安全防護圖是圖形資料庫,會使用節點識別雲端資源,例如資產、身分、應用程式和資料。圖表的邊緣會根據偵測規則,決定這些資源之間的風險關係。發現關係風險時,安全圖表會產生問題。
Security Command Center 會使用預先定義的安全圖表規則,找出可能危害資源的問題。
下表定義了這些規則。
| 規則 | 說明 |
|---|---|
| GCE 執行個體:高風險 CVE,透過 SA 模擬存取高價值資源 | 系統在 Compute Engine 執行個體上偵測到高風險 CVE,該執行個體可以模擬有權存取重要資源的服務帳戶 (SA)。這個安全漏洞會增加提權風險,以及未經授權存取機密資料或系統的風險。 |
| GCE 執行個體:高風險 CVE,可透過 SA 模擬功能存取含有敏感資料的資源 | 具有高風險 CVE 的 Compute Engine 執行個體可透過服務帳戶 (SA) 模擬,存取含有敏感資料的資源。這項安全漏洞會增加未經授權存取資料、權限提升和潛在資料外洩的風險。 |
| GCE 執行個體:高風險 CVE,可直接存取高價值資源 | 如果 Compute Engine 執行個體有高風險的 CVE,就能直接存取高價值資源,提高遭到濫用、未經授權存取及資料遭盜用的可能性。 |
| GCE 執行個體:高風險 CVE,可直接存取含有敏感資料的資源 | 如果 Compute Engine 執行個體有高風險 CVE,就能直接存取含有機密資料的資源。這項安全漏洞會增加未經授權存取、資料外洩和權限提升的風險。 |
| 外部公開的 GCE 執行個體:高風險 CVE,有可用的攻擊程式 | Compute Engine 執行個體對外公開,且受到已知有漏洞的高風險 CVE 影響。這會大幅增加遠端攻擊、未經授權存取和系統入侵的風險。 |
| GCE 執行個體:高風險 CVE,可模擬 SA | Compute Engine 執行個體受到高風險 CVE 影響,且能夠模擬其他服務帳戶 (SA)。這會大幅增加權限提升、未經授權存取,以及重要雲端資源遭到入侵的風險。 |
| GCE 執行個體:高風險 CVE、直接權限過多 | 如果 Compute Engine 執行個體有高風險的 CVE,且對其他資源具有直接的過多權限,未經授權存取、權限提升和資源遭入侵的風險就會增加。 |
| GCE 執行個體:高風險 CVE,透過 SA 模擬取得過多權限 | 具有高風險 CVE 的 Compute Engine 執行個體,透過服務帳戶 (SA) 模擬對其他資源擁有過多權限,導致權限提升和未經授權存取的風險增加。 |
| 對外公開的 GKE 工作負載:高風險 CVE,可供利用 | Google Kubernetes Engine (GKE) 工作負載對外公開,且受到已知有漏洞利用方式的高風險 CVE 影響。這會大幅增加遠端攻擊、未經授權存取和系統入侵的風險。 |
| GKE 節點集區:高風險公告,透過 SA 模擬存取高價值資源 | GKE 節點集區可以模擬服務帳戶 (SA),藉此授予高價值資源的存取權。這會增加權限提升、未經授權存取和資料遭盜用的風險。 |
| GKE 節點集區:高風險公告,透過 SA 模擬存取含有私密資料的資源 | GKE 節點集區可以模擬服務帳戶 (SA),授予存取含有敏感資料的資源的權限。這會增加未經授權存取、資料外洩和權限提升的風險。 |
| GKE 節點集區:高風險公告,可直接存取高價值資源 | GKE 節點集區可直接存取高價值資源,因此未經授權存取、權限提升和資料遭盜用的風險會增加。 |
| GKE 節點集區:高風險公告,可直接存取含有敏感資料的資源 | GKE 節點集區可直接存取含有機密資料的資源,因此未經授權存取、資料外洩和權限提升的風險會增加。 |
| 外部公開的 GKE 節點集區:高風險公告 | GKE 節點集區對外公開,且受到高風險 CVE 影響。這會大幅增加遠端攻擊、未經授權存取和系統入侵的風險。 |
| GKE 節點集區:高風險公告,可模擬服務帳戶 | GKE 節點集區有權模擬其他服務帳戶 (SA),因此存在高風險公告,這會增加權限提升和未經授權存取重要資源的風險。 |
