Como corrigir descobertas

Este documento descreve como corrigir descobertas em relatórios.

Um relatório combina descobertas agregadas do Security Command Center e dados de inventário do Inventário de recursos do Cloud para oferecer uma visão agregada do risco em toda a organização. Esses relatórios estão alinhados com o comparativo de mercado CIS Fundamentos da computação do Google Cloud v1.2.0. Para mais informações sobre esse framework, consulte CIS Benchmarks.

Como prática recomendada, comece corrigindo as descobertas que têm o maior impacto, conforme indicado em um relatório do Cyber Insurance Hub.

Antes de começar

Crie um relatório.

Como corrigir descobertas do comparativo de mercado do CIS

O Cyber Insurance Hub foi integrado aos níveis Premium e Enterprise do Security Command Center para simplificar o processo de correção das descobertas de comparativos de mercado do CIS. Se você for um cliente do nível Standard do Security Command Center, não poderá usar o Security Command Center para inspecionar e corrigir todas as descobertas individuais do CIS Benchmark nos seus recursos do Google Cloud . Faça upgrade para o nível Premium ou Enterprise e receba suporte completo. Consulte a Visão geral da ativação para mais informações sobre como ativar cada nível do Security Command Center.

Como corrigir descobertas do comparativo de mercado do CIS com o nível Premium ou Enterprise do Security Command Center

Para inspecionar e corrigir descobertas individuais usando o Security Command Center, siga estas etapas:

  1. Em um relatório, na tabela de tópicos de comparativo de mercado do CIS, expanda um tópico para ver os comparativos de mercado do CIS relacionados a ele.

  2. Em uma linha da tabela de comparativo de mercado do CIS, clique na contagem de descobertas.

    Isso cria um link para o Security Command Center e mostra as descobertas ativas relacionadas a esse comparativo de mercado do CIS.

  3. No Security Command Center, na tabela de descobertas, clique na categoria da descoberta que você quer corrigir.

    Um painel é aberto com informações sobre como corrigir essa descoberta.

Como corrigir comparativos de mercado do CIS com o Security Command Center Standard

Embora os relatórios do Cyber Insurance Hub forneçam uma tabela dos tópicos de comparativo de mercado do CIS identificados em toda a organização, o nível Standard do Security Command Center não permite fazer uma análise detalhada diretamente nas descobertas relacionadas no Security Command Center.

Para conferir instruções sobre como corrigir comparativos de mercado gerais do CIS, siga estas etapas:

  1. Em um relatório, na tabela de tópicos de comparativo de mercado do CIS, expanda um tópico para ver os comparativos de mercado do CIS relacionados a ele.

  2. Em uma linha da tabela de comparativo de mercado do CIS, clique na descrição.

    Isso vincula às instruções gerais de correção para esse comparativo de mercado do CIS.

Você também pode usar as instruções a seguir para corrigir descobertas de benchmarks do CIS compatíveis com o Hub de seguro cibernético:

Identity and Access Management
1.1 Verifique se as credenciais de login corporativo são usadas
1.2 Verifique se a autenticação multifator está ativada para todas as contas que não são de serviço
1.4 Verifique se há apenas chaves de conta de serviço gerenciado pelo GCP para cada conta de serviço
1.5 Verifique se a conta de serviço não tem privilégios de administrador
1.6 Verifique se os usuários do IAM não recebem os papéis de usuário da conta de serviço ou de criador do token da conta de serviço no nível do projeto
1.7 Verifique se as chaves gerenciadas pelo usuário/externas para contas de serviço são alternadas a cada 90 dias ou menos
1.8 Verifique se a separação de tarefas foi aplicada aos usuários durante a atribuição de papéis relacionados à conta de serviço
1.9 Verifique se as chaves de criptografia do Cloud KMS não podem ser acessadas de maneira anônima ou pública
1.10 As chaves de criptografia do KMS precisam ser alternadas em um período de 90 dias
1.11 Verifique se a separação de tarefas foi aplicada aos usuários durante a atribuição de papéis relacionados ao KMS
1.12 Verifique se as chaves de API não foram criadas para um projeto
1.13 Verifique se as chaves de API estão restritas para uso exclusivo dos hosts e apps especificados
1.14 Verifique se as chaves de API estão restritas apenas às APIs que o aplicativo precisa acessar
1.15 Verifique se as chaves de API são alternadas a cada 90 dias
Geração de registros e monitoramento
2.1 Verifique se os Cloud Audit Logging estão configurados corretamente para todos os serviços e usuários de um projeto
2.2 Verifique se os coletores estão configurados para todas as entradas de registro
2.3 Verifique se as políticas de retenção em buckets de registros estão configuradas com o uso do bloqueio de buckets
2.4 Verifique se há alertas e o filtro de métricas de registro para atribuições/alterações de propriedade do projeto
2.5 Verifique se há alertas e o filtro de métricas de registro para alterações na configuração de auditoria
2.6 Verifique se há alertas e o filtro de métricas de registro para alterações no Papel personalizado
2.7 Verifique se há alertas e o filtro de métricas de registro para alterações de regras de firewall de rede VPC
2.8 Verifique se há alertas e o filtro de métricas de registro para alterações de rota da rede VPC
2.9 Verifique se há alertas e o filtro de métricas de registro para alterações de rede VPC
2.10 Verifique se há alertas e o filtro de métricas de registro para alterações de permissão do IAM do Cloud Storage
2.11 Verifique se há alertas e o filtro de métricas de registro para alterações de configuração da instância SQL
2.12 Verifique se a geração de registros do Cloud DNS está ativada para todas as redes VPC
Rede
3.1 Verifique se a rede padrão não existe em um projeto
3.2 Verifique se a rede legada não existe em um projeto
3.3 Verifique se a DNSSEC está ativada no Cloud DNS
3.4 Verifique se o RSASHA1 não está sendo usado para chave de assinatura de chaves no DNSSEC do Cloud DNS
3.5 Verifique se o RSASHA1 não está sendo usado para a chave de assinatura de zona no DNSSEC do Cloud DNS
3.6 Verifique se o acesso SSH pela Internet está restrito
3.7 Verifique se o acesso RDP está restrito à Internet
3.8 Verifique se os registros de fluxo de VPC estão ativados para todas as sub-redes em uma rede VPC
3.9 Verifique se nenhum balanceador de carga de proxy HTTPS ou SSL permite políticas de SSL com pacotes de criptografia fracos
Máquinas virtuais
4.1 Verifique se as instâncias não estão configuradas para usar a conta de serviço padrão
4.2 Verifique se as instâncias não estão configuradas para usar a conta de serviço padrão com acesso total a todas as APIs do Cloud
4.3 Verifique se a opção "Bloquear chaves SSH em todo o projeto" está ativada para instâncias de VM
4.4 Verifique se o oslogin está ativado para um projeto
4.5 Verifique se a opção "Ativar a conexão com as portas seriais" não está ativada para a instância de VM
4.6 Verifique se o encaminhamento de IP não está ativado nas instâncias
4.7 Verifique se os discos das VMs mais importantes estão criptografados com chaves de criptografia fornecidas pelo cliente (CSEK)
4.8 Verifique se as instâncias do Compute são iniciadas com a VM protegida ativada
4.9 Verifique se as instâncias do Compute não têm endereços IP públicos
4.11 Verifique se as instâncias do Compute estão com a Computação confidencial ativada
Armazenamento
5.1 Verifique se o bucket do Cloud Storage não está acessível de maneira anônima ou pública
