Prisma Cloud:针对策略“可通过互联网访问且不受限制的 GCP VM实例 (0.0.0.0/0)”的误报警报

Prisma Cloud:针对策略“可通过互联网访问且不受限制的 GCP VM实例 (0.0.0.0/0)”的误报警报

2796
Created On 04/01/24 14:13 PM - Last Modified 01/07/25 02:12 AM


Symptom


由于棱镜无法检测暴露在互联网上的虚拟机,因此出现严重和高级别警报。高级别:

可通过互联网访问且不受限制的 GCP VM实例(0.0.0.0/0)。

这是由于 Google 对此处VPC防火墙中的健康检查规则进行了source NAT(源 NAT-SNAT) 。用户使用负载均衡器将VM实例暴露给互联网,这些实例受到云装甲的保护。

Environment


  • Prisma Cloud CSPM
  • 政策

Cause


截至目前,Cloud Armor 还不支持作为策略规则。

Resolution


在 PCS 24.3.1 版本中已修复此问题,客户能够根据标签排除资产。

* 克隆可通过不受限制的访问(0.0.0.0/0)访问互联网的策略GCP VM实例,并根据目标排除资产。使用NOT IN ()的标签

config from network where source.network = '0.0.0.0/0' and address.match.criteria = 'full_match' and dest.resource.type = 'Instance' and dest.cloud.type = 'GCP' and dest.resource.state = 'Active' and dest.tag NOT IN (key1=value1, key2=value2, etc)


Additional Information


在此处查看有关 Prisma Cloud策略的文档。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wo86CAA&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language