安全防護圖是圖形資料庫,可使用節點識別雲端資源,例如資產、身分、應用程式和資料。圖表的邊緣會根據偵測規則,決定這些資源之間的風險關係。發現關係風險時,安全圖表會產生問題。
Security Command Center 會使用預先定義的安全圖表規則,找出可能危害資源的問題。
下表定義了這些規則。
| 規則 | 說明 |
|---|---|
| GCE 執行個體:高風險 CVE,透過 SA 模擬存取高價值資源 | 系統在 Compute Engine 執行個體上偵測到高風險 CVE,該執行個體可以模擬有權存取重要資源的服務帳戶 (SA)。這個安全漏洞會增加權限提升的風險,以及未經授權存取機密資料或系統的風險。 |
| GCE 執行個體:高風險 CVE,可透過 SA 模擬功能存取含有敏感資料的資源 | 具有高風險 CVE 的 Compute Engine 執行個體可透過服務帳戶 (SA) 模擬,存取含有敏感資料的資源。這項安全漏洞會增加未經授權存取資料、權限提升和潛在資料外洩的風險。 |
| GCE 執行個體:高風險 CVE,可直接存取高價值資源 | 如果 Compute Engine 執行個體有高風險 CVE,就能直接存取高價值資源,提高遭到濫用、未經授權存取及資料遭盜用的可能性。 |
| GCE 執行個體:高風險 CVE,可直接存取含有敏感資料的資源 | 如果 Compute Engine 執行個體有高風險 CVE,就能直接存取含有機密資料的資源。這項安全漏洞會增加未經授權存取、資料外洩和權限提升的風險。 |
| 暴露於外部的 GCE 執行個體:高風險 CVE,可供利用 | Compute Engine 執行個體對外公開,且受到已知有漏洞的高風險 CVE 影響。這會大幅增加遠端攻擊、未經授權存取和系統入侵的風險。 |
| GCE 執行個體:高風險 CVE,可模擬 SA | Compute Engine 執行個體受到高風險 CVE 影響,且能夠模擬其他服務帳戶 (SA)。這會大幅增加權限提升、未經授權存取,以及重要雲端資源遭到入侵的風險。 |
| GCE 執行個體:高風險 CVE、直接權限過多 | 具有高風險 CVE 的 Compute Engine 執行個體對其他資源有直接的過多權限,因此未經授權存取、權限提升和資源遭入侵的風險會增加。 |
| GCE 執行個體:高風險 CVE,透過 SA 模擬取得過多權限 | 具有高風險 CVE 的 Compute Engine 執行個體,透過服務帳戶 (SA) 模擬對其他資源擁有過多權限,因此權限提升和未經授權存取的風險也隨之提高。 |
| 暴露於外部的 GKE 工作負載:高風險 CVE,可供利用 | GKE 工作負載暴露於外部,且受到已知有漏洞的高風險 CVE 影響。這會大幅增加遠端攻擊、未經授權存取和系統入侵的風險。 |
| GKE 節點集區:高風險公告,透過 SA 模擬存取高價值資源 | GKE 節點集區可以模擬服務帳戶 (SA),藉此授予高價值資源的存取權。這會增加權限提升、未經授權存取和資料遭盜用的風險。 |
| GKE 節點集區:高風險公告,透過 SA 模擬存取含有私密資料的資源 | GKE 節點集區可以模擬服務帳戶 (SA),授予存取含有敏感資料資源的權限。這會增加未經授權存取、資料外洩和權限提升的風險。 |
| GKE 節點集區:高風險公告,可直接存取高價值資源 | GKE 節點集區可直接存取高價值資源,因此未經授權存取、權限提升和資料遭盜用的風險會增加。 |
| GKE 節點集區:高風險公告,可直接存取含有敏感資料的資源 | GKE 節點集區可直接存取含有機密資料的資源,因此未經授權存取、資料外洩和權限提升的風險會增加。 |
| 暴露於外部的 GKE 節點集區:高風險快訊 | GKE 節點集區暴露於外部,且受到高風險 CVE 影響。這會大幅增加遠端攻擊、未經授權存取和系統入侵的風險。 |
| GKE 節點集區:高風險公告,可模擬服務帳戶 | GKE 節點集區有高風險公告,該節點集區有權模擬其他服務帳戶 (SA),因此權限提升和未經授權存取重要資源的風險會增加。 |
| GKE 節點集區:高風險公告,直接權限過多 | GKE 節點集區有高風險公告,該節點集區在其他資源上擁有過多權限,因此可取得非預期的存取權。這會增加權限提升、未經授權存取和資料曝光的風險。 |
| GKE 節點集區:高風險公告,透過 SA 模擬取得過多權限 | GKE 節點集區有高風險公告,該節點集區透過服務帳戶 (SA) 模擬對其他資源擁有過多權限,因此權限提升和未經授權存取的風險會增加。 |
