Google Cloud Platform （GCP）資源的安全性建議

發行項
03/13/2024

本文列出如果您使用 [環境設定] 頁面來連線 Google Cloud Platform （GCP）帳戶，適用於雲端的 Microsoft Defender 中可能會看到的所有建議。您環境中顯示的建議是以您要保護的資源和自訂設定為基礎。

若要瞭解您可以採取以回應這些建議的動作，請參閱補救適用於雲端的 Defender 中的建議。

您的安全分數是根據您完成的安全性建議數目。若要決定要先解決的建議，請查看每個建議的嚴重性，以及其對安全分數的潛在影響。

GCP 計算建議

計算引擎 VM 應該使用容器優化的 OS

描述：此建議會針對索引鍵/值組 'imageType'： 'COS' 評估節點集區的 config 屬性。

嚴重性：低

GCP 虛擬機上應解決 EDR 設定問題

描述：若要保護虛擬機免於最新的威脅和弱點，請解決已安裝端點偵測和回應（EDR）解決方案的所有已識別組態問題。
注意：目前，這項建議僅適用於已啟用適用於端點的 Microsoft Defender （MDE）的資源。

嚴重性：高

描述：若要支援最低許可權的原則，並防止潛在的許可權提升，建議您不要將實例指派給預設服務帳戶「計算引擎默認服務帳戶」，並具有「允許所有雲端 API 的完整存取權」。Google Compute Engine 除了選擇性地建立、管理及使用使用者管理的自定義服務帳戶之外，還提供預設服務帳戶「計算引擎默認服務帳戶」，讓實例存取必要的雲端服務。「專案編輯器」角色會指派給「計算引擎預設服務帳戶」，因此，除了計費之外，此服務帳戶幾乎具有所有雲端服務的所有功能。不過，當指派給實例的「計算引擎默認服務帳戶」時，它可以在三個範圍內運作。

允許預設存取：只允許執行實例所需的最低存取權（最低許可權）。
允許所有雲端 API 的完整存取：允許所有雲端 API/服務的完整存取權（太多存取權）。
設定每個 API 的存取權：允許實例系統管理員只選擇執行實例預期執行特定商務功能所需的 API。當實例設定為「計算引擎預設服務帳戶」，範圍為「允許完整存取所有雲端 API」時，根據指派給使用者存取實例的 IAM 角色，它可能會允許使用者執行雲端作業/API 呼叫，而使用者不應該執行導致許可權提升。應該排除 GKE 所建立的 VM。這些 VM 的名稱開頭為「gke-」，且標示為「goog-gke-node」。。

嚴重性：高

應啟用 GKE 叢集的監視

描述：此建議會評估叢集的 monitoringService 屬性是否包含雲端監視應該用來寫入計量的位置。

嚴重性：中

GCP 容器建議

[預覽]GCP 登錄中的容器映像應該已解決弱點結果

描述：適用於雲端的 Defender 掃描登錄映射是否有已知弱點（CVE），並提供每個掃描影像的詳細結果。掃描和補救登錄中容器映射的弱點有助於維護安全且可靠的軟體供應鏈、降低安全性事件的風險，並確保符合業界標準。

嚴重性：高

類型：弱點評估

[預覽]在 GCP 中執行的容器應已解決弱點結果

描述：適用於雲端的 Defender 會建立 Kubernetes 叢集中目前執行的所有容器工作負載清查，並比對所使用的映射和針對登錄映像建立的弱點報告，為這些工作負載提供弱點報告。掃描和補救容器工作負載的弱點，對於確保健全且安全的軟體供應鏈、降低安全性事件的風險，並確保符合業界標準至關重要。

確定計算實例已啟用機密運算

描述：Google Cloud 會加密待用和傳輸中的數據，但客戶數據必須解密才能進行處理。機密運算是一項突破性的技術，會在處理數據時加密使用中的數據。機密運算環境會將數據加密在記憶體中，以及中央處理單位（CPU）以外的其他地方。機密 VM 會利用 AMD EPYC CPU 的安全加密虛擬化（SEV）功能。客戶數據會在使用、編製索引、查詢或定型時保持加密。加密金鑰會在硬體、每個 VM 中產生，且不可匯出。由於效能和安全性的內建硬體優化，機密運算工作負載不會大幅降低效能。機密運算可讓客戶在處理期間加密的機密程式代碼和其他數據。 Google 無法存取加密金鑰。機密 VM 可協助緩解與 Google 基礎結構相依性或 Google 測試人員存取客戶數據相關風險的擔憂。

