIVILEGED_SCOPES

Akun layanan node memiliki cakupan akses yang luas.

Cakupan akses adalah metode lama untuk menentukan izin bagi instance Anda. Untuk mengurangi kemungkinan eskalasi akses dalam suatu serangan, buat dan gunakan akun layanan dengan hak istimewa minimal untuk menjalankan cluster GKE Anda.

Untuk memperbaiki temuan ini, ikuti petunjuk untuk Menggunakan akun layanan Google dengan hak istimewa terendah.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Over privileged service account user

Nama kategori di API: OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Pengguna memiliki peran iam.serviceAccountUser atau iam.serviceAccountTokenCreator di tingkat project, folder, atau organisasi, bukan untuk akun layanan tertentu.

Memberikan peran tersebut kepada pengguna untuk project, folder, atau organisasi akan memberi pengguna tersebut akses ke semua akun layanan saat ini dan mendatang dalam cakupan tersebut. Situasi ini dapat menyebabkan eskalasi hak istimewa yang tidak diinginkan. Untuk mengetahui informasi selengkapnya, lihat Izin akun layanan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman IAM di konsol Google Cloud .

   Buka halaman IAM

2. Jika perlu, pilih project, folder, atau organisasi dalam temuan.

3. Untuk setiap akun utama yang diberi roles/iam.serviceAccountUser atau roles/iam.serviceAccountTokenCreator, lakukan hal berikut:

   1. Klik edit Edit.
   2. Di panel Edit izin, di samping peran, klik delete Hapus.
   3. Klik Simpan.

4. Ikuti panduan ini untuk memberi izin pengguna individu guna meniru identitas satu akun layanan. Anda harus mengikuti panduan ini untuk tiap akun layanan yang ingin Anda izinkan untuk ditiru identitasnya oleh pengguna pilihan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Owner not monitored

Nama kategori di API: OWNER_NOT_MONITORED

Metrik dan pemberitahuan log tidak dikonfigurasi untuk memantau penetapan atau perubahan Kepemilikan Project.

Peran Pemilik IAM memiliki tingkat hak istimewa tertinggi pada project. Untuk mengamankan resource Anda, siapkan pemberitahuan yang akan dikirim saat pemilik baru ditambahkan atau dihapus. Untuk mengetahui informasi selengkapnya, lihat Ringkasan metrik berbasis log.

Bergantung pada jumlah informasi, biaya Cloud Monitoring bisa signifikan. Untuk memahami penggunaan layanan dan biayanya, lihat Harga Google Cloud Observability.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Membuat metrik

1. Buka halaman Metrik Berbasis Log di konsol Google Cloud .

   Buka Logs-based Metrics

2. Klik Buat Metrik.

3. Di bagian Metric Type, pilih Counter.

4. Di bagian Detail:

   1. Setel Log metric name.
   2. Tambahkan deskripsi.
   3. Setel Units ke 1.

5. Di bagian Filter selection, salin dan tempel teks berikut pada kotak Build filter, yang menggantikan teks yang ada, jika diperlukan:

     (protoPayload.serviceName="cloudresourcemanager.googleapis.com")
     AND (ProjectOwnership OR projectOwnerInvitee)
     OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE"
     AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")
     OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD"
     AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")

6. Klik Buat Metrik. Anda akan melihat konfirmasi.

Buat Kebijakan Pemberitahuan

1. Di konsol Google Cloud , buka halaman Log-based Metrics:

   Buka Log-based Metrics

   Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Logging.

2. Di bagian Metrik yang ditentukan pengguna, pilih metrik yang Anda buat di bagian sebelumnya.

3. Klik Lainnya more_vert, lalu klik Buat pemberitahuan dari metrik.

   Dialog Kondisi baru akan terbuka dengan opsi metrik dan transformasi data yang telah diisi otomatis.

4. Klik Berikutnya.
   1. Tinjau setelan yang telah diisi otomatis. Anda mungkin ingin mengubah Nilai minimum.
   2. Klik Nama kondisi, lalu masukkan nama untuk kondisi.
5. Klik Berikutnya.

6. Untuk menambahkan notifikasi ke kebijakan pemberitahuan, klik Notification channels. Dalam dialog ini, pilih satu atau beberapa saluran notifikasi dari menu, lalu klik OK.

   Untuk menerima notifikasi saat insiden dibuka dan ditutup, centang Notify on incident closure. Secara default, notifikasi hanya dikirim saat insiden dibuka.

7. Opsional: Perbarui Incident autoclose duration. Kolom ini menentukan kapan Monitoring akan menutup insiden jika data metrik tidak ada.
8. Opsional: Klik Documentation, lalu tambahkan informasi apa pun yang ingin Anda sertakan dalam pesan notifikasi.
9. Klik Alert name dan masukkan nama untuk kebijakan pemberitahuan itu.
10. Klik Create Policy.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Pod security policy disabled

Nama kategori di API: POD_SECURITY_POLICY_DISABLED

PodSecurityPolicy dinonaktifkan di cluster GKE.

PodSecurityPolicy adalah resource pengontrol penerimaan yang memvalidasi permintaan untuk membuat dan mengupdate pod di cluster. Cluster tidak akan menerima pod yang tidak memenuhi kondisi yang ditentukan dalam PodSecurityPolicy.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Untuk memperbaiki temuan ini, tentukan dan beri otorisasi PodSecurityPolicies, dan aktifkan pengontrol PodSecurityPolicy. Untuk mengetahui petunjuknya, lihat Menggunakan PodSecurityPolicies.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Primitive roles used

Nama kategori di API: PRIMITIVE_ROLES_USED

Pengguna memiliki salah satu peran dasar IAM berikut: roles/owner, roles/editor, atau roles/viewer. Peran ini terlalu permisif dan tidak boleh digunakan. Sebagai gantinya, peran hanya boleh ditetapkan per proyek.

Untuk mengetahui informasi selengkapnya, lihat Memahami peran.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman kebijakan IAM di konsol Google Cloud .

   Buka kebijakan IAM

2. Untuk setiap pengguna yang diberi peran primitif, sebaiknya gunakan peran yang lebih terperinci.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaian.

Private cluster disabled

Nama kategori di API: PRIVATE_CLUSTER_DISABLED

Cluster GKE menonaktifkan cluster pribadi.

Cluster pribadi mengizinkan node untuk hanya memiliki alamat IP pribadi. Fitur ini membatasi akses internet keluar untuk node. Jika tidak memiliki alamat IP publik, node cluster tidak dapat ditemukan atau terekspos ke internet publik. Anda masih dapat merutekan traffic ke node menggunakan load balancer internal. Untuk mengetahui informasi selengkapnya, lihat Cluster pribadi.

Anda tidak dapat menjadikan cluster yang sudah ada bersifat pribadi. Untuk memperbaiki temuan ini, buat cluster pribadi baru:

1. Buka halaman Kubernetes clusters di konsol Google Cloud .

   Buka cluster Kubernetes

2. Klik Create Cluster.

3. Di menu navigasi, di bagian Cluster, pilih Networking.

4. Pilih tombol pilihan untuk Cluster pribadi.

5. Di bagian Advanced networking options, centang kotak Enable VPC-native traffic routing (uses alias IP).

6. Klik Buat.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Private Google access disabled

Nama kategori di API: PRIVATE_GOOGLE_ACCESS_DISABLED

Ada subnet pribadi tanpa akses ke Google API publik.

Akses Google Pribadi mengaktifkan instance VM dengan hanya alamat IP internal (pribadi) untuk menjangkau alamat IP publik dari API dan layanan Google.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi Akses Pribadi Google.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman VPC networks di konsol Google Cloud .

   Buka jaringan VPC

2. Dalam daftar jaringan, klik nama jaringan yang diinginkan.

3. Di halaman VPC network details, klik tab Subnets.

4. Dalam daftar subnet, klik nama subnet yang terkait dengan cluster Kubernetes dalam temuan.

5. Di halaman Subnet details, klik edit Edit.

6. Di bagian Private Google Access, pilih On.

7. Klik Simpan.

8. Untuk menghapus IP publik (eksternal) dari instance VM yang traffic eksternalnya hanya ke Google API, lihat Membatalkan penetapan alamat IP eksternal statis.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Public bucket ACL

Nama kategori di API: PUBLIC_BUCKET_ACL

Bucket bersifat publik dan siapa saja di internet dapat mengaksesnya.

Untuk mengetahui informasi selengkapnya, lihat Ringkasan kontrol akses.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Storage Browser di konsol Google Cloud .

   Buka Browser Penyimpanan

2. Pilih bucket yang tercantum dalam temuan Security Health Analytics.

3. Di halaman Detail bucket, klik tab Izin.

4. Di samping Lihat menurut, klik Peran.

5. Di kotak Filter, telusuri allUsers dan allAuthenticatedUsers.

6. Klik delete Hapus untuk menghapus semua izin IAM yang diberikan kepada allUsers dan allAuthenticatedUsers.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Public Compute image

Nama kategori di API: PUBLIC_COMPUTE_IMAGE

Image Compute Engine bersifat publik dan siapa pun di internet dapat mengaksesnya. allUsers mewakili siapa pun di internet dan allAuthenticatedUsers mewakili siapa pun yang diautentikasi dengan Akun Google; keduanya tidak dibatasi hanya pada pengguna dalam organisasi Anda.

Image Compute Engine mungkin berisi informasi sensitif seperti kunci enkripsi atau software berlisensi. Informasi sensitif seperti itu tidak boleh dapat diakses oleh publik. Jika Anda bermaksud menjadikan image Compute Engine ini publik, pastikan tidak ada informasi sensitif di dalamnya.

Untuk mengetahui informasi selengkapnya, lihat Ringkasan kontrol akses.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman image Compute Engine di konsolGoogle Cloud .

   Buka image Compute Engine

2. Pilih kotak di samping gambar public-image, lalu klik Tampilkan Panel Info.

3. Di kotak Filter, telusuri akun utama untuk allUsers dan allAuthenticatedUsers.

4. Perluas peran yang ingin Anda hapus penggunanya.

5. Klik delete Hapus untuk menghapus pengguna dari peran tersebut.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Public dataset

Nama kategori di API: PUBLIC_DATASET

Set data BigQuery bersifat publik dan dapat diakses oleh siapa saja di internet. Akun utama IAM allUsers mewakili siapa pun di internet dan allAuthenticatedUsers mewakili siapa pun yang login ke layanan Google; keduanya tidak dibatasi hanya pada pengguna dalam organisasi Anda.

Untuk mengetahui informasi selengkapnya, lihat Mengontrol akses ke set data.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Explorer BigQuery di konsol Google Cloud .

   Buka Set Data BigQuery

2. Dalam daftar set data, klik nama set data yang diidentifikasi dalam temuan. Panel Info set data akan terbuka.

3. Di dekat bagian atas panel Dataset info, klik BERBAGI.

4. Di menu drop-down, klik Izin.

5. Di panel Dataset Permissions, masukkan allUsers dan allAuthenticatedUsers, lalu hapus akses untuk akun utama tersebut.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Public IP address

Nama kategori di API: PUBLIC_IP_ADDRESS

Instance Compute Engine memiliki alamat IP publik.

Untuk mengurangi permukaan serangan organisasi Anda, hindari menetapkan alamat IP publik ke VM Anda. Instance yang dihentikan mungkin masih ditandai dengan temuan IP Publik, misalnya, jika antarmuka jaringan dikonfigurasi untuk menetapkan IP publik sementara saat memulai. Pastikan konfigurasi jaringan untuk instance yang dihentikan tidak menyertakan akses eksternal.

Untuk mengetahui informasi selengkapnya, lihat Menghubungkan ke instance VM dengan aman.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman VM instances di konsol Google Cloud .

