El gráfico de seguridad es una base de datos de gráficos que usa nodos para identificar recursos de la nube, como activos, identidades, aplicaciones y datos. Los bordes del gráfico determinan la relación de riesgo entre esos recursos según las reglas de detección. Cuando se descubre un riesgo de relación, el gráfico de seguridad genera un problema.
Security Command Center usa reglas predefinidas del gráfico de seguridad para identificar problemas que podrían poner en riesgo tus recursos.
En la siguiente tabla, se definen estas reglas.
| Regla | Descripción |
|---|---|
| Instancia de GCE: CVE de alto riesgo, acceso a un recurso de alto valor a través del uso de identidad de SA | Se detectó una CVE de alto riesgo en una instancia de Compute Engine que puede actuar en nombre de una cuenta de servicio (SA) con acceso a un recurso crítico. Esta vulnerabilidad aumenta el riesgo de elevación de privilegios y acceso no autorizado a datos o sistemas sensibles. |
| Instancia de GCE: CVE de alto riesgo, acceso a un recurso con datos sensibles a través del uso de identidad de SA | Una instancia de Compute Engine con una CVE de alto riesgo tiene acceso a un recurso que contiene datos sensibles mediante el uso de identidad de cuenta de servicio (SA) Esta vulnerabilidad aumenta el riesgo de acceso no autorizado a los datos , elevación de privilegios y posibles violaciones de seguridad de los datos. |
| Instancia de GCE: CVE de alto riesgo, acceso directo a un recurso de alto valor | Una instancia de Compute Engine con una CVE de alto riesgo tiene acceso directo a un recurso de alto valor, lo que aumenta la probabilidad de explotación, acceso no autorizado y riesgo de datos. |
| Instancia de GCE: CVE de alto riesgo, acceso directo a un recurso con datos sensibles | Una instancia de Compute Engine con una CVE de alto riesgo tiene acceso directo a un recurso que contiene datos sensibles. Esta vulnerabilidad aumenta el riesgo de acceso no autorizado, violaciones de seguridad de los datos y elevación de privilegios. |
| Instancia de GCE expuesta externamente: CVE de alto riesgo, exploit disponible | Una instancia de Compute Engine está expuesta externamente y se ve afectada por una CVE de alto riesgo con un exploit conocido. Esto aumenta significativamente el riesgo de ataques remotos, acceso no autorizado y riesgo del sistema. |
| Instancia de GCE: CVE de alto riesgo, capacidad de actuar en nombre de SA | Una instancia de Compute Engine se ve afectada por una CVE de alto riesgo y tiene la capacidad de actuar en nombre de otra cuenta de servicio (SA). Esto aumenta significativamente el riesgo de elevación de privilegios, acceso no autorizado y posible riesgo de recursos críticos de la nube. |
| Instancia de GCE: CVE de alto riesgo, permisos directos excesivos | Una instancia de Compute Engine con una CVE de alto riesgo tiene permisos directos excesivos en otro recurso, lo que aumenta el riesgo de acceso no autorizado, elevación de privilegios y riesgo de recursos. |
| Instancia de GCE: CVE de alto riesgo, permisos excesivos a través del uso de identidad de SA | Una instancia de Compute Engine con una CVE de alto riesgo tiene permisos excesivos en otro recurso a través del uso de identidad de cuenta de servicio (SA) lo que aumenta el riesgo de elevación de privilegios y acceso no autorizado. |
| Carga de trabajo de GKE expuesta externamente: CVE de alto riesgo, exploit disponible | Una carga de trabajo de GKE está expuesta externamente y se ve afectada por una CVE de alto riesgo con un exploit conocido. Esto aumenta significativamente el riesgo de ataques remotos, acceso no autorizado y riesgo del sistema. |
| Grupo de nodos de GKE: Boletín de alto riesgo, acceso a un recurso de alto valor a través del uso de identidad de SA | Un grupo de nodos de GKE tiene la capacidad de actuar en nombre de una cuenta de servicio (SA) que otorga acceso a un recurso de alto valor. Esto aumenta el riesgo de elevación de privilegios, acceso no autorizado y riesgo de datos |
| Grupo de nodos de GKE: Boletín de alto riesgo, acceso a un recurso con datos sensibles a través del uso de identidad de SA | Un grupo de nodos de GKE tiene la capacidad de actuar en nombre de una cuenta de servicio (SA) que otorga acceso a un recurso que contiene datos sensibles. Esto aumenta el riesgo de acceso no autorizado, violaciones de seguridad de los datos y elevación de privilegios. |
| Grupo de nodos de GKE: Boletín de alto riesgo, acceso directo a un recurso de alto valor | Un grupo de nodos de GKE tiene acceso directo a un recurso de alto valor , lo que aumenta el riesgo de acceso no autorizado, elevación de privilegios y posible riesgo de datos. |
