En esta página, se describen los servicios y los hallazgos que admite la función Motor de riesgo de Security Command Center, así como los límites de compatibilidad a los que está sujeta.
El motor de riesgo genera puntuaciones de exposición a ataques y simulaciones de rutas de ataque para lo siguiente:
- Categorías de hallazgos admitidas en las
VulnerabilityyMisconfigurationclases de hallazgos. - Hallazgos de la clase
Toxic combination - Hallazgos de la clase
Chokepoint - Instancias de recursos de tipos de recursos admitidos que designas como de alto valor Para obtener más información, consulta Tipos de recursos admitidos en conjuntos de recursos de alto valor.
Security Command Center puede proporcionar puntuaciones de exposición a ataques y visualizaciones de rutas de ataque para varias plataformas de proveedores de servicios en la nube. La compatibilidad con los detectores difiere para cada proveedor de servicios en la nube. El motor de riesgo depende de los detectores de vulnerabilidades y parámetros de configuración incorrectos que son específicos de cada proveedor de servicios en la nube. En las siguientes secciones, se describen los recursos admitidos para cada proveedor de servicios en la nube.
Solo compatibilidad a nivel de la organización
Las simulaciones de rutas de ataque que usa el motor de riesgo para generar las puntuaciones de exposición a ataques y rutas de ataque requieren que Security Command Center se active a nivel de la organización. Las simulaciones de rutas de ataque no son compatibles con las activaciones a nivel del proyecto de Security Command Center.
Para ver las rutas de ataque, la vista de la Google Cloud consola debe establecerse en tu organización. Si seleccionas una vista de proyecto o carpeta en la Google Cloud consola, puedes ver las puntuaciones de exposición a ataques, pero no puedes ver las rutas de ataque.
Roles obligatorios
Las rutas de ataque se asocian con componentes específicos de Security Command Center, como hallazgos y recursos de alto valor. Para ver las rutas de ataque de Security Command Center, debes tener los roles de IAM correctos que te permitan ver cada uno de tus recursos de Security Command Center.
Para obtener los permisos que necesitas para ver las rutas de ataque, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu organización:
-
Lector de rutas de ataque del centro de seguridad (
roles/securitycenter.attackPathsViewer) -
Ver rutas de ataque generadas a partir de hallazgos y problemas (por ejemplo, combinaciones tóxicas y puntos críticos):
Visualizador de hallazgos del centro de seguridad (
roles/securitycenter.findingsViewer) -
Permitir el acceso a las rutas de ataque para recursos de alto valor:
-
Visualizador de activos del centro de seguridad (
roles/securitycenter.assetsViewer) -
Lector de recursos valiosos del centro de seguridad (
roles/securitycenter.valuedResourcesViewer)
-
Visualizador de activos del centro de seguridad (
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.
Límites de tamaño para organizaciones
Para las simulaciones de rutas de ataque, el motor de riesgo limita la cantidad de activos y hallazgos activos que puede contener una organización.
Si una organización supera los límites que se muestran en la siguiente tabla, no se ejecutan las simulaciones de rutas de ataque.
| Tipo de límite | Límite de uso |
|---|---|
| Cantidad máxima de hallazgos activos | 250,000,000 |
| Cantidad máxima de activos activos | 26,000,000 |
Si los activos, los hallazgos o ambos de tu organización se acercan a estos límites o los superan, comunícate con Atención al cliente de Cloud para solicitar una evaluación de tu organización para un posible aumento.
Límites del conjunto de recursos de alto valor
Un conjunto de recursos de alto valor solo admite ciertos tipos de recursos y puede contener solo una cierta cantidad de instancias de recursos.
Un conjunto de recursos de alto valor para una plataforma de proveedor de servicios en la nube puede contener hasta 1,000 instancias de recursos.
Puedes crear hasta 100 configuraciones de valores de recursos por organización en Google Cloud.
Compatibilidad con la interfaz de usuario
Puedes trabajar con puntuaciones de exposición a ataques en la Google Cloud consola, la consola de operaciones de seguridad o la API de Security Command Center.
Solo puedes trabajar con puntuaciones de exposición a ataques y rutas de ataque para casos de combinaciones tóxicas en la consola de operaciones de seguridad.
Puedes crear configuraciones de valores de recursos en la pestaña Simulaciones de rutas de ataque de la página Configuración de Security Command Center en la Google Cloud consola, o a través de la API de Security Command Center.
Google Cloud Compatibilidad de
En las siguientes secciones, se describe la compatibilidad del motor de riesgo con Google Cloud.