   Buka instance VM

2. Dalam daftar instance, centang kotak di samping nama instance dalam temuan.

3. Klik edit Edit.

4. Untuk setiap antarmuka di bagian Network interfaces, klik edit Edit, lalu setel External IP ke None.

5. Klik Selesai, lalu klik Simpan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Public log bucket

Nama kategori di API: PUBLIC_LOG_BUCKET

Temuan ini tidak tersedia untuk aktivasi level project.

Bucket penyimpanan bersifat publik dan digunakan sebagai sink log, yang berarti siapa saja di internet dapat mengakses log yang disimpan dalam bucket ini. allUsers mewakili siapa saja di internet dan allAuthenticatedUsers mewakili siapa saja yang login ke layanan Google. Keduanya tidak dibatasi hanya pada pengguna dalam organisasi Anda.

Untuk mengetahui informasi selengkapnya, lihat Ringkasan kontrol akses.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman browser Cloud Storage di konsol Google Cloud .

   Buka browser Cloud Storage

2. Dalam daftar bucket, klik nama bucket yang ditunjukkan dalam temuan.

3. Klik tab Izin.

4. Hapus allUsers dan allAuthenticatedUsers dari daftar akun utama.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Public SQL instance

Nama kategori di API: PUBLIC_SQL_INSTANCE

Instance SQL Anda memiliki 0.0.0.0/0 sebagai jaringan yang diizinkan. Kejadian ini berarti bahwa klien IPv4 mana pun dapat melewati firewall jaringan dan melakukan upaya login ke instance Anda, termasuk klien yang mungkin tidak sengaja Anda izinkan. Klien masih memerlukan kredensial yang valid agar berhasil login ke instance Anda.

Untuk mengetahui informasi selengkapnya, lihat Memberikan otorisasi dengan jaringan yang diizinkan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Instance Cloud SQL di konsol Google Cloud .

   Buka Instance Cloud SQL

2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

3. Klik edit Edit.

4. Di panel navigasi, klik Koneksi.

5. Di bagian Jaringan yang diizinkan, hapus 0.0.0.0/0 dan tambahkan alamat IP atau rentang IP tertentu yang ingin Anda izinkan untuk terhubung ke instance Anda.

6. Klik Selesai, lalu klik Simpan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Pubsub CMEK disabled

Nama kategori di API: PUBSUB_CMEK_DISABLED

Topik Pub/Sub tidak dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK).

Dengan CMEK, kunci yang Anda buat dan kelola di Cloud KMS akan menggabungkan kunci yang digunakan Google untuk mengenkripsi data Anda, sehingga Anda memiliki lebih banyak kontrol terhadap akses ke data Anda.

Untuk memperbaiki temuan ini, hapus topik yang ada dan buat topik baru:

1. Buka halaman Topics Pub/Sub di konsol Google Cloud .

   Buka Topik

2. Jika perlu, pilih project yang berisi topik Pub/Sub.

3. Centang kotak di samping topik yang tercantum dalam temuan, lalu klik delete Hapus.

4. Untuk membuat topik Pub/Sub baru dengan CMEK diaktifkan, lihat Menggunakan kunci enkripsi yang dikelola pelanggan. CMEK menimbulkan biaya tambahan terkait Cloud KMS.

5. Publikasikan temuan atau data lain ke topik Pub/Sub yang mendukung CMEK.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Route not monitored

Nama kategori di API: ROUTE_NOT_MONITORED

Metrik log dan pemberitahuan tidak dikonfigurasi untuk memantau perubahan rute jaringan VPC.

RuteGoogle Cloud adalah tujuan dan hop yang menentukan jalur yang dilalui traffic jaringan dari instance VM ke IP tujuan. Dengan memantau perubahan pada tabel rute, Anda dapat membantu memastikan bahwa semua traffic VPC mengalir melalui jalur yang diharapkan.

Untuk mengetahui informasi selengkapnya, lihat Ringkasan metrik berbasis log.

Bergantung pada jumlah informasi, biaya Cloud Monitoring bisa signifikan. Untuk memahami penggunaan layanan dan biayanya, lihat Harga Google Cloud Observability.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Membuat metrik

1. Buka halaman Metrik Berbasis Log di konsol Google Cloud .

   Buka Logs-based Metrics

2. Klik Buat Metrik.

3. Di bagian Metric Type, pilih Counter.

4. Di bagian Detail:

   1. Setel Log metric name.
   2. Tambahkan deskripsi.
   3. Setel Units ke 1.

5. Di bagian Filter selection, salin dan tempel teks berikut pada kotak Build filter, yang menggantikan teks yang ada, jika diperlukan:

     resource.type="gce_route"
     AND (protoPayload.methodName:"compute.routes.delete"
     OR protoPayload.methodName:"compute.routes.insert")

6. Klik Buat Metrik. Anda akan melihat konfirmasi.

Buat Kebijakan Pemberitahuan

1. Di konsol Google Cloud , buka halaman Log-based Metrics:

   Buka Log-based Metrics

   Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Logging.

2. Di bagian Metrik yang ditentukan pengguna, pilih metrik yang Anda buat di bagian sebelumnya.

3. Klik Lainnya more_vert, lalu klik Buat pemberitahuan dari metrik.

   Dialog Kondisi baru akan terbuka dengan opsi metrik dan transformasi data yang telah diisi otomatis.

4. Klik Berikutnya.
   1. Tinjau setelan yang telah diisi otomatis. Anda mungkin ingin mengubah Nilai minimum.
   2. Klik Nama kondisi, lalu masukkan nama untuk kondisi.
5. Klik Berikutnya.

6. Untuk menambahkan notifikasi ke kebijakan pemberitahuan, klik Notification channels. Dalam dialog ini, pilih satu atau beberapa saluran notifikasi dari menu, lalu klik OK.

   Untuk menerima notifikasi saat insiden dibuka dan ditutup, centang Notify on incident closure. Secara default, notifikasi hanya dikirim saat insiden dibuka.

7. Opsional: Perbarui Incident autoclose duration. Kolom ini menentukan kapan Monitoring akan menutup insiden jika data metrik tidak ada.
8. Opsional: Klik Documentation, lalu tambahkan informasi apa pun yang ingin Anda sertakan dalam pesan notifikasi.
9. Klik Alert name dan masukkan nama untuk kebijakan pemberitahuan itu.
10. Klik Create Policy.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Redis role used on org

Nama kategori di API: REDIS_ROLE_USED_ON_ORG

Temuan ini tidak tersedia untuk aktivasi level project.

Peran IAM Redis ditetapkan di tingkat organisasi atau folder.

Peran IAM Redis berikut hanya boleh ditetapkan per project, bukan di tingkat organisasi atau folder:

• roles/redis.admin
• roles/redis.viewer
• roles/redis.editor

Untuk mengetahui informasi selengkapnya, lihat Kontrol akses dan izin.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman kebijakan IAM di konsol Google Cloud .

   Buka kebijakan IAM

2. Hapus peran Redis IAM yang ditunjukkan dalam temuan dan tambahkan di masing-masing project saja.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Release channel disabled

Nama kategori di API: RELEASE_CHANNEL_DISABLED

Cluster GKE tidak berlangganan ke saluran rilis.

Berlanggananlah ke saluran rilis untuk mengotomatiskan upgrade versi ke cluster GKE. Fitur ini juga mengurangi kompleksitas pengelolaan versi menjadi jumlah fitur dan tingkat stabilitas yang diperlukan. Untuk mengetahui informasi selengkapnya, lihat Saluran rilis.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Kubernetes clusters di konsol Google Cloud .

   Buka cluster Kubernetes

2. Di bagian Cluster basics, klik edit Upgrade cluster master version di baris Release channel.

   Jika konfigurasi cluster baru-baru ini diubah, tombol edit mungkin dinonaktifkan. Jika Anda tidak dapat mengedit setelan cluster, tunggu beberapa menit, lalu coba lagi.

3. Dalam dialog, pilih Release channel, lalu pilih saluran rilis yang ingin Anda ikuti.

   Jika versi bidang kontrol cluster Anda tidak dapat diupgrade ke saluran rilis, saluran tersebut mungkin dinonaktifkan sebagai opsi.

4. Klik Simpan Perubahan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

RSASHA1 for signing

Nama kategori di API: RSASHA1_FOR_SIGNING

RSASHA1 digunakan untuk penandatanganan kunci di zona Cloud DNS. Algoritma yang digunakan untuk penandatanganan kunci tidak boleh lemah.

Untuk memperbaiki temuan ini, ganti algoritma dengan algoritma yang direkomendasikan dengan mengikuti panduan Menggunakan opsi penandatanganan lanjutan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Service account key not rotated

Nama kategori di API: SERVICE_ACCOUNT_KEY_NOT_ROTATED

Temuan ini tidak tersedia untuk aktivasi level project.

Kunci akun layanan yang dikelola pengguna belum dirotasi selama lebih dari 90 hari.

Secara umum, kunci akun layanan yang dikelola oleh pengguna harus dirotasi setidaknya setiap 90 hari, untuk memastikan data tidak dapat diakses dengan kunci lama yang mungkin telah hilang, dibobol, atau dicuri. Untuk mengetahui informasi selengkapnya, lihat Merotasikan kunci akun layanan untuk mengurangi risiko keamanan yang disebabkan oleh kebocoran kunci.

Jika Anda membuat pasangan kunci publik/pribadi sendiri, menyimpan kunci pribadi dalam modul keamanan hardware (HSM), dan mengupload kunci publik ke Google, maka Anda mungkin tidak perlu merotasi kunci setiap 90 hari. Sebagai gantinya, Anda dapat merotasi kunci jika yakin bahwa kunci mungkin telah disusupi.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Service Accounts di konsol Google Cloud .

   Buka Akun Layanan

2. Jika perlu, pilih project yang ditunjukkan dalam temuan.

3. Dalam daftar akun layanan, temukan akun layanan yang tercantum dalam temuan.

4. Klik tab Kunci, lalu identifikasi kunci yang ingin Anda nonaktifkan.

5. Untuk menonaktifkan kunci, ikuti petunjuk di Menonaktifkan kunci akun layanan.

6. Opsional: Setelah Anda yakin bahwa kunci tidak lagi digunakan, hapus kunci akun layanan.

   read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Service account role separation

Nama kategori di API: SERVICE_ACCOUNT_ROLE_SEPARATION

Temuan ini tidak tersedia untuk aktivasi level project.

Satu atau beberapa akun utama di organisasi Anda memiliki beberapa izin akun layanan yang ditetapkan. Tidak boleh ada akun yang secara bersamaan memiliki Admin Akun Layanan dengan izin akun layanan lainnya. Untuk mempelajari akun layanan dan peran yang tersedia untuknya, lihat Akun layanan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman IAM di konsol Google Cloud .

   Buka IAM

2. Untuk setiap akun utama yang tercantum dalam temuan, lakukan hal berikut:

   1. Periksa apakah peran diwariskan dari folder atau resource organisasi dengan melihat kolom Inheritance. Jika kolom berisi link ke resource induk, klik link untuk membuka halaman IAM resource induk.
   2. Klik edit Edit di samping akun utama.
   3. Untuk menghapus izin, klik delete Hapus di samping Admin Akun Layanan. Jika Anda ingin menghapus semua izin akun layanan, klik Hapus di samping semua izin lainnya.

3. Klik Simpan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Shielded VM disabled

Nama kategori di API: SHIELDED_VM_DISABLED

Shielded VM dinonaktifkan di instance Compute Engine ini.

Shielded VM adalah virtual machine (VM) di Google Cloud yang telah melalui proses hardening oleh serangkaian kontrol keamanan yang membantu memberikan pertahanan dari rootkit dan bootkit. Shielded VM membantu memastikan bahwa boot loader dan firmware ditandatangani dan diverifikasi. Pelajari Shielded VM lebih lanjut.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman VM instances di konsol Google Cloud .

