Il grafico di sicurezza è un database di grafici che utilizza i nodi per identificare le risorse cloud come asset, identità, applicazioni e dati. I bordi del grafico determinano la relazione di rischio tra queste risorse in base alle regole di rilevamento. Quando viene rilevato un rischio di relazione, il grafico di sicurezza genera un problema.
Security Command Center utilizza regole del grafico di sicurezza predefinite per identificare i problemi che potrebbero compromettere le tue risorse.
La tabella seguente definisce queste regole.
| Regola | Descrizione |
|---|---|
| Istanza GCE: CVE ad alto rischio, accesso a una risorsa di alto valore tramite la simulazione dell'identità SA | È stata rilevata una CVE ad alto rischio su un'istanza Compute Engine che può simulare l'identità di un account di servizio (SA) con accesso a una risorsa critica. Questa vulnerabilità aumenta il rischio di escalation dei privilegi e di accesso non autorizzato a dati o sistemi sensibili. |
| Istanza GCE: CVE ad alto rischio, accesso a una risorsa con dati sensibili tramite la simulazione dell'identità SA | Un'istanza Compute Engine con una CVE ad alto rischio ha accesso a a una risorsa contenente dati sensibili utilizzando la simulazione dell'identità account di servizio (SA) impersonation. Questa vulnerabilità aumenta il rischio di accesso non autorizzato ai dati accesso, escalation dei privilegi e potenziali violazioni dei dati. |
| Istanza GCE: CVE ad alto rischio, accesso diretto a una risorsa di alto valore | Un'istanza Compute Engine con una CVE ad alto rischio ha accesso diretto a una risorsa di alto valore, aumentando la probabilità di sfruttamento, accesso non autorizzato e compromissione dei dati. |
| Istanza GCE: CVE ad alto rischio, accesso diretto a una risorsa con dati sensibili | Un'istanza Compute Engine con una CVE ad alto rischio ha accesso diretto a una risorsa contenente dati sensibili. Questa vulnerabilità aumenta il rischio di accesso non autorizzato, violazioni dei dati ed escalation dei privilegi. |
| Istanza GCE esposta esternamente: CVE ad alto rischio, exploit disponibile | Un'istanza Compute Engine è esposta esternamente ed è interessata da una CVE ad alto rischio con un exploit noto. Ciò aumenta notevolmente il rischio di attacchi da remoto, accesso non autorizzato e compromissione del sistema. |
| Istanza GCE: CVE ad alto rischio, possibilità di simulare l'identità di un SA | Un'istanza Compute Engine è interessata da una CVE ad alto rischio e ha la possibilità di simulare l'identità di un altro account di servizio (SA). Ciò aumenta notevolmente il rischio di escalation dei privilegi, accesso non autorizzato e potenziale compromissione delle risorse cloud critiche. |
| Istanza GCE: CVE ad alto rischio, autorizzazioni dirette eccessive | Un'istanza Compute Engine con una CVE ad alto rischio ha autorizzazioni dirette eccessive su un'altra risorsa, aumentando il rischio di accesso non autorizzato, escalation dei privilegi e compromissione delle risorse. |
| Istanza GCE: CVE ad alto rischio, autorizzazioni eccessive tramite la simulazione dell'identità SA | Un'istanza Compute Engine con una CVE ad alto rischio ha autorizzazioni eccessive su un'altra risorsa tramite la simulazione dell'identità account di servizio (SA) aumentando il rischio di escalation dei privilegi e accesso non autorizzato. |
| Workload GKE esposto esternamente: CVE ad alto rischio, exploit disponibile | Un workload GKE è esposto esternamente ed è interessato da una CVE ad alto rischio con un exploit noto. Ciò aumenta notevolmente il rischio di attacchi da remoto, accesso non autorizzato e compromissione del sistema. |
| Node pool GKE: bollettino ad alto rischio, accesso a una risorsa di alto valore tramite la simulazione dell'identità SA | Un pool di nodi GKE ha la possibilità di simulare l'identità di un account di servizio (SA) che concede l'accesso a una risorsa di alto valore. Ciò aumenta il rischio di escalation dei privilegi, accesso non autorizzato e compromissione dei dati. |
| Node pool GKE: bollettino ad alto rischio, accesso a una risorsa con dati sensibili tramite la simulazione dell'identità SA | Un pool di nodi GKE ha la possibilità di simulare l'identità di un account di servizio (SA) che concede l'accesso a una risorsa contenente dati sensibili. Ciò aumenta il rischio di accesso non autorizzato, violazioni dei dati e escalation dei privilegi. |
| Node pool GKE: bollettino ad alto rischio, accesso diretto a una risorsa di alto valore | Un pool di nodi GKE ha accesso diretto a una risorsa di alto valore aumentando il rischio di accesso non autorizzato, escalation dei privilegi e potenziale compromissione dei dati. |
