Grafik keamanan adalah database grafik yang menggunakan node untuk mengidentifikasi resource cloud seperti aset, identitas, aplikasi, dan data. Edge grafik menentukan hubungan risiko antara resource tersebut setelah mengikuti aturan deteksi. Saat risiko hubungan ditemukan, grafik keamanan akan membuat masalah.
Security Command Center menggunakan aturan grafik keamanan yang telah ditentukan untuk mengidentifikasi masalah yang berpotensi membahayakan resource Anda.
Tabel berikut menentukan aturan ini. Anda menyelidiki masalah yang dibuat menggunakan dasbor Risiko > Masalah.
| Aturan | Deskripsi |
|---|---|
| Instance GCE: CVE berisiko tinggi, akses ke resource bernilai tinggi melalui peniruan identitas SA | CVE berisiko tinggi telah terdeteksi di Compute Engine instance yang dapat meniru identitas akun layanan (SA) dengan akses ke resource penting. Kerentanan ini meningkatkan risiko eskalasi hak istimewa dan akses tidak sah ke data atau sistem sensitif. |
| Instance GCE: CVE berisiko tinggi, akses ke resource dengan data sensitif melalui peniruan identitas SA | Instance Compute Engine dengan CVE berisiko tinggi memiliki akses ke resource yang berisi data sensitif menggunakan peniruan identitas akun layanan (SA) impersonation. Kerentanan ini meningkatkan risiko akses data tidak sah, eskalasi hak istimewa, dan potensi pelanggaran data. |
| Instance GCE: CVE berisiko tinggi, akses langsung ke resource bernilai tinggi | Instance Compute Engine dengan CVE berisiko tinggi memiliki akses langsung ke resource bernilai tinggi, sehingga meningkatkan kemungkinan eksploitasi, akses tidak sah, dan kompromi data. |
| Instance GCE: CVE berisiko tinggi, akses langsung ke resource dengan data sensitif | Instance Compute Engine dengan CVE berisiko tinggi memiliki akses langsung ke resource yang berisi data sensitif. Kerentanan ini meningkatkan risiko akses tidak sah, pelanggaran data, dan hak istimewa eskalasi. |
| Instance GCE yang Terekspos Secara Eksternal: CVE berisiko tinggi, eksploit tersedia | Instance Compute Engine terekspos secara eksternal dan terpengaruh oleh CVE berisiko tinggi dengan eksploit yang diketahui. Hal ini secara signifikan meningkatkan risiko serangan jarak jauh, akses tidak sah, dan kompromi sistem. |
| Instance GCE: CVE berisiko tinggi, kemampuan untuk meniru identitas SA | Instance Compute Engine terpengaruh oleh CVE berisiko tinggi dan memiliki kemampuan untuk meniru identitas akun layanan (SA) lain. Hal ini secara signifikan meningkatkan risiko eskalasi hak istimewa, akses tidak sah dan potensi kompromi resource cloud penting. |
| Instance GCE: CVE berisiko tinggi, izin langsung yang berlebihan | Instance Compute Engine dengan CVE berisiko tinggi memiliki izin langsung berlebihan pada resource lain, sehingga meningkatkan risiko akses tidak sah, eskalasi hak istimewa, dan kompromi resource. |
| Instance GCE: CVE berisiko tinggi, izin berlebihan melalui peniruan identitas SA | Instance Compute Engine dengan CVE berisiko tinggi memiliki izin berlebihan pada resource lain melalui peniruan identitas akun layanan (SA) sehingga meningkatkan risiko eskalasi hak istimewa dan akses tidak sah. |
| Workload GKE yang Terekspos Secara Eksternal: CVE berisiko tinggi, eksploit tersedia | Workload GKE terekspos secara eksternal dan terpengaruh oleh CVE berisiko tinggi dengan eksploit yang diketahui. Hal ini secara signifikan meningkatkan risiko serangan jarak jauh, akses tidak sah, dan kompromi sistem. |
| Node Pool GKE: Buletin berisiko tinggi, akses ke resource bernilai tinggi melalui peniruan identitas SA | Node pool GKE memiliki kemampuan untuk meniru identitas akun layanan (SA) yang memberikan akses ke resource bernilai tinggi. Hal ini meningkatkan risiko eskalasi hak istimewa, akses tidak sah, dan data kompromi. |
| Node Pool GKE: Buletin berisiko tinggi, akses ke resource dengan data sensitif melalui peniruan identitas SA | Node pool GKE memiliki kemampuan untuk meniru identitas akun layanan (SA) yang memberikan akses ke resource yang berisi data sensitif. Hal ini meningkatkan risiko akses tidak sah, pelanggaran data, dan eskalasi hak istimewa. |