   Buka instance VM

2. Pilih instance yang terkait dengan temuan Security Health Analytics.

3. Di halaman Instance details yang dimuat, klik stop Stop.

4. Setelah instance dihentikan, klik edit Edit.

5. Di bagian Shielded VM, alihkan tombol Turn on vTPM dan Turn on Integrity Monitoring untuk mengaktifkan Shielded VM.

6. Anda juga memiliki opsi untuk mengaktifkan Booting Aman jika tidak menggunakan driver kustom atau driver yang tidak ditandatangani.

7. Klik Simpan. Konfigurasi baru akan muncul di halaman Instance details.

8. Klik play_arrow Mulai untuk memulai instance.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

SQL CMEK disabled

Nama kategori di API: SQL_CMEK_DISABLED

Instance database SQL tidak menggunakan kunci enkripsi yang dikelola pelanggan (CMEK).

Dengan CMEK, kunci yang Anda buat dan kelola di Cloud KMS akan menggabungkan kunci yang digunakan Google untuk mengenkripsi data Anda, sehingga Anda memiliki lebih banyak kontrol terhadap akses ke data Anda. Untuk mengetahui informasi selengkapnya, lihat ringkasan CMEK untuk produk Anda: Cloud SQL untuk MySQL, Cloud SQL untuk PostgreSQL, atau Cloud SQL untuk SQL Server. CMEK menimbulkan biaya tambahan yang terkait dengan Cloud KMS.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Instance Cloud SQL di konsolGoogle Cloud .

   Buka Instance Cloud SQL

2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

3. Klik delete Delete.

4. Untuk membuat instance baru dengan CMEK yang diaktifkan, ikuti petunjuk untuk mengonfigurasi CMEK untuk produk Anda:

   1. Cloud SQL untuk MySQL
   2. Cloud SQL untuk PostgreSQL
   3. Cloud SQL untuk SQL Server

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

SQL contained database authentication

Nama kategori di API: SQL_CONTAINED_DATABASE_AUTHENTICATION

Instance database Cloud SQL untuk SQL Server tidak memiliki flag database contained database authentication yang disetel ke Off.

Flag contained database authentication mengontrol apakah Anda dapat membuat atau melampirkan database yang dimuat ke Mesin Database. Database yang dimuat mencakup semua setelan dan metadata database yang diperlukan untuk menentukan database dan tidak memiliki dependensi konfigurasi pada instance Mesin Database tempat database diinstal.

Mengaktifkan tanda ini tidak direkomendasikan karena hal berikut:

• Pengguna dapat terhubung ke database tanpa autentikasi di tingkat Mesin Database.
• Memisahkan database dari Mesin Database memungkinkan pemindahan database ke instance SQL Server lain.

Database yang dimuat menghadapi ancaman unik yang sebaiknya dipahami dan dimitigasi oleh administrator Mesin Database SQL Server. Sebagian besar ancaman disebabkan oleh proses autentikasi USER WITH PASSWORD, yang memindahkan batas autentikasi dari tingkat Mesin Database ke tingkat database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Instance Cloud SQL di konsolGoogle Cloud .

   Buka Instance Cloud SQL

2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

3. Klik edit Edit.

4. Di bagian Database flags, setel flag database contained database authentication dengan nilai Off.

5. Klik Simpan. Konfigurasi baru akan muncul di halaman Instance overview.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

SQL cross DB ownership chaining

Nama kategori di API: SQL_CROSS_DB_OWNERSHIP_CHAINING

Instance database Cloud SQL untuk SQL Server tidak memiliki flag database cross db ownership chaining yang disetel ke Off.

Flag cross db ownership chaining memungkinkan Anda mengontrol penggabungan kepemilikan database silang di tingkat database atau mengizinkan penggabungan kepemilikan database silang untuk semua pernyataan database.

Mengaktifkan tanda ini tidak direkomendasikan kecuali jika semua database yang dihosting oleh instance SQL Server ikut dalam penggabungan kepemilikan database silang, dan Anda mengetahui implikasi keamanan dari setelan ini.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi flag database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Instance Cloud SQL di konsolGoogle Cloud .

   Buka Instance Cloud SQL

2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

3. Klik edit Edit.

4. Di bagian Database flags, setel flag database cross db ownership chaining dengan nilai Off.

5. Klik Simpan. Konfigurasi baru akan muncul di halaman Instance overview.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

SQL external scripts enabled

Nama kategori di API: SQL_EXTERNAL_SCRIPTS_ENABLED

Instance database Cloud SQL untuk SQL Server tidak memiliki flag database external scripts enabled yang disetel ke Off.

Jika diaktifkan, setelan ini mengaktifkan eksekusi skrip dengan ekstensi bahasa jarak jauh tertentu. Karena fitur ini dapat berdampak buruk terhadap keamanan sistem, sebaiknya nonaktifkan fitur ini.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi flag database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Instance Cloud SQL di konsolGoogle Cloud .

   Buka Instance Cloud SQL

2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

3. Klik edit Edit.

4. Di bagian Database flags, setel flag database external scripts enabled dengan nilai Off.

5. Klik Simpan. Konfigurasi baru akan muncul di halaman Instance overview.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

SQL instance not monitored

Nama kategori di API: SQL_INSTANCE_NOT_MONITORED

Temuan ini tidak tersedia untuk aktivasi level project.

Metrik dan pemberitahuan log tidak dikonfigurasi untuk memantau perubahan konfigurasi instance Cloud SQL.

Kesalahan konfigurasi opsi instance SQL dapat menimbulkan risiko keamanan. Menonaktifkan opsi pencadangan otomatis dan ketersediaan tinggi dapat memengaruhi kelangsungan bisnis dan tidak membatasi jaringan yang diizinkan dapat meningkatkan eksposur ke jaringan yang tidak tepercaya. Memantau perubahan pada konfigurasi instance SQL membantu Anda mengurangi waktu yang diperlukan untuk mendeteksi dan memperbaiki kesalahan konfigurasi.

Untuk mengetahui informasi selengkapnya, lihat Ringkasan metrik berbasis log.

Bergantung pada jumlah informasi, biaya Cloud Monitoring bisa signifikan. Untuk memahami penggunaan layanan dan biayanya, lihat Harga Google Cloud Observability.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Membuat metrik

1. Buka halaman Metrik Berbasis Log di konsol Google Cloud .

   Buka Logs-based Metrics

2. Klik Buat Metrik.

3. Di bagian Metric Type, pilih Counter.

4. Di bagian Detail:

   1. Setel Log metric name.
   2. Tambahkan deskripsi.
   3. Setel Units ke 1.

5. Di bagian Filter selection, salin dan tempel teks berikut pada kotak Build filter, yang menggantikan teks yang ada, jika diperlukan:

     protoPayload.methodName="cloudsql.instances.update"
     OR protoPayload.methodName="cloudsql.instances.create"
     OR protoPayload.methodName="cloudsql.instances.delete"

6. Klik Buat Metrik. Anda akan melihat konfirmasi.

Buat Kebijakan Pemberitahuan

1. Di konsol Google Cloud , buka halaman Log-based Metrics:

   Buka Log-based Metrics

   Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Logging.

2. Di bagian Metrik yang ditentukan pengguna, pilih metrik yang Anda buat di bagian sebelumnya.

3. Klik Lainnya more_vert, lalu klik Buat pemberitahuan dari metrik.

   Dialog Kondisi baru akan terbuka dengan opsi metrik dan transformasi data yang telah diisi otomatis.

4. Klik Berikutnya.
   1. Tinjau setelan yang telah diisi otomatis. Anda mungkin ingin mengubah Nilai minimum.
   2. Klik Nama kondisi, lalu masukkan nama untuk kondisi.
5. Klik Berikutnya.

6. Untuk menambahkan notifikasi ke kebijakan pemberitahuan, klik Notification channels. Dalam dialog ini, pilih satu atau beberapa saluran notifikasi dari menu, lalu klik OK.

   Untuk menerima notifikasi saat insiden dibuka dan ditutup, centang Notify on incident closure. Secara default, notifikasi hanya dikirim saat insiden dibuka.

7. Opsional: Perbarui Incident autoclose duration. Kolom ini menentukan kapan Monitoring akan menutup insiden jika data metrik tidak ada.
8. Opsional: Klik Documentation, lalu tambahkan informasi apa pun yang ingin Anda sertakan dalam pesan notifikasi.
9. Klik Alert name dan masukkan nama untuk kebijakan pemberitahuan itu.
10. Klik Create Policy.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaian.

SQL local infile

Nama kategori di API: SQL_LOCAL_INFILE

Instance database Cloud SQL untuk MySQL tidak memiliki flag database local_infile yang disetel ke Nonaktif. Karena masalah keamanan yang terkait dengan flag local_infile, flag ini harus dinonaktifkan. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi flag database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Instance Cloud SQL di konsolGoogle Cloud .

   Buka Instance Cloud SQL

2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

3. Klik edit Edit.

4. Di bagian Database flags, setel flag database local_infile dengan nilai Off.

5. Klik Simpan. Konfigurasi baru akan muncul di halaman Instance overview.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaian.

SQL log checkpoints disabled

Nama kategori di API: SQL_LOG_CHECKPOINTS_DISABLED

Instance database Cloud SQL untuk PostgreSQL tidak memiliki flag database log_checkpoints yang disetel ke On.

Mengaktifkan log_checkpoints menyebabkan checkpoint dan titik mulai ulang dicatat dalam log server. Beberapa statistik disertakan dalam pesan log, termasuk jumlah buffer yang tertulis dan waktu yang diperlukan untuk menulisnya.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi flag database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Instance Cloud SQL di konsolGoogle Cloud .

   Buka Instance Cloud SQL

2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

3. Klik edit Edit.

4. Di bagian Database flags, setel flag database log_checkpoints dengan nilai On.

5. Klik Simpan. Konfigurasi baru akan muncul di halaman Instance overview.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

SQL log connections disabled

Nama kategori di API: SQL_LOG_CONNECTIONS_DISABLED

Instance database Cloud SQL untuk PostgreSQL tidak memiliki flag database log_connections yang disetel ke On.

Mengaktifkan setelan log_connections menyebabkan upaya koneksi ke server akan dicatat ke dalam log, beserta keberhasilan penyelesaian autentikasi klien. Log dapat bermanfaat dalam memecahkan masalah dan mengonfirmasi upaya koneksi yang tidak biasa ke server.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi flag database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Instance Cloud SQL di konsolGoogle Cloud .

   Buka Instance Cloud SQL

2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

3. Klik edit Edit.

4. Di bagian Database flags, setel flag database log_connections dengan nilai On.

5. Klik Simpan. Konfigurasi baru akan muncul di halaman Instance overview.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

SQL log disconnections disabled

Nama kategori di API: SQL_LOG_DISCONNECTIONS_DISABLED

Instance database Cloud SQL untuk PostgreSQL tidak memiliki flag database log_disconnections yang disetel ke Aktif.

Mengaktifkan setelan log_disconnections menghasilkan entri log di akhir setiap sesi. Log berguna untuk memecahkan masalah dan mengonfirmasi aktivitas yang tidak biasa pada jangka waktu tertentu. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi flag database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Instance Cloud SQL di konsolGoogle Cloud .

   Buka Instance Cloud SQL

2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

3. Klik edit Edit.

4. Di bagian Database flags, setel flag database log_disconnections dengan nilai On.

5. Klik Simpan. Konfigurasi baru akan muncul di halaman Instance overview.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

SQL log duration disabled

Nama kategori di API: SQL_LOG_DURATION_DISABLED

Instance database Cloud SQL untuk PostgreSQL tidak memiliki flag database log_duration yang disetel ke On.

Jika log_duration diaktifkan, setelan ini akan menyebabkan waktu eksekusi dan durasi setiap pernyataan selesai dicatat ke dalam log. Memantau jumlah waktu yang diperlukan untuk menjalankan kueri dapat menjadi hal yang sangat penting dalam mengidentifikasi kueri yang lambat dan memecahkan masalah database.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi flag database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Instance Cloud SQL di konsolGoogle Cloud .

