Memperbaiki temuan

Dokumen ini menjelaskan cara memperbaiki temuan dalam laporan.

Laporan menggabungkan temuan gabungan dari Security Command Center dan data inventaris dari Cloud Asset Inventory untuk memberikan gambaran gabungan tentang risiko di seluruh organisasi Anda. Laporan ini selaras dengan Tolok Ukur CIS Google Cloud Computing Foundations v1.2.0. Untuk mengetahui informasi selengkapnya tentang framework ini, lihat CIS Benchmarks.

Sebagai praktik terbaik, mulailah dengan memperbaiki temuan yang memiliki dampak paling besar, seperti yang ditunjukkan dalam laporan Cyber Insurance Hub.

Sebelum memulai

Buat laporan.

Meremediasi temuan Tolok Ukur CIS

Cyber Insurance Hub telah terintegrasi dengan Security Command Center paket Premium dan Enterprise untuk menyederhanakan proses perbaikan untuk temuan CIS Benchmark. Jika Anda adalah pelanggan Security Command Center paket Standar, Anda tidak dapat menggunakan Security Command Center untuk memeriksa dan memulihkan semua temuan Benchmark CIS individual di resource Google Cloud Anda. Lakukan upgrade ke tingkat Premium atau tingkat Enterprise untuk mendapatkan dukungan penuh. Lihat Ringkasan aktivasi untuk mengetahui informasi yang lebih mendetail tentang cara mengaktifkan setiap paket Security Command Center.

Memperbaiki temuan CIS Benchmark dengan paket Security Command Center Premium atau Enterprise

Untuk memeriksa dan memperbaiki setiap temuan menggunakan Security Command Center, ikuti langkah-langkah berikut:

  1. Dalam laporan, di tabel topik tolok ukur CIS, luaskan topik Tolok Ukur CIS untuk melihat Tolok Ukur CIS untuk topik tersebut.

  2. Di baris tabel CIS Benchmark, klik jumlah temuan.

    Link ini mengarah ke Security Command Center untuk menampilkan temuan aktif yang terkait dengan CIS Benchmark tersebut.

  3. Di Security Command Center, pada tabel temuan, klik kategori temuan yang ingin Anda perbaiki.

    Panel akan terbuka dengan informasi tentang cara memperbaiki temuan tersebut.

Memperbaiki CIS Benchmark dengan paket Security Command Center Standard

Meskipun laporan Cyber Insurance Hub menyediakan tabel topik Tolok Ukur CIS yang diidentifikasi di seluruh organisasi Anda, paket Security Command Center Standard tidak memungkinkan Anda langsung melihat temuan terkait di Security Command Center.

Untuk melihat petunjuk tentang cara memperbaiki Tolok Ukur CIS umum, ikuti langkah-langkah berikut:

  1. Dalam laporan, di tabel topik tolok ukur CIS, luaskan topik Tolok Ukur CIS untuk melihat Tolok Ukur CIS untuk topik tersebut.

  2. Di baris tabel Tolok Ukur CIS, klik deskripsi Tolok Ukur CIS.

    Link ini mengarah ke petunjuk perbaikan umum untuk CIS Benchmark tersebut.

Anda juga dapat menggunakan petunjuk berikut untuk memperbaiki temuan terkait CIS Benchmark yang didukung oleh Cyber Insurance Hub:

