Feedback geben
Fehler beheben
Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
In diesem Dokument wird beschrieben, wie Sie Ergebnisse in Berichten beheben.
In einem Bericht werden zusammengefasste Ergebnisse aus dem Security Command Center und Inventardaten aus dem Cloud Asset Inventory kombiniert, um einen zusammengefassten Überblick über das Risiko in Ihrer Organisation zu erhalten. Diese Berichte sind auf den CIS Google Cloud Computing Foundations Benchmark v1.2.0 abgestimmt.
Weitere Informationen zu diesem Framework finden Sie unter CIS Benchmarks .
Als Best Practice sollten Sie mit der Behebung der Probleme beginnen, die laut einem Cyber Insurance Hub-Bericht die größten Auswirkungen haben.
Hinweise
Bericht erstellen
Cyber Insurance Hub ist in die Premium- und Enterprise-Versionen von Security Command Center eingebunden, um den Prozess zur Behebung von CIS Benchmark-Ergebnissen zu vereinfachen. Wenn Sie ein Kunde der Standard-Stufe von Security Command Center sind, können Sie Security Command Center nicht verwenden, um alle einzelnen CIS Benchmark-Ergebnisse für Ihre Google Cloud Ressourcen zu prüfen und zu beheben. Führen Sie ein Upgrade auf die Premium- oder Enterprise-Stufe durch, um vollen Support zu erhalten. Weitere Informationen zum Aktivieren der einzelnen Security Command Center-Versionen finden Sie unter Aktivierung – Übersicht .
So prüfen und beheben Sie einzelne Ergebnisse mit Security Command Center:
Erweitern Sie in einem Bericht in der Tabelle mit den CIS-Benchmark-Themen ein CIS-Benchmark-Thema, um die CIS-Benchmarks für dieses Thema aufzurufen.
Klicken Sie in einer Zeile der CIS Benchmark-Tabelle auf die Anzahl der Ergebnisse.
Dadurch wird eine Verknüpfung zum Security Command Center hergestellt, um die aktiven Ergebnisse im Zusammenhang mit diesem CIS-Benchmark anzuzeigen.
Klicken Sie in Security Command Center in der Ergebnistabelle auf die Kategorie des Ergebnisses, das Sie beheben möchten.
Ein Bereich mit Informationen dazu, wie Sie das Ergebnis beheben können, wird geöffnet.
Cyber Insurance Hub-Berichte enthalten zwar eine Tabelle der in Ihrer Organisation ermittelten CIS-Benchmark-Themen, mit der Security Command Center Standard-Stufe können Sie jedoch nicht direkt zu den zugehörigen Ergebnissen im Security Command Center wechseln.
So rufen Sie Anleitungen zum Beheben allgemeiner CIS-Benchmarks auf:
Erweitern Sie in einem Bericht in der Tabelle mit den CIS-Benchmark-Themen ein CIS-Benchmark-Thema, um die CIS-Benchmarks für dieses Thema aufzurufen.
Klicken Sie in einer CIS-Benchmark-Tabellenzeile auf die Beschreibung der CIS-Benchmark.
Hier finden Sie die allgemeinen Anweisungen zur Behebung für diesen CIS-Benchmark.
Sie können auch die folgenden Anleitungen verwenden, um Probleme für CIS Benchmarks zu beheben, die von Cyber Insurance Hub unterstützt werden:
Identity and Access Management
1.1 Achten Sie darauf, dass Anmeldedaten des Unternehmens verwendet werden
1.2 Achten Sie darauf, dass die Multi-Faktor-Authentifizierung für alle Nicht-Dienstkonten aktiviert ist
1.4 Achten Sie darauf, dass für jedes Dienstkonto nur von Google Cloud verwaltete Dienstkontoschlüssel vorhanden sind
1.5 Achten Sie darauf, dass das Dienstkonto keine Administratorberechtigungen hat
1.6 Achten Sie darauf, dass IAM-Nutzern nicht die Rollen „Dienstkontonutzer“ oder „Ersteller von Dienstkonto-Tokens“ auf Projektebene zugewiesen sind.