   Buka Instance Cloud SQL

2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

3. Klik edit Edit.

4. Di bagian Database flags, setel flag database log_duration ke On.

5. Klik Simpan. Konfigurasi baru akan muncul di halaman Instance overview.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

SQL log error verbosity

Nama kategori di API: SQL_LOG_ERROR_VERBOSITY

Instance database Cloud SQL untuk PostgreSQL tidak memiliki flag database log_error_verbosity yang disetel ke default atau verbose.

Flag log_error_verbosity mengontrol jumlah detail dalam pesan yang dicatat ke dalam log. Makin panjang informasi, makin banyak detail yang tercatat dalam pesan. Sebaiknya setel flag ini ke default atau verbose.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi flag database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Instance Cloud SQL di konsolGoogle Cloud .

   Buka Instance Cloud SQL

2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

3. Klik edit Edit.

4. Di bagian Database flags, setel flag database log_error_verbosity ke default atau verbose.

5. Klik Simpan. Konfigurasi baru akan muncul di halaman Instance overview.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

SQL log lock waits disabled

Nama kategori di API: SQL_LOG_LOCK_WAITS_DISABLED

Instance database Cloud SQL untuk PostgreSQL tidak memiliki flag database log_lock_waits yang disetel ke Aktif.

Mengaktifkan setelan log_lock_waits menghasilkan entri log ketika waktu tunggu sesi lebih lama dibandingkan waktu deadlock_timeout untuk mendapatkan kunci. Log ini berguna untuk menentukan apakah waktu tunggu kunci menyebabkan performa yang buruk.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi flag database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Instance Cloud SQL di konsolGoogle Cloud .

   Buka Instance Cloud SQL

2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

3. Klik edit Edit.

4. Di bagian Database flags, setel flag database log_lock_waits dengan nilai On.

5. Klik Simpan. Konfigurasi baru akan muncul di halaman Instance overview.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaian.

SQL log min duration statement enabled

Nama kategori di API: SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

Instance database Cloud SQL untuk PostgreSQL tidak memiliki flag database log_min_duration_statement yang disetel ke -1.

Flag log_min_duration_statement menyebabkan pernyataan SQL yang berjalan lebih lama daripada waktu yang ditentukan dicatat ke dalam log. Sebaiknya nonaktifkan setelan ini karena pernyataan SQL mungkin berisi informasi sensitif yang tidak seharusnya dicatat ke dalam log. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi flag database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Instance Cloud SQL di konsolGoogle Cloud .

   Buka Instance Cloud SQL

2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

3. Klik edit Edit.

4. Di bagian Database flags, setel flag database log_min_duration_statement dengan nilai -1.

5. Klik Simpan. Konfigurasi baru akan muncul di halaman Instance overview.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

SQL log min error statement

Nama kategori di API: SQL_LOG_MIN_ERROR_STATEMENT

Instance database Cloud SQL untuk PostgreSQL tidak memiliki setelan flag database log_min_error_statement yang tepat.

Flag log_min_error_statement mengontrol apakah pernyataan SQL yang menyebabkan kondisi error dicatat dalam log server. Pernyataan SQL dengan tingkat keparahan yang ditentukan atau lebih tinggi dicatat ke dalam log dengan pesan untuk pernyataan error. Makin tinggi tingkat keparahan, makin sedikit pesan yang dicatat.

Jika log_min_error_statement tidak disetel ke nilai yang benar, pesan mungkin tidak diklasifikasikan sebagai pesan error. Tingkat keparahan yang disetel terlalu rendah dapat meningkatkan jumlah pesan dan mempersulit pencarian error sebenarnya. Tingkat keparahan yang disetel terlalu tinggi mungkin menyebabkan pesan error untuk error sebenarnya tidak dicatat ke dalam log.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi flag database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Instance Cloud SQL di konsolGoogle Cloud .

   Buka Instance Cloud SQL

2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

3. Klik edit Edit.

4. Di bagian Database flags, setel flag database log_min_error_statement dengan salah satu nilai rekomendasi berikut, sesuai dengan kebijakan logging organisasi Anda.

   • debug5
   • debug4
   • debug3
   • debug2
   • debug1
   • info
   • notice
   • warning
   • error

5. Klik Simpan. Konfigurasi baru akan muncul di halaman Instance overview.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

SQL log min error statement severity

Nama kategori di API: SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

Instance database Cloud SQL untuk PostgreSQL tidak memiliki setelan flag database log_min_error_statement yang tepat.

Flag log_min_error_statement mengontrol apakah pernyataan SQL yang menyebabkan kondisi error dicatat dalam log server. Pernyataan SQL dengan tingkat keparahan tertentu atau yang lebih ketat dicatat ke dalam log dengan pesan untuk pernyataan error. Makin ketat tingkat keparahan, makin sedikit pesan yang dicatat.

Jika log_min_error_statement tidak disetel ke nilai yang benar, pesan mungkin tidak diklasifikasikan sebagai pesan error. Tingkat keparahan yang disetel terlalu rendah akan meningkatkan jumlah pesan dan mempersulit pencarian error sebenarnya. Tingkat keparahan yang terlalu tinggi (terlalu ketat) dapat menyebabkan pesan error untuk error sebenarnya tidak dicatat ke dalam log.

Sebaiknya setel flag ini ke error atau yang lebih ketat.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi flag database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Instance Cloud SQL di konsolGoogle Cloud .

   Buka Instance Cloud SQL

2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

3. Klik edit Edit.

4. Di bagian Database flags, setel flag database log_min_error_statement dengan salah satu nilai rekomendasi berikut, sesuai dengan kebijakan logging organisasi Anda.

   • error
   • log
   • fatal
   • panic

5. Klik Simpan. Konfigurasi baru akan muncul di halaman Instance overview.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaian.

SQL log min messages

Nama kategori di API: SQL_LOG_MIN_MESSAGES

Instance database Cloud SQL untuk PostgreSQL tidak memiliki flag database log_min_messages yang disetel ke warning minimal.

Flag log_min_messages mengontrol tingkat pesan mana yang dicatat dalam log server. Makin tinggi tingkat keparahan, makin sedikit pesan yang dicatat. Menyetel nilai minimum terlalu rendah dapat menyebabkan peningkatan ukuran dan panjang penyimpanan log, sehingga menyulitkan Anda untuk menemukan error sebenarnya.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi flag database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Instance Cloud SQL di konsolGoogle Cloud .

   Buka Instance Cloud SQL

2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

3. Klik edit Edit.

4. Di bagian Database flags, setel flag database log_min_messages dengan salah satu nilai rekomendasi berikut, sesuai dengan kebijakan logging organisasi Anda.

   • debug5
   • debug4
   • debug3
   • debug2
   • debug1
   • info
   • notice
   • warning

5. Klik Simpan. Konfigurasi baru akan muncul di halaman Instance overview.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

SQL log executor stats enabled

Nama kategori di API: SQL_LOG_EXECUTOR_STATS_ENABLED

Instance database Cloud SQL untuk PostgreSQL tidak memiliki flag database log_executor_stats yang disetel ke Off.

Jika flag log_executor_stats diaktifkan, statistik performa eksekutor disertakan dalam log PostgreSQL untuk setiap kueri. Setelan ini dapat berguna untuk memecahkan masalah, tetapi dapat meningkatkan jumlah log dan overhead performa secara signifikan.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi flag database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Instance Cloud SQL di konsol Google Cloud .

   Buka Instance Cloud SQL

2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

3. Klik edit Edit.

4. Di bagian Database flags, setel flag database log_executor_stats ke Off.

5. Klik Simpan. Konfigurasi baru akan muncul di halaman Instance overview.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

SQL log hostname enabled

Nama kategori di API: `SQL_LOG_HOSTNAME_ENABLED

Instance database Cloud SQL untuk PostgreSQL tidak memiliki flag database log_hostname yang disetel ke Off.

Jika tanda log_hostname diaktifkan, nama host dari host yang terhubung akan dicatat. Secara default, pesan log koneksi hanya menampilkan alamat IP. Setelan ini dapat berguna untuk memecahkan masalah. Namun, setelan ini dapat menimbulkan beban pada performa server karena untuk setiap pernyataan yang dicatat ke dalam log, resolusi DNS diperlukan untuk mengonversi alamat IP ke nama host.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi flag database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Instance Cloud SQL di konsol Google Cloud .

   Buka Instance Cloud SQL

2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

3. Klik edit Edit.

4. Di bagian Database flags, setel flag database log_hostname ke Off.

5. Klik Simpan. Konfigurasi baru akan muncul di halaman Instance overview.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

SQL log parser stats enabled

Nama kategori di API: SQL_LOG_PARSER_STATS_ENABLED

Instance database Cloud SQL untuk PostgreSQL tidak memiliki flag database log_parser_stats yang disetel ke Off.

Jika flag log_parser_stats diaktifkan, statistik performa parser disertakan dalam log PostgreSQL untuk setiap kueri. Setelan ini dapat berguna untuk memecahkan masalah, tetapi dapat meningkatkan jumlah log dan overhead performa secara signifikan.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi flag database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Instance Cloud SQL di konsol Google Cloud .

   Buka Instance Cloud SQL

2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

3. Klik edit Edit.

4. Di bagian Database flags, setel flag database log_parser_stats ke Off.

5. Klik Simpan. Konfigurasi baru akan muncul di halaman Instance overview.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

SQL log planner stats enabled

Nama kategori di API: SQL_LOG_PLANNER_STATS_ENABLED

Instance database Cloud SQL untuk PostgreSQL tidak memiliki flag database log_planner_stats yang disetel ke Off.

Jika flag log_planner_stats diaktifkan, metode pembuatan profil sederhana untuk mencatat log statistik performa planner PostgreSQL akan digunakan. Setelan ini dapat berguna untuk memecahkan masalah, tetapi dapat meningkatkan jumlah log dan overhead performa secara signifikan.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi flag database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Instance Cloud SQL di konsol Google Cloud .

   Buka Instance Cloud SQL

2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

3. Klik edit Edit.

4. Di bagian Database flags, setel flag database log_planner_stats ke Off.

5. Klik Simpan. Konfigurasi baru akan muncul di halaman Instance overview.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

SQL log statement

Nama kategori di API: SQL_LOG_STATEMENT

Instance database Cloud SQL untuk PostgreSQL tidak memiliki flag database log_statement yang disetel ke ddl.

Nilai flag ini mengontrol pernyataan SQL mana yang akan dicatat ke dalam log. Logging membantu memecahkan masalah operasional dan mengizinkan analisis forensik. Jika tanda ini tidak disetel ke nilai yang benar, informasi yang relevan mungkin dilewati atau disembunyikan di banyak pesan. Nilai ddl (semua pernyataan definisi data) direkomendasikan kecuali jika diatur oleh kebijakan logging organisasi Anda.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi flag database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Instance Cloud SQL di konsol Google Cloud .

   Buka Instance Cloud SQL

2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

3. Klik edit Edit.

4. Di bagian Database flags, setel flag database log_statement ke ddl.

5. Klik Simpan. Konfigurasi baru akan muncul di halaman Instance overview.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

SQL log statement stats enabled

Nama kategori di API: SQL_LOG_STATEMENT_STATS_ENABLED

Instance database Cloud SQL untuk PostgreSQL tidak memiliki flag database log_statement_stats yang disetel ke Off.

Jika flag log_statement_stats diaktifkan, statistik performa end-to-end akan disertakan dalam log PostgreSQL untuk setiap kueri. Setelan ini dapat berguna untuk memecahkan masalah, tetapi dapat meningkatkan jumlah log dan overhead performa secara signifikan.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi flag database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Instance Cloud SQL di konsol Google Cloud .

   Buka Instance Cloud SQL

2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

3. Klik edit Edit.

4. Di bagian Database flags, setel flag database log_statement_stats ke Off.

5. Klik Simpan. Konfigurasi baru akan muncul di halaman Instance overview.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

SQL log temp files

Nama kategori di API: SQL_LOG_TEMP_FILES

Instance database Cloud SQL untuk PostgreSQL tidak memiliki flag database log_temp_files yang disetel ke 0.

