Correzione dei problemi riscontrati

Questo documento descrive come correggere i risultati nei report.

Un report combina i risultati aggregati di Security Command Center e i dati di inventario di Cloud Asset Inventory per fornire una visualizzazione aggregata del rischio nella tua organizzazione. Questi report sono allineati al benchmark CIS Fondamenti di computing di Google Cloud v1.2.0. Per ulteriori informazioni su questo framework, consulta CIS Benchmarks.

Come best practice, inizia correggendo i risultati che hanno l'impatto più elevato, come indicato in un report di Cyber Insurance Hub.

Prima di iniziare

Crea un report.

Correzione dei problemi riscontrati nel benchmark CIS

Cyber Insurance Hub è stato integrato con i livelli Premium ed Enterprise di Security Command Center per semplificare la procedura di correzione dei risultati del benchmark CIS. Se sei un cliente del livello Standard di Security Command Center, non puoi utilizzare Security Command Center per esaminare e correggere tutti i singoli risultati del benchmark CIS sulle tue risorse Google Cloud . Esegui l'upgrade al livello Premium o Enterprise per ricevere assistenza completa. Per informazioni più dettagliate su come attivare ogni livello di Security Command Center, consulta la panoramica dell'attivazione.

Correzione dei risultati del benchmark CIS con il livello Premium o Enterprise di Security Command Center

Per esaminare e correggere i singoli risultati utilizzando Security Command Center, segui questi passaggi:

  1. In un report, nella tabella degli argomenti dei benchmark CIS, espandi un argomento dei benchmark CIS per visualizzare i benchmark CIS per quell'argomento.

  2. In una riga della tabella CIS Benchmark, fai clic sul conteggio dei risultati.

    Questo link rimanda a Security Command Center per visualizzare i risultati attivi relativi a quel benchmark CIS.

  3. In Security Command Center, nella tabella dei risultati, fai clic sulla categoria del risultato che vuoi correggere.

    Si apre un riquadro con informazioni su come risolvere il risultato.

Correzione dei benchmark CIS con il livello Standard di Security Command Center

Sebbene i report di Cyber Insurance Hub forniscano una tabella degli argomenti dei benchmark CIS identificati nella tua organizzazione, il livello Standard di Security Command Center non ti consente di passare direttamente ai risultati correlati in Security Command Center.

Per visualizzare le istruzioni su come correggere i CIS Benchmark generali, segui questi passaggi:

  1. In un report, nella tabella degli argomenti dei benchmark CIS, espandi un argomento dei benchmark CIS per visualizzare i benchmark CIS per quell'argomento.

  2. In una riga della tabella CIS Benchmark, fai clic sulla descrizione del CIS Benchmark.

    Questo link rimanda alle istruzioni generali di correzione per il benchmark CIS in questione.

Puoi anche utilizzare le seguenti istruzioni per correggere i risultati per i benchmark CIS supportati da Cyber Insurance Hub:

