Nesta página, descrevemos as políticas de detetive incluídas na versão v1.0 do modelo de postura predefinida do Comparativo de mercado do Google Cloud Computing Platform v2.0.0 do Center for Internet Security (CIS). Essa postura predefinida ajuda a detectar quando o ambiente do Google Cloud não está alinhado ao CIS Benchmark.
É possível implantar esse modelo de postura sem fazer alterações.
A tabela a seguir descreve os detectores da Análise de integridade da segurança incluídos no modelo de postura. Para mais informações sobre esses detectores, consulte Descobertas de vulnerabilidade.
Nome do detector | Descrição |
---|---|
ACCESS_TRANSPARENCY_DISABLED |
Esse detector verifica se a Transparência no acesso está desativada. |
ADMIN_SERVICE_ACCOUNT |
Esse detector verifica se uma conta de serviço tem privilégios de administrador, proprietário ou editor. |
ESSENTIAL_CONTACTS_NOT_CONFIGURED |
Este detector verifica se você tem pelo menos um contato essencial. |
API_KEY_APIS_UNRESTRICTED |
Esse detector verifica se as chaves de API estão sendo usadas de maneira muito ampla. |
API_KEY_EXISTS |
Esse detector verifica se um projeto está usando chaves de API em vez da autenticação padrão. |
API_KEY_NOT_ROTATED |
Este detector verifica se uma chave de API foi alterada nos últimos 90 dias. |
AUDIT_CONFIG_NOT_MONITORED |
Esse detector verifica se as alterações na configuração de auditoria estão sendo monitoradas. |
AUDIT_LOGGING_DISABLED |
Esse detector verifica se a geração de registros de auditoria está desativada para um recurso. |
AUTO_BACKUP_DISABLED |
Esse detector verifica se um banco de dados do Cloud SQL não está com os backups automáticos ativados. |
BIGQUERY_TABLE_CMEK_DISABLED |
Esse detector verifica se uma tabela do BigQuery não está configurada para usar uma chave de criptografia gerenciada pelo cliente (CMEK). Para mais informações, consulte Descobertas de vulnerabilidade do conjunto de dados. |
BUCKET_IAM_NOT_MONITORED |
Este detector verifica se a geração de registros está desativada para alterações de permissão do IAM no Cloud Storage. |
BUCKET_POLICY_ONLY_DISABLED |
Este detector verifica se o acesso uniforme no nível do bucket está configurado. |
CLOUD_ASSET_API_DISABLED |
Esse detector verifica se o Inventário de recursos do Cloud está desativado. |
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
Esse detector verifica se as chaves SSH em todo o projeto estão sendo usadas. |
COMPUTE_SERIAL_PORTS_ENABLED |
Esse detector verifica se as portas seriais estão ativadas. |
CONFIDENTIAL_COMPUTING_DISABLED |
Este detector verifica se a Computação confidencial está desativada. |
CUSTOM_ROLE_NOT_MONITORED |
Este detector verifica se a geração de registros está desativada para mudanças de função personalizada. |
DATAPROC_CMEK_DISABLED |
Este detector verifica se o suporte a CMEK está desativado para um cluster do Dataproc. |
DATASET_CMEK_DISABLED |
Este detector verifica se o suporte a CMEK está desativado para um conjunto de dados do BigQuery. |
DEFAULT_NETWORK |
Esse detector verifica se a rede padrão existe em um projeto. |
DEFAULT_SERVICE_ACCOUNT_USED |
Esse detector verifica se a conta de serviço padrão está sendo usada. |
DISK_CSEK_DISABLED |
Esse detector verifica se o suporte à chave de criptografia fornecida pelo cliente (CSEK) está desativado em uma VM. |
DNS_LOGGING_DISABLED |
Esse detector verifica se a geração de registros de DNS está ativada na rede VPC. |
DNSSEC_DISABLED |
Este detector verifica se as DNSSEC estão desativadas para zonas do Cloud DNS. |
FIREWALL_NOT_MONITORED |
Este detector verifica se as métricas e os alertas de registro não estão configurados para monitorar alterações nas regras de firewall da VPC. |
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED |
Esse detector verifica se os registros de fluxo de VPC não estão ativados. |
FULL_API_ACCESS |
Esse detector verifica se uma instância está usando uma conta de serviço padrão com acesso total a todas as APIs do Google Cloud. |
INSTANCE_OS_LOGIN_DISABLED |
Esse detector verifica se o Login do SO não está ativado. |
IP_FORWARDING_ENABLED |
Este detector verifica se o encaminhamento de IP está ativado. |
KMS_KEY_NOT_ROTATED |
Esse detector verifica se a rotação para a criptografia do Cloud Key Management Service não está ativada. |
KMS_PROJECT_HAS_OWNER |
Esse detector verifica se um usuário tem a permissão Owner em um projeto que inclui chaves. |
KMS_PUBLIC_KEY |
Esse detector verifica se uma chave criptográfica do Cloud Key Management Service está acessível publicamente. Para mais informações, consulte Descobertas de vulnerabilidade do KMS. |
KMS_ROLE_SEPARATION |
Este detector verifica a separação de tarefas nas chaves do Cloud KMS. |
LEGACY_NETWORK |
Este detector verifica se existe uma rede legada em um projeto. |
LOCKED_RETENTION_POLICY_NOT_SET |
Este detector verifica se a política de retenção bloqueada está definida para registros. |
LOAD_BALANCER_LOGGING_DISABLED |
Este detector verifica se a geração de registros está desativada para o balanceador de carga. |
LOG_NOT_EXPORTED |
Este detector verifica se um recurso não tem um coletor de registros configurado. |
MFA_NOT_ENFORCED |
Este detector confere se um usuário não está usando a verificação em duas etapas. |
NETWORK_NOT_MONITORED |
Esse detector verifica se as métricas de registro e os alertas não estão configurados para monitorar alterações na rede VPC. |
NