Nesta página, descrevemos os serviços e as descobertas compatíveis com o recurso do mecanismo de risco do Security Command Center e os limites de compatibilidade sujeitos a ele.
O mecanismo de risco gera pontuações de exposição a ataques e simulações de caminho de ataque para o seguinte:
- Categorias de descoberta compatíveis nas classes de descoberta
VulnerabilityeMisconfigurationfinding classes. - Descobertas da classe
Toxic combination. - Descobertas da classe
Chokepoint. - Instâncias de recursos de tipos compatíveis que você designa como de alto valor. Para mais informações, consulte Tipos de recursos compatíveis com conjuntos de recursos de alto valor.
O Security Command Center pode fornecer pontuações de exposição a ataques e visualizações de caminho de ataque para várias plataformas de provedores de serviços de nuvem. O suporte ao detector é diferente para cada provedor de serviços de nuvem. O mecanismo de risco depende de detectores de vulnerabilidade e configuração incorreta específicos para cada provedor de serviços de nuvem. As seções a seguir descrevem os recursos compatíveis para cada provedor de serviços de nuvem.
Suporte apenas no nível da organização
As simulações de caminho de ataque que o mecanismo de risco usa para gerar as pontuações de exposição a ataques e caminhos de ataque exigem que o Security Command Center esteja ativado no nível da organização. As simulações de caminho de ataque não são compatíveis com as ativações no nível do projeto do Security Command Center.
Para ver os caminhos de ataque, a visualização do Google Cloud console precisa estar definida para sua organização. Se você selecionar uma visualização de projeto ou pasta no Google Cloud console, verá as pontuações de exposição a ataques, mas você não verá os caminhos de ataque.
Funções exigidas
Os caminhos de ataque estão associados a componentes específicos do Security Command Center, como descobertas e recursos de alto valor. Para visualizar os caminhos de ataque do Security Command Center, você precisa ter os papéis do IAM corretos para visualizar cada um dos recursos do Security Command Center.
Para receber as permissões necessárias para visualizar os caminhos de ataque, peça ao administrador que conceda a você os seguintes papéis do IAM na sua organização:
-
Leitor de caminhos de ataque da Central de segurança (
roles/securitycenter.attackPathsViewer) -
Visualizar caminhos de ataque gerados a partir de descobertas e problemas (por exemplo, combinações tóxicas e pontos de gargalo):
Leitor de descobertas da Central de segurança (
roles/securitycenter.findingsViewer) -
Permitir acesso a caminhos de ataque para recursos de alto valor:
-
Leitor de recursos da Central de segurança (
roles/securitycenter.assetsViewer) -
Leitor de recursos valiosos da Central de segurança (
roles/securitycenter.valuedResourcesViewer)
-
Leitor de recursos da Central de segurança (
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias usando personalizados papéis ou outros predefinidos papéis.
Limites de tamanho para organizações
Para simulações de caminho de ataque, o mecanismo de risco limita o número de recursos ativos e descobertas ativas que uma organização pode conter.
Se uma organização exceder os limites mostrados na tabela a seguir, as simulações de caminho de ataque não serão executadas.
| Tipo de limite | Limite de uso |
|---|---|
| Número máximo de descobertas ativas | 250.000.000 |
| Número máximo de recursos ativos | 26.000.000 |
Se os recursos, as descobertas ou ambos na sua organização estiverem se aproximando desses limites ou os exceder, entre em contato com o Cloud Customer Care para solicitar a avaliação de um possível aumento na sua organização.
Limites do conjunto de recursos de alto valor
Um conjunto de recursos de alto valor aceita apenas determinados tipos de recursos e pode conter apenas um determinado número de instâncias de recurso.
Um conjunto de recursos de alto valor para uma plataforma de provedor de serviços de nuvem pode conter até 1.000 instâncias de recurso.
É possível criar até 100 configurações de valor de recursos por organização no Google Cloud.
Compatibilidade com a interface do usuário
É possível trabalhar com pontuações de exposição a ataques no Google Cloud console, no console de operações de segurança ou na API Security Command Center.
Só é possível trabalhar com pontuações de exposição a ataques e caminhos de ataque para casos de combinação tóxica no console de operações de segurança.
É possível criar configurações de valor de recursos na guia Simulações de caminho de ataque da página Configurações do Security Command Center no Google Cloud console ou pela API Security Command Center.
Google Cloud Suporte a
As seções a seguir descrevem o suporte do mecanismo de risco para Google Cloud.