1.7 Achten Sie darauf, dass von Nutzern verwaltete/externe Schlüssel für Dienstkonten mindestens alle 90 Tage rotiert werden
1.8 Achten Sie darauf, dass die Aufgabentrennung erzwungen wird, wenn Nutzern dienstkontobezogene Rollen zugewiesen werden
1.9 Achten Sie darauf, dass Cloud KMS-CryptoKeys nicht anonym oder öffentlich zugänglich sind
1.10 Achten Sie darauf, dass KMS-Verschlüsselungsschlüssel innerhalb von 90 Tagen rotiert werden
1.11 Achten Sie darauf, dass die Aufgabentrennung erzwungen wird, wenn Nutzern KMS-bezogene Rollen zugewiesen werden
1.12 Achten Sie darauf, dass API-Schlüssel für ein Projekt nicht erstellt werden
1.13 Achten Sie darauf, dass die Verwendung von API-Schlüsseln ausschließlich auf angegebene Hosts und Anwendungen eingeschränkt ist
1.14 Achten Sie darauf, dass API-Schlüssel ausschließlich auf APIs eingeschränkt sind, auf die die Anwendung Zugriff benötigt.
1.15 Achten Sie darauf, dass API-Schlüssel alle 90 Tage rotiert werden
Logging und Monitoring
2.1 Achten Sie darauf, dass Cloud-Audit-Logging für alle Dienste und alle Nutzer eines Projekts korrekt konfiguriert ist
2.2 Achten Sie darauf, dass Senken für alle Logeinträge konfiguriert sind
2.3 Achten Sie darauf, dass Aufbewahrungsrichtlinien für Log-Buckets mit der Bucket-Sperre konfiguriert sind
2.4 Achten Sie darauf, dass der Logmesswert-Filter und Benachrichtigungen für Zuweisungen/Änderungen der Projektinhaberschaft vorhanden sind
2.5 Achten Sie darauf, dass der Logmesswert-Filter und Benachrichtigungen für Änderungen der Audit-Konfiguration vorhanden sind
2.6 Achten Sie darauf, dass der Logmesswert-Filter und Benachrichtigungen für Änderungen der benutzerdefinierten Rolle vorhanden sind
2.7 Achten Sie darauf, dass der Logmesswert-Filter und Benachrichtigungen für Änderungen der VPC-Netzwerk-Firewallregel vorhanden sind
2.8 Achten Sie darauf, dass der Logmesswert-Filter und Benachrichtigungen für Änderungen der VPC-Netzwerkroute vorhanden sind
2.9 Achten Sie darauf, dass der Logmesswert-Filter und Benachrichtigungen für Änderungen des VPC-Netzwerk vorhanden sind
2.10 Achten Sie darauf, dass der Logmesswert-Filter und Benachrichtigungen für Änderungen der Cloud Storage-IAM-Berechtigung vorhanden sind
2.11 Achten Sie darauf, dass der Logmesswert-Filter und Benachrichtigungen für Änderungen der SQL-Instanzkonfiguration vorhanden sind
2.12 Achten Sie darauf, dass Cloud DNS-Logging für alle VPC-Netzwerke aktiviert ist
Netzwerk
3.1 Achten Sie darauf, dass das Standardnetzwerk nicht in einem Projekt vorhanden ist
3.2 Achten Sie darauf, dass kein Legacy-Netzwerk für ein Projekt vorhanden ist
3.3 Achten Sie darauf, dass DNSSEC für Cloud DNS aktiviert ist
3.4 Achten Sie darauf, dass RSASHA1 nicht für den Signaturschlüssel in Cloud DNS DNSSEC verwendet wird
3.5 Achten Sie darauf, dass RSASHA1 nicht für den Zonensignaturschlüssel in Cloud DNS DNSSEC verwendet wird
3.6 Achten Sie darauf, dass der SSH-Zugriff über das Internet eingeschränkt ist
3.7 Achten Sie darauf, dass der RDP-Zugriff über das Internet eingeschränkt ist
3.8 Achten Sie darauf, dass VPC-Flusslogs für jedes Subnetz in einem VPC-Netzwerk aktiviert sind
3.9 Achten Sie darauf, dass keine HTTPS- oder SSL-Proxy-Load-Balancer SSL-Richtlinien mit schwachen Cipher Suites zulassen
Virtuelle Maschinen
4.1 Achten Sie darauf, dass Instanzen nicht für die Verwendung des Standarddienstkontos konfiguriert sind
4.2 Achten Sie darauf, dass Instanzen nicht für die Verwendung des Standarddienstkontos mit vollständigem Zugriff auf alle Cloud APIs konfiguriert sind