File sementara dapat dibuat untuk urutan, hash, dan hasil kueri sementara. Menyetel flag log_temp_files ke 0 menyebabkan semua informasi file sementara dicatat ke dalam log. Mencatat log semua file sementara berguna untuk mengidentifikasi potensi masalah performa. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi flag database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Instance Cloud SQL di konsol Google Cloud .

   Buka Instance Cloud SQL

2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

3. Klik edit Edit.

4. Di bagian Database flags, setel flag database log_temp_files dengan nilai 0.

5. Klik Simpan. Konfigurasi baru akan muncul di halaman Instance overview.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

SQL no root password

Nama kategori di API: SQL_NO_ROOT_PASSWORD

Instance database MySQL tidak memiliki sandi yang ditetapkan untuk akun root. Anda harus menambahkan sandi ke instance database MySQL. Untuk mengetahui informasi selengkapnya, lihat Pengguna MySQL.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Instance Cloud SQL di konsolGoogle Cloud .

   Buka Instance Cloud SQL

2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

3. Di halaman Instance details yang dimuat, pilih tab Users.

4. Di samping pengguna root, klik Lainnya , lalu pilih Ubah Sandi.

5. Masukkan kata sandi baru yang kuat, lalu klik OK.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

SQL public IP

Nama kategori di API: SQL_PUBLIC_IP

Database Cloud SQL memiliki alamat IP publik.

Untuk mengurangi area serangan organisasi Anda, database Cloud SQL tidak boleh memiliki alamat IP publik. Alamat IP pribadi memberikan keamanan jaringan yang lebih baik dan latensi yang lebih rendah untuk aplikasi Anda.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Instance Cloud SQL di konsol Google Cloud .

   Buka Instance Cloud SQL

2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

3. Di menu sebelah kiri, klik Koneksi.

4. Klik tab Networking, lalu hapus centang pada kotak Public IP.

5. Jika instance belum dikonfigurasi untuk menggunakan IP pribadi, lihat Mengonfigurasi IP pribadi untuk instance yang ada.

6. Klik Simpan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

SQL remote access enabled

Nama kategori di API: SQL_REMOTE_ACCESS_ENABLED

Instance database Cloud SQL untuk SQL Server tidak memiliki flag database remote access yang disetel ke Off.

Jika diaktifkan, setelan ini memberikan izin untuk menjalankan prosedur yang tersimpan secara lokal dari server jarak jauh atau prosedur yang tersimpan secara jarak jauh dari server lokal. Fungsi ini dapat disalahgunakan untuk meluncurkan serangan Denial-of-Service (DoS) pada server jarak jauh dengan menurunkan muatan pemrosesan kueri ke target. Untuk mencegah penyalahgunaan, sebaiknya nonaktifkan setelan ini.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi flag database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Instance Cloud SQL di konsolGoogle Cloud .

   Buka Instance Cloud SQL

2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

3. Klik edit Edit.

4. Di bagian Flags, setel remote access ke Off.

5. Klik Simpan. Konfigurasi baru akan muncul di halaman Instance overview.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

SQL skip show database disabled

Nama kategori di API: SQL_SKIP_SHOW_DATABASE_DISABLED

Instance database Cloud SQL untuk MySQL tidak memiliki flag database skip_show_database yang disetel ke On.

Jika diaktifkan, tanda ini mencegah pengguna menggunakan pernyataan SHOW DATABASES jika mereka tidak memiliki hak istimewa SHOW DATABASES. Dengan setelan ini, pengguna yang tidak memiliki izin eksplisit tidak dapat melihat database milik pengguna lain. Sebaiknya aktifkan tanda ini.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi flag database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Instance Cloud SQL di konsolGoogle Cloud .

   Buka Instance Cloud SQL

2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

3. Klik edit Edit.

4. Di bagian Flags, setel skip_show_database ke On.

5. Klik Simpan. Konfigurasi baru akan muncul di halaman Instance overview.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

SQL trace flag 3625

Nama kategori di API: SQL_TRACE_FLAG_3625

Instance database Cloud SQL untuk SQL Server tidak memiliki flag database 3625 (trace flag) yang disetel ke On.

Flag ini membatasi jumlah informasi yang ditampilkan kepada pengguna yang bukan anggota peran server tetap sysadmin, dengan menyembunyikan parameter beberapa pesan error menggunakan tanda bintang (******). Untuk membantu mencegah pengungkapan informasi sensitif, sebaiknya aktifkan flag ini.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi flag database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Instance Cloud SQL di konsolGoogle Cloud .

   Buka Instance Cloud SQL

2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

3. Klik edit Edit.

4. Di bagian Database flags, setel 3625 ke On.

5. Klik Simpan. Konfigurasi baru akan muncul di halaman Instance overview.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

SQL user connections configured

Nama kategori di API: SQL_USER_CONNECTIONS_CONFIGURED

Instance database Cloud SQL untuk SQL Server telah mengonfigurasi flag database user connections.

Opsi user connections menentukan jumlah maksimum koneksi pengguna serentak yang diizinkan di instance SQL Server. Karena opsi (konfigurasi mandiri) yang dinamis, SQL Server menyesuaikan jumlah maksimum koneksi pengguna secara otomatis sesuai kebutuhan hingga nilai maksimum yang diizinkan. Nilai defaultnya adalah 0, yang berarti maksimal 32.767 koneksi pengguna diizinkan. Karena alasan ini, sebaiknya jangan mengonfigurasi flag database user connections.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi flag database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Instance Cloud SQL di konsolGoogle Cloud .

   Buka Instance Cloud SQL

2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

3. Klik edit Edit.

4. Di bagian Database flags, di sebelah user connections, klik delete Delete.

5. Klik Simpan. Konfigurasi baru akan muncul di halaman Instance overview.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

SQL user options configured

Nama kategori di API: SQL_USER_OPTIONS_CONFIGURED

Instance database Cloud SQL untuk SQL Server telah mengonfigurasi flag database user options.

Setelan ini menggantikan nilai default global opsi SET untuk semua pengguna. Karena pengguna dan aplikasi mungkin menganggap opsi SET database default sedang digunakan, menyetel opsi pengguna mungkin memberikan hasil tak terduga. Karena alasan ini, sebaiknya jangan mengonfigurasi flag database user options.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi flag database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Instance Cloud SQL di konsolGoogle Cloud .

   Buka Instance Cloud SQL

2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

3. Klik edit Edit.

4. Di bagian Database flags, di samping user options, klik delete Delete.

5. Klik Simpan. Konfigurasi baru akan muncul di halaman Instance overview.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaian.

SQL weak root password

Nama kategori di API: SQL_WEAK_ROOT_PASSWORD

Instance database MySQL memiliki sandi lemah yang ditetapkan untuk akun root. Anda harus menetapkan sandi kuat untuk instance. Untuk mengetahui informasi selengkapnya, lihat pengguna MySQL.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Instance Cloud SQL di konsol Google Cloud .

   Buka Instance Cloud SQL

2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

3. Di halaman Instance details yang dimuat, pilih tab Users.

4. Di samping pengguna root, klik Lainnya , lalu pilih Ubah Sandi.

5. Masukkan kata sandi baru yang kuat, lalu klik OK.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

SSL not enforced

Nama kategori di API: SSL_NOT_ENFORCED

Instance database Cloud SQL tidak mengharuskan semua koneksi masuk untuk menggunakan SSL.

Untuk menghindari kebocoran data sensitif dalam pengiriman melalui komunikasi yang tidak terenkripsi, semua koneksi masuk ke instance database SQL Anda harus menggunakan SSL. Pelajari lebih lanjut Mengonfigurasi SSL/TLS.

Untuk memperbaiki temuan ini, hanya izinkan koneksi SSL untuk instance SQL Anda:

1. Buka halaman Instance Cloud SQL di konsol Google Cloud .

   Buka Instance Cloud SQL

2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

3. Di tab Connections, klik Allow only SSL connections atau Require trusted client certificates. Untuk mengetahui informasi selengkapnya, lihat artikel Menerapkan enkripsi SSL/TLS.

4. Jika Anda memilih Require trusted client certificates, buat sertifikat klien baru. Untuk mengetahui informasi selengkapnya, lihat Membuat sertifikat klien baru.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Too many KMS users

Nama kategori di API: TOO_MANY_KMS_USERS

Batasi jumlah pengguna utama yang dapat menggunakan kunci kriptografis menjadi tiga. Peran yang telah ditetapkan berikut memberikan izin untuk mengenkripsi, mendekripsi, atau menandatangani data menggunakan kunci kriptografis:

• roles/owner
• roles/cloudkms.cryptoKeyEncrypterDecrypter
• roles/cloudkms.cryptoKeyEncrypter
• roles/cloudkms.cryptoKeyDecrypter
• roles/cloudkms.signer
• roles/cloudkms.signerVerifier

Untuk mengetahui informasi selengkapnya, lihat Izin dan peran.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Kunci Cloud KMS di konsol Google Cloud .

   Buka Kunci Cloud KMS

2. Klik nama key ring yang ditunjukkan dalam temuan.

3. Klik nama kunci yang ditunjukkan dalam temuan.

4. Centang kotak di samping versi utama, lalu klik Tampilkan Panel Info.

5. Batasi agar hanya maksimal tiga akun utama yang memiliki izin untuk mengenkripsi, mendekripsi, atau menandatangani data. Untuk mencabut izin, klik delete Hapus di samping setiap akun utama.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaian.

Unconfirmed AppArmor profile

Nama kategori di API: GKE_APP_ARMOR

Container dapat dikonfigurasi secara eksplisit agar tidak dibatasi oleh AppArmor. Hal ini memastikan tidak ada profil AppArmor yang diterapkan ke container dan, sebagai akibatnya, tidak ada container yang dibatasi oleh profil. Kontrol keamanan preventif yang dinonaktifkan akan meningkatkan risiko container escape.

Untuk memperbaiki temuan ini, terapkan langkah-langkah berikut pada workload yang terpengaruh:

1. Buka manifes untuk setiap workload yang terpengaruh.
2. Tetapkan kolom terbatas berikut ke salah satu nilai yang diizinkan.

Kolom yang dibatasi

• metadata.annotations["container.apparmor.security.beta.kubernetes.io/*"]

Nilai yang diizinkan

• false

User managed service account key

Nama kategori di API: USER_MANAGED_SERVICE_ACCOUNT_KEY

Pengguna mengelola kunci akun layanan. Kunci akun layanan akan berisiko keamanan jika tidak dikelola dengan benar. Anda harus memilih alternatif yang lebih aman untuk kunci akun layanan jika memungkinkan. Jika harus mengautentikasi dengan kunci akun layanan, Anda bertanggung jawab atas keamanan kunci pribadi dan atas operasi lain yang dijelaskan dalam Praktik terbaik untuk mengelola kunci akun layanan. Jika Anda tidak dapat membuat kunci akun layanan, pembuatan kunci akun layanan mungkin dinonaktifkan untuk organisasi Anda. Untuk mengetahui informasi selengkapnya, lihat Mengelola resource organisasi yang aman secara default.

