Il grafico della sicurezza è un database a grafo che utilizza i nodi per identificare le risorse cloud come asset, identità, applicazioni e dati. I bordi del grafico determinano la relazione di rischio tra queste risorse in base alle regole di rilevamento. Quando viene rilevato un rischio di relazione, il grafico della sicurezza genera un problema.
Security Command Center utilizza regole del grafico di sicurezza predefinite per identificare i problemi che potrebbero compromettere le tue risorse.
La seguente tabella definisce queste regole.
| Regola | Descrizione |
|---|---|
| Istanza GCE: CVE ad alto rischio, accesso a risorse di alto valore tramite rappresentazione dell'account di servizio | È stata rilevata una CVE ad alto rischio su un'istanza Compute Engine che può rappresentare un account di servizio (SA) con accesso a una risorsa critica. Questa vulnerabilità aumenta il rischio di escalation dei privilegi e di accesso non autorizzato a dati o sistemi sensibili. |
| Istanza GCE: CVE ad alto rischio, accesso alla risorsa con dati sensibili tramite la simulazione dell'identità del service account | Un'istanza Compute Engine con una CVE ad alto rischio ha accesso a una risorsa contenente dati sensibili utilizzando l'imitazione del account di servizio (SA). Questa vulnerabilità aumenta il rischio di accesso non autorizzato ai dati, escalation dei privilegi e potenziali violazioni dei dati. |
| Istanza GCE: CVE ad alto rischio, accesso diretto a risorse di alto valore | Un'istanza Compute Engine con una CVE ad alto rischio ha accesso diretto a una risorsa di alto valore, aumentando la probabilità di sfruttamento, accesso non autorizzato e compromissione dei dati. |
| Istanza GCE: CVE ad alto rischio, accesso diretto alla risorsa con dati sensibili | Un'istanza Compute Engine con una CVE ad alto rischio ha accesso diretto a una risorsa contenente dati sensibili. Questa vulnerabilità aumenta il rischio di accesso non autorizzato, violazioni dei dati ed escalation dei privilegi. |
| Istanza GCE esposta esternamente: CVE ad alto rischio, exploit disponibile | Un'istanza Compute Engine è esposta esternamente e interessata da una CVE ad alto rischio con un exploit noto. Ciò aumenta in modo significativo il rischio di attacchi remoti, accessi non autorizzati e compromissione del sistema. |
| Istanza GCE: CVE ad alto rischio, possibilità di rappresentare un SA | Un'istanza Compute Engine è interessata da una CVE ad alto rischio e ha la possibilità di rappresentare un altro account di servizio (SA). Ciò aumenta notevolmente il rischio di escalation dei privilegi, accesso non autorizzato e potenziale compromissione di risorse cloud critiche. |
| Istanza GCE: CVE ad alto rischio, autorizzazioni dirette eccessive | Un'istanza Compute Engine con una CVE ad alto rischio ha autorizzazioni eccessive dirette su un'altra risorsa, aumentando il rischio di accesso non autorizzato, escalation dei privilegi e compromissione delle risorse. |
| Istanza GCE: CVE ad alto rischio, autorizzazioni eccessive tramite rappresentazione dell'account di servizio | Un'istanza Compute Engine con una CVE ad alto rischio ha autorizzazioni eccessive su un'altra risorsa tramite l'impersonificazione del account di servizio (SA), aumentando il rischio di escalation dei privilegi e accesso non autorizzato. |
| Workload GKE esposto esternamente: CVE ad alto rischio, exploit disponibile | Un carico di lavoro Google Kubernetes Engine (GKE) è esposto esternamente e interessato da una CVE ad alto rischio con un exploit noto. Ciò aumenta in modo significativo il rischio di attacchi remoti, accessi non autorizzati e compromissione del sistema. |
| Node pool GKE: bollettino ad alto rischio, accesso a risorse di alto valore tramite l'imitazione dell'account di servizio | Un pool di nodi GKE ha la possibilità di simulare l'identità di un account di servizio (SA) che concede l'accesso a una risorsa di alto valore. Ciò aumenta il rischio di escalation dei privilegi, accesso non autorizzato e compromissione dei dati. |
| Node pool GKE: bollettino ad alto rischio, accesso alla risorsa con dati sensibili tramite la simulazione dell'identità del service account | Un pool di nodi GKE ha la possibilità di simulare l'identità di un account di servizio (SA) che concede l'accesso a una risorsa contenente dati sensibili. In questo modo aumenta il rischio di accesso non autorizzato, violazioni dei dati ed escalation dei privilegi. |
| Node pool GKE: bollettino ad alto rischio, accesso diretto a risorse di alto valore | Un pool di nodi GKE ha accesso diretto a una risorsa di alto valore, aumentando il rischio di accesso non autorizzato, escalation dei privilegi e potenziale compromissione dei dati. |
| Pool di nodi GKE: bollettino ad alto rischio, accesso diretto alla risorsa con dati sensibili | Un pool di nodi GKE ha accesso diretto a una risorsa contenente dati sensibili, aumentando il rischio di accesso non autorizzato, violazioni dei dati ed escalation dei privilegi. |