| Node Pool GKE: Buletin berisiko tinggi, akses langsung ke resource bernilai tinggi | Node pool GKE memiliki akses langsung ke resource bernilai tinggi, sehingga meningkatkan risiko akses tidak sah, eskalasi hak istimewa, dan potensi kompromi data. |
| Node Pool GKE: Buletin berisiko tinggi, akses langsung ke resource dengan data sensitif | Node pool GKE memiliki akses langsung ke resource yang berisi data sensitif, sehingga meningkatkan risiko akses tidak sah, pelanggaran data, dan eskalasi hak istimewa. |
| Node Pool GKE yang Terekspos Secara Eksternal: Buletin berisiko tinggi | Node pool GKE terekspos secara eksternal dan terpengaruh oleh CVE berisiko tinggi. Hal ini secara signifikan meningkatkan risiko serangan jarak jauh, akses tidak sah, dan kompromi sistem. |
| Node Pool GKE: Buletin berisiko tinggi, kemampuan untuk meniru identitas SA | Ada buletin berisiko tinggi di node pool GKE yang memiliki izin untuk meniru identitas akun layanan (SA), sehingga meningkatkan risiko eskalasi hak istimewa dan akses tidak sah ke resource penting. |
| Node Pool GKE: Buletin berisiko tinggi, izin langsung yang berlebihan | Ada buletin berisiko tinggi di node pool GKE yang memiliki izin berlebihan pada resource lain, sehingga memberikan akses yang tidak diinginkan Hal ini meningkatkan risiko eskalasi hak istimewa, akses tidak sah, dan eksposur data. |
| Node Pool GKE: Buletin berisiko tinggi, izin berlebihan melalui peniruan identitas SA | Ada buletin berisiko tinggi di node pool GKE yang memiliki izin berlebihan pada resource lain melalui peniruan identitas akun layanan (SA), sehingga meningkatkan risiko eskalasi hak istimewa dan akses tidak sah. |
| Akun layanan dengan kunci yang tidak dirotasi memiliki izin berlebihan | Akun layanan menggunakan kunci yang tidak dirotasi dan berumur panjang dengan izin berlebihan , sehingga meningkatkan risiko kompromi kredensial, akses tidak sah , dan eskalasi hak istimewa. |
| Akun layanan dengan kunci yang dikelola pengguna memiliki izin berlebihan | Akun layanan dengan kunci yang dikelola pengguna dan izin berlebihan, yang meningkatkan risiko kebocoran kredensial dan eskalasi hak istimewa. |
| Workload GKE yang terekspos secara eksternal dan rentan terhadap CVE-2025-49844 (eksploit tersedia, eksekusi kode jarak jauh yang penting di Redis) | Mengidentifikasi workload GKE yang terekspos secara eksternal dan menjalankan Redis yang rentan terhadap CVE-2025-49844, yaitu celah eksekusi kode jarak jauh yang penting dengan eksploit yang diketahui. |
| Instance GCE yang terekspos secara eksternal dan rentan terhadap CVE-2025-49844 (eksploit tersedia, eksekusi kode jarak jauh yang penting di Redis) | Mengidentifikasi instance GCE yang terekspos secara eksternal menjalankan Redis yang rentan terhadap CVE-2025-49844, yaitu celah eksekusi kode jarak jauh yang penting dengan eksploit yang diketahui. |
| Workload GKE yang terekspos secara eksternal dan rentan terhadap CVE-2025-32433 (RCE penting di Erlang SSH) | Mengidentifikasi workload GKE yang terekspos secara eksternal dan menjalankan Erlang SSH yang rentan terhadap CVE-2025-32433, yaitu celah eksekusi kode jarak jauh yang penting dan dieksploitasi secara aktif oleh penyerang. |
| Instance GCE yang terekspos secara eksternal dan rentan terhadap CVE-2025-32433 (RCE penting di Erlang SSH) | Mengidentifikasi instance GCE yang terekspos secara eksternal menjalankan Erlang SSH yang rentan terhadap CVE-2025-32433, yaitu celah eksekusi kode jarak jauh yang penting dan dieksploitasi secara aktif oleh penyerang. |
| Workload GKE yang terekspos secara eksternal dan rentan terhadap CVE-2023-46604 (RCE penting di Apache ActiveMQ, dieksploitasi di luar) | Mengidentifikasi workload GKE yang terekspos secara eksternal dan menjalankan Apache ActiveMQ yang rentan terhadap CVE-2023-46604, yaitu celah eksekusi kode jarak jauh yang penting dalam protokol OpenWire yang dieksploitasi secara aktif oleh penyerang. |
| Instance GCE yang terekspos secara eksternal dan rentan terhadap CVE-2023-46604 (RCE penting di Apache ActiveMQ, dieksploitasi di luar ) | Mengidentifikasi instance GCE yang terekspos secara eksternal dan menjalankan Apache ActiveMQ yang rentan terhadap CVE-2023-46604, yaitu celah eksekusi kode jarak jauh yang penting dalam protokol OpenWire yang dieksploitasi secara aktif oleh penyerang. |
| Instance GCE yang rentan terhadap CVE-2025-32463 (Sudo) dengan eksploit yang diketahui | Mengidentifikasi instance GCE yang rentan terhadap CVE-2025-32463, yaitu celah eskalasi hak istimewa lokal di Sudo dengan eksploit yang diketahui. |
| Instance GCE yang rentan terhadap CVE Toolkit Container Nvidia Kritis (CVE-2025-23266) | Mengidentifikasi instance GCE yang menggunakan workload GPU rentan terhadap CVE-2025-23266, yaitu celah eskalasi hak istimewa yang penting di NVIDIA Container Toolkit. |
| Instance GCE yang terekspos secara eksternal dan rentan terhadap CVE-2025-59287 berisiko tinggi (dieksploitasi di luar, eksekusi kode jarak jauh yang penting di WSUS) | Mengidentifikasi instance GCE yang terekspos secara eksternal menjalankan Windows WSUS yang rentan terhadap CVE-2025-59287, yaitu celah eksekusi kode jarak jauh yang penting dan dieksploitasi secara aktif oleh penyerang. |
| Vertex AI Workbench: CVE berisiko tinggi | CVE berisiko tinggi telah terdeteksi di instance Workbench Platform Agen Gemini Enterprise. Kerentanan ini meningkatkan risiko akses tidak sah ke lingkungan pengembangan, yang menyebabkan potensi pemindahan data pelatihan dan kode sumber model yang tidak sah. |
| Vertex AI Workbench: CVE berisiko tinggi, izin berlebihan | Instance Vertex AI Workbench dengan CVE berisiko tinggi menggunakan akun layanan yang memiliki hak istimewa berlebihan. Kombinasi ini memungkinkan penyerang mengeksploitasi kerentanan untuk meningkatkan hak istimewa dan membahayakan resource cloud lainnya. |
| Runtime Agen: CVE berisiko tinggi, identitas SA dengan akses ke resource bernilai tinggi melalui peniruan identitas SA | CVE berisiko tinggi telah terdeteksi di Agen AI yang di-deploy ke Runtime Agen yang dapat meniru identitas akun layanan dengan akses ke resource penting. Kerentanan ini meningkatkan risiko eskalasi hak istimewa dan akses tidak sah ke data atau sistem sensitif. |
| Runtime Agen: CVE berisiko tinggi, identitas SA dengan akses ke resource dengan data sensitif melalui peniruan identitas SA | Agen AI yang di-deploy ke Runtime Agen dengan a CVE berisiko tinggi memiliki akses ke resource yang berisi data sensitif melalui peniruan identitas akun layanan (SA). Kerentanan ini meningkatkan risiko akses data tidak sah, eskalasi hak istimewa, dan potensi pelanggaran data. |
| Runtime Agen: CVE berisiko tinggi, identitas SA dengan akses langsung ke resource bernilai tinggi | Agen AI yang di-deploy ke Runtime Agen dengan CVE berisiko tinggi memiliki akses langsung ke resource bernilai tinggi, sehingga meningkatkan kemungkinan eksploitasi, akses tidak sah, dan kompromi data. |
| Runtime Agen: CVE berisiko tinggi, identitas SA dengan akses langsung ke resource dengan data sensitif | Agen AI yang di-deploy ke Runtime Agen dengan CVE berisiko tinggi memiliki akses langsung ke resource yang berisi data sensitif. Kerentanan ini meningkatkan risiko akses tidak sah, pelanggaran data, dan eskalasi hak istimewa. |
| Runtime Agen: CVE berisiko tinggi, identitas SA dengan izin langsung yang berlebihan | Agen AI yang di-deploy ke Runtime Agen dengan CVE berisiko tinggi memiliki izin langsung yang berlebihan pada resource lain, sehingga meningkatkan risiko akses tidak sah, eskalasi hak istimewa, dan kompromi resource. |
| Runtime Agen: CVE berisiko tinggi, identitas SA dengan izin berlebihan melalui peniruan identitas SA | Agen AI yang di-deploy ke Runtime Agen dengan CVE berisiko tinggi memiliki izin berlebihan pada resource lain melalui peniruan identitas akun layanan (SA) , sehingga meningkatkan risiko eskalasi hak istimewa dan akses tidak sah. |
| Runtime Agen: CVE berisiko tinggi, identitas SA dengan kemampuan untuk meniru identitas SA | Agen AI yang di-deploy ke Runtime Agen dengan CVE berisiko tinggi memiliki kemampuan untuk meniru identitas akun layanan lain. Hal ini secara signifikan meningkatkan risiko eskalasi hak istimewa, akses tidak sah dan potensi kompromi resource cloud penting. |
| Bucket Cloud Storage: Bucket yang terekspos secara publik dan digunakan untuk deployment Runtime Agen | Bucket Cloud Storage yang terekspos secara publik digunakan untuk men-deploy Agen AI ke Runtime Agen. Hal ini meningkatkan risiko kebocoran kode agen dan pencemaran agen. |
Langkah berikutnya
Mengelola dan memulihkan masalah