Jika Anda mendapatkan kunci akun layanan dari sumber eksternal, Anda harus memvalidasinya sebelum digunakan. Untuk mengetahui informasi selengkapnya, lihat Persyaratan keamanan untuk kredensial yang bersumber dari luar.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

1. Buka halaman Service Accounts di konsol Google Cloud .

   Buka Akun Layanan

2. Jika perlu, pilih project yang ditunjukkan dalam temuan.

3. Hapus kunci akun layanan yang dikelola pengguna yang ditunjukkan dalam temuan, jika kunci tersebut tidak digunakan oleh aplikasi apa pun.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Weak SSL policy

Nama kategori di API: WEAK_SSL_POLICY

Instance Compute Engine memiliki kebijakan SSL yang lemah atau menggunakan kebijakan SSL default dengan versi TLS di bawah 1.2. Google Cloud

Load balancer Proxy HTTPS dan SSL menggunakan kebijakan SSL untuk menentukan protokol dan cipher suite yang digunakan dalam koneksi TLS antara pengguna dan internet. Koneksi ini mengenkripsi data sensitif agar penyadap yang berbahaya tidak dapat mengaksesnya. Kebijakan SSL yang lemah memungkinkan klien yang menggunakan TLS versi usang terhubung dengan cipher suite atau protokol yang kurang aman. Untuk melihat daftar cipher suite yang direkomendasikan atau sudah usang, buka halaman parameter TLS iana.org.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Langkah-langkah perbaikan untuk temuan ini berbeda-beda, bergantung pada apakah temuan ini dipicu oleh penggunaan kebijakan SSL default atau kebijakan SSL yang mengizinkan cipher suite yang lemah atau versi TLS minimum di bawah 1.2. Google Cloud Ikuti prosedur di bawah yang sesuai dengan pemicu temuan.

Perbaikan kebijakan SSL Google Cloud default

1. Buka halaman Target proxies di konsol Google Cloud .

   Buka Target proxy

2. Temukan proxy target yang ditunjukkan dalam temuan dan catat aturan penerusan di kolom Sedang digunakan oleh.

3. Untuk membuat kebijakan SSL baru, lihat Menggunakan kebijakan SSL. Kebijakan harus memiliki Minimum TLS version 1.2 dan Profile Modern atau Terbatas.

4. Untuk menggunakan profil Kustom , pastikan rangkaian sandi berikut dinonaktifkan:

   • TLS_RSA_WITH_AES_128_GCM_SHA256
   • TLS_RSA_WITH_AES_256_GCM_SHA384
   • TLS_RSA_WITH_AES_128_CBC_SHA
   • TLS_RSA_WITH_AES_256_CBC_SHA
   • TLS_RSA_WITH_3DES_EDE_CBC_SHA

5. Terapkan kebijakan SSL ke setiap aturan penerusan yang sebelumnya Anda catat.

Perbaikan yang diizinkan untuk cipher suite yang lemah atau versi TLS yang lebih rendah

1. Di konsol Google Cloud , buka halaman SSL policies .

   Buka kebijakan SSL

2. Temukan load balancer yang ditunjukkan di kolom Sedang digunakan oleh.

3. Klik di bawah nama kebijakan.

4. Klik edit Edit.

5. Ubah Minimum TLS version ke TLS 1.2 dan Profile ke Modern atau Restricted.

6. Untuk menggunakan profil Kustom, pastikan rangkaian sandi berikut dinonaktifkan:

   • TLS_RSA_WITH_AES_128_GCM_SHA256
   • TLS_RSA_WITH_AES_256_GCM_SHA384
   • TLS_RSA_WITH_AES_128_CBC_SHA
   • TLS_RSA_WITH_AES_256_CBC_SHA
   • TLS_RSA_WITH_3DES_EDE_CBC_SHA

7. Klik Simpan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Web UI enabled

Nama kategori di API: WEB_UI_ENABLED

UI web (dasbor) GKE diaktifkan.

Akun Layanan Kubernetes dengan hak istimewa tinggi mendukung antarmuka web Kubernetes. Jika disusupi, akun layanan dapat disalahgunakan. Jika Anda sudah menggunakan konsol Google Cloud , antarmuka web Kubernetes akan memperluas area serangan secara tidak perlu. Pelajari cara Menonaktifkan antarmuka web Kubernetes.

Untuk memperbaiki temuan ini, nonaktifkan antarmuka web Kubernetes:

1. Buka halaman Kubernetes clusters di konsol Google Cloud .

   Buka cluster Kubernetes

2. Klik nama cluster yang tercantum dalam temuan Security Health Analytics.

3. Klik edit Edit.

   Jika konfigurasi cluster baru-baru ini diubah, tombol edit mungkin dinonaktifkan. Jika Anda tidak dapat mengedit setelan cluster, tunggu beberapa menit lalu coba lagi.

4. Klik Add-on. Bagian ini akan meluas untuk menampilkan add-on yang tersedia.

5. Di menu drop-down Dasbor Kubernetes, pilih Nonaktif.

6. Klik Simpan.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Workload Identity disabled

Nama kategori di API: WORKLOAD_IDENTITY_DISABLED

Workload Identity dinonaktifkan di cluster GKE.

Workload Identity adalah cara yang direkomendasikan untuk mengakses Google Cloud layanan dari dalam GKE karena menawarkan properti keamanan dan pengelolaan yang lebih baik. Mengaktifkannya akan melindungi beberapa metadata sistem yang berpotensi sensitif dari workload pengguna yang berjalan pada cluster Anda. Pelajari Penyembunyian metadata.

Untuk memperbaiki temuan ini, ikuti panduan untuk Mengaktifkan Workload Identity di cluster.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Memperbaiki kesalahan konfigurasi AWS

AWS Cloud Shell Full Access Restricted

Nama kategori di API: ACCESS_AWSCLOUDSHELLFULLACCESS_RESTRICTED

AWS CloudShell adalah cara yang mudah untuk menjalankan perintah CLI terhadap layanan AWS; kebijakan IAM terkelola ('AWSCloudShellFullAccess') memberikan akses penuh ke CloudShell, yang memungkinkan kemampuan upload dan download file antara sistem lokal pengguna dan lingkungan CloudShell. Dalam lingkungan CloudShell, pengguna memiliki izin sudo, dan dapat mengakses internet. Jadi, Anda dapat menginstal software transfer file (misalnya) dan memindahkan data dari CloudShell ke server internet eksternal.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Access Keys Rotated Every 90 Days or Less

Nama kategori di API: ACCESS_KEYS_ROTATED_90_DAYS_LESS

Kunci akses terdiri dari ID kunci akses dan kunci akses rahasia, yang digunakan untuk menandatangani permintaan terprogram yang Anda buat ke AWS. Pengguna AWS memerlukan kunci akses mereka sendiri untuk melakukan panggilan terprogram ke AWS dari AWS Command Line Interface (AWS CLI), Tools for Windows PowerShell, AWS SDK, atau panggilan HTTP langsung menggunakan API untuk setiap layanan AWS. Sebaiknya semua kunci akses dirotasi secara rutin.

aws iam create-access-key

aws iam get-access-key-last-used

aws iam update-access-key

aws iam delete-access-key

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

All Expired Ssl Tls Certificates Stored Aws Iam Removed

Nama kategori di API: ALL_EXPIRED_SSL_TLS_CERTIFICATES_STORED_AWS_IAM_REMOVED

Untuk mengaktifkan koneksi HTTPS ke situs atau aplikasi Anda di AWS, Anda memerlukan sertifikat server SSL/TLS. Anda dapat menggunakan ACM atau IAM untuk menyimpan dan men-deploy sertifikat server.
Gunakan IAM sebagai pengelola sertifikat hanya jika Anda harus mendukung koneksi HTTPS di region yang tidak didukung oleh ACM. IAM mengenkripsi kunci pribadi Anda dengan aman dan menyimpan versi terenkripsi di penyimpanan sertifikat SSL IAM. IAM mendukung deployment sertifikat server di semua region, tetapi Anda harus mendapatkan sertifikat dari penyedia eksternal untuk digunakan dengan AWS. Anda tidak dapat mengupload sertifikat ACM ke IAM. Selain itu, Anda tidak dapat mengelola sertifikat dari Konsol IAM.

aws iam delete-server-certificate --server-certificate-name <CERTIFICATE_NAME>

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Autoscaling Group Elb Healthcheck Required

Nama kategori di API: AUTOSCALING_GROUP_ELB_HEALTHCHECK_REQUIRED

Pemeriksaan ini akan memeriksa apakah grup Penskalaan Otomatis yang dikaitkan dengan load balancer menggunakan health check Elastic Load Balancing.

Hal ini memastikan bahwa grup dapat menentukan kondisi instance berdasarkan pengujian tambahan yang disediakan oleh load balancer. Menggunakan health check Elastic Load Balancing dapat membantu mendukung ketersediaan aplikasi yang menggunakan grup Penskalaan Otomatis EC2.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Auto Minor Version Upgrade Feature Enabled Rds Instances

Nama kategori di API: AUTO_MINOR_VERSION_UPGRADE_FEATURE_ENABLED_RDS_INSTANCES

Pastikan instance database RDS mengaktifkan tanda Upgrade Versi Minor Otomatis agar menerima upgrade mesin minor secara otomatis selama periode pemeliharaan yang ditentukan. Jadi, instance RDS dapat memperoleh fitur baru, perbaikan bug, dan patch keamanan untuk mesin databasenya.

aws rds describe-db-instances --region <regionName> --query 'DBInstances[*].DBInstanceIdentifier'

aws rds modify-db-instance --region <regionName> --db-instance-identifier <dbInstanceIdentifier> --auto-minor-version-upgrade --apply-immediately

aws rds describe-db-instances --region <regionName> --db-instance-identifier <dbInstanceIdentifier> --query 'DBInstances[*].AutoMinorVersionUpgrade'

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Aws Config Enabled All Regions

Nama kategori di API: AWS_CONFIG_ENABLED_ALL_REGIONS

AWS Config adalah layanan web yang melakukan manajemen konfigurasi resource AWS yang didukung dalam akun Anda dan mengirimkan file log kepada Anda. Informasi yang direkam mencakup item konfigurasi (resource AWS), hubungan antara item konfigurasi (resource AWS), dan perubahan konfigurasi apa pun antar-resource. Sebaiknya AWS Config diaktifkan di semua region.

aws configservice put-configuration-recorder --configuration-recorder name=default,roleARN=arn:aws:iam::012345678912:role/myConfigRole --recording-group allSupported=true,includeGlobalResourceTypes=true

{
 "name": "default",
 "s3BucketName": "my-config-bucket",
 "snsTopicARN": "arn:aws:sns:us-east-1:012345678912:my-config-notice",
 "configSnapshotDeliveryProperties": {
 "deliveryFrequency": "Twelve_Hours"
 }
}

aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json

aws configservice start-configuration-recorder --configuration-recorder-name default

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Aws Security Hub Enabled

Nama kategori di API: AWS_SECURITY_HUB_ENABLED

Security Hub mengumpulkan data keamanan dari seluruh akun, layanan, dan produk partner pihak ketiga yang didukung AWS, serta membantu Anda menganalisis tren keamanan dan mengidentifikasi masalah keamanan dengan prioritas tertinggi. Saat Anda mengaktifkan Security Hub, Security Hub akan mulai menggunakan, menggabungkan, mengatur, dan memprioritaskan temuan dari layanan AWS yang telah Anda aktifkan, seperti Amazon GuardDuty, Amazon Inspector, dan Amazon Macie. Anda juga dapat mengaktifkan integrasi dengan produk keamanan partner AWS.

aws securityhub enable-security-hub --enable-default-standards

aws securityhub enable-security-hub --no-enable-default-standards

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Cloudtrail Logs Encrypted Rest Using Kms Cmks

Nama kategori di API: CLOUDTRAIL_LOGS_ENCRYPTED_REST_USING_KMS_CMKS

AWS CloudTrail adalah layanan web yang mencatat panggilan AWS API untuk suatu akun dan menyediakan log tersebut bagi pengguna dan resource sesuai dengan kebijakan IAM. AWS Key Management Service (KMS) adalah layanan terkelola yang membantu membuat dan mengontrol kunci enkripsi yang digunakan untuk mengenkripsi data akun, serta menggunakan Hardware Security Module (HSM) untuk melindungi keamanan kunci enkripsi. Log CloudTrail dapat dikonfigurasi untuk memanfaatkan enkripsi sisi server (SSE) dan kunci master (CMK) yang dibuat pelanggan KMS untuk lebih melindungi log CloudTrail. Sebaiknya CloudTrail dikonfigurasi untuk menggunakan SSE-KMS.