嚴重性：高

確定記錄貯體上的保留原則是使用貯體鎖定來設定

描述：在記錄貯體上啟用保留原則，可保護儲存在雲端記憶體貯體中的記錄遭到覆寫或意外刪除。建議您設定保留原則，並在作為記錄接收的所有記憶體貯體上設定貯體鎖定。您可以建立一或多個包含記錄篩選和目的地的接收來匯出記錄。當 Stackdriver 記錄收到新的記錄專案時，會與每個接收進行比較。如果記錄專案符合接收的篩選條件，則會將記錄項目的複本寫入目的地。接收可以設定為導出記憶體貯體中的記錄。建議設定這些雲端記憶體貯體的數據保留原則，並鎖定數據保留原則;因此，永久防止減少或移除原則。如此一來，如果攻擊者或想要涵蓋其追蹤的惡意內部人員入侵系統，則活動記錄絕對會保留供鑑識和安全性調查使用。

嚴重性：低

確定雲端 SQL 資料庫實例需要所有連入連線才能使用 SSL

描述：建議強制執行 SQL 資料庫實例的所有連入連線，以使用 SSL。成功截獲的 SQL 資料庫連接（MITM）：可以顯示敏感數據，例如認證、資料庫查詢、查詢輸出等。為了安全起因，建議您在連線到實例時一律使用 SSL 加密。這項建議適用於 Postgresql、MySql 第 1 代和 MySql 第 2 代實例。

嚴重性：高

確定 SQL Server 實例上 Cloud SQL 的「自主資料庫驗證」資料庫旗標已設定為 'off'

描述：建議在 SQL Server 實例上設定 Cloud SQL 的「自主資料庫驗證」資料庫旗標設定為「關閉」。自主資料庫包含定義資料庫所需的所有資料庫設定和元數據，而且與安裝資料庫之資料庫引擎實例沒有任何組態相依性。使用者可以連接至資料庫，而不需要在資料庫引擎層級驗證登入。將資料庫與資料庫引擎隔離，可讓您輕鬆地將資料庫移至另一個 SQL Server 執行個體。自主資料庫具有一些 SQL Server 資料庫引擎系統管理員應該了解並降低的獨特威脅。大部分的威脅都與 USER WITH PASSWORD 驗證程式有關，其會將驗證界限從資料庫引擎層級移至資料庫層級，因此建議停用此旗標。此建議適用於 SQL Server 資料庫實例。

嚴重性：中

確定 Cloud SQL SQL Server 實例的「跨資料庫擁有權鏈結」資料庫旗標已設定為 'off'

描述：建議將 Cloud SQL Server 實例的「跨資料庫擁有權鏈結」資料庫旗標設定為「關閉」。使用「跨資料庫擁有權」來進行鏈結選項，為 Microsoft SQL Server 實例設定跨資料庫擁有權鏈結。此伺服器選項可讓您控制資料庫層級的跨資料庫擁有權鏈結，或允許所有資料庫的跨資料庫擁有權鏈結。除非 SQL Server 實例裝載的所有資料庫都必須參與跨資料庫擁有權鏈結，否則不建議啟用「跨資料庫擁有權」，而且您知道此設定的安全性影響。此建議適用於 SQL Server 資料庫實例。

嚴重性：中

確定 Cloud SQL Mysql 實例的 'local_infile' 資料庫旗標已設定為 'off'

描述：建議將 Cloud SQL MySQL 實例的 local_infile 資料庫旗標設定為關閉。 local_infile旗標可控制LOAD DATA語句的伺服器端LOCAL功能。視local_infile設定而定，伺服器會拒絕或允許用戶端上已啟用LOCAL的用戶端載入本機數據。若要明確地讓伺服器拒絕 LOAD DATA LOCAL 語句（不論用戶端程式和連結庫在建置時間或運行時間設定的方式為何），請啟動 mysqld 並停用local_infile。您也可以在運行時間設定local_infile。由於與local_infile旗標相關聯的安全性問題，建議停用它。此建議適用於 MySQL 資料庫實例。