5.2 Verifique se os buckets do Cloud Storage têm acesso uniforme no nível do bucket ativado
Serviços de banco de dados do Cloud SQL
6.1.1 Verifique se a instância de banco de dados MySQL não permite conexões com privilégios de administrador
6.1.2 Verifique se a flag de banco de dados "skip_show_database" para a instância MySQL do Cloud SQL está definida como "on"
6.1.3 Verifique se a flag do banco de dados "local_infile" de uma instância MySQL do Cloud SQL está definida como "desativada"
6.2.1 Verifique se a flag do banco de dados "log_checkpoints" para a instância do PostgreSQL no Cloud SQL está definida como "on"
6.2.2 Verifique se a flag do banco de dados "log_error_verbosity" para a instância do PostgreSQL no Cloud SQL está definida como "DEFAULT" ou uma configuração mais rigorosa
6.2.3 Verifique se a flag do banco de dados "log_connections" para a instância do PostgreSQL no Cloud SQL está definida como "on"
6.2.4 Verifique se a flag do banco de dados "log_disconnections" para a instância do PostgreSQL no Cloud SQL está definida como "on"
6.2.5 Verifique se a flag do banco de dados "log_duration" para a instância do PostgreSQL no Cloud SQL está definida como "on"
6.2.6 Verifique se a flag do banco de dados "log_lock_waits" para a instância do PostgreSQL no Cloud SQL está definida como "on"
6.2.7 Verifique se a flag do banco de dados "log_statement" para a instância do PostgreSQL no Cloud SQL está definida corretamente
6.2.8 Verifique se a flag do banco de dados "log_hostname" para a instância do PostgreSQL no Cloud SQL está definida corretamente
6.2.9 Verifique se a flag do banco de dados "log_parser_stats" para a instância do PostgreSQL no Cloud SQL está definida como "off"
6.2.10 Verifique se a flag do banco de dados "log_planner_stats" para a instância do PostgreSQL no Cloud SQL está definida como "off"
6.2.11 Verifique se a flag do banco de dados "log_executor_stats" para a instância do PostgreSQL no Cloud SQL está definida como "off"
6.2.12 Verifique se a flag do banco de dados "log_statement_stats" para a instância do PostgreSQL no Cloud SQL está definida como "off"
6.2.13 Verifique se a flag do banco de dados "log_min_messages" para a instância do PostgreSQL do Cloud SQL está definida corretamente
6.2.14 Verifique se a flag do banco de dados "log_min_error_statement" para a instância do PostgreSQL no Cloud SQL está definida como "Error" ou uma configuração mais rigorosa
6.2.15 Verifique se a flag de banco de dados "log_temp_files" para a instância do PostgreSQL no Cloud SQL está definida como "0"
6.2.16 Verifique se a flag do banco de dados "log_min_duration_statement" para a instância do PostgreSQL do Cloud SQL está definida como "-1"
6.3.1 Verifique se a flag de banco de dados "scripts externos ativados" para a instância do SQL Server no Cloud SQL está definida como "desativada"
6.3.2 Verifique se a flag do banco de dados "encadeamento de propriedade entre bancos de dados" para a instância do SQL Server no Cloud SQL está definida como "desativada"
6.3.3 Verifique se a flag do banco de dados "conexões do usuário" para a instância do SQL Server no Cloud SQL está definida de maneira apropriada
6.3.4 Verifique se a flag do banco de dados "opções do usuário" para a instância do SQL Server no Cloud SQL não está configurada
6.3.5 Verifique se a flag de banco de dados "acesso remoto" para a instância do SQL Server no Cloud SQL está definida como "desativada"
6.3.6 Verifique se a flag do banco de dados "3625 (sinalizador de rastreamento)" para a instância do SQL Server no Cloud SQL está definida como "desativada"
6.3.7 Verifique se a flag de "autenticação de banco de dados contido" para o Cloud SQL na instância do SQL Server está definida como "desativada"
6.4 Verifique se a instância de banco de dados do Cloud SQL requer que todas as conexões de entrada usem SSL
6.5 Verifique se as instâncias de banco de dados do Cloud SQL não estão abertas para o mundo
6.6 Verifique se as instâncias de banco de dados do Cloud SQL não têm IPs públicos
6.7 Verifique se as instâncias de banco de dados do Cloud SQL estão configuradas com backups automatizados
BigQuery
7.1 Verifique se os conjuntos de dados do BigQuery não podem ser acessados de maneira anônima ou pública
7.2 Verifique se todas as tabelas do BigQuery estão criptografadas com a chave de criptografia gerenciada pelo cliente (CMEK)
7.3 Verifique se uma chave de criptografia gerenciada pelo cliente (CMEK) padrão está especificada para todos os conjuntos de dados do BigQuery

A seguir