Der Sicherheitsgraph ist eine Graphdatenbank, in der Knoten verwendet werden, um Cloud-Ressourcen wie Assets, Identitäten, Anwendungen und Daten zu identifizieren. Die Kanten des Diagramms bestimmen die Risikobeziehung zwischen diesen Ressourcen gemäß den Erkennungsregeln. Wenn ein Beziehungsrisiko erkannt wird, wird im Sicherheitsdiagramm ein Problem generiert.
Security Command Center verwendet vordefinierte Regeln für den Sicherheitsgraphen, um Probleme zu identifizieren, die Ihre Ressourcen potenziell gefährden könnten.
In der folgenden Tabelle werden diese Regeln definiert.
| Regel | Beschreibung |
|---|---|
| GCE-Instanz: CVE mit hohem Risiko, Zugriff auf wertvolle Ressource über Identitätswechsel des Dienstkontos | Auf einer Compute Engine-Instanz wurde eine CVE mit hohem Risiko erkannt, die die Identität eines Dienstkontos mit Zugriff auf eine kritische Ressource annehmen kann. Diese Sicherheitslücke erhöht das Risiko einer Rechteausweitung und eines unbefugten Zugriffs auf vertrauliche Daten oder Systeme. |
| GCE-Instanz: CVE mit hohem Risiko, Zugriff auf Ressource mit sensiblen Daten über SA-Identitätsübernahme | Eine Compute Engine-Instanz mit einem CVE mit hohem Risiko hat über die Identitätsübernahme eines Dienstkontos Zugriff auf eine Ressource mit sensiblen Daten. Diese Sicherheitslücke erhöht das Risiko von unberechtigtem Datenzugriff, Rechteausweitung und potenziellen Datenpannen. |
| GCE-Instanz: CVE mit hohem Risiko, direkter Zugriff auf Ressource mit hohem Wert | Eine Compute Engine-Instanz mit einem CVE mit hohem Risiko hat direkten Zugriff auf eine wertvolle Ressource, was die Wahrscheinlichkeit von Exploitation, unbefugtem Zugriff und Datenkompromittierung erhöht. |
| GCE-Instanz: CVE mit hohem Risiko, direkter Zugriff auf Ressource mit sensiblen Daten | Eine Compute Engine-Instanz mit einem CVE mit hohem Risiko hat direkten Zugriff auf eine Ressource mit sensiblen Daten. Diese Sicherheitslücke erhöht das Risiko von unberechtigtem Zugriff, Datenpannen und Rechteausweitungen. |
| Extern offengelegte GCE-Instanz: CVE mit hohem Risiko, Exploit verfügbar | Eine Compute Engine-Instanz ist extern verfügbar und von einer CVE mit hohem Risiko und einem bekannten Exploit betroffen. Dadurch steigt das Risiko von Remote-Angriffen, unbefugtem Zugriff und Systemkompromittierung erheblich. |
| GCE-Instanz: CVE mit hohem Risiko, Möglichkeit zum Identitätsdiebstahl von Dienstkonten | Eine Compute Engine-Instanz ist von einem CVE mit hohem Risiko betroffen und kann die Identität eines anderen Dienstkontos annehmen. Dadurch steigt das Risiko von Rechteausweitungen, unbefugtem Zugriff und potenziellen Kompromittierungen kritischer Cloud-Ressourcen erheblich. |
| GCE-Instanz: CVE mit hohem Risiko, übermäßige direkte Berechtigungen | Eine Compute Engine-Instanz mit einem CVE mit hohem Risiko hat direkte, nicht erforderliche Berechtigungen für eine andere Ressource, was das Risiko von unbefugtem Zugriff, Rechteausweitung und Kompromittierung von Ressourcen erhöht. |
| GCE-Instanz: CVE mit hohem Risiko, zu viele Berechtigungen durch Identitätswechsel des Dienstkontos | Eine Compute Engine-Instanz mit einem CVE mit hohem Risiko hat über die Identitätsübernahme des Dienstkontos (Service Account, SA) übermäßige Berechtigungen für eine andere Ressource, was das Risiko einer Rechteausweitung und eines unautorisierten Zugriffs erhöht. |
| Extern zugängliche GKE-Arbeitslast: CVE mit hohem Risiko, Exploit verfügbar | Eine Google Kubernetes Engine-Arbeitslast (GKE) ist extern verfügbar und von einem CVE mit hohem Risiko und einem bekannten Exploit betroffen. Dadurch steigt das Risiko von Remote-Angriffen, unbefugtem Zugriff und Systemkompromittierung erheblich. |
| GKE-Knotenpool: Bulletin mit hohem Risiko, Zugriff auf wertvolle Ressource über Identitätswechsel des Dienstkontos | Ein GKE-Knotenpool kann die Identität eines Dienstkontos übernehmen, das Zugriff auf eine wertvolle Ressource gewährt. Dadurch erhöht sich das Risiko von Rechteausweitungen, unberechtigtem Zugriff und Datenmissbrauch. |
| GKE-Knotenpool: Bulletin mit hohem Risiko, Zugriff auf Ressource mit vertraulichen Daten über die Identitätsübernahme von Dienstkonten | Ein GKE-Knotenpool kann die Identität eines Dienstkontos übernehmen, das Zugriff auf eine Ressource mit vertraulichen Daten gewährt. Dadurch erhöht sich das Risiko von unberechtigtem Zugriff, Datenpannen und Rechteausweitungen. |
| GKE-Knotenpool: Bulletin mit hohem Risiko, direkter Zugriff auf wertvolle Ressource | Ein GKE-Knotenpool hat direkten Zugriff auf eine wertvolle Ressource, was das Risiko von unbefugtem Zugriff, Berechtigungseskalierung und potenziellen Datenkompromittierungen erhöht. |
| GKE-Knotenpool: Bulletin mit hohem Risiko, direkter Zugriff auf Ressource mit sensiblen Daten | Ein GKE-Knotenpool hat direkten Zugriff auf eine Ressource mit sensiblen Daten, was das Risiko von unbefugtem Zugriff, Datenpannen und Rechteausweitung erhöht. |
| Extern verfügbarer GKE-Knotenpool: Bulletin mit hohem Risiko | Ein GKE-Knotenpool ist extern verfügbar und von einem CVE mit hohem Risiko betroffen. Dadurch steigt das Risiko von Remote-Angriffen, unbefugtem Zugriff und Systemkompromittierung erheblich. |
| GKE-Knotenpool: Bulletin mit hohem Risiko, Möglichkeit zur Identitätsvortäuschung von Dienstkonten | Es gibt ein Bulletin mit hohem Risiko für einen GKE-Knotenpool, der Berechtigungen zum Identitätswechsel eines anderen Dienstkontos hat. Dadurch erhöht sich das Risiko einer Rechteausweitung und eines unautorisierten Zugriffs auf kritische Ressourcen. |
| GKE-Knotenpool: Bulletin mit hohem Risiko, übermäßige direkte Berechtigungen | Für einen GKE-Knotenpool mit nicht erforderlichen Berechtigungen für eine andere Ressource, die ihm unbeabsichtigten Zugriff gewähren, liegt ein Bulletin mit hohem Risiko vor. Dadurch erhöht sich das Risiko von Rechteausweitungen, unberechtigtem Zugriff und Datenoffenlegung. |
| GKE-Knotenpool: Bulletin mit hohem Risiko, übermäßige Berechtigungen durch Identitätswechsel des Dienstkontos | Für einen GKE-Knotenpool mit nicht erforderlichen Berechtigungen für eine andere Ressource über die Identitätsübernahme des Dienstkontos (Service Account, SA) liegt ein Bulletin mit hohem Risiko vor. Dadurch steigt das Risiko einer Berechtigungseskalation und eines unautorisierten Zugriffs. |
| Dienstkonto mit nicht rotiertem Schlüssel hat nicht erforderliche Berechtigungen | Ein Dienstkonto verwendet einen langlebigen, nicht rotierten Schlüssel mit übermäßigen Berechtigungen, was das Risiko von kompromittierten Anmeldedaten, unbefugtem Zugriff und Rechteausweitung erhöht. |