| Node pool GKE esposto esternamente: bollettino ad alto rischio | Un pool di nodi GKE è esposto esternamente e interessato da una CVE ad alto rischio. Ciò aumenta in modo significativo il rischio di attacchi da remoto, accessi non autorizzati e compromissione del sistema. |
| Node pool GKE: bollettino ad alto rischio, possibilità di rappresentare l'account di servizio | Esiste un bollettino ad alto rischio su un pool di nodi GKE che dispone delle autorizzazioni per rappresentare un altro account di servizio (SA), aumentando il rischio di escalation dei privilegi e accesso non autorizzato a risorse critiche. |
| Node pool GKE: bollettino ad alto rischio, autorizzazioni dirette eccessive | Esiste un bollettino ad alto rischio su un pool di nodi GKE che dispone di autorizzazioni eccessive su un'altra risorsa, concedendogli un accesso non intenzionale. Ciò aumenta il rischio di escalation dei privilegi, accesso non autorizzato ed esposizione dei dati. |
| Node pool GKE: bollettino ad alto rischio, autorizzazioni eccessive tramite l'impersonificazione dell'account di servizio | Esiste un bollettino ad alto rischio su un pool di nodi GKE che dispone di autorizzazioni eccessive su un'altra risorsa tramite l'impersonificazione del account di servizio (SA), aumentando il rischio di escalation dei privilegi e accesso non autorizzato. |
| Il service account con chiave non ruotata dispone di autorizzazioni eccessive | Un account di servizio utilizza una chiave a lunga durata e non sottoposta a rotazione con autorizzazioni eccessive, aumentando il rischio di compromissione delle credenziali, accesso non autorizzato ed escalation dei privilegi. |
| Il service account con chiave gestita dall'utente dispone di autorizzazioni eccessive | Un account di servizio con chiavi gestite dall'utente e autorizzazioni eccessive, che aumenta il rischio di compromissione delle credenziali e escalation dei privilegi. |
| Workload GKE esposto esternamente vulnerabile alla CVE-2025-49844 (exploit disponibile, esecuzione di codice da remoto critica in Redis) | Identifica i workload GKE esposti esternamente che eseguono Redis vulnerabile alla CVE-2025-49844, un difetto di esecuzione di codice remoto critico con un exploit noto. |
| Istanza GCE esposta esternamente vulnerabile a CVE-2025-49844 (exploit disponibile, esecuzione di codice da remoto critica in Redis) | Identifica le istanze GCE esposte esternamente che eseguono Redis e sono vulnerabili alla CVE-2025-49844, un difetto di esecuzione di codice da remoto critico con un exploit noto. |
| Workload GKE esposto esternamente vulnerabile a CVE-2025-32433 (RCE critica in Erlang SSH) | Identifica i carichi di lavoro GKE esposti esternamente che eseguono Erlang SSH vulnerabile alla CVE-2025-32433, un difetto di esecuzione di codice remoto critico sfruttato attivamente dagli autori degli attacchi. |
| Istanza GCE esposta esternamente vulnerabile a CVE-2025-32433 (RCE critica in Erlang SSH) | Identifica le istanze GCE esposte esternamente che eseguono Erlang SSH e sono vulnerabili a CVE-2025-32433, un difetto di esecuzione di codice remoto critico sfruttato attivamente dagli autori degli attacchi. |
| Workload GKE esposto esternamente vulnerabile alla CVE-2023-46604 (RCE critica in Apache ActiveMQ, sfruttata in natura) | Identifica i carichi di lavoro GKE esposti esternamente che eseguono Apache ActiveMQ vulnerabile alla CVE-2023-46604, un difetto di esecuzione di codice remoto critico nel protocollo OpenWire sfruttato attivamente dagli autori degli attacchi. |
| Istanza GCE esposta esternamente vulnerabile a CVE-2023-46604 (RCE critica in Apache ActiveMQ, sfruttata in natura selvaggia) | Identifica le istanze GCE esposte esternamente che eseguono Apache ActiveMQ vulnerabile a CVE-2023-46604, un difetto di esecuzione di codice remoto critico nel protocollo OpenWire sfruttato attivamente dagli autori degli attacchi. |
| Istanza GCE vulnerabile a CVE-2025-32463 (Sudo) con exploit noto | Identifica le istanze GCE vulnerabili a CVE-2025-32463, un difetto di escalation dei privilegi locali in Sudo con un exploit noto. |
| Istanza GCE vulnerabile alla CVE critica del toolkit del container Nvidia (CVE-2025-23266) | Identifica le istanze GCE che utilizzano carichi di lavoro GPU vulnerabili alla CVE-2025-23266, un difetto critico di escalation dei privilegi nel toolkit del container NVIDIA. |
| Istanza GCE esposta esternamente vulnerabile a CVE-2025-59287 ad alto rischio (sfruttata in natura, esecuzione di codice da remoto critica in WSUS) | Identifica le istanze GCE esposte esternamente che eseguono Windows WSUS vulnerabile alla CVE-2025-59287, un difetto di esecuzione di codice remoto critico sfruttato attivamente dagli autori degli attacchi. |
Passaggi successivi
Gestire e risolvere i problemi