嚴重性：中

確定雲端儲存體 IAM 許可權變更的記錄計量篩選和警示存在

描述：建議針對 Cloud 儲存體 Bucket IAM 變更建立計量篩選和警示。監視雲端記憶體貯體許可權的變更，可能會縮短偵測和更正貯體內敏感性雲端記憶體貯體和物件許可權所需的時間。

嚴重性：低

確定 SQL 實例組態變更的記錄計量篩選和警示存在

描述：建議針對 SQL 實例組態變更建立計量篩選和警示。監視 SQL 實例組態變更的變更可能會縮短在 SQL Server 上偵測和更正錯誤設定所需的時間。以下是一些可能會影響 SQL 實例安全性狀態的可設定選項：

啟用自動備份和高可用性：設定錯誤可能會對商務持續性、災害復原和高可用性造成負面影響
授權網路：設定錯誤可能會增加未受信任網路的風險

嚴重性：低

確定每個服務帳戶只有 GCP 管理的服務帳戶金鑰

描述：使用者管理的服務帳戶不應該有使用者管理的密鑰。任何有權存取金鑰的人員都可以透過服務帳戶存取資源。雲端平台服務會使用 GCP 管理的金鑰，例如應用程式引擎和計算引擎。無法下載這些金鑰。谷歌將保留金鑰，並自動輪替它們大約每周。使用者管理的金鑰是由使用者建立、可下載及管理。他們從創造期滿10年。針對使用者管理的金鑰，用戶必須取得金鑰管理活動的擁有權，其中包括：

金鑰儲存體
金鑰散發
金鑰撤銷
金鑰輪替
保護金鑰免於未經授權的使用者
金鑰修復

即使有金鑰擁有者預防措施，常見的開發惡意代碼也可以輕易洩露密鑰，例如將密鑰簽入原始程式碼或將它們留在下載目錄中，或不小心將密鑰留在支援部落格/頻道。建議防止使用者管理的服務帳戶密鑰。

嚴重性：低

確定已適當地設定 Cloud SQL SQL Server 實例的「用戶連線」資料庫旗標

描述：建議根據組織定義的值，為 Cloud SQL Server 實例設定「用戶連線」資料庫旗標。 [用戶連線] 選項會指定 SQL Server 實例上允許的同時使用者連線數目上限。允許的實際用戶連線數目也取決於您所使用的 SQL Server 版本，以及應用程式或應用程式和硬體的限制。 SQL Server 最多允許 32,767 筆使用者連線。因為使用者連線是動態的（自我設定）選項，SQL Server 會視需要自動調整用戶連線數目上限，最多允許的最大值。例如，如果只有 10 個使用者登入，就配置 10 個使用者連線物件。在大部分情況下，您不需要變更此選項的值。預設值為 0，表示允許最大量 (32,767) 的使用者連接數。此建議適用於 SQL Server 資料庫實例。

嚴重性：低

確定未設定 Cloud SQL Server 實例的「用戶選項」資料庫旗標

描述：建議不要設定 Cloud SQL Server 實例的「用戶選項」資料庫旗標。 [使用者選項] 選項會指定所有使用者的全域預設值。會為使用者工作階段的持續時間建立預設查詢處理選項的清單。使用者選項選項可讓您變更 SET 選項的預設值（如果伺服器的預設設定不適用）。使用者可以使用 SET 陳述式來覆寫這些預設值。您可以動態設定 user options 以供新的登入使用。變更使用者選項的設定之後，新的登入會話會使用新的設定;目前的登入會話不會受到影響。此建議適用於 SQL Server 資料庫實例。

嚴重性：低

應啟用 GKE 叢集的記錄

描述：此建議會評估叢集的loggingService屬性是否包含 Cloud Logging 應該用來寫入記錄的位置。

嚴重性：高

應在設定接收的記憶體貯體上啟用物件版本設定

描述：此建議會評估貯體版本設定屬性中的已啟用字段是否設定為 true。

嚴重性：高

應調查專案中過度布建的身分識別，以減少許可權爬行索引（PCI）

描述：應調查專案中過度布建的身分識別，以減少許可權爬行索引（PCI）並保護您的基礎結構。藉由移除未使用的高風險許可權指派來減少PCI。高PCI反映與身分識別相關聯的風險，其許可權超過其一般或必要使用量。

