Prisma Cloud: alerta de falso positivo para la política "Instancia de VM de GCP a la que se puede acceder a través de Internet sin restricciones (0.0.0.0/0)"

Prisma Cloud: alerta de falso positivo para la política "Instancia de VM de GCP a la que se puede acceder a través de Internet sin restricciones (0.0.0.0/0)"

3263
Created On 04/01/24 14:13 PM - Last Modified 01/07/25 02:10 AM


Symptom


Las alertas críticas y altas ocurren debido a una falla de prisma en la detección de máquinas virtuales expuestas a Internet. Alta:

Instancia de VM GCP a la que se puede acceder a Internet con acceso sin restricciones (0.0.0.0/0).

Esto se debe a una NAT de origen de Google sobre las reglas de comprobación de estado en el cortafuegos de VPC aquí . Los usuarios tienen instancias de VM expuestas a Internet con un balanceador de carga y esas instancias están protegidas por Cloud Armor.



Environment


  • Prisma Cloud CSPM
  • Política


Cause


Cloud Armor no es compatible con las reglas de política a partir de hoy.



Resolution


Se solucionó que en la versión PCS 24.3.1 el cliente pudiera excluir activos según las etiquetas.

* política de clonación de la instancia de VM de GCP a la que se puede acceder a través de Internet sin restricciones (0.0.0.0/0) y exclusión del activo en función de la etiqueta de destino mediante NOT IN ()

config from network where source.network = '0.0.0.0/0' and address.match.criteria = 'full_match' and dest.resource.type = 'Instance' and dest.cloud.type = 'GCP' and dest.resource.state = 'Active' and dest.tag NOT IN (key1=value1, key2=value2, etc) 


Additional Information


Consulte nuestra documentación aquí sobre la política de Prisma Cloud.



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wo86CAA&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language