Identity and Access Management
1.1 Assicurati che vengano utilizzate le credenziali di accesso aziendali
1.2 Assicurati che l'autenticazione a più fattori sia abilitata per tutti gli account non di servizio
1.4 Assicurati che ci siano solo chiavi dell'account di servizio gestite da Google Cloud per ogni service account
1.5 Assicurati che l'account di servizio non disponga dei privilegi di amministratore
1.6 Assicurati che agli utenti IAM non vengano assegnati i ruoli Utente del service account o Creatore di token del service account a livello di progetto
1.7 Assicurati che le chiavi gestite dall'utente/esterne per i service account vengano ruotate ogni 90 giorni o meno
1.8 Assicurati che venga applicata la separazione dei compiti durante l'assegnazione di ruoli correlati all'account di servizio agli utenti
1.9 Assicurati che le chiavi di crittografia Cloud KMS non siano accessibili in modo anonimo o pubblicamente
1.10 Assicurati che le chiavi di crittografia KMS vengano ruotate entro un periodo di 90 giorni
1.11 Assicurati che venga applicata la separazione dei compiti quando i ruoli correlati a KMS vengono assegnati agli utenti
1.12 Assicurati che non siano state create chiavi API per un progetto
1.13 Assicurati che le chiavi API siano limitate all'utilizzo solo da parte degli host e delle app specificati
1.14 Assicurati che le chiavi API siano limitate solo alle API a cui deve accedere l'applicazione
1.15 Assicurati che le chiavi API vengano ruotate ogni 90 giorni
Logging e monitoraggio
2.1 Assicurati che l'audit logging di Cloud sia configurato correttamente su tutti i servizi e per tutti gli utenti di un progetto
2.2 Assicurati che i sink siano configurati per tutte le voci di log
2.3 Assicurati che le policy di conservazione sui bucket di log siano configurate utilizzando il blocco dei bucket
2.4 Assicurati che il filtro della metrica di log e gli avvisi esistano per le assegnazioni/le modifiche alla proprietà del progetto
2.5 Assicurati che il filtro delle metriche di log e gli avvisi esistano per le modifiche alla configurazione di controllo
2.6 Assicurati che il filtro delle metriche di log e gli avvisi esistano per le modifiche ai ruoli personalizzati
2.7 Assicurati che il filtro delle metriche di log e gli avvisi esistano per le modifiche alle regole firewall di rete VPC
2.8 Assicurati che il filtro della metrica di log e gli avvisi esistano per le modifiche alle route di rete VPC
2.9 Assicurati che il filtro delle metriche di log e gli avvisi esistano per le modifiche alla rete VPC
2.10 Assicurati che il filtro delle metriche di log e gli avvisi esistano per le modifiche alle autorizzazioni IAM di Cloud Storage
2.11 Assicurati che il filtro delle metriche di log e gli avvisi esistano per le modifiche alla configurazione delle istanze SQL
2.12 Assicurati che il logging di Cloud DNS sia abilitato per tutte le reti VPC
Networking
3.1 Assicurati che la rete predefinita non esista in un progetto
3.2 Assicurati che la rete legacy non esista per un progetto
3.3 Assicurati che la DNSSEC sia abilitata per Cloud DNS
3.4 Assicurati che RSASHA1 non sia utilizzato per la chiave di firma della chiave nella DNSSEC Cloud DNS
3.5 Assicurati che RSASHA1 non sia utilizzato per la chiave di firma della zona nelle DNSSEC Cloud DNS
3.6 Assicurati che l'accesso SSH da internet sia limitato
3.7 Assicurati che l'accesso RDP da internet sia limitato
3.8 Assicurati che i log di flusso VPC siano abilitati per ogni subnet in una rete VPC
3.9 Assicurati che nessun bilanciatore del carico HTTPS o del proxy SSL consenta le policy SSL con suite di crittografia deboli
Macchine virtuali
4.1 Assicurati che le istanze non siano configurate per utilizzare il service account predefinito
4.2 Assicurati che le istanze non siano configurate per utilizzare il account di servizio predefinito con accesso completo a tutte le API Cloud
4.3 Assicurati che l'opzione "Blocca chiavi SSH a livello di progetto" sia abilitata per le istanze VM
4.4 Assicurati che oslogin sia abilitato per un progetto
4.5 Assicurati che l'opzione "Abilita connessione alle porte seriali" non sia abilitata per l'istanza VM
4.6 Assicurati che l'IP forwarding non sia abilitato sulle istanze
4.7 Assicurati che i dischi VM delle VM critiche siano criptati con chiavi di crittografia fornite dal cliente (CSEK)
4.8 Assicurati che le istanze di computing vengano avviate con Shielded VM abilitata
4.9 Assicurati che le istanze di Compute non abbiano indirizzi IP pubblici
4.11 Assicurati che Confidential Computing sia abilitato per le istanze di computing
Archiviazione
5.1 Assicurati che il bucket Cloud Storage non sia accessibile pubblicamente o in modo anonimo
5.2 Assicurati che l'accesso uniforme a livello di bucket sia abilitato per i bucket Cloud Storage
Servizi di database Cloud SQL
6.1.1 Assicurati che l'istanza del database MySQL non consenta a nessuno di connettersi con privilegi amministrativi
6.1.2 Assicurati che il flag di database "skip_show_database" per l'istanza MySQL di Cloud SQL sia impostato su "on"
6.1.3 Assicurati che il flag di database "local_infile" per un'istanza MySQL di Cloud SQL sia impostato su "off"
6.2.1 Assicurati che il flag di database "log_checkpoints" per l'istanza PostgreSQL di Cloud SQL sia impostato su "on"
6.2.2 Assicurati che il flag di database "log_error_verbosity" per l'istanza PostgreSQL di Cloud SQL sia impostato su "DEFAULT" o su un valore più restrittivo
6.2.3 Assicurati che il flag di database "log_connections" per l'istanza PostgreSQL di Cloud SQL sia impostato su "on"
6.2.4 Assicurati che il flag di database "log_disconnections" per l'istanza PostgreSQL di Cloud SQL sia impostato su "on"
6.2.5 Assicurati che il flag di database "log_duration" per l'istanza PostgreSQL di Cloud SQL sia impostato su "on"
6.2.6 Assicurati che il flag di database "log_lock_waits" per l'istanza PostgreSQL di Cloud SQL sia impostato su "on"
6.2.7 Assicurati che il flag di database "log_statement" per l'istanza PostgreSQL di Cloud SQL sia impostato correttamente
6.2.8 Assicurati che il flag di database "log_hostname" per l'istanza PostgreSQL di Cloud SQL sia impostato correttamente
6.2.9 Assicurati che il flag di database "log_parser_stats" per l'istanza PostgreSQL di Cloud SQL sia impostato su "off"
6.2.10 Assicurati che il flag di database "log_planner_stats" per l'istanza PostgreSQL di Cloud SQL sia impostato su "off"
6.2.11 Assicurati che il flag di database "log_executor_stats" per l'istanza PostgreSQL di Cloud SQL sia impostato su "off"
6.2.12 Assicurati che il flag di database "log_statement_stats" per l'istanza PostgreSQL di Cloud SQL sia impostato su "off"
6.2.13 Assicurati che il flag di database "log_min_messages" per l'istanza PostgreSQL di Cloud SQL sia impostato correttamente
6.2.14 Assicurati che il flag di database "log_min_error_statement" per l'istanza PostgreSQL di Cloud SQL sia impostato su "Error" o su un valore più restrittivo
6.2.15 Assicurati che il flag di database "log_temp_files" per l'istanza PostgreSQL di Cloud SQL sia impostato su "0"
6.2.16 Assicurati che il flag di database "log_min_duration_statement" per l'istanza PostgreSQL di Cloud SQL sia impostato su "-1"
6.3.1 Assicurati che il flag di database "external scripts enabled" per l'istanza SQL Server di Cloud SQL sia impostato su "off"
6.3.2 Assicurati che il flag di database "cross db ownership chaining" per l'istanza SQL Server di Cloud SQL sia impostato su "off"
6.3.3 Assicurati che il flag di database "user connections" per l'istanza SQL Server di Cloud SQL sia impostato correttamente
6.3.4 Assicurati che il flag di database "user options" per l'istanza SQL Server di Cloud SQL non sia configurato
6.3.5 Assicurati che il flag di database "remote access" per l'istanza SQL Server di Cloud SQL sia impostato su "off"
6.3.6 Assicurati che il flag di database "3625 (trace flag)" per l'istanza SQL Server di Cloud SQL sia impostato su "off"
6.3.7 Assicurati che il flag di database "autenticazione database indipendente" per Cloud SQL sull'istanza SQL Server sia impostato su "off"
6.4 Assicurati che l'istanza del database Cloud SQL richieda che tutte le connessioni in entrata utilizzino il protocollo SSL
6.5 Assicurati che le istanze del database Cloud SQL non siano aperte a tutti
6.6 Assicurati che le istanze del database Cloud SQL non abbiano IP pubblici
6.7 Assicurati che le istanze del database Cloud SQL siano configurate con backup automatici
BigQuery
7.1 Assicurati che i set di dati BigQuery non siano accessibili pubblicamente o in modo anonimo
7.2 Assicurati che tutte le tabelle BigQuery siano criptate con una chiave di crittografia gestita dal cliente (CMEK)
7.3 Assicurati che per tutti i set di dati BigQuery sia specificata una chiave di crittografia gestita dal cliente (CMEK) predefinita

Passaggi successivi