Résoudre les problèmes identifiés

Ce document explique comment corriger les résultats dans les rapports.

Un rapport combine les résultats agrégés de Security Command Center et les données d'inventaire de l'inventaire des éléments cloud pour fournir une vue agrégée des risques dans votre organisation. Ces rapports sont alignés sur le benchmark CIS Google Cloud Computing Foundations v1.2.0. Pour en savoir plus sur ce framework, consultez CIS Benchmarks.

Nous vous recommandons de commencer par corriger les problèmes ayant le plus d'impact, comme indiqué dans un rapport Cyber Insurance Hub.

Avant de commencer

Créez un rapport.

Corriger les résultats des benchmarks CIS

Cyber Insurance Hub est intégré aux niveaux Premium et Enterprise de Security Command Center pour simplifier le processus de correction des résultats des benchmarks CIS. Si vous êtes client du niveau Standard de Security Command Center, vous ne pouvez pas utiliser Security Command Center pour inspecter et corriger tous les résultats individuels des benchmarks CIS sur vos ressources Google Cloud . Passez au niveau Premium ou Enterprise pour bénéficier d'une assistance complète. Pour en savoir plus sur l'activation de chaque niveau Security Command Center, consultez Présentation de l'activation.

Corriger les résultats des benchmarks CIS avec le niveau Security Command Center Premium ou Enterprise

Pour examiner et corriger des résultats individuels à l'aide de Security Command Center, procédez comme suit :

  1. Dans un rapport, dans le tableau des sujets de benchmark CIS, développez un sujet de benchmark CIS pour afficher les benchmarks CIS correspondants.

  2. Dans une ligne du tableau "Benchmark CIS", cliquez sur le nombre de résultats.

    Ce lien redirige vers Security Command Center pour afficher les résultats actifs liés à ce benchmark CIS.

  3. Dans Security Command Center, dans le tableau des résultats, cliquez sur la catégorie du résultat que vous souhaitez corriger.

    Un volet s'ouvre et vous explique comment corriger le problème.

Corriger les benchmarks CIS avec le niveau Standard de Security Command Center

Alors que les rapports Cyber Insurance Hub fournissent un tableau des thèmes des benchmarks CIS identifiés dans votre organisation, le niveau Standard de Security Command Center ne vous permet pas d'accéder directement aux résultats associés dans Security Command Center.

Pour afficher les instructions permettant de corriger les benchmarks CIS généraux, procédez comme suit :

  1. Dans un rapport, dans le tableau des sujets de benchmark CIS, développez un sujet de benchmark CIS pour afficher les benchmarks CIS correspondants.

  2. Dans une ligne du tableau du benchmark CIS, cliquez sur la description du benchmark CIS.

    Ce lien renvoie aux instructions générales de résolution pour ce benchmark CIS.

Vous pouvez également suivre les instructions ci-dessous pour corriger les résultats des benchmarks CIS compatibles avec Cyber Insurance Hub :