Identity and Access Management
1.1 Pastikan kredensial login perusahaan digunakan
1.2 Pastikan autentikasi multi-faktor diaktifkan untuk semua akun non-layanan
1.4 Pastikan hanya ada kunci akun layanan yang dikelola GCP untuk setiap akun layanan
1.5 Pastikan Akun Layanan tidak memiliki hak istimewa Admin
1.6 Pastikan pengguna IAM tidak diberi peran Service Account User atau Service Account Token Creator di tingkat project
1.7 Pastikan kunci yang dikelola pengguna/eksternal untuk akun layanan dirotasi setiap 90 hari atau kurang
1.8 Pastikan Pemisahan tugas diterapkan saat menetapkan peran terkait akun layanan kepada pengguna
1.9 Pastikan cryptokey Cloud KMS tidak dapat diakses secara anonim atau publik
1.10 Pastikan kunci enkripsi KMS dirotasi dalam jangka waktu 90 hari
1.11 Pastikan Pemisahan tugas diterapkan saat menetapkan peran terkait KMS kepada pengguna
1.12 Pastikan kunci API tidak dibuat untuk sebuah project
1.13 Pastikan kunci API dibatasi untuk digunakan hanya oleh Host dan Aplikasi yang ditentukan
1.14 Pastikan kunci API dibatasi hanya untuk API yang perlu diakses aplikasi
1.15 Pastikan kunci API dirotasi setiap 90 hari
Logging dan Pemantauan
2.1 Pastikan Cloud Audit Logging dikonfigurasi dengan benar di semua layanan dan semua pengguna dari suatu project
2.2 Pastikan sink dikonfigurasi untuk semua entri log
2.3 Pastikan kebijakan retensi pada bucket log dikonfigurasi menggunakan Kunci Bucket
2.4 Pastikan notifikasi dan filter metrik log ada untuk penetapan/perubahan kepemilikan project
2.5 Pastikan filter metrik log dan notifikasi ada untuk perubahan Konfigurasi Audit
2.6 Pastikan filter metrik log dan pemberitahuan ada untuk perubahan Peran Kustom
2.7 Pastikan filter metrik log dan pemberitahuan ada untuk perubahan aturan Firewall Jaringan VPC
2.8 Pastikan filter metrik log dan pemberitahuan ada untuk perubahan rute jaringan VPC
2.9 Pastikan filter metrik log dan pemberitahuan ada untuk perubahan jaringan VPC
2.10 Pastikan filter metrik log dan pemberitahuan ada untuk perubahan izin IAM Cloud Storage
2.11 Pastikan filter metrik log dan pemberitahuan ada untuk perubahan konfigurasi instance SQL
2.12 Pastikan logging Cloud DNS diaktifkan untuk semua jaringan VPC
Jaringan
3.1 Pastikan jaringan default tidak ada dalam project
3.2 Pastikan jaringan lama tidak ada untuk sebuah project
3.3 Pastikan DNSSEC diaktifkan untuk Cloud DNS
3.4 Pastikan RSASHA1 tidak digunakan untuk kunci penandatangan kunci di DNSSEC Cloud DNS
3.5 Pastikan RSASHA1 tidak digunakan untuk kunci penandatangan zona di DNSSEC Cloud DNS
3.6 Pastikan akses SSH dibatasi dari internet
3.7 Pastikan akses RDP dibatasi dari Internet
3.8 Pastikan Log Aliran VPC diaktifkan untuk setiap subnet dalam Jaringan VPC
3.9 Pastikan tidak ada load balancer proxy HTTPS atau SSL yang mengizinkan kebijakan SSL dengan cipher suite yang lemah
Mesin Virtual
4.1 Pastikan instance tidak dikonfigurasi untuk menggunakan akun layanan default
4.2 Pastikan instance tidak dikonfigurasi untuk menggunakan akun layanan default dengan akses penuh ke semua Cloud API
4.3 Pastikan "Blokir kunci SSH di seluruh Project" diaktifkan untuk instance VM
4.4 Pastikan oslogin diaktifkan untuk Project
4.5 Pastikan "Aktifkan koneksi ke port serial" tidak diaktifkan untuk Instance VM
4.6 Pastikan penerusan IP tidak diaktifkan pada Instance
4.7 Pastikan disk VM untuk VM penting dienkripsi dengan Kunci Enkripsi yang Disediakan Pelanggan (CSEK)
4.8 Pastikan instance Compute diluncurkan dengan Shielded VM diaktifkan
4.9 Pastikan instance Compute tidak memiliki alamat IP publik
4.11 Pastikan instance Compute telah mengaktifkan Confidential Computing
Penyimpanan
5.1 Pastikan bucket Cloud Storage tidak dapat diakses secara anonim atau publik
5.2 Pastikan bucket Cloud Storage mengaktifkan akses level bucket yang seragam
Layanan Database Cloud SQL
6.1.1 Pastikan instance database MySQL tidak mengizinkan siapa pun untuk terhubung dengan hak istimewa administratif
6.1.2 Pastikan flag database "skip_show_database" untuk instance Cloud SQL MySQL disetel ke "on"
6.1.3 Pastikan flag database "local_infile" untuk instance MySQL Cloud SQL disetel ke "off"
6.2.1 Pastikan flag database "log_checkpoints" untuk instance Cloud SQL PostgreSQL disetel ke "on"
6.2.2 Pastikan flag database "log_error_verbosity" untuk instance Cloud SQL PostgreSQL disetel ke "DEFAULT" atau yang lebih ketat
6.2.3 Pastikan flag database "log_connections" untuk instance Cloud SQL PostgreSQL disetel ke "on"
6.2.4 Pastikan flag database "log_disconnections" untuk instance Cloud SQL PostgreSQL disetel ke "on"
6.2.5 Pastikan flag database "log_duration" untuk instance Cloud SQL PostgreSQL disetel ke "on"
6.2.6 Pastikan flag database "log_lock_waits" untuk instance Cloud SQL PostgreSQL disetel ke "on"
6.2.7 Pastikan flag database "log_statement" untuk instance Cloud SQL PostgreSQL disetel dengan tepat
6.2.8 Pastikan flag database "log_hostname" untuk instance Cloud SQL PostgreSQL disetel dengan tepat
6.2.9 Pastikan flag database "log_parser_stats" untuk instance Cloud SQL PostgreSQL disetel ke "off"
6.2.10 Pastikan flag database "log_planner_stats" untuk instance Cloud SQL PostgreSQL disetel ke "off"
6.2.11 Pastikan flag database "log_executor_stats" untuk instance Cloud SQL PostgreSQL disetel ke "off"
6.2.12 Pastikan flag database "log_statement_stats" untuk instance Cloud SQL PostgreSQL disetel ke "off"
6.2.13 Pastikan flag database "log_min_messages" untuk instance Cloud SQL PostgreSQL disetel dengan tepat
6.2.14 Pastikan flag database "log_min_error_statement" untuk instance Cloud SQL PostgreSQL disetel ke "Error" atau yang lebih ketat
6.2.15 Pastikan flag database "log_temp_files" untuk instance Cloud SQL PostgreSQL disetel ke "0"
6.2.16 Pastikan flag database "log_min_duration_statement" untuk instance Cloud SQL PostgreSQL disetel ke "-1"
6.3.1 Pastikan flag database "external scripts enabled" untuk instance Cloud SQL SQL Server disetel ke "off"
6.3.2 Pastikan flag database "cross db ownership chaining" untuk instance Cloud SQL SQL Server disetel ke "off"
6.3.3 Pastikan flag database "user connections" untuk instance Cloud SQL SQL Server disetel sebagaimana mestinya
6.3.4 Pastikan flag database "user options" untuk instance Cloud SQL SQL Server tidak dikonfigurasi
6.3.5 Pastikan flag database "remote access" untuk instance Cloud SQL SQL Server disetel ke "off"
6.3.6 Pastikan flag database "3625 (trace flag)" untuk instance Cloud SQL SQL Server disetel ke "off"
6.3.7 Pastikan flag database "contained database authentication" untuk Cloud SQL di instance SQL Server disetel ke "off"
6.4 Pastikan instance database Cloud SQL mengharuskan semua koneksi masuk untuk menggunakan SSL
6.5 Pastikan instance database Cloud SQL tidak terbuka untuk dunia
6.6 Pastikan instance database Cloud SQL tidak memiliki IP publik
6.7 Pastikan instance database Cloud SQL dikonfigurasi dengan cadangan otomatis
BigQuery
7.1 Pastikan set data BigQuery tidak dapat diakses secara anonim atau publik
7.2 Pastikan semua Tabel BigQuery dienkripsi dengan Kunci enkripsi yang dikelola pelanggan (CMEK)
7.3 Pastikan Kunci enkripsi yang dikelola pelanggan (CMEK) Default ditentukan untuk semua Set Data BigQuery

Apa langkah selanjutnya?