4.3 Achten Sie darauf, dass „Projektweite SSH-Schlüssel blockieren“ für VM-Instanzen aktiviert ist
4.4 Achten Sie darauf, dass oslogin für ein Projekt aktiviert ist
4.5 Achten Sie darauf, dass „Verbindung mit seriellen Ports aktivieren“ nicht für VM-Instanzen aktiviert ist
4.6 Achten Sie darauf, dass die IP-Weiterleitung nicht für Instanzen aktiviert ist
4.7 Achten Sie darauf, dass VM-Laufwerke für kritische VMs mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln (CSEK) verschlüsselt werden
4.8 Achten Sie darauf, dass Compute-Instanzen mit aktiviertem Shielded VM gestartet werden
4.9 Achten Sie darauf, dass Compute-Instanzen keine öffentlichen IP-Adressen haben
4.11 Achten Sie darauf, dass Confidential Computing für Compute-Instanzen aktiviert ist
Speicher
5.1 Achten Sie darauf, dass der Cloud Storage-Bucket nicht anonym oder öffentlich zugänglich ist
5.2 Achten Sie darauf, dass für Cloud Storage-Buckets der einheitliche Zugriff auf Bucket-Ebene aktiviert ist
Cloud SQL-Datenbankdienste
6.1.1 Achten Sie darauf, dass eine MySQL-Datenbankinstanz keine Verbindungen mit Administratorberechtigungen zulässt
6.1.2 Achten Sie darauf, dass das Datenbank-Flag „skip_show_database“ für die MySQL-Instanz von Cloud SQL auf „Ein“ festgelegt ist
6.1.3 Achten Sie darauf, dass das Datenbank-Flag „local_infile“ für eine MySQL-Instanz von Cloud SQL auf „Aus“ festgelegt ist
6.2.1 Achten Sie darauf, dass das Datenbank-Flag „log_checkpoints“ für eine PostgreSQL-Instanz von Cloud SQL auf „Ein“ festgelegt ist
6.2.2 Achten Sie darauf, dass das Datenbank-Flag „log_error_verbosity“ für eine PostgreSQL-Instanz von Cloud SQL auf „STANDARD“ oder einen strikteren Wert festgelegt ist
6.2.3 Achten Sie darauf, dass das Datenbank-Flag „log_connections“ für eine PostgreSQL-Instanz von Cloud SQL auf „Ein“ festgelegt ist
6.2.4 Achten Sie darauf, dass das Datenbank-Flag „log_disconnections“ für eine PostgreSQL-Instanz von Cloud SQL auf „Ein“ festgelegt ist
6.2.5 Achten Sie darauf, dass das Datenbank-Flag „log_duration“ für eine PostgreSQL-Instanz von Cloud SQL auf „Ein“ festgelegt ist
6.2.6 Achten Sie darauf, dass das Datenbank-Flag „log_lock_waits“ für eine PostgreSQL-Instanz von Cloud SQL auf „Ein“ festgelegt ist
6.2.7 Achten Sie darauf, dass das Datenbank-Flag „log_statement“ für eine PostgreSQL-Instanz von Cloud SQL korrekt festgelegt ist
6.2.8 Achten Sie darauf, dass das Datenbank-Flag „log_hostname“ für eine PostgreSQL-Instanz von Cloud SQL korrekt festgelegt ist
6.2.9 Achten Sie darauf, dass das Datenbank-Flag „log_parser_stats“ für eine PostgreSQL-Instanz von Cloud SQL auf „Aus“ festgelegt ist
6.2.10 Achten Sie darauf, dass das Datenbank-Flag „log_planner_stats“ für eine PostgreSQL-Instanz von Cloud SQL auf „Aus“ festgelegt ist
6.2.11 Achten Sie darauf, dass das Datenbank-Flag „log_executor_stats“ für eine PostgreSQL-Instanz von Cloud SQL auf „Aus“ festgelegt ist
6.2.12 Achten Sie darauf, dass das Datenbank-Flag „log_statement_stats“ für eine PostgreSQL-Instanz von Cloud SQL auf „Aus“ festgelegt ist
6.2.13 Achten Sie darauf, dass das Datenbank-Flag „log_min_messages“ für eine PostgreSQL-Instanz von Cloud SQL korrekt festgelegt ist
6.2.14 Achten Sie darauf, dass das Datenbank-Flag „log_min_error_statement“ für eine PostgreSQL-Instanz von Cloud SQL auf „Fehler“ oder einen strikteren Wert festgelegt ist
6.2.15 Achten Sie darauf, dass das Datenbank-Flag „log_temp_files“ für eine PostgreSQL-Instanz von Cloud SQL auf „0“ festgelegt ist.