嚴重性：中

具有密碼編譯密鑰的項目不應該有擁有者許可權的使用者

描述：此建議會針對主體指派的角色/擁有者，評估專案元數據中的IAM允許原則。

嚴重性：中

儲存體做為記錄接收的貯體不應公開存取

描述：此建議會針對主體 allUsers 或 allAuthenticatedUsers 評估貯體 IAM 原則，以授與公用存取權。

嚴重性：高

GCP IdentityAndAccess 建議

密碼編譯金鑰不應該有三個以上的使用者

描述：此建議會評估密鑰通道的 IAM 原則，項目和組織，並擷取具有角色的主體，允許他們使用雲端 KMS 密鑰加密、解密或簽署數據：roles/owner、roles/cloudkms.cryptoKeyEncrypterDecrypter、roles/cloudkms.cryptoKeyEncrypter、roles/cloudkms.signer 和 roles/cloudkms.signerVerifier。

嚴重性：中

確定不會為專案建立 API 金鑰

描述：金鑰不安全，因為它們可以公開檢視，例如從瀏覽器內檢視，或者可以在密鑰所在的裝置上存取。建議改用標準驗證流程。

使用 API 金鑰所涉及的安全性風險如下所示：

API 金鑰是簡單的加密字串
API 金鑰不會識別提出 API 要求的使用者或應用程式
用戶端通常會存取 API 金鑰，讓您輕鬆探索及竊取 API 金鑰

若要避免使用 API 金鑰的安全性風險，建議改用標準驗證流程。

嚴重性：高

確定 API 金鑰僅限於應用程式需要存取的 API

描述：API 金鑰不安全，因為它們可以公開檢視，例如從瀏覽器內檢視，或者可以在密鑰所在的裝置上存取它們。建議限制 API 金鑰只使用應用程式所需的 API（呼叫）。

使用 API 金鑰所涉及的安全性風險如下：

API 金鑰是簡單的加密字串
API 金鑰不會識別提出 API 要求的使用者或應用程式
用戶端通常會存取 API 金鑰，讓您輕鬆探索及竊取 API 金鑰

根據這些潛在風險，Google 建議使用標準驗證流程，而不是 API 金鑰。不過，API 金鑰更適合的情況有限。例如，如果有行動應用程式需要使用Google Cloud Translation API，但不需要後端伺服器，API 密鑰就是向該 API 進行驗證的最簡單方式。

為了藉由提供最低許可權來減少受攻擊面，API 金鑰只能限制使用應用程式所需的 API（呼叫）。

嚴重性：高

確定 API 金鑰僅限於指定的主機和應用程式使用

描述：不受限制的密鑰不安全，因為它們可以公開檢視，例如從瀏覽器內檢視，或者可以在密鑰所在的裝置上存取它們。建議將 API 金鑰使用限制為受信任的主機、HTTP 查閱者和應用程式。

使用 API 金鑰所涉及的安全性風險如下所示：

API 金鑰是簡單的加密字串
API 金鑰不會識別提出 API 要求的使用者或應用程式
用戶端通常會存取 API 金鑰，讓您輕鬆探索及竊取 API 金鑰

為了減少攻擊媒介，API 密鑰只能限制為受信任的主機、HTTP 查閱者和應用程式。

嚴重性：高

確保 API 金鑰每隔 90 天輪替一次

描述：建議每隔 90 天輪替 API 金鑰。

使用 API 金鑰所涉及的安全性風險如下：

API 金鑰是簡單的加密字串
API 金鑰不會識別提出 API 要求的使用者或應用程式
用戶端通常會存取 API 金鑰，讓您輕鬆探索及竊取 API 金鑰

由於這些潛在風險，Google 建議使用標準驗證流程，而不是 API 金鑰。不過，API 金鑰更適合的情況有限。例如，如果有行動應用程式需要使用Google Cloud Translation API，但不需要後端伺服器，API 密鑰就是向該 API 進行驗證的最簡單方式。