| Node pool GKE: bollettino ad alto rischio, accesso diretto a una risorsa con dati sensibili | Un pool di nodi GKE ha accesso diretto a una risorsa contenente dati sensibili, aumentando il rischio di accesso non autorizzato, violazioni dei dati ed escalation dei privilegi. |
| Node pool GKE esposto esternamente: bollettino ad alto rischio | Un pool di nodi GKE è esposto esternamente ed è interessato da una CVE ad alto rischio. Ciò aumenta notevolmente il rischio di attacchi da remoto, accesso non autorizzato e compromissione del sistema. |
| Node pool GKE: bollettino ad alto rischio, possibilità di simulare l'identità di un SA | Esiste un bollettino ad alto rischio su un pool di nodi GKE che dispone delle autorizzazioni per simulare l'identità di un altro account di servizio (SA), aumentando il rischio di escalation dei privilegi e accesso non autorizzato alle risorse critiche. |
| Node pool GKE: bollettino ad alto rischio, autorizzazioni dirette eccessive | Esiste un bollettino ad alto rischio su un pool di nodi GKE che dispone di autorizzazioni eccessive su un'altra risorsa, concedendo l'accesso non intenzionale Ciò aumenta il rischio di escalation dei privilegi, accesso non autorizzato accesso, ed esposizione dei dati. |
| Node pool GKE: bollettino ad alto rischio, autorizzazioni eccessive tramite la simulazione dell'identità SA | Esiste un bollettino ad alto rischio su un pool di nodi GKE che dispone di autorizzazioni eccessive su un'altra risorsa tramite la simulazione dell'identità account di servizio (SA), aumentando il rischio di escalation dei privilegi e accesso non autorizzato. |
| Il service account con una chiave non ruotata dispone di autorizzazioni eccessive | Un account di servizio utilizza una chiave non ruotata a lunga durata con autorizzazioni eccessive aumentando il rischio di compromissione delle credenziali, accesso non autorizzato ed escalation dei privilegi. |
| Il service account con una chiave gestita dall'utente dispone di autorizzazioni eccessive | Un account di servizio con chiavi gestite dall'utente e autorizzazioni eccessive, che aumenta il rischio di perdita delle credenziali ed escalation dei privilegi. |
| Workload GKE esposto esternamente vulnerabile a CVE-2025-49844 (exploit disponibile, esecuzione di codice da remoto critica in Redis) | Identifica i workload GKE esposti esternamente che eseguono Redis e che sono vulnerabili a CVE-2025-49844, un difetto di esecuzione di codice da remoto critico con un exploit noto. |
| Istanza GCE esposta esternamente vulnerabile a CVE-2025-49844 (exploit disponibile, esecuzione di codice da remoto critica in Redis) | Identifica le istanze GCE esposte esternamente che eseguono Redis e che sono vulnerabili a CVE-2025-49844, un difetto di esecuzione di codice da remoto critico con un exploit noto. |
| Workload GKE esposto esternamente vulnerabile a CVE-2025-32433 (esecuzione di codice da remoto critica in Erlang SSH) | Identifica i workload GKE esposti esternamente che eseguono Erlang SSH e che sono vulnerabili a CVE-2025-32433, una vulnerabilità critica di esecuzione di codice da remoto sfruttata attivamente dagli autori di attacchi. |
| Istanza GCE esposta esternamente vulnerabile a CVE-2025-32433 (esecuzione di codice da remoto critica in Erlang SSH) | Identifica le istanze GCE esposte esternamente che eseguono Erlang SSH e che sono vulnerabili a CVE-2025-32433, una vulnerabilità critica di esecuzione di codice da remoto sfruttata attivamente dagli autori di attacchi. |
| Workload GKE esposto esternamente vulnerabile a CVE-2023-46604 (esecuzione di codice da remoto critica in Apache ActiveMQ, sfruttata in natura) | Identifica i workload GKE esposti esternamente che eseguono Apache ActiveMQ e che sono vulnerabili a CVE-2023-46604, una vulnerabilità critica di esecuzione di codice da remoto nel protocollo OpenWire sfruttata attivamente dagli autori di attacchi. |
| Istanza GCE esposta esternamente vulnerabile a CVE-2023-46604 (esecuzione di codice da remoto critica in Apache ActiveMQ, sfruttata in natura) | Identifica le istanze GCE esposte esternamente che eseguono Apache ActiveMQ e che sono vulnerabili a CVE-2023-46604, una vulnerabilità critica di esecuzione di codice da remoto nel protocollo OpenWire sfruttata attivamente dagli attaccanti. |
| Istanza GCE vulnerabile a CVE-2025-32463 (Sudo) con exploit noto | Identifica le istanze GCE vulnerabili a CVE-2025-32463, un difetto di escalation dei privilegi locali in Sudo con un exploit noto. |