Google Cloud Servicios compatibles con el motor de riesgo
Las simulaciones que ejecuta el motor de riesgo pueden incluir los siguientes Google Cloud servicios:
- Artifact Registry
- BigQuery
- Cloud Build
- Cloud Run
- Cloud Run Functions
- Dataproc
- Cloud Key Management Service
- Cloud Load Balancing
- Cloud NAT
- Cloud Router
- Cloud SQL
- Cloud Storage
- Compute Engine
- Google Kubernetes Engine
- Identity and Access Management
- Resource Manager
- Vertex AI
- Nube privada virtual, incluidas las subredes, las configuraciones de firewall y los perímetros de control de servicios
Google Cloud Tipos de recursos admitidos en conjuntos de recursos de alto valor
Solo puedes agregar los siguientes tipos de Google Cloud recursos a un conjunto de recursos de alto valor:
aiplatform.googleapis.com/Datasetaiplatform.googleapis.com/Featurestoreaiplatform.googleapis.com/MetadataStoreaiplatform.googleapis.com/Modelaiplatform.googleapis.com/ReasoningEngineaiplatform.googleapis.com/TrainingPipelineartifactregistry.googleapis.com/Repositorybigquery.googleapis.com/Datasetcloudbuild.googleapis.com/BitbucketServerConfigcloudbuild.googleapis.com/BuildTriggercloudbuild.googleapis.com/Connectioncloudbuild.googleapis.com/GithubEnterpriseConfigcloudbuild.googleapis.com/Repositorycloudbuild.googleapis.com/WorkerPoolcloudfunctions.googleapis.com/CloudFunctioncompute.googleapis.com/Instancecontainer.googleapis.com/Clusterdataproc.googleapis.com/Clusterdataproc.googleapis.com/Jobrun.googleapis.com/Jobrun.googleapis.com/Servicespanner.googleapis.com/Instancesqladmin.googleapis.com/Instancestorage.googleapis.com/Bucket
Google Cloud Tipos de recursos admitidos con clasificaciones de sensibilidad de datos
Las simulaciones de rutas de ataque pueden establecer automáticamente valores de prioridad basados en clasificaciones de sensibilidad de datos de Sensitive Data Protection discovery solo para los siguientes tipos de recursos de datos:
aiplatform.googleapis.com/Datasetbigquery.googleapis.com/Datasetsqladmin.googleapis.com/Instancestorage.googleapis.com/Bucket
Categorías de hallazgos admitidas
Las simulaciones de rutas de ataque generan puntuaciones de exposición a ataques y rutas de ataque solo para las categorías de hallazgos de Security Command Center de los servicios de detección de Security Command Center que se enumeran en esta sección.
Hallazgos del motor de riesgo
Las categorías de hallazgos de combinaciones tóxicas y puntos críticos que genera el motor de riesgo admiten puntuaciones de exposición a ataques.
Evaluación de vulnerabilidades para Google Cloud hallazgos
Las simulaciones de rutas de ataque admiten las siguientes categorías de hallazgos de Google CloudEvaluación de vulnerabilidades:
GCE OS vulnerabilityGCE Software vulnerabilityGKE OS vulnerabilityGKE Software vulnerability
Hallazgos de la postura de seguridad de GKE
Las simulaciones de rutas de ataque admiten las siguientes Postura de seguridad de GKE categorías de hallazgos:
GKE runtime OS vulnerability
Hallazgos de Mandiant Attack Surface Management
Las simulaciones de rutas de ataque admiten las siguientes categorías de hallazgos de Mandiant Attack Surface Management:
Software vulnerability
Resultados de VM Manager
La categoría de hallazgos OS Vulnerability que genera
VM Manager
admite puntuaciones de exposición a ataques.
Compatibilidad con notificaciones de Pub/Sub
Los cambios en las puntuaciones de exposición a ataques no se pueden usar como activador para las notificaciones a Pub/Sub.
Además, los hallazgos que se envían a Pub/Sub cuando se crean no incluyen una puntuación de exposición a ataques porque se envían antes de que se pueda calcular una puntuación.
Compatibilidad con AWS
Security Command Center puede calcular las puntuaciones de exposición a ataques y las visualizaciones de rutas de ataque para tus recursos en AWS.