aws cloudtrail update-trail --name <trail_name> --kms-id <cloudtrail_kms_key>
aws kms put-key-policy --key-id <cloudtrail_kms_key> --policy <cloudtrail_kms_key_policy>

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Cloudtrail Log File Validation Enabled

Nama kategori di API: CLOUDTRAIL_LOG_FILE_VALIDATION_ENABLED

Validasi file log CloudTrail membuat file ringkasan yang ditandatangani secara digital yang berisi hash setiap log yang ditulis CloudTrail ke S3. File ringkasan ini dapat digunakan untuk menentukan apakah file log diubah, dihapus, atau tidak berubah setelah CloudTrail mengirimkan log. Sebaiknya validasi file diaktifkan di semua CloudTrail.

aws cloudtrail update-trail --name <trail_name> --enable-log-file-validation

aws cloudtrail validate-logs --trail-arn <trail_arn> --start-time <start_time> --end-time <end_time>

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Cloudtrail Trails Integrated Cloudwatch Logs

Nama kategori di API: CLOUDTRAIL_TRAILS_INTEGRATED_CLOUDWATCH_LOGS

AWS CloudTrail adalah layanan web yang mencatat panggilan AWS API yang dilakukan di akun AWS tertentu. Informasi yang direkam mencakup identitas pemanggil API, waktu panggilan API, alamat IP sumber pemanggil API, parameter permintaan, dan elemen respons yang ditampilkan oleh layanan AWS. CloudTrail menggunakan Amazon S3 untuk penyimpanan dan pengiriman file log, sehingga file log disimpan secara andal. Selain mencatat log CloudTrail dalam bucket S3 tertentu untuk analisis jangka panjang, analisis real time dapat dilakukan dengan mengonfigurasi CloudTrail untuk mengirim log ke CloudWatch Logs. Untuk jejak yang diaktifkan di semua region dalam akun, CloudTrail akan mengirimkan file log dari semua region tersebut ke grup log CloudWatch Logs. Sebaiknya log CloudTrail dikirim ke CloudWatch Logs.

Catatan: Tujuan rekomendasi ini adalah untuk memastikan aktivitas akun AWS dicatat, dipantau, dan diberi notifikasi dengan tepat. CloudWatch Logs adalah cara bawaan untuk melakukannya menggunakan layanan AWS, tetapi tidak menghalangi penggunaan solusi alternatif.

aws cloudtrail update-trail --name <trail_name> --cloudwatch-logs-log-group-arn <cloudtrail_log_group_arn> --cloudwatch-logs-role-arn <cloudtrail_cloudwatchLogs_role_arn>

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Cloudwatch Alarm Action Check

Nama kategori di API: CLOUDWATCH_ALARM_ACTION_CHECK

Pemeriksaan ini akan memeriksa apakah Amazon CloudWatch memiliki tindakan yang ditentukan saat alarm bertransisi antara status 'OK', 'ALARM', dan 'INSUFFICIENT_DATA'.

Mengonfigurasi tindakan untuk status ALARM di alarm Amazon CloudWatch sangat penting untuk memicu respons langsung saat metrik yang dipantau melanggar nilai minimum.
Hal ini memastikan penyelesaian masalah yang cepat, mengurangi periode nonaktif, dan memungkinkan perbaikan otomatis, sehingga menjaga kesehatan sistem dan mencegah gangguan.

Alarm memiliki minimal satu tindakan.
Alarm memiliki setidaknya satu tindakan saat alarm bertransisi ke status 'INSUFFICIENT_DATA' dari status lainnya.
(Opsional) Alarm memiliki setidaknya satu tindakan saat alarm bertransisi ke status 'OK' dari status lainnya.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Cloudwatch Log Group Encrypted

Nama kategori di API: CLOUDWATCH_LOG_GROUP_ENCRYPTED

Pemeriksaan ini memastikan log CloudWatch dikonfigurasi dengan KMS.

Data grup log selalu dienkripsi di CloudWatch Logs. Secara default, CloudWatch Logs menggunakan enkripsi sisi server untuk data log dalam penyimpanan. Sebagai alternatif, Anda dapat menggunakan AWS Key Management Service untuk enkripsi ini. Jika Anda melakukannya, enkripsi akan dilakukan menggunakan kunci AWS KMS. Enkripsi menggunakan AWS KMS diaktifkan di tingkat grup log, dengan mengaitkan kunci KMS dengan grup log, baik saat Anda membuat grup log atau setelah grup log ada.

Untuk mengetahui informasi selengkapnya, lihat Encrypt log data in CloudWatch Logs using AWS Key Management Service dalam panduan pengguna Amazon CloudWatch.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

CloudTrail CloudWatch Logs Enabled

Nama kategori di API: CLOUD_TRAIL_CLOUD_WATCH_LOGS_ENABLED

Kontrol ini memeriksa apakah jejak CloudTrail dikonfigurasi untuk mengirim log ke CloudWatch Logs. Kontrol gagal jika properti CloudWatchLogsLogGroupArn dari jejak kosong.

CloudTrail mencatat panggilan AWS API yang dilakukan di akun tertentu. Informasi yang direkam mencakup hal berikut:

• Identitas pemanggil API
• Waktu panggilan API
• Alamat IP sumber pemanggil API
• Parameter permintaan
• Elemen respons yang ditampilkan oleh layanan AWS

CloudTrail menggunakan Amazon S3 untuk penyimpanan dan pengiriman file log. Anda dapat merekam log CloudTrail dalam bucket S3 tertentu untuk analisis jangka panjang. Untuk melakukan analisis real-time, Anda dapat mengonfigurasi CloudTrail untuk mengirim log ke CloudWatch Logs.

Untuk jejak yang diaktifkan di semua Region dalam akun, CloudTrail mengirimkan file log dari semua Region tersebut ke grup log CloudWatch Logs.

Security Hub merekomendasikan agar Anda mengirim log CloudTrail ke CloudWatch Logs. Perhatikan bahwa rekomendasi ini dimaksudkan untuk memastikan aktivitas akun dicatat, dipantau, dan diberi notifikasi dengan tepat. Anda dapat menggunakan CloudWatch Logs untuk menyiapkannya dengan layanan AWS Anda. Rekomendasi ini tidak menghalangi penggunaan solusi lain.

Mengirim log CloudTrail ke CloudWatch Logs memfasilitasi pencatatan aktivitas real-time dan historis berdasarkan pengguna, API, resource, dan alamat IP. Anda dapat menggunakan pendekatan ini untuk membuat alarm dan notifikasi untuk aktivitas akun yang tidak normal atau sensitif.

Untuk mengintegrasikan CloudTrail dengan CloudWatch Logs, lihat Sending events to CloudWatch Logs di Panduan Pengguna AWS CloudTrail.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

No AWS Credentials in CodeBuild Project Environment Variables

Nama kategori di API: CODEBUILD_PROJECT_ENVVAR_AWSCRED_CHECK

Pemeriksaan ini akan memeriksa apakah project berisi variabel lingkungan AWS_ACCESS_KEY_ID dan AWS_SECRET_ACCESS_KEY.

Kredensial autentikasi AWS_ACCESS_KEY_ID dan AWS_SECRET_ACCESS_KEY tidak boleh disimpan dalam teks yang jelas, karena hal ini dapat menyebabkan pengungkapan data yang tidak diinginkan dan akses yang tidak sah.

Untuk menghapus variabel lingkungan dari project CodeBuild, lihat Mengubah setelan project build di AWS CodeBuild di Panduan Pengguna AWS CodeBuild. Pastikan tidak ada yang dipilih untuk Variabel lingkungan.

Anda dapat menyimpan variabel lingkungan dengan nilai sensitif di AWS Systems Manager Parameter Store atau AWS Secrets Manager, lalu mengambilnya dari spesifikasi build Anda. Untuk mengetahui petunjuknya, lihat kotak berlabel Penting di bagian Environment dalam Panduan Pengguna AWS CodeBuild.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaian.

Codebuild Project Source Repo Url Check

Nama kategori di API: CODEBUILD_PROJECT_SOURCE_REPO_URL_CHECK

Pemeriksaan ini akan memeriksa apakah URL repositori sumber Bitbucket project AWS CodeBuild berisi token akses pribadi atau nama pengguna dan sandi. Kontrol gagal jika URL repositori sumber Bitbucket berisi token akses pribadi atau nama pengguna dan sandi.

Kredensial login tidak boleh disimpan atau dikirimkan dalam teks biasa atau muncul di URL repositori sumber. Daripada menggunakan token akses pribadi atau kredensial login, Anda harus mengakses penyedia sumber di CodeBuild, dan mengubah URL repositori sumber agar hanya berisi jalur ke lokasi repositori Bitbucket. Penggunaan token akses pribadi atau kredensial login dapat menyebabkan eksposur data yang tidak diinginkan atau akses yang tidak sah.

Anda dapat mengupdate project CodeBuild untuk menggunakan OAuth.

Untuk menghapus autentikasi dasar/Token Akses Pribadi (GitHub) dari sumber project CodeBuild

1. Buka konsol CodeBuild di https://console.aws.amazon.com/codebuild/.
2. Pilih project build yang berisi token akses pribadi atau nama pengguna dan sandi.
3. Dari Edit, pilih Sumber.
4. Pilih Berhenti terhubung dari GitHub / Bitbucket.
5. Pilih Hubungkan menggunakan OAuth, lalu pilih Hubungkan ke GitHub / Bitbucket.
6. Jika diminta, pilih izinkan sesuai kebutuhan.
7. Konfigurasi ulang URL repositori dan setelan konfigurasi tambahan Anda sesuai kebutuhan.
8. Pilih Perbarui sumber.

Untuk mengetahui informasi selengkapnya, lihat Contoh berbasis kasus penggunaan CodeBuild di Panduan Pengguna AWS CodeBuild.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaian.

Credentials Unused 45 Days Greater Disabled

Nama kategori di API: CREDENTIALS_UNUSED_45_DAYS_GREATER_DISABLED

Pengguna IAM AWS dapat mengakses resource AWS menggunakan berbagai jenis kredensial, seperti sandi atau kunci akses. Sebaiknya nonaktifkan atau hapus semua kredensial yang tidak digunakan selama 45 hari atau lebih.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Default Security Group Vpc Restricts All Traffic

Nama kategori di API: DEFAULT_SECURITY_GROUP_VPC_RESTRICTS_ALL_TRAFFIC

VPC dilengkapi dengan grup keamanan default yang setelan awalnya menolak semua traffic masuk, mengizinkan semua traffic keluar, dan mengizinkan semua traffic di antara instance yang ditetapkan ke grup keamanan. Jika Anda tidak menentukan grup keamanan saat meluncurkan instance, instance akan otomatis ditetapkan ke grup keamanan default ini. Grup keamanan menyediakan pemfilteran traffic jaringan masuk/keluar yang stateful ke resource AWS. Sebaiknya grup keamanan default membatasi semua traffic.

Grup keamanan default VPC di setiap region harus diupdate agar mematuhi kebijakan ini. VPC yang baru dibuat akan otomatis berisi grup keamanan default yang perlu diperbaiki agar mematuhi rekomendasi ini.

CATATAN: Saat menerapkan rekomendasi ini, pencatatan aktivitas aliran VPC sangat berharga dalam menentukan akses port dengan hak istimewa paling rendah yang diperlukan oleh sistem agar berfungsi dengan baik karena dapat mencatat semua penerimaan dan penolakan paket yang terjadi dalam grup keamanan saat ini. Hal ini secara signifikan mengurangi hambatan utama untuk menerapkan teknik hak istimewa terendah, yaitu menemukan port minimum yang diperlukan oleh sistem di lingkungan. Meskipun rekomendasi pencatatan log alur VPC dalam tolok ukur ini tidak diterapkan sebagai tindakan keamanan permanen, rekomendasi ini harus digunakan selama periode penemuan dan rekayasa untuk grup keamanan dengan hak istimewa terendah.