Identity and Access Management
1.1 Assurez-vous que des identifiants de connexion d'entreprise sont utilisés
1.2 Assurez-vous que l'authentification multifacteur est activée pour tous les comptes qui ne sont pas des comptes de service
1.4 Assurez-vous qu'il n'existe que des clés de compte de service gérées par GCP pour chaque compte de service
1.5 Assurez-vous que le compte de service ne possède aucun droit d'administrateur
1.6 Assurez-vous que les utilisateurs IAM ne reçoivent pas les rôles "Utilisateur du compte de service" ou "Créateur de jetons du compte de service" au niveau du projet
1.7 Assurez-vous que les clés externes ou gérées par l'utilisateur pour les comptes de service sont alternées tous les 90 jours au maximum
1.8 Assurez-vous que le principe de séparation des tâches est appliqué lors de l'attribution des rôles liés au compte de service aux utilisateurs
1.9 Assurez-vous que les clés cryptographiques Cloud KMS ne sont pas accessibles publiquement ni anonymement
1.10 Assurez-vous que les clés de chiffrement KMS sont alternées dans un délai de 90 jours
1.11 Assurez-vous que le principe de séparation des tâches est appliqué lors de l'attribution des rôles liés au service de gestion des clés aux utilisateurs
1.12 S'assurer qu'aucune clé API n'est créée pour un projet
1.13 Assurez-vous que l'utilisation des clés API est limitée aux seuls hôtes et applications spécifiés
1.14 Assurez-vous que les clés API sont limitées aux API auxquelles l'application a besoin d'accéder
1.15 Assurez-vous que les clés API sont alternées tous les 90 jours
Journaux et surveillance
2.1 Assurez-vous que Cloud Audit Logging est correctement configuré pour tous les services et tous les utilisateurs d'un projet
2.2 Assurez-vous que les récepteurs sont configurés pour toutes les entrées de journal
2.3 Assurez-vous que les règles de conservation des buckets de journaux sont configurées à l'aide du verrou de bucket
2.4 Assurez-vous qu'un filtre de métrique de journal et des alertes existent pour surveiller les attributions/modifications apportées à la propriété des projets
2.5 Assurez-vous que le filtre de métrique de journal et des alertes existent pour surveiller les modifications apportées à la configuration d'audit
2.6 Assurez-vous que le filtre de métrique de journal et des alertes existent pour surveiller les modifications apportées au rôle personnalisé
2.7 Assurez-vous que le filtre de métrique de journal et des alertes existent pour surveiller les modifications apportées aux règles de pare-feu du réseau VPC
2.8 Assurez-vous que le filtre de métrique de journal et des alertes existent pour surveiller les modifications apportées aux routes du réseau VPC
2.9 Assurez-vous que le filtre de métrique de journal et des alertes existent pour surveiller les modifications apportées au réseau VPC
2.10 Assurez-vous que le filtre de métrique de journal et des alertes existent pour surveiller les modifications apportées aux autorisations IAM Cloud Storage
2.11 Assurez-vous que le filtre de métrique de journal et des alertes existent pour surveiller les modifications apportées à la configuration d'instance SQL
2.12 Assurez-vous que la journalisation Cloud DNS est activée pour tous les réseaux VPC
Mise en réseau
3.1 Vérifiez que le réseau par défaut n'existe pas dans un projet
3.2 Assurez-vous qu'aucun ancien réseau n'existe pour un projet
3.3 Vérifiez que DNSSEC est activé pour Cloud DNS
3.4 Assurez-vous que le protocole RSASHA1 n'est pas utilisé pour la clé de signature de clé dans Cloud DNS DNSSEC
3.5 Assurez-vous que le protocole RSASHA1 n'est pas utilisé pour la clé de signature de zone dans Cloud DNS DNSSEC
3.6 Assurez-vous que l'accès SSH depuis Internet est limité
3.7 Assurez-vous que l'accès RDP depuis Internet est limité
3.8 Assurez-vous que les journaux de flux VPC sont activés pour chaque sous-réseau d'un réseau VPC
3.9 Assurez-vous qu'aucun équilibreur de charge HTTPS ou proxy SSL n'autorise les règles SSL avec des suites de chiffrement faibles
Machines virtuelles
4.1 Assurez-vous que les instances ne sont pas configurées pour utiliser le compte de service par défaut
4.2 Assurez-vous que les instances ne sont pas configurées pour utiliser le compte de service par défaut avec un accès complet à toutes les API Cloud
4.3 Assurez-vous que l'option "Bloquer les clés SSH au niveau du projet" est activée pour les instances de VM
4.4 Assurez-vous qu'oslogin est activé pour un projet
4.5 Assurez-vous que l'option "Activer la connexion aux ports série" n'est pas activée pour l'instance de VM
4.6 Vérifiez que le transfert IP n'est pas activé sur les instances
4.7 Assurez-vous que les disques de VM pour les VM critiques sont chiffrés avec des clés de chiffrement fournies par le client (CSEK)
4.8 Assurez-vous de lancer les instances Compute avec une VM protégée activée
