Prisma Cloud:ポリシー「無制限のアクセスでインターネットに到達可能な GCP VMインスタンス (0.0.0.0/0)」の誤検知アラート

Prisma Cloud:ポリシー「無制限のアクセスでインターネットに到達可能な GCP VMインスタンス (0.0.0.0/0)」の誤検知アラート

3261
Created On 04/01/24 14:13 PM - Last Modified 01/07/25 02:11 AM


Symptom


インターネットに公開されている VM を検出する際の Prism 障害により、重大および高レベルのアラートが発生します。高:

無制限のアクセス (0.0.0.0/0) でインターネットにアクセスできる GCP VMインスタンス。

これは、 VPCファイアウォールのヘルスチェック ルールに関する Google のsource NAT ( 送信元NAT -SNAT)が原因です。ユーザーは、ロードバランサーを使用しインターネットに公開されたVMインスタンスを持っており、それらのインスタンスはクラウド アーマーによって保護されています。



Environment


  • プリズマクラウドCSPM
  • ポリシー


Cause


Cloud Armor は現時点ではポリシールールとしてサポートされていません。



Resolution


PCS バージョン 24.3.1 で修正され、顧客はタグに基づいてアセットを除外できるようになりました。

*無制限のアクセス(0.0.0.0/0)でインターネットに到達可能VMポリシーGCP VM インスタンスをクローンし、 NOT IN () を使用して宛先タグに基づいてアセットを除外します。

config from network where source.network = '0.0.0.0/0' and address.match.criteria = 'full_match' and dest.resource.type = 'Instance' and dest.cloud.type = 'GCP' and dest.resource.state = 'Active' and dest.tag NOT IN (key1=value1, key2=value2, etc) 


Additional Information


Prisma Cloudポリシーに関するドキュメントはこちらをご覧ください。



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wo86CAA&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language