| GKE 節點集區:高風險公告,直接權限過多 | GKE 節點集區有高風險公告,該集區在其他資源上擁有過多權限,因此獲得非預期的存取權。這會增加權限提升、未經授權存取和資料曝光的風險。 |
| GKE 節點集區:高風險公告,透過 SA 模擬取得過多權限 | GKE 節點集區的服務帳戶 (SA) 模擬作業對其他資源授予過多權限,因此出現高風險公告,導致權限提升和未經授權存取的風險增加。 |
| 服務帳戶的金鑰未輪替,但具備超額權限 | 服務帳戶使用長期未輪替的金鑰,且權限過多,因此憑證遭盜用、未經授權存取和權限提升的風險增加。 |
| 服務帳戶擁有使用者自行管理的金鑰,且權限過多 | 服務帳戶擁有使用者管理的金鑰和過多權限,這會增加憑證外洩和權限提升的風險。 |
| 外部公開的 GKE 工作負載容易受到 CVE-2025-49844 攻擊 (可供利用,Redis 中有重大遠端程式碼執行安全漏洞) | 找出執行 Redis 且對外公開的 GKE 工作負載,這些工作負載容易受到 CVE-2025-49844 攻擊。這項重大遠端程式碼執行缺陷已知的攻擊手法。 |
| 外部公開的 GCE 執行個體容易受到 CVE-2025-49844 攻擊 (有可用的攻擊手法,Redis 中有重大遠端程式碼執行漏洞) | 找出執行 Redis 的外部公開 GCE 執行個體,這些執行個體容易受到 CVE-2025-49844 影響。這項重大遠端程式碼執行缺陷已知的利用方式。 |
| 外部公開的 GKE 工作負載容易受到 CVE-2025-32433 攻擊 (Erlang SSH 中有重大 RCE) | 找出執行 Erlang SSH 的外部公開 GKE 工作負載,這些工作負載容易受到 CVE-2025-32433 攻擊。這項重大遠端程式碼執行弱點目前正遭到攻擊者濫用。 |
| 外部公開的 GCE 執行個體容易受到 CVE-2025-32433 (Erlang SSH 中的重大 RCE) 攻擊 | 找出公開的 GCE 執行個體,這些執行個體執行 Erlang SSH,且容易受到 CVE-2025-32433 影響。這項重大遠端程式碼執行弱點正遭到攻擊者濫用。 |
| 外部公開的 GKE 工作負載容易受到 CVE-2023-46604 攻擊 (Apache ActiveMQ 中可遭利用的重大 RCE) | 找出執行 Apache ActiveMQ 的外部公開 GKE 工作負載,這些工作負載容易受到 CVE-2023-46604 攻擊。這是 OpenWire 通訊協定中的重大遠端程式碼執行缺陷,攻擊者會積極利用這個缺陷。 |
| 外部公開的 GCE 執行個體容易受到 CVE-2023-46604 攻擊 (Apache ActiveMQ 中可遭人利用的重大 RCE,已在實際環境中遭到利用) | 找出執行 Apache ActiveMQ 的外部公開 GCE 執行個體,這些執行個體容易受到 CVE-2023-46604 攻擊。CVE-2023-46604 是 OpenWire 通訊協定中的重大遠端程式碼執行缺陷,攻擊者會積極利用這個缺陷。 |
| GCE 執行個體容易受到 CVE-2025-32463 (Sudo) 攻擊,且已知有攻擊行為 | 找出容易受到 CVE-2025-32463 影響的 GCE 執行個體。CVE-2025-32463 是 Sudo 中的本機提權缺陷,已知會遭到利用。 |
| GCE 執行個體容易受到重大 Nvidia Container Toolkit CVE (CVE-2025-23266) 攻擊 | 找出使用 GPU 工作負載的 GCE 執行個體,這些執行個體容易受到 CVE-2025-23266 影響。這是 NVIDIA Container Toolkit 中的重大權限提升缺陷。 |
| 外部公開的 GCE 執行個體容易受到高風險 CVE-2025-59287 攻擊 (已在野外遭到入侵,WSUS 中存在嚴重的遠端程式碼執行問題) | 找出執行 Windows WSUS 的外部公開 GCE 執行個體,這些執行個體容易受到 CVE-2025-59287 影響。這項重大遠端程式碼執行安全漏洞正遭到攻擊者濫用。 |