密鑰遭竊之後，它就沒有到期日，這表示除非項目擁有者撤銷或重新產生密鑰，否則可能會無限期使用。輪替 API 金鑰會減少與所遭入侵或終止帳戶相關聯的存取金鑰使用機會視窗。

API 金鑰應該輪替，以確保無法使用可能遺失、破解或遭竊的舊密鑰存取數據。

嚴重性：高

確定 KMS 加密金鑰會在 90 天內輪替

描述：Google Cloud 金鑰管理服務將密碼編譯密鑰儲存在專為實用且優雅的訪問控制管理而設計的階層式結構中。輪替排程的格式取決於所使用的用戶端連結庫。針對 gcloud 命令行工具，下一個輪替時間必須是 “ISO” 或 “RFC3339” 格式，而旋轉週期的格式必須是 “INTEGER[UNIT]”，其中單位可以是秒（s）、分鐘（m）、小時（h）或天（d）。設定金鑰輪替期間和開始時間。您可以使用指定的「輪替期間」來建立金鑰，這是自動產生新密鑰版本之間的時間。您也可以使用指定的下一次輪替時間來建立索引鍵。密鑰是具名物件，代表用於特定用途的「密碼編譯密鑰」。密鑰數據是用於「加密」的實際位，在建立新的金鑰版本時，可能會隨著時間而變更。密鑰是用來保護一些「數據主體」。檔案集合可以使用相同的密鑰加密，而該金鑰上具有「解密」許可權的人員就能夠解密這些檔案。因此，必須確定「輪替期間」設定為特定時間。

嚴重性：中

確定項目擁有權指派/變更存在記錄計量篩選和警示

描述：為了避免對使用者/服務帳戶進行不必要的項目擁有權指派，並進一步誤用專案和資源，應監視所有「角色/擁有者」指派。具有基本角色「角色/擁有者」角色指派的成員（users/Service-Accounts）是項目擁有者。項目擁有者擁有角色所屬專案的所有許可權。以下摘要說明：

專案內所有 GCP 服務的所有查看器許可權
修改專案內所有 GCP 服務狀態之動作的許可權
管理專案和專案內所有資源的角色和許可權
設定專案的計費，將擁有者角色授與成員（user/Service-Account）可讓該成員修改身分識別和存取管理（IAM）原則。因此，只有在成員有管理 IAM 原則的合法用途時，才授與擁有者角色。這是因為專案 IAM 原則包含敏感性訪問控制數據。允許管理 IAM 原則的最小一組使用者，將簡化可能需要的任何稽核。項目擁有權在專案上具有最高層級的許可權。為了避免濫用項目資源，應監視上述項目擁有權指派/變更動作，並警示相關收件者。
傳送項目擁有權邀請
使用者接受/拒絕項目擁有權邀請
新增 role\Owner 至使用者/service-account
從中移除使用者/服務帳戶 role\Owner

嚴重性：低

確定已針對專案啟用奧斯陸金

描述：啟用OS登入會將SSH憑證系結至IAM使用者，並協助有效的SSH憑證管理。啟用 osLogin 可確保用來連線到實例的 SSH 金鑰會與 IAM 用戶對應。撤銷 IAM 使用者的存取權將會撤銷與該特定使用者相關聯的所有 SSH 金鑰。它有助於集中式和自動化的 SSH 金鑰組管理，這在處理回應遭入侵的 SSH 金鑰組和/或撤銷外部/第三方/廠商使用者等案例時很有用。若要找出哪個實例導致項目狀況不良，請參閱建議「確定已為所有實例啟用奧斯陸金」。

嚴重性：中

確定已為所有實例啟用奧斯陸金

嚴重性：中

確定已在專案的所有服務和所有用戶之間正確設定雲端稽核記錄

描述：建議將雲端稽核記錄設定為追蹤所有系統管理活動，以及讀取、寫入用戶數據的存取權。

雲端稽核記錄會針對每個專案、資料夾和組織維護兩個稽核記錄：管理員活動和數據存取。

管理員活動記錄包含 API 呼叫或其他系統管理動作的記錄專案，這些動作會修改資源的組態或元數據。管理員活動稽核記錄會針對所有服務啟用，且無法設定。
數據存取稽核記錄會記錄 API 呼叫，以建立、修改或讀取使用者提供的數據。這些預設為停用，且應該啟用。資料存取稽核記錄資訊有三種：