| Istanza GCE vulnerabile a CVE-2025-23266 (Nvidia Container Toolkit) critica | Identifica le istanze GCE che utilizzano workload GPU vulnerabili a CVE-2025-23266, un difetto di escalation dei privilegi critico in NVIDIA Container Toolkit. |
| Istanza GCE esposta esternamente vulnerabile a CVE-2025-59287 ad alto rischio (sfruttata in natura, esecuzione di codice da remoto critica in WSUS) | Identifica le istanze GCE esposte esternamente che eseguono Windows WSUS e che sono vulnerabili a CVE-2025-59287, un difetto di esecuzione di codice da remoto critico sfruttato attivamente dagli autori di attacchi. |
| Vertex AI Workbench: CVE ad alto rischio | È stata rilevata una CVE ad alto rischio su un'istanza di Gemini Enterprise Agent Platform Workbench. Questa vulnerabilità aumenta il rischio di accesso non autorizzato all'ambiente di sviluppo, con conseguente potenziale esfiltrazione dei dati di addestramento e del codice sorgente del modello. |
| Vertex AI Workbench: CVE ad alto rischio, autorizzazioni eccessive | Un'istanza di Vertex AI Workbench con una CVE ad alto rischio utilizza un account di servizio con privilegi eccessivi. Questa combinazione consente agli autori di attacchi di sfruttare la vulnerabilità per aumentare i privilegi e compromettere altre risorse cloud. |
| Runtime dell'agente: CVE ad alto rischio, identità SA con accesso a una risorsa di alto valore tramite la simulazione dell'identità SA | È stata rilevata una CVE ad alto rischio su un agente AI di cui è stato eseguito il deployment in Agent Runtime che può simulare l'identità di un service account con accesso a una risorsa critica. Questa vulnerabilità aumenta il rischio di escalation dei privilegi e di accesso non autorizzato a dati o sistemi sensibili. |
| Runtime dell'agente: CVE ad alto rischio, identità SA con accesso a una risorsa con dati sensibili tramite la simulazione dell'identità SA | Un agente AI di cui è stato eseguito il deployment in Agent Runtime con una CVE ad alto rischio ha accesso a una risorsa contenente dati sensibili tramite la simulazione dell'identità del account di servizio (SA). Questa vulnerabilità aumenta il rischio di accesso non autorizzato ai dati, escalation dei privilegi e potenziali violazioni dei dati. |
| Runtime dell'agente: CVE ad alto rischio, identità SA con accesso diretto a una risorsa di alto valore | Un agente AI di cui è stato eseguito il deployment in Agent Runtime con una CVE ad alto rischio ha accesso diretto a una risorsa di alto valore, aumentando la probabilità di sfruttamento, accesso non autorizzato e compromissione dei dati. |
| Runtime dell'agente: CVE ad alto rischio, identità SA con accesso diretto a una risorsa con dati sensibili | Un agente AI di cui è stato eseguito il deployment in Agent Runtime con una CVE ad alto rischio ha accesso diretto a una risorsa contenente dati sensibili. Questa vulnerabilità aumenta il rischio di accesso non autorizzato, violazioni dei dati, ed escalation dei privilegi. |
| Runtime dell'agente: CVE ad alto rischio, identità SA con autorizzazioni dirette eccessive | Un agente AI di cui è stato eseguito il deployment in Agent Runtime con una CVE ad alto rischio ha autorizzazioni dirette eccessive su un'altra risorsa, aumentando il rischio di accesso non autorizzato, escalation dei privilegi e compromissione delle risorse. |
| Runtime dell'agente: CVE ad alto rischio, identità SA con autorizzazioni eccessive tramite la simulazione dell'identità SA | Un agente AI di cui è stato eseguito il deployment in Agent Runtime con una CVE ad alto rischio ha autorizzazioni eccessive su un'altra risorsa tramite la simulazione dell'identità del service account (SA), aumentando il rischio di escalation dei privilegi e accesso non autorizzato. |
| Runtime dell'agente: CVE ad alto rischio, identità SA con possibilità di simulare l'identità di un SA | Un agente AI di cui è stato eseguito il deployment in Agent Runtime con una CVE ad alto rischio ha la possibilità di simulare l'identità di un altro account di servizio. Ciò aumenta notevolmente il rischio di escalation dei privilegi, accesso non autorizzato e potenziale compromissione delle risorse cloud critiche. |
| Bucket Cloud Storage: bucket esposto pubblicamente utilizzato per il deployment di Agent Runtime | È stato utilizzato un bucket Cloud Storage esposto pubblicamente per eseguire il deployment dell'agente AI in Agent Runtime. Ciò aumenta il rischio di perdita del codice dell'agente e di poisoning dell'agente. |