Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
O Security Command Center usa regras predefinidas do gráfico de segurança para identificar problemas que podem comprometer seus recursos.
A tabela a seguir define essas regras:
Regra
Descrição
Instância do GCE: CVE de alto risco, acesso a recursos de alto valor por representação de
conta de serviço
Um CVE de alto risco foi detectado em uma instância do Compute Engine que pode se passar por uma conta de serviço (SA) com acesso a um recurso crítico. Essa vulnerabilidade aumenta o risco de escalonamento de privilégios
e acesso não autorizado a dados ou sistemas sensíveis.
Instância do GCE: CVE de alto risco, acesso a recursos com dados sensíveis por representação de SA
Uma instância do Compute Engine com uma CVE de alto risco tem acesso a
um recurso que contém dados sensíveis usando a representação de
uma conta de serviço (SA). Essa vulnerabilidade aumenta o risco de acesso não autorizado aos dados, escalonamento de privilégios e possíveis violações de dados.
Instância do GCE: CVE de alto risco, acesso direto a recursos de alto valor
Uma instância do Compute Engine com uma CVE de alto risco tem acesso
direto a um recurso de alto valor, aumentando a probabilidade de
exploração, acesso não autorizado e comprometimento de dados.
Instância do GCE: CVE de alto risco, acesso direto a recursos com dados sensíveis
Uma instância do Compute Engine com um CVE de alto risco tem acesso direto a um recurso que contém dados sensíveis. Essa vulnerabilidade
aumenta o risco de acesso não autorizado, violações de dados e escalonamento
de privilégios.
Instância do GCE exposta externamente: CVE de alto risco, exploração disponível
Uma instância do Compute Engine está exposta externamente e é afetada
por uma CVE de alto risco com uma exploração conhecida. Isso aumenta significativamente o risco de ataques remotos, acesso não autorizado e comprometimento do sistema.
Instância do GCE: CVE de alto risco, capacidade de representar uma SA
Uma instância do Compute Engine é afetada por uma CVE de alto risco e
pode personificar outra conta de serviço (SA). Isso aumenta significativamente o risco de escalonamento de privilégios, acesso não autorizado e possível comprometimento de recursos essenciais da nuvem.
Instância do GCE: CVE de alto risco, permissões diretas excessivas
Uma instância do Compute Engine com um CVE de alto risco tem permissões diretas
excessivas em outro recurso, aumentando o risco de
acesso não autorizado, escalonamento de privilégios e comprometimento de recursos.
Instância do GCE: CVE de alto risco, permissões excessivas por representação de SA
Uma instância do Compute Engine com um CVE de alto risco tem permissões excessivas em outro recurso por meio da personificação de conta de serviço (SA, na sigla em inglês), aumentando o risco de escalonamento de privilégios e acesso não autorizado.
Carga de trabalho do GKE exposta externamente: CVE de alto risco, exploração disponível
Uma carga de trabalho do Google Kubernetes Engine (GKE) é exposta externamente e afetada
por um CVE de alto risco com uma exploração conhecida. Isso aumenta significativamente o risco de ataques remotos, acesso não autorizado e comprometimento do sistema.
Boletim de alto risco do pool de nós do GKE: acesso a recursos de alto valor por representação de conta de serviço
Um pool de nós do GKE pode personificar uma
conta de serviço (SA, na sigla em inglês) que concede acesso a um recurso de alto valor. Isso
aumenta o risco de escalonamento de privilégios, acesso não autorizado e comprometimento
de dados.
Boletim de alto risco do pool de nós do GKE: acesso a recursos com dados sensíveis
via simulação de SA
Um pool de nós do GKE pode representar uma
conta de serviço (SA, na sigla em inglês) que concede acesso a um recurso com dados
sensíveis. Isso aumenta o risco de acesso não autorizado, violações de dados e escalonamento de privilégios.
Pool de nós do GKE: boletim de alto risco, acesso direto a recursos de alto valor
Um pool de nós do GKE tem acesso direto a um recurso de alto valor, aumentando o risco de acesso não autorizado, escalonamento de privilégios e possível comprometimento de dados.
Pool de nós do GKE: boletim de alto risco, acesso direto ao recurso com
dados sensíveis
Um pool de nós do GKE tem acesso direto a um recurso que contém dados sensíveis, aumentando o risco de acesso não autorizado, violações de dados e escalonamento de privilégios.
Boletim de alto risco: pool de nós do GKE exposto externamente
Um pool de nós do GKE é exposto externamente e afetado
por uma CVE de alto risco. Isso aumenta significativamente o risco de ataques remotos, acesso não autorizado e comprometimento do sistema.
Boletim de alto risco do pool de nós do GKE: capacidade de representar uma SA
Há um boletim de alto risco em um pool de nós do GKE
que tem permissões para representar outra conta de serviço (SA),
aumentando o risco de escalonamento de privilégios e acesso não autorizado a
recursos críticos.
Boletim de alto risco do pool de nós do GKE: permissões diretas excessivas
Há um boletim de alto risco em um pool de nós do GKE
com permissões excessivas em outro recurso, concedendo acesso
indevido. Isso aumenta o risco de escalonamento de privilégios, acesso não autorizado e exposição de dados.
Boletim de alto risco do pool de nós do GKE: permissões excessivas por representação de SA
Há um boletim de alto risco em um pool de nós do GKE
com permissões excessivas em outro recurso por meio da representação de
conta de serviço (SA, na sigla em inglês), aumentando o risco de escalonamento de privilégios e
acesso não autorizado.