管理員讀取：記錄讀取元數據或組態信息的作業。管理員活動稽核記錄會記錄無法停用之元數據和組態資訊的寫入。
讀取數據：記錄讀取使用者提供數據的作業。
數據寫入：記錄寫入使用者提供數據的作業。

建議以下列方式設定有效的預設稽核組態：

logtype 設定為 DATA_READ （記錄使用者活動追蹤）和 DATA_WRITES （記錄變更/竄改至用戶數據）。
稽核組態會針對數據存取稽核記錄功能所支援的所有服務啟用。
所有用戶都應該擷取記錄，也就是說，任何稽核組態區段中都沒有豁免的使用者。這可確保覆寫稽核組態不會與需求相矛盾。

嚴重性：中

確定無法匿名或公開存取雲端 KMS 密碼編譯金鑰

描述：建議雲端 KMS 上的 IAM 原則「密碼編譯密鑰」應限制匿名和/或公用存取。授與 “allUsers” 或 “allAuthenticatedUsers” 的許可權，可讓任何人存取數據集。如果敏感數據儲存在位置，則這類存取可能無法取用。在此情況下，請確定不允許匿名和/或公用存取雲端 KMS「密碼密鑰」。

嚴重性：高

描述：使用公司登入認證，而不是個人帳戶，例如 Gmail 帳戶。建議使用完全受控的公司 Google 帳戶來提升對雲端平臺資源的可見度、稽核和控制存取。基於使用者組織外部的 Gmail 帳戶，例如個人帳戶，不應用於商務用途。

嚴重性：高

確定未在專案層級指派服務帳戶用戶或服務帳戶令牌建立者角色

描述：建議將「服務帳戶使用者」（iam.serviceAccountUser）和「服務帳戶令牌建立者」（iam.serviceAccountTokenCreator）角色指派給特定服務帳戶的使用者，而不是將角色指派給專案層級的使用者。服務帳戶是屬於應用程式或虛擬機（VM）的特殊 Google 帳戶，而不是個別使用者。應用程式/VM 實例會使用服務帳戶來呼叫服務的 Google API，讓使用者不會直接參與。除了身分識別之外，服務帳戶也是連結 IAM 原則的資源。這些原則會決定誰可以使用服務帳戶。具有IAM角色來更新App Engine和計算引擎實例的使用者（例如App Engine Deployer 或 Compute Instance 管理員）可以有效地執行程式代碼，作為用來執行這些實例的服務帳戶，並間接地存取服務帳戶可存取的所有資源。同樣地，對計算引擎實例的 SSH 存取也可能提供執行程式代碼作為該實例/服務帳戶的能力。根據業務需求，可能會針對項目設定多個使用者管理的服務帳戶。將「iam.serviceAccountUser」或「iam.serviceAserviceAccountTokenCreatorccountUser」角色授與項目的使用者，可讓使用者存取專案中的所有服務帳戶，包括未來可能建立的服務帳戶。這可能會導致許可權提升，方法是使用服務帳戶和對應的「計算引擎實例」。為了實作「最低許可權」最佳做法，IAM 使用者不應該在專案層級指派「服務帳戶使用者」或「服務帳戶令牌建立者」角色。相反地，這些角色應該指派給特定服務帳戶的使用者，並授與該使用者對服務帳戶的存取權。「服務帳戶使用者」可讓使用者將服務帳戶系結至長時間執行的工作服務，而「服務帳戶令牌建立者」角色可讓使用者直接模擬服務帳戶的身分識別（或判斷提示）。