Anggota Grup Keamanan

Lakukan hal berikut untuk menerapkan status yang ditentukan:

1. Mengidentifikasi resource AWS yang ada dalam grup keamanan default
2. Buat serangkaian grup keamanan hak istimewa terendah untuk resource tersebut
3. Tempatkan resource di grup keamanan tersebut
4. Hapus resource yang tercantum di #1 dari grup keamanan default

Status Grup Keamanan

1. Login ke AWS Management Console di https://console.aws.amazon.com/vpc/home
2. Ulangi langkah-langkah berikutnya untuk semua VPC - termasuk VPC default di setiap region AWS:
3. Di panel kiri, klik Security Groups
4. Untuk setiap grup keamanan default, lakukan hal berikut:
5. Pilih grup keamanan default
6. Klik tab Inbound Rules
7. Hapus semua aturan masuk
8. Klik tab Outbound Rules
9. Hapus semua aturan Keluar

Rekomendasi:

Grup IAM memungkinkan Anda mengedit kolom "name". Setelah memperbaiki aturan grup default untuk semua VPC di semua region, edit kolom ini untuk menambahkan teks yang mirip dengan "JANGAN DIGUNAKAN. JANGAN TAMBAHKAN ATURAN"

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaian.

Dms Replication Not Public

Nama kategori di API: DMS_REPLICATION_NOT_PUBLIC

Memeriksa apakah instance replikasi AWS DMS bersifat publik. Untuk melakukannya, nilai kolom PubliclyAccessible akan diperiksa.

Instance replikasi pribadi memiliki alamat IP pribadi yang tidak dapat Anda akses di luar jaringan replikasi. Instance replikasi harus memiliki alamat IP pribadi saat database sumber dan target berada di jaringan yang sama. Jaringan juga harus terhubung ke VPC instance replikasi menggunakan VPN, AWS Direct Connect, atau peering VPC. Untuk mempelajari lebih lanjut instance replikasi publik dan pribadi, lihat Instance replikasi publik dan pribadi di Panduan Pengguna AWS Database Migration Service.

Anda juga harus memastikan bahwa akses ke konfigurasi instance AWS DMS Anda dibatasi hanya untuk pengguna yang diberi otorisasi. Untuk melakukannya, batasi izin IAM pengguna untuk mengubah setelan dan resource AWS DMS.

Anda tidak dapat mengubah setelan akses publik untuk instance replikasi DMS setelah membuatnya. Untuk mengubah setelan akses publik, hapus instance saat ini, lalu buat ulang. Jangan pilih opsi Dapat diakses secara publik.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Do Setup Access Keys During Initial User Setup All Iam Users Console

Nama kategori di API: DO_SETUP_ACCESS_KEYS_DURING_INITIAL_USER_SETUP_ALL_IAM_USERS_CONSOLE

Konsol AWS secara default tidak mencentang kotak saat membuat pengguna IAM baru. Saat membuat kredensial Pengguna IAM, Anda harus menentukan jenis akses yang mereka perlukan.

Akses terprogram: Pengguna IAM mungkin perlu melakukan panggilan API, menggunakan AWS CLI, atau menggunakan Tools for Windows PowerShell. Dalam hal ini, buat kunci akses (ID kunci akses dan kunci akses rahasia) untuk pengguna tersebut.

Akses AWS Management Console: Jika pengguna perlu mengakses AWS Management Console, buat sandi untuk pengguna tersebut.

aws iam delete-access-key --access-key-id <access-key-id-listed> --user-name <users-name>

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaian.

Dynamodb Autoscaling Enabled

Nama kategori di API: DYNAMODB_AUTOSCALING_ENABLED

Pengujian ini memeriksa apakah tabel Amazon DynamoDB dapat menskalakan kapasitas baca dan tulisnya sesuai kebutuhan. Kontrol ini lulus jika tabel menggunakan mode kapasitas sesuai permintaan atau mode yang disediakan dengan penskalaan otomatis yang dikonfigurasi. Menskalakan kapasitas sesuai permintaan akan menghindari pengecualian pembatasan, yang membantu mempertahankan ketersediaan aplikasi Anda.

Tabel DynamoDB dalam mode kapasitas sesuai permintaan hanya dibatasi oleh kuota tabel default throughput DynamoDB. Untuk menaikkan kuota ini, Anda dapat mengajukan tiket dukungan melalui Dukungan AWS.

Tabel DynamoDB dalam mode yang disediakan dengan penskalaan otomatis menyesuaikan kapasitas throughput yang disediakan secara dinamis sebagai respons terhadap pola traffic. Untuk informasi tambahan tentang pembatasan permintaan DynamoDB, lihat Pembatasan permintaan dan kapasitas burst di Panduan Developer Amazon DynamoDB.

Untuk mengetahui petunjuk mendetail tentang cara mengaktifkan penskalaan otomatis DynamoDB pada tabel yang ada dalam mode kapasitas, lihat Mengaktifkan penskalaan otomatis DynamoDB pada tabel yang ada di Panduan Developer Amazon DynamoDB.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Dynamodb In Backup Plan

Nama kategori di API: DYNAMODB_IN_BACKUP_PLAN

Kontrol ini mengevaluasi apakah tabel DynamoDB dicakup oleh rencana pencadangan. Kontrol akan gagal jika tabel DynamoDB tidak dicakup oleh rencana cadangan. Kontrol ini hanya mengevaluasi tabel DynamoDB yang dalam status AKTIF.

Cadangan membantu Anda memulihkan data dengan lebih cepat dari insiden keamanan. Fitur ini juga memperkuat ketahanan sistem Anda. Menyertakan tabel DynamoDB dalam rencana pencadangan membantu Anda melindungi data dari kehilangan atau penghapusan yang tidak disengaja.

Untuk menambahkan tabel DynamoDB ke rencana pencadangan AWS Backup, lihat Menetapkan resource ke rencana pencadangan di Panduan Developer AWS Backup.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaian.

Dynamodb Pitr Enabled

Nama kategori di API: DYNAMODB_PITR_ENABLED

Pemulihan Point-in-Time (PITR) adalah salah satu mekanisme yang tersedia untuk mencadangkan tabel DynamoDB.

Pencadangan pada suatu titik waktu disimpan selama 35 hari. Jika Anda memerlukan retensi yang lebih lama, lihat Menyiapkan pencadangan terjadwal untuk Amazon DynamoDB menggunakan AWS Backup di Dokumentasi AWS.

resource "aws_dynamodb_table" "example" {
  # ... other configuration ...
  point_in_time_recovery {
    enabled = true
  }
}

aws dynamodb update-continuous-backups \
  --table-name "GameScoresOnDemand" \
  --point-in-time-recovery-specification "PointInTimeRecoveryEnabled=true"

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Dynamodb Table Encrypted Kms

Nama kategori di API: DYNAMODB_TABLE_ENCRYPTED_KMS

Memeriksa apakah semua tabel DynamoDB dienkripsi dengan kunci KMS yang dikelola pelanggan (non-default).

resource "aws_kms_key" "dynamodb_encryption" {
  description         = "Used for DynamoDB encryption configuration"
  enable_key_rotation = true
}

resource "aws_dynamodb_table" "example" {
  # ... other configuration ...
  server_side_encryption {
    enabled     = true
    kms_key_arn = aws_kms_key.dynamodb_encryption.arn
  }
}

aws dynamodb update-table \
  --table-name <value> \
  --sse-specification "Enabled=true,SSEType=KMS,KMSMasterKeyId=<kms_key_arn>"

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Ebs Optimized Instance

Nama kategori di API: EBS_OPTIMIZED_INSTANCE

Memeriksa apakah pengoptimalan EBS diaktifkan untuk instance EC2 Anda yang dapat dioptimalkan untuk EBS

Untuk mengonfigurasi setelan instance yang dioptimalkan untuk EBS, lihat Instance yang dioptimalkan untuk Amazon EBS di panduan pengguna Amazon EC2.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Ebs Snapshot Public Restorable Check

Nama kategori di API: EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK

Memeriksa apakah snapshot Amazon Elastic Block Store tidak bersifat publik. Kontrol gagal jika snapshot Amazon EBS dapat dipulihkan oleh siapa saja.

Snapshot EBS digunakan untuk mencadangkan data di volume EBS Anda ke Amazon S3 pada titik waktu tertentu. Anda dapat menggunakan snapshot untuk memulihkan status volume EBS sebelumnya. Berbagi cuplikan dengan publik jarang dapat diterima. Biasanya, keputusan untuk membagikan cuplikan layar secara publik dibuat karena kesalahan atau tanpa pemahaman yang lengkap tentang implikasinya. Pemeriksaan ini membantu memastikan bahwa semua tindakan berbagi tersebut direncanakan dan dilakukan dengan sengaja.

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Ebs Volume Encryption Enabled All Regions

Nama kategori di API: EBS_VOLUME_ENCRYPTION_ENABLED_ALL_REGIONS

Elastic Compute Cloud (EC2) mendukung enkripsi dalam penyimpanan saat menggunakan layanan Elastic Block Store (EBS). Meskipun dinonaktifkan secara default, penerapan enkripsi saat pembuatan volume EBS didukung.

aws --region <region> ec2 enable-ebs-encryption-by-default

read_more Pelajari jenis temuan ini aset yang didukung dan setelan pemindaiannya.

Ec2 Instances In Vpc

Nama kategori di API: EC2_INSTANCES_IN_VPC

Amazon VPC menyediakan lebih banyak fungsi keamanan daripada EC2 Classic. Sebaiknya semua node termasuk dalam Amazon VPC.

  resource "aws_vpc" "example_vpc" {
    cidr_block = "10.0.0.0/16"
  }

  resource "aws_subnet" "example_public_subnet" {
    vpc_id            = aws_vpc.example_vpc.id
    cidr_block        = "10.0.1.0/24"
    availability_zone = "1a"
  }

  resource "aws_internet_gateway" "example_igw" {
    vpc_id = aws_vpc.example_vpc.id
  }

  resource "aws_key_pair" "example_key" {
    key_name   = "web-instance-key"
    public_key = "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQD3F6tyPEFEzV0LX3X8BsXdMsQz1x2cEikKDEY0aIj41qgxMCP/iteneqXSIFZBp5vizPvaoIR3Um9xK7PGoW8giupGn+EPuxIA4cDM4vzOqOkiMPhz5XK0whEjkVzTo4+S0puvDZuwIsdiW9mxhJc7tgBNL0cYlWSYVkz4G/fslNfRPW5mYAM49f4fhtxPb5ok4Q2Lg9dPKVHO/Bgeu5woMc7RY0p1ej6D4CKFE6lymSDJpW0YHX/wqE9+cfEauh7xZcG0q9t2ta6F6fmX0agvpFyZo8aFbXeUBr7osSCJNgvavWbM/06niWrOvYX2xwWdhXmXSrbX8ZbabVohBK41 email@example.com"
  }

  resource "aws_security_group" "web_sg" {
    name   = "http and ssh"
    vpc_id = aws_vpc.some_custom_vpc.id

    ingress {
      from_port   = 80
      to_port     = 80
      protocol    = "tcp"
      cidr_blocks = ["0.0.0.0/0"]
    }

    ingress {
      from_port   = 22
      to_port     = 22
      protocol    = "tcp"
      cidr_blocks = ["0.0.0.0/0"]
    }

    egress {
      from_port   = 0
      to_port     = 0
      protocol    = -1
      cidr_blocks = ["0.0.0.0/0"]
    }
  }

  resource "aws_instance" "web" {
    ami                    = <ami_id>
    instance_type          = <instance_flavor>
    key_name               = aws_key_pair.example_key.name
    monitoring             = true
    subnet_id              = aws_subnet.example_public_subnet.id
    vpc_security_group_ids = [aws_security_group.web_sg.id]
    metadata_options {
      http_tokens = "required"
    }
  }