6.2.16 Achten Sie darauf, dass das Datenbank-Flag „log_min_duration_statement“ für eine PostgreSQL-Instanz von Cloud SQL auf „-1“ festgelegt ist
6.3.1 Achten Sie darauf, dass das Datenbank-Flag „external scripts enabled“ für eine SQL Server-Instanz von Cloud SQL auf „Aus“ festgelegt ist
6.3.2 Achten Sie darauf, dass das Datenbank-Flag „cross db ownership chaining“ für eine SQL Server-Instanz von Cloud SQL auf „Aus“ festgelegt ist
6.3.3 Achten Sie darauf, dass das Datenbank-Flag „user connections“ für eine SQL Server-Instanz von Cloud SQL korrekt festgelegt ist
6.3.4 Achten Sie darauf, dass das Datenbank-Flag „user options“ für eine SQL Server-Instanz von Cloud SQL nicht konfiguriert ist
6.3.5 Achten Sie darauf, dass das Datenbank-Flag „remote access“ für eine SQL Server-Instanz von Cloud SQL auf „Aus“ festgelegt ist
6.3.6 Achten Sie darauf, dass das Datenbank-Flag „3625 (trace flag)“ für eine SQL Server-Instanz von Cloud SQL auf „Aus“ festgelegt ist
6.3.7 Achten Sie darauf, dass das Datenbank-Flag „contained database authentication“ für Cloud SQL auf der SQL Server-Instanz auf „Aus“ festgelegt ist.
6.4 Achten Sie darauf, dass eingehende Verbindungen auf der Cloud SQL-Datenbankinstanz nur über SSL möglich sind
6.5 Achten Sie darauf, dass Cloud SQL-Datenbankinstanzen nicht öffentlich zugänglich sind
6.6 Achten Sie darauf, dass Cloud SQL-Datenbankinstanzen keine öffentlichen IP-Adressen haben
6.7 Achten Sie darauf, dass Cloud SQL-Datenbankinstanzen mit automatischen Sicherungen konfiguriert sind
BigQuery
7.1 Achten Sie darauf, dass BigQuery-Datasets nicht anonym oder öffentlich zugänglich sind
7.2 Achten Sie darauf, dass alle BigQuery-Tabellen mit einem vom Kunden verwalteten Verschlüsselungsschlüssel (CMEK) verschlüsselt sind
7.3 Achten Sie darauf, dass für alle BigQuery-Datasets ein vom Kunden verwalteter Verschlüsselungsschlüssel (CMEK) als Standard festgelegt ist
Nächste Schritte
Feedback geben
Sofern nicht anders angegeben, sind die Inhalte dieser Seite unter der Creative Commons Attribution 4.0 License und Codebeispiele unter der Apache 2.0 License lizenziert. Weitere Informationen finden Sie in den Websiterichtlinien von Google Developers . Java ist eine eingetragene Marke von Oracle und/oder seinen Partnern.
Zuletzt aktualisiert: 2026-02-26 (UTC).