| 具有未輪替金鑰的服務帳戶權限過多 | 服務帳戶使用長期未輪替的金鑰,且權限過多,導致憑證遭盜用、未經授權存取和權限提升的風險增加。 |
| 服務帳戶擁有使用者自行管理的金鑰,且權限過多 | 服務帳戶使用使用者管理的金鑰,且權限過多,這會增加憑證外洩和權限提升的風險。 |
| 暴露於外部的 GKE 工作負載容易受到 CVE-2025-49844 攻擊 (可供利用,Redis 中存在重大遠端程式碼執行安全漏洞) | 找出執行 Redis 且暴露於外部的 GKE 工作負載,這些工作負載容易受到 CVE-2025-49844 影響。這項重大遠端程式碼執行缺陷已知的攻擊手法。 |
| 外部公開的 GCE 執行個體容易受到 CVE-2025-49844 攻擊 (有可用的攻擊手法,Redis 中有重大遠端程式碼執行漏洞) | 找出執行 Redis 且暴露於外部的 GCE 執行個體,這些執行個體容易受到 CVE-2025-49844 影響。這項重大遠端程式碼執行缺陷已知的利用方式。 |
| 暴露於外部的 GKE 工作負載容易受到 CVE-2025-32433 攻擊 (Erlang SSH 中存在重大 RCE) | 找出執行 Erlang SSH 的外部公開 GKE 工作負載,這些工作負載容易受到 CVE-2025-32433 攻擊。這項重大遠端程式碼執行弱點已遭攻擊者利用。 |
| 暴露於外部的 GCE 執行個體容易受到 CVE-2025-32433 (Erlang SSH 中的重大 RCE) 攻擊 | 找出公開的 GCE 執行個體,這些執行個體執行 Erlang SSH,且容易受到 CVE-2025-32433 影響。這項重大遠端程式碼執行弱點已遭攻擊者利用。 |
| 暴露於外部的 GKE 工作負載容易受到 CVE-2023-46604 攻擊 (Apache ActiveMQ 中可遭利用的重大 RCE) | 找出執行 Apache ActiveMQ 的外部公開 GKE 工作負載,這些工作負載容易受到 CVE-2023-46604 攻擊。這是 OpenWire 通訊協定中的重大遠端程式碼執行缺陷,攻擊者會積極利用此缺陷。 |
| 暴露於外部的 GCE 執行個體容易受到 CVE-2023-46604 攻擊 (Apache ActiveMQ 中可遭人利用的重大 RCE,已在實際環境中遭到利用) | 找出執行 Apache ActiveMQ 的外部公開 GCE 執行個體,這些執行個體容易受到 CVE-2023-46604 影響。CVE-2023-46604 是 OpenWire 通訊協定中的重大遠端程式碼執行缺陷,攻擊者會積極利用這個缺陷。 |
| GCE 執行個體容易受到 CVE-2025-32463 (Sudo) 攻擊,且已知有攻擊手法 | 找出容易受到 CVE-2025-32463 影響的 GCE 執行個體。CVE-2025-32463 是 Sudo 中的本機權限提升缺陷,已知會遭到濫用。 |
| GCE 執行個體容易受到重大 Nvidia Container Toolkit CVE (CVE-2025-23266) 攻擊 | 找出使用 GPU 工作負載的 GCE 執行個體,這些執行個體容易受到 CVE-2025-23266 影響。這是 NVIDIA Container Toolkit 中的重大權限提升缺陷。 |
| 外部公開的 GCE 執行個體容易受到高風險 CVE-2025-59287 攻擊 (已在野外遭人利用,WSUS 中存在重大遠端程式碼執行漏洞) | 找出執行 Windows WSUS 的外部公開 GCE 執行個體,這些執行個體容易受到 CVE-2025-59287 影響。CVE-2025-59287 是嚴重的遠端程式碼執行缺陷,攻擊者會積極利用這個缺陷。 |
| Vertex AI Workbench:高風險 CVE | 系統在 Vertex AI Workbench 執行個體上偵測到高風險的 CVE。這項安全漏洞會增加未經授權存取開發環境的風險,導致訓練資料和模型原始碼可能遭竊。 |
| Vertex AI Workbench:高風險 CVE、權限過多 | 具有高風險 CVE 的 Vertex AI Workbench 執行個體使用權限過高的服務帳戶。攻擊者可利用這項組合來利用安全漏洞,進而提升權限並入侵其他雲端資源。 |