Google Cloud Serviços compatíveis com o mecanismo de risco
As simulações executadas pelo mecanismo de risco podem incluir os seguintesserviços: Google Cloud
- Artifact Registry
- BigQuery
- Cloud Build
- Cloud Run
- Cloud Run functions
- Cloud Key Management Service
- Cloud Load Balancing
- Cloud NAT
- Cloud Router
- Cloud SQL
- Cloud Storage
- Compute Engine
- Google Kubernetes Engine
- Identity and Access Management
- Resource Manager
- Vertex AI
- Nuvem privada virtual, incluindo sub-redes, configurações de firewall e perímetros de controle de serviço
Google Cloud Tipos de recursos compatíveis com conjuntos de recursos de alto valor
Só é possível adicionar os seguintes tipos de Google Cloud recursos a um conjunto de recursos de alto valor:
aiplatform.googleapis.com/Datasetaiplatform.googleapis.com/Featurestoreaiplatform.googleapis.com/MetadataStoreaiplatform.googleapis.com/Modelaiplatform.googleapis.com/ReasoningEngineaiplatform.googleapis.com/TrainingPipelineartifactregistry.googleapis.com/Repositorybigquery.googleapis.com/Datasetcloudbuild.googleapis.com/BitbucketServerConfigcloudbuild.googleapis.com/BuildTriggercloudbuild.googleapis.com/Connectioncloudbuild.googleapis.com/GithubEnterpriseConfigcloudbuild.googleapis.com/Repositorycloudbuild.googleapis.com/WorkerPoolcloudfunctions.googleapis.com/CloudFunctioncompute.googleapis.com/Instancecontainer.googleapis.com/Clusterrun.googleapis.com/Jobrun.googleapis.com/Servicespanner.googleapis.com/Instancesqladmin.googleapis.com/Instancestorage.googleapis.com/Bucket
Google Cloud Tipos de recursos compatíveis com classificações de sensibilidade de dados
As simulações de caminho de ataque podem definir automaticamente valores de prioridade com base em classificações de sensibilidade de dados da descoberta da Proteção de Dados Sensíveis apenas para os seguintes tipos de recursos de dados:
aiplatform.googleapis.com/Datasetbigquery.googleapis.com/Datasetsqladmin.googleapis.com/Instancestorage.googleapis.com/Bucket
Categorias de descoberta compatíveis
As simulações de caminho de ataque geram pontuações de exposição a ataques e caminhos de ataque apenas para as categorias de descoberta do Security Command Center dos serviços de detecção do Security Command Center listados nesta seção.
Descobertas do mecanismo de risco
As categorias de descoberta de combinação tóxica e ponto de estrangulamento geradas pelo mecanismo de risco oferecem suporte a pontuações de exposição a ataques.
Avaliação de vulnerabilidades para Google Cloud descobertas
As simulações de caminho de ataque oferecem suporte às seguintes Avaliação de vulnerabilidades para Google Cloud categorias de descoberta:
GCE OS vulnerabilityGCE Software vulnerabilityGKE OS vulnerabilityGKE Software vulnerability
Descobertas de postura de segurança do GKE
As simulações de caminho de ataque oferecem suporte às seguintes categorias de descoberta de postura de segurança do GKE Security Posture:
GKE runtime OS vulnerability
Descobertas do gerenciamento de superfície de ataque da Mandiant
As simulações de caminho de ataque oferecem suporte às seguintes categorias de descoberta do gerenciamento de superfície de ataque da Mandiant:
Software vulnerability
Descobertas do VM Manager
A categoria de descoberta OS Vulnerability gerada pelo
VM Manager
oferece suporte a pontuações de exposição a ataques.
Suporte a notificações do Pub/Sub
As alterações nas pontuações de exposição a ataques não podem ser usadas como gatilho para notificações no Pub/Sub.
Além disso, as descobertas enviadas ao Pub/Sub quando elas são criadas não incluem uma pontuação de exposição a ataques porque o envio ocorre antes de uma pontuação ser calculada.
Suporte da AWS
O Security Command Center pode calcular pontuações de exposição a ataques e visualizações de caminho de ataque para seus recursos na AWS.