4.9 Assurez-vous que les instances Compute n'ont pas d'adresses IP publiques
4.11 Assurez-vous que l'informatique confidentielle est activée sur les instances Compute
Stockage
5.1 Assurez-vous que le bucket Cloud Storage n'est pas accessible de manière anonyme ni publiquement
5.2 Assurez-vous que l'accès uniforme au niveau du bucket est activé pour les buckets Cloud Storage
Services de base de données Cloud SQL
6.1.1 Assurez-vous que votre instance de base de données MySQL n'autorise personne à se connecter avec des droits d'administrateur
6.1.2 Assurez-vous que l'option de base de données "skip_show_database" de l'instance MySQL Cloud SQL est définie sur "on" (activée)
6.1.3 Assurez-vous que l'option de base de données "local_infile" de l'instance MySQL Cloud SQL est définie sur "off"
6.2.1 Assurez-vous que l'option de base de données "log_checkpoints" de l'instance PostgreSQL Cloud SQL est définie sur "on"
6.2.2 Assurez-vous que l'option de base de données "log_error_verbosity" de l'instance PostgreSQL Cloud SQL est définie sur "DEFAULT" (par défaut) ou un niveau plus strict
6.2.3 Assurez-vous que l'option de base de données "log_connections" de l'instance PostgreSQL Cloud SQL est définie sur "on"
6.2.4 Assurez-vous que l'option de base de données "log_disconnections" de l'instance PostgreSQL Cloud SQL est définie sur "on"
6.2.5 Assurez-vous que l'option de base de données "log_duration" de l'instance PostgreSQL Cloud SQL est définie sur "on"
6.2.6 Assurez-vous que l'option de base de données "log_lock_waits" de l'instance PostgreSQL Cloud SQL est définie sur "on"
6.2.7 Assurez-vous que l'option de base de données "log_statement" de l'instance PostgreSQL Cloud SQL est correctement définie
6.2.8 Assurez-vous que le flag de base de données "log_hostname" de l'instance PostgreSQL Cloud SQL est correctement défini
6.2.9 Assurez-vous que le flag de base de données "log_parser_stats" de l'instance PostgreSQL Cloud SQL est défini sur "off"
6.2.10 Assurez-vous que le flag de base de données "log_planner_stats" de l'instance PostgreSQL Cloud SQL est défini sur "off"
6.2.11 Assurez-vous que le flag de base de données "log_executor_stats" de l'instance PostgreSQL Cloud SQL est défini sur "off"
6.2.12 Assurez-vous que le flag de base de données "log_statement_stats" de l'instance PostgreSQL Cloud SQL est défini sur "off"
6.2.13 Assurez-vous que l'option de base de données "log_min_messages" de l'instance PostgreSQL Cloud SQL est correctement définie
6.2.14 Assurez-vous que l'option de base de données "log_min_error_statement" de l'instance PostgreSQL Cloud SQL est définie sur "Error" (erreur) ou un niveau plus strict
6.2.15 Assurez-vous que l'option de base de données "log_temp_files" de l'instance PostgreSQL Cloud SQL est définie sur "0"
6.2.16 Assurez-vous que l'option de base de données "log_min_duration_statement" de l'instance PostgreSQL Cloud SQL est définie sur "-1"
6.3.1 Assurez-vous que l'option de base de données "external scripts enabled" de l'instance SQL Server Cloud SQL est définie sur "off"
6.3.2 Assurez-vous que l'option de base de données "cross db ownership chaining" (chaînage de propriété entre les bases de données) de l'instance SQL Server Cloud SQL est définie sur "off" (désactivée)
6.3.3 Assurez-vous que l'option de base de données "user connections" de l'instance SQL Server Cloud SQL est définie correctement
6.3.4 Assurez-vous que l'option de base de données "user options" de l'instance SQL Server Cloud SQL n'est pas configurée
6.3.5 Assurez-vous que l'option de base de données "remote access" de l'instance SQL Server Cloud SQL est définie sur "off"
6.3.6 Assurez-vous que l'option de base de données "3625 (indicateur de trace)" de l'instance SQL Server Cloud SQL est définie sur "off" (désactivée)
6.3.7 Assurez-vous que l'option de base de données "contained database authentication" (authentification de la base de données autonome) pour Cloud SQL sur l'instance SQL Server est définie sur "off" (désactivée)
6.4 Assurez-vous que l'instance de base de données Cloud SQL oblige toutes les connexions entrantes à utiliser SSL
6.5 Assurez-vous que les instances de base de données Cloud SQL ne sont pas ouvertes à tout le monde
6.6 Assurez-vous que les instances de base de données Cloud SQL n'ont pas d'adresses IP publiques
6.7 Assurez-vous que les instances de base de données Cloud SQL sont configurées avec des sauvegardes automatiques
BigQuery
7.1 Assurez-vous que les ensembles de données BigQuery ne sont pas accessibles anonymement ni publiquement
7.2 Assurez-vous que toutes les tables BigQuery sont chiffrées à l'aide d'une clé de chiffrement gérée par le client (CMEK)
7.3 Assurez-vous qu'une clé de chiffrement gérée par le client (CMEK) par défaut est spécifiée pour tous les ensembles de données BigQuery

Étape suivante