嚴重性：中

描述：建議在將 KMS 相關角色指派給使用者時，強制執行「職責分離」的原則。內建/預先定義的 IAM 角色「雲端 KMS 管理員」可讓使用者/身分識別建立、刪除及管理服務帳戶。內建/預先定義的 IAM 角色「雲端 KMS CryptoKey Encrypter/Decrypter」可讓使用者/身分識別（具有相關資源的適當許可權）使用加密密鑰來加密和解密待用數據。內建/預先定義的 IAM 角色 Cloud KMS CryptoKey Encrypter 可讓使用者/身分識別（具有相關資源的適當許可權）使用加密密鑰加密待用數據。內建/預先定義的 IAM 角色「雲端 KMS CryptoKey 解密器」可讓使用者/身分識別（具有相關資源的適當許可權）使用加密密鑰來解密待用數據。職責分離是確保一個人沒有所有必要許可權才能完成惡意動作的概念。在 Cloud KMS 中，這可能是一種動作，例如使用密鑰來存取和解密使用者通常無法存取的數據。職責分離是一種商務控件，通常用於大型組織，旨在協助避免安全性或隱私權事件和錯誤。這是最佳做法。沒有用戶應該有雲端 KMS 管理員，以及同時指派的任何「雲端 KMS CryptoKey 加密器/解密器」、「雲端 KMS CryptoKey 加密程式」角色。

嚴重性：高

描述：安全套接字層（SSL）原則會決定用戶端在連線到負載平衡器時，允許使用哪些埠傳輸層安全性（TLS）功能。若要防止使用不安全的功能，SSL 原則應至少使用 TLS 1.2 與 MODERN 配置檔;或（b） RESTRICTED 配置檔，因為它實際上需要用戶端使用 TLS 1.2，而不論選擇的最低 TLS 版本為何;或（3）不支援下列任何功能的 CUSTOM 設定檔：TLS_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_256_GCM_SHA384 TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA

描述：GCP 防火牆規則是特定於某一個網路。每個規則都會在符合流量條件時允許或拒絕流量。其條件可讓使用者指定流量類型，例如埠和通訊協定，以及流量的來源或目的地，包括IP位址、子網和實例。防火牆規則會定義於網路層級，且專屬於其定義所在的網路。規則本身無法在網路之間共用。防火牆規則僅支援IPv4流量。指定輸入規則的來源或依位址指定輸出規則的目的地時，只能使用 CIDR 表示法中的 IPv4 位址或 IPv4 區塊。您可以避免在埠 22 上使用 SSH 從因特網到使用 SSH 的傳入流量（0.0.0.0.0/0）傳入流量。來自實例和連入（輸入）流量流向網路實例的 GCP 防火牆規則會套用至網路中的實例。即使流量停留在網路內（例如實例對實例通訊），輸出和輸入流量仍會受到控制。若要讓實例具有連出因特網存取權，網路必須具有有效的因特網網關路由或指定目的地 IP 的自定義路由。此路由只會定義因特網的路徑，以避免使用預設埠 '22' 從因特網指定的最一般（0.0.0.0.0/0）目的地 IP 範圍。必須限制從因特網存取特定IP範圍的一般存取。

嚴重性：高

確定預設網路不存在於專案中

描述：若要防止使用「預設」網路，項目不應該有「預設」網路。預設網路具有預先設定的網路組態，並自動產生下列不安全的防火牆規則：

default-allow-internal：允許網路實例之間的所有通訊協定和埠的輸入連線。
default-allow-ssh：允許從任何來源到網路中任何實例的 TCP 連接埠 22（SSH）上的輸入連線。
default-allow-rdp：允許從任何來源到網路中任何實例的 TCP 連接埠 3389（RDP）上的輸入連線。
default-allow-icmp：允許從任何來源到網路中任何實例的輸入ICMP流量。

描述：此建議會評估下列兩個組態之一的 sourceRanges 和允許的屬性：

sourceRanges 屬性包含 0.0.0.0/0，而允許的屬性包含包含任何通訊協定或通訊協定：埠的規則組合，但下列除外：icmp tcp：22 tcp：443 tcp：3389 udp：3389 sctp：22

sourceRanges 屬性包含包含任何非private IP 位址的IP範圍組合，且允許的屬性包含允許所有 tcp 連接埠或所有 udp 連接埠的規則組合。

嚴重性：高

Google Cloud Platform （GCP） 資源的安全性建議

GCP 計算建議

GCP 容器建議

數據平面建議

GCP 數據建議

GCP IdentityAndAccess 建議

GCP 網路建議

Google Cloud Platform （GCP）資源的安全性建議