Serviços da AWS com suporte do mecanismo de risco
As simulações podem incluir os seguintes serviços da AWS:
- Identity and Access Management (IAM)
- Serviço de token de segurança (STS)
- Simple Storage Service (S3)
- Firewall de aplicativos da Web (WAFv2)
- Elastic Compute Cloud (EC2)
- Elastic Load Balancing (ELB e ELBv2)
- Relational Database Service (RDS)
- Key Management Service (KMS)
- Elastic Container Registry (ECR)
- Elastic Container Service (ECS)
- ApiGateway e ApiGatewayv2
- Organizações (serviço de gerenciamento de contas)
- CloudFront
- AutoScaling
- Lambda
- DynamoDB
Tipos de recursos da AWS compatíveis com conjuntos de recursos de alto valor
Só é possível adicionar os seguintes tipos de recursos da AWS a um conjunto de recursos de alto valor:
- Tabela do DynamoDB
- Instância do EC2
- Função Lambda
- DBCluster do RDS
- DBInstance do RDS
- Bucket do S3
Tipos de recursos da AWS compatíveis com classificações de sensibilidade de dados
As simulações de caminho de ataque podem definir automaticamente valores de prioridade com base em classificações de sensibilidade de dados da descoberta da Proteção de Dados Sensíveis apenas para os seguintes tipos de recursos de dados da AWS:
- Bucket do Amazon S3
Suporte a descobertas na Análise de integridade da segurança para AWS
O mecanismo de risco fornece pontuações e visualizações de caminho de ataque para as seguintes categorias de descoberta da Análise de integridade da segurança:
- Chaves de acesso rotacionadas em menos de 90 dias
- Credenciais não usadas por 45 dias ou mais desativadas
- A VPC do grupo de segurança padrão restringe todo o tráfego
- Instância do EC2 sem IP público
- Política de senha do IAM
- A política de senha do IAM impede a reutilização da senha
- A política de senha do IAM requer o tamanho mínimo de 14 ou mais
- Verificação de credenciais não utilizadas de usuários do IAM
- Os usuários do IAM recebem grupos de permissões
- CMK do KMS não programada para exclusão
- Buckets do S3 ativados para exclusão da MFA
- Conta de usuário raiz com MFA ativada
- Autenticação multifator (MFA) ativada para o acesso ao console de todos os usuários do IAM
- Não existe chave de acesso à conta de usuário raiz
- Nenhum grupo de segurança permite a entrada de 0 para administração remota de servidor
- Nenhum grupo de segurança permite a entrada de 0 0 0 0 para administração remota de servidor
- Uma chave de acesso ativa disponível qualquer usuário único do IAM
- Acesso público a instâncias do RDS concedido
- Portas comuns restritas
- SSH restrito
- CMKs criadas por cliente de rotação ativadas
- CMKs simétricas criadas por cliente de rotação ativadas
- Buckets do S3 com configurações para bloquear acesso público
- Política de bucket do S3 definida para negar solicitações HTTP
- KMS de criptografia padrão do S3
- Grupo de segurança padrão da VPC fechado
Avaliação de vulnerabilidades para descobertas do Amazon Web Services
A categoria de descoberta Software vulnerability gerada por
Avaliação de vulnerabilidades do EC2
oferece suporte a pontuações de exposição a ataques.
Suporte do Azure
O mecanismo de risco pode gerar pontuações de exposição a ataques e visualizações de caminho de ataque para seus recursos no Microsoft Azure.
Depois de estabelecer uma conexão com o Azure, é possível designar recursos de alto valor do Azure criando configurações de valor de recursos, como faria para recursos no Google Cloud e na AWS. Para instruções, consulte a seção Definir e gerenciar seu conjunto de recursos de alto valor.
Antes de criar a primeira configuração de valor de recursos para o Azure, o Security Command Center usa um conjunto de recursos de alto valor padrão específico do provedor de serviços de nuvem.
O Security Command Center executa simulações para uma plataforma de nuvem que são independentes das simulações executadas para outras plataformas de nuvem.
Serviços do Azure com suporte do mecanismo de risco
As simulações de caminho de ataque podem incluir os seguintes serviços do Azure:
- Serviço de aplicativo
- Azure Kubernetes Service (AKS)
- Rede virtual
- Container Registry
- Cosmos DB
- Funções
- Key Vault
- Banco de dados MySQL
- Grupos de segurança de rede
- Banco de dados PostgreSQL
- Controle de acesso baseado em papéis (RBAC)
- Service Bus
- Banco de dados SQL
- Storage Account
- Conjuntos de escalas para máquinas virtuais
- Máquinas virtuais
Tipos de recursos do Azure que podem ser especificados em conjuntos de recursos de alto valor
Só é possível adicionar os seguintes tipos de recursos do Azure a um conjunto de recursos de alto valor:
- Microsoft.Compute/virtualMachines
- VM do Linux
- VM do Windows
- Microsoft.ContainerService/managedClusters
- Cluster do Kubernetes
- Microsoft.DBforMySQL/flexibleServers/databases
- Banco de dados MySQL
- Microsoft.DBforPostgreSQL/flexibleServers/databases
- Banco de dados PostgreSQL
- Microsoft.DocumentDB/databaseAccounts
- Conta do Cosmos DB
- Microsoft.Sql/servers/databases
- Banco de dados SQL
- Microsoft.Storage/storageAccounts
- Storage Account
- Microsoft.Web/sites
- Serviço de aplicativo
- Aplicativo de função
Recursos do Azure incluídos no conjunto de recursos de alto valor padrão
A seguir, estão os recursos incluídos no conjunto de recursos de alto valor padrão:
- Microsoft.Compute/virtualMachines
- VM do Linux
- VM do Windows
- Microsoft.DBforPostgreSQL/flexibleServers/databases
- Banco de dados PostgreSQL
- Microsoft.DBforMySQL/flexibleServers/databases
- Banco de dados MySQL
- Microsoft.DocumentDB/databaseAccounts
- Conta do Cosmos DB
- Microsoft.Sql/servers/databases
- Banco de dados SQL
- Microsoft.Storage/storageAccounts
- Storage Account
- Microsoft.Web/sites
- Serviço de aplicativo
- Aplicativo de função