| Grupo de nodos de GKE: Boletín de alto riesgo, acceso directo a un recurso con datos sensibles | Un grupo de nodos de GKE tiene acceso directo a un recurso que contiene datos sensibles, lo que aumenta el riesgo de acceso no autorizado, violaciones de seguridad de los datos y elevación de privilegios. |
| Grupo de nodos de GKE expuesto externamente: Boletín de alto riesgo | Un grupo de nodos de GKE está expuesto externamente y se ve afectado por una CVE de alto riesgo. Esto aumenta significativamente el riesgo de ataques remotos , acceso no autorizado y riesgo del sistema. |
| Grupo de nodos de GKE: Boletín de alto riesgo, capacidad de actuar en nombre de SA | Hay un boletín de alto riesgo en un grupo de nodos de GKE que tiene permisos para actuar en nombre de otra cuenta de servicio (SA), lo que aumenta el riesgo de elevación de privilegios y acceso no autorizado a recursos críticos. |
| Grupo de nodos de GKE: Boletín de alto riesgo, permisos directos excesivos | Hay un boletín de alto riesgo en un grupo de nodos de GKE que tiene permisos excesivos en otro recurso, lo que le otorga acceso no deseado Esto aumenta el riesgo de elevación de privilegios, acceso no autorizado acceso y exposición de datos. |
| Grupo de nodos de GKE: Boletín de alto riesgo, permisos excesivos a través del uso de identidad de SA | Hay un boletín de alto riesgo en un grupo de nodos de GKE que tiene permisos excesivos en otro recurso a través del uso de identidad de cuenta de servicio (SA), lo que aumenta el riesgo de elevación de privilegios y acceso no autorizado. |
| La cuenta de servicio con clave no rotada tiene permisos excesivos | Una cuenta de servicio usa una clave no rotada de larga duración con permisos excesivos , lo que aumenta el riesgo de riesgo de credenciales, acceso no autorizado y elevación de privilegios. |
| La cuenta de servicio con clave administrada por el usuario tiene permisos excesivos | Una cuenta de servicio con claves administradas por el usuario y permisos excesivos, lo que aumenta el riesgo de filtración de credenciales y elevación de privilegios. |
| Carga de trabajo de GKE expuesta externamente vulnerable a CVE-2025-49844 (exploit disponible, ejecución remota de código crítica en Redis) | Identifica las cargas de trabajo de GKE expuestas externamente que ejecutan Redis y que son vulnerables a CVE-2025-49844, una falla crítica de ejecución remota de código con un exploit conocido. |
| Instancia de GCE expuesta externamente vulnerable a CVE-2025-49844 (exploit disponible, ejecución remota de código crítica en Redis) | Identifica las instancias de GCE expuestas externamente que ejecutan Redis y que son vulnerables a CVE-2025-49844, una falla crítica de ejecución remota de código con un exploit conocido. |
| Carga de trabajo de GKE expuesta externamente vulnerable a CVE-2025-32433 (RCE crítica en Erlang SSH) | Identifica las cargas de trabajo de GKE expuestas externamente que ejecutan Erlang SSH y que son vulnerables a CVE-2025-32433, una falla crítica de ejecución remota de código que los atacantes explotan de forma activa. |
| Instancia de GCE expuesta externamente vulnerable a CVE-2025-32433 (RCE crítica en Erlang SSH) | Identifica las instancias de GCE expuestas externamente que ejecutan Erlang SSH y que son vulnerables a CVE-2025-32433, una falla crítica de ejecución remota de código que los atacantes explotan de forma activa. |
| Carga de trabajo de GKE expuesta externamente vulnerable a CVE-2023-46604 (RCE crítica en Apache ActiveMQ, explotada en la naturaleza) | Identifica las cargas de trabajo de GKE expuestas externamente que ejecutan Apache ActiveMQ y que son vulnerables a CVE-2023-46604, una falla crítica de ejecución remota de código en el protocolo OpenWire que los atacantes explotan de forma activa. |
| Instancia de GCE expuesta externamente vulnerable a CVE-2023-46604 (RCE crítica en Apache ActiveMQ, explotada en la naturaleza) | Identifica las instancias de GCE expuestas externamente que ejecutan Apache ActiveMQ y que son vulnerables a CVE-2023-46604, una falla crítica de ejecución remota de código en el protocolo OpenWire que los atacantes explotan de forma activa. |
| Instancia de GCE vulnerable a CVE-2025-32463 (Sudo) con exploit conocido | Identifica las instancias de GCE vulnerables a CVE-2025-32463, una falla de elevación de privilegios local en Sudo con un exploit conocido. |