A conta de serviço com chave não rotacionada tem permissões excessivas
Uma conta de serviço está usando uma chave de longa duração e não rotacionada com permissões excessivas, aumentando o risco de comprometimento de credenciais, acesso não autorizado e escalonamento de privilégios.
A conta de serviço com chave gerenciada pelo usuário tem permissões excessivas
Uma conta de serviço com chaves gerenciadas pelo usuário e permissões excessivas,
o que aumenta o risco de vazamento de credenciais e escalonamento de privilégios.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-13 UTC."],[],[],null,["| Enterprise [service tier](/security-command-center/docs/service-tiers)\n\nSecurity Command Center uses predefined security graph rules to identify issues that could potentially compromise your resources.\n\nThe following table defines these rules:\n\n| Rule | Description |\n|------------------------------------------------------------------------------------------------|----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|\n| GCE Instance: High-risk CVE, access to high value resource via SA impersonation | A high-risk CVE has been detected on a [Compute Engine](/compute/docs/overview) instance that can impersonate a service account (SA) with access to a critical resource. This vulnerability increases the risk of privilege escalation and unauthorized access to sensitive data or systems. |\n| GCE Instance: High-risk CVE, access to resource with sensitive data via SA impersonation | A Compute Engine instance with a high-risk CVE has access to a resource containing sensitive data using service account (SA) impersonation. This vulnerability increases the risk of unauthorized data access, privilege escalation, and potential data breaches. |\n| GCE Instance: High-risk CVE, direct access to high value resource | A Compute Engine instance with a high-risk CVE has direct access to a high-value resource, increasing the likelihood of exploitation, unauthorized access, and data compromise. |\n| GCE Instance: High-risk CVE, direct access to resource with sensitive data | A Compute Engine instance with a high-risk CVE has direct access to a resource containing sensitive data. This vulnerability increases the risk of unauthorized access, data breaches, and privilege escalation. |\n| Externally Exposed GCE Instance: High-risk CVE, exploit available | A Compute Engine instance is externally exposed and affected by a high-risk CVE with a known exploit. This significantly increases the risk of remote attacks, unauthorized access, and system compromise. |\n| GCE Instance: High-risk CVE, ability to impersonate SA | A Compute Engine instance is affected by a high-risk CVE and has the ability to impersonate another service account (SA). This significantly increases the risk of privilege escalation, unauthorized access, and potential compromise of critical cloud resources. |\n| GCE Instance: High-risk CVE, excessive direct permissions | A Compute Engine instance with a high-risk CVE has direct excessive permissions on another resource, increasing the risk of unauthorized access, privilege escalation, and resource compromise. |\n| GCE Instance: High-risk CVE, excessive permissions via SA impersonation | A Compute Engine instance with a high-risk CVE has excessive permissions on another resource through service account (SA) impersonation, increasing the risk of privilege escalation and unauthorized access. |\n| Externally Exposed GKE Workload: High-risk CVE, exploit available | A Google Kubernetes Engine (GKE) workload is externally exposed and affected by a high-risk CVE with a known exploit. This significantly increases the risk of remote attacks, unauthorized access, and system compromise. |\n| GKE Node Pool: High-risk Bulletin, access to high value resource via SA impersonation | A GKE node pool has the ability to impersonate a service account (SA) that grants access to a high-value resource. This increases the risk of privilege escalation, unauthorized access, and data compromise. |\n| GKE Node Pool: High-risk Bulletin, access to resource with sensitive data via SA impersonation | A GKE node pool has the ability to impersonate a service account (SA) that grants access to a resource containing sensitive data. This increases the risk of unauthorized access, data breaches, and privilege escalation. |\n| GKE Node Pool: High-risk Bulletin, direct access to high value resource | A GKE node pool has direct access to a high-value resource, increasing the risk of unauthorized access, privilege escalation, and potential data compromise. |\n| GKE Node Pool: High-risk Bulletin, direct access to resource with sensitive data | A GKE node pool has direct access to a resource containing sensitive data, increasing the risk of unauthorized access, data breaches, and privilege escalation. |\n| Externally Exposed GKE Node Pool: High-risk Bulletin | A GKE node pool is externally exposed and affected by a high-risk CVE. This significantly increases the risk of remote attacks, unauthorized access, and system compromise. |\n| GKE Node Pool: High-risk Bulletin, ability to impersonate SA | There is a high-risk bulletin on a GKE node pool that has permissions to impersonate another service account (SA), increasing the risk of privilege escalation and unauthorized access to critical resources. |\n| GKE Node Pool: High-risk Bulletin, excessive direct permissions | There is a high-risk bulletin on a GKE node pool that has excessive permissions on another resource, granting it unintended access. This increases the risk of privilege escalation, unauthorized access, and data exposure. |\n| GKE Node Pool: High-risk Bulletin, excessive permissions via SA impersonation | There is a high-risk bulletin on a GKE node pool that has excessive permissions on another resource through service account (SA) impersonation, increasing the risk of privilege escalation and unauthorized access. |\n| Service account with unrotated key has excessive permissions | A service account is using a long-lived, unrotated key with excessive permissions, increasing the risk of credential compromise, unauthorized access, and privilege escalation. |\n| Service account with user-managed key has excessive permissions | A service account with user-managed keys and excessive permissions, which increase the risk of credential leakage and privilege escalation. |\n\nWhat's next\n\n[Manage and remediate issues](/security-command-center/docs/issues-manage-remediate)"]]