| Dienstkonto mit vom Nutzer verwaltetem Schlüssel hat nicht erforderliche Berechtigungen | Ein Dienstkonto mit vom Nutzer verwalteten Schlüsseln und nicht erforderlichen Berechtigungen, was das Risiko von Offenlegung von Anmeldedaten und Berechtigungseskalierung erhöht. |
| Extern verfügbar gemachte GKE-Arbeitslast, die anfällig für CVE-2025-49844 ist (Exploit verfügbar, kritische Codeausführung per Fernzugriff in Redis) | Identifiziert extern zugängliche GKE-Arbeitslasten, auf denen Redis ausgeführt wird und die anfällig für CVE-2025-49844 sind, eine kritische Sicherheitslücke für die Codeausführung per Fernzugriff mit einem bekannten Exploit. |
| Extern offengelegte GCE-Instanz, die für CVE-2025-49844 anfällig ist (Exploit verfügbar, kritische Remote-Codeausführung in Redis) | Identifiziert extern zugängliche GCE-Instanzen, auf denen Redis ausgeführt wird und die für CVE-2025-49844 anfällig sind. Dies ist eine kritische Sicherheitslücke bei der Remote-Codeausführung mit einem bekannten Exploit. |
| Extern zugängliche GKE-Arbeitslast, die für CVE-2025-32433 anfällig ist (kritische RCE in Erlang SSH) | Identifiziert extern zugängliche GKE-Arbeitslasten, auf denen Erlang SSH ausgeführt wird und die anfällig für CVE-2025-32433 sind, eine kritische Sicherheitslücke für die Ausführung von Remote-Code, die aktiv von Angreifern ausgenutzt wird. |
| Extern offengelegte GCE-Instanz, die anfällig für CVE-2025-32433 (kritische RCE in Erlang SSH) ist | Identifiziert extern offengelegte GCE-Instanzen, auf denen Erlang SSH ausgeführt wird und die von CVE-2025-32433 betroffen sind, einer kritischen Sicherheitslücke für die Remote-Codeausführung, die aktiv von Angreifern ausgenutzt wird. |
| Extern verfügbar gemachte GKE-Arbeitslast, die für CVE-2023-46604 anfällig ist (kritische RCE in Apache ActiveMQ, die in freier Wildbahn ausgenutzt wird) | Identifiziert extern zugängliche GKE-Arbeitslasten, auf denen Apache ActiveMQ ausgeführt wird, das anfällig für CVE-2023-46604 ist. Dies ist eine kritische Sicherheitslücke zur Remotecodeausführung im OpenWire-Protokoll, die von Angreifern aktiv ausgenutzt wird. |
| Externe, offengelegte GCE-Instanz, die für CVE-2023-46604 anfällig ist (kritische RCE in Apache ActiveMQ, die in freier Wildbahn ausgenutzt wird) | Identifiziert extern zugängliche GCE-Instanzen, auf denen Apache ActiveMQ ausgeführt wird, das anfällig für CVE-2023-46604 ist. Dies ist eine kritische Sicherheitslücke zur Remotecodeausführung im OpenWire-Protokoll, die von Angreifern aktiv ausgenutzt wird. |
| GCE-Instanz, die für CVE-2025-32463 (Sudo) anfällig ist mit bekanntem Exploit | Identifiziert GCE-Instanzen, die anfällig für CVE-2025-32463 sind, eine lokale Rechteausweitung in Sudo mit einem bekannten Exploit. |
| GCE-Instanz ist anfällig für kritische CVE im Nvidia Container Toolkit (CVE-2025-23266) | Identifiziert GCE-Instanzen mit GPU-Arbeitslasten, die anfällig für CVE-2025-23266 sind, eine kritische Sicherheitslücke zur Rechteausweitung im NVIDIA Container Toolkit. |
| Extern offengelegte GCE-Instanz, die anfällig für das CVE-2025-59287 mit hohem Risiko ist (wird in freier Wildbahn ausgenutzt, kritische Remote-Codeausführung in WSUS) | Identifiziert extern offengelegte GCE-Instanzen, auf denen Windows WSUS ausgeführt wird und die anfällig für CVE-2025-59287 sind, eine kritische Sicherheitslücke für die Ausführung von Remote-Code, die von Angreifern aktiv ausgenutzt wird. |
Nächste Schritte
Probleme verwalten und beheben