Servicios de AWS compatibles con el motor de riesgo
Las simulaciones pueden incluir los siguientes servicios de AWS:
- Identity and Access Management (IAM)
- Security Token Service (STS)
- Simple Storage Service (S3)
- Firewall de aplicaciones web (WAFv2)
- Elastic Compute Cloud (EC2)
- Elastic Load Balancing (ELB y ELBv2)
- Relational Database Service (RDS)
- Key Management Service (KMS)
- Elastic Container Registry (ECR)
- Elastic Container Service (ECS)
- ApiGateway y ApiGatewayv2
- Organizations (Servicio de administración de cuentas)
- CloudFront
- AutoScaling
- Lambda
- DynamoDB
Tipos de recursos de AWS admitidos en conjuntos de recursos de alto valor
Solo puedes agregar los siguientes tipos de recursos de AWS a un conjunto de recursos de alto valor:
- Tabla de DynamoDB
- Instancia de EC2
- Función Lambda
- DBCluster de RDS
- DBInstance de RDS
- Bucket de S3
Tipos de recursos de AWS admitidos con clasificaciones de sensibilidad de datos
Las simulaciones de rutas de ataque pueden establecer automáticamente valores de prioridad basados en clasificaciones de sensibilidad de datos de Sensitive Data Protection discovery solo para los siguientes tipos de recursos de datos de AWS:
- Bucket de Amazon S3
Compatibilidad con hallazgos en Security Health Analytics para AWS
El motor de riesgo proporciona puntuaciones y visualizaciones de rutas de ataque para las siguientes categorías de hallazgos de Security Health Analytics:
- Claves de acceso rotadas 90 días menos
- Credenciales sin usar durante más de 45 días inhabilitadas
- Restricción de todo el tráfico en el grupo de seguridad predeterminado de la VPC
- Instancia de EC2 sin IP pública
- Política de contraseñas de IAM
- Política de contraseñas de IAM que evita la reutilización de contraseñas
- Política de contraseñas de IAM que requiere una longitud mínima de 14 caracteres
- Verificación de credenciales sin utilizar de usuarios de IAM
- Usuarios de IAM que reciben grupos de permisos
- CMK del KMS sin programar para su eliminación
- Eliminación de MFA habilitada en los buckets de S3
- Cuenta de usuario raíz con una MFA habilitada
- Autenticación de varios factores MFA habilitada para todas las consolas de usuarios de IAM
- Ausencia de una clave de acceso de la cuenta de usuario raíz
- Ausencia de un grupo de seguridad que permita entradas de 0 para la administración del servidor remoto
- Ausencia de un grupo de seguridad que permita entradas de 0 0 0 0 para la administración del servidor remoto
- Una clave de acceso activa disponible para cada usuario de IAM
- Acceso público otorgado a una instancia de RDS
- Puertos comunes restringidos
- SSH restringido
- Rotación habilitada para los CMK creados por el cliente
- Rotación habilitada para los CMK simétricos creados por el cliente
- Buckets de S3 configurados con el bucket de acceso público
- Política de bucket de S3 configurada para rechazar solicitudes HTTP
- KMS de encriptación predeterminada de S3
- Grupo de seguridad predeterminado de la VPC cerrado
Evaluación de vulnerabilidades para hallazgos de Amazon Web Services
La categoría de hallazgos Software vulnerability que genera
la Evaluación de vulnerabilidades de EC2
admite puntuaciones de exposición a ataques.
Compatibilidad con Azure
El motor de riesgo puede generar puntuaciones de exposición a ataques y visualizaciones de rutas de ataque para tus recursos en Microsoft Azure.
Después de establecer una conexión con Azure, puedes designar recursos de alto valor de Azure creando configuraciones de valores de recursos, como lo harías para los recursos en Google Cloud y AWS. Para obtener instrucciones, consulta la sección Define y administra tu conjunto de recursos de alto valor.
Antes de crear tu primera configuración de valores de recursos para Azure, Security Command Center usa un conjunto predeterminado de recursos de alto valor que es específico del proveedor de servicios en la nube.
Security Command Center ejecuta simulaciones para una plataforma en la nube que son independientes de las simulaciones que se ejecutan para otras plataformas en la nube.
Servicios de Azure compatibles con el motor de riesgo
Las simulaciones de rutas de ataque pueden incluir los siguientes servicios de Azure:
- App Service
- Azure Kubernetes Service (AKS)
- Red virtual
- Container Registry
- Cosmos DB
- Funciones
- Key Vault
- la base de datos de MySQL
- Grupos de seguridad de red
- Base de datos de PostgreSQL
- Control de acceso basado en roles (RBAC)
- Service Bus
- SQL Database
- Cuenta de almacenamiento
- Conjuntos de escalado de máquinas virtuales
- Máquinas virtuales
Tipos de recursos de Azure que puedes especificar en conjuntos de recursos de alto valor
Solo puedes agregar los siguientes tipos de recursos de Azure a un conjunto de recursos de alto valor:
- Microsoft.Compute/virtualMachines
- VM de Linux
- VM de Windows
- Microsoft.ContainerService/managedClusters
- Clúster de Kubernetes
- Microsoft.DBforMySQL/flexibleServers/databases
- Base de datos de MySQL
- Microsoft.DBforPostgreSQL/flexibleServers/databases
- Base de datos de PostgreSQL
- Microsoft.DocumentDB/databaseAccounts
- Cuenta de Cosmos DB
- Microsoft.Sql/servers/databases
- SQL Database
- Microsoft.Storage/storageAccounts
- Cuenta de almacenamiento
- Microsoft.Web/sites
- App Service
- Function App
Recursos de Azure incluidos en el conjunto predeterminado de recursos de alto valor
Los siguientes son los recursos incluidos en el conjunto predeterminado de recursos de alto valor:
- Microsoft.Compute/virtualMachines
- VM de Linux
- VM de Windows
- Microsoft.DBforPostgreSQL/flexibleServers/databases
- Base de datos de PostgreSQL
- Microsoft.DBforMySQL/flexibleServers/databases
- Base de datos de MySQL
- Microsoft.DocumentDB/databaseAccounts
- Cuenta de Cosmos DB
- Microsoft.Sql/servers/databases
- SQL Database
- Microsoft.Storage/storageAccounts
- Cuenta de almacenamiento
- Microsoft.Web/sites
- App Service
- Function App