| Instancia de GCE vulnerable a la CVE crítica del kit de herramientas del contenedor de Nvidia (CVE-2025-23266) | Identifica las instancias de GCE que usan cargas de trabajo de GPU vulnerables a CVE-2025-23266, una falla crítica de elevación de privilegios en el kit de herramientas del contenedor de NVIDIA. |
| Instancia de GCE expuesta externamente vulnerable a CVE-2025-59287 de alto riesgo (explotada en la naturaleza, ejecución remota de código crítica en WSUS) | Identifica las instancias de GCE expuestas externamente que ejecutan Windows WSUS y que son vulnerables a CVE-2025-59287, una falla crítica de ejecución remota de código que los atacantes explotan de forma activa. |
| Agent Platform Workbench: CVE de alto riesgo | Se detectó una CVE de alto riesgo en una instancia de Agent Platform Workbench de Gemini Enterprise. Esta vulnerabilidad aumenta el riesgo de acceso no autorizado al entorno de desarrollo, lo que podría provocar la exfiltración de datos de entrenamiento y código fuente del modelo. |
| Agent Platform Workbench: CVE de alto riesgo, permisos excesivos | Una instancia de Agent Platform Workbench con una CVE de alto riesgo usa una cuenta de servicio con privilegios excesivos. Esta combinación permite que los atacantes aprovechen la vulnerabilidad para elevar los privilegios y poner en riesgo otros recursos de la nube. |
| Entorno de ejecución del agente: CVE de alto riesgo, identidad de SA con acceso a un recurso de alto valor a través del uso de identidad de SA | Se detectó una CVE de alto riesgo en un agente de IA implementado en el entorno de ejecución del agente que puede actuar en nombre de una cuenta de servicio con acceso a un recurso crítico. Esta vulnerabilidad aumenta el riesgo de elevación de privilegios y acceso no autorizado a datos o sistemas sensibles. |
| Entorno de ejecución del agente: CVE de alto riesgo, identidad de SA con acceso a un recurso con datos sensibles a través del uso de identidad de SA | Un agente de IA implementado en el entorno de ejecución del agente con una CVE de alto riesgo tiene acceso a un recurso que contiene datos sensibles a través del uso de identidad de cuenta de servicio (SA). Esta vulnerabilidad aumenta el riesgo de acceso no autorizado a los datos, elevación de privilegios y posibles violaciones de seguridad de los datos. |
| Entorno de ejecución del agente: CVE de alto riesgo, identidad de SA con acceso directo a un recurso de alto valor | Un agente de IA implementado en el entorno de ejecución del agente con una CVE de alto riesgo tiene acceso directo a un recurso de alto valor, lo que aumenta la probabilidad de explotación, acceso no autorizado y riesgo de datos. |
| Entorno de ejecución del agente: CVE de alto riesgo, identidad de SA con acceso directo a un recurso con datos sensibles | Un agente de IA implementado en el entorno de ejecución del agente con una CVE de alto riesgo tiene acceso directo a un recurso que contiene datos sensibles. Esta vulnerabilidad aumenta el riesgo de acceso no autorizado, violaciones de seguridad de los datos, y elevación de privilegios. |
| Entorno de ejecución del agente: CVE de alto riesgo, identidad de SA con permisos directos excesivos | Un agente de IA implementado en el entorno de ejecución del agente con una CVE de alto riesgo tiene permisos directos excesivos en otro recurso, lo que aumenta el riesgo de acceso no autorizado, elevación de privilegios y riesgo de recursos. |
| Entorno de ejecución del agente: CVE de alto riesgo, identidad de SA con permisos excesivos a través del uso de identidad de SA | Un agente de IA implementado en el entorno de ejecución del agente con una CVE de alto riesgo tiene permisos excesivos en otro recurso a través del uso de identidad de cuenta de servicio (SA) , lo que aumenta el riesgo de elevación de privilegios y acceso no autorizado. |
| Entorno de ejecución del agente: CVE de alto riesgo, identidad de SA con capacidad de actuar en nombre de SA | Un agente de IA implementado en el entorno de ejecución del agente con una CVE de alto riesgo tiene la capacidad de actuar en nombre de otra cuenta de servicio. Esto aumenta significativamente el riesgo de elevación de privilegios, acceso no autorizado y posible riesgo de recursos críticos de la nube. |
| Bucket de Cloud Storage: Bucket expuesto públicamente que se usa para la implementación del entorno de ejecución del agente | Se usó un bucket de Cloud Storage expuesto públicamente para implementar el agente de IA en el entorno de ejecución del agente. Esto aumenta el riesgo de filtración de código del agente y de envenenamiento del agente. |
¿Qué sigue?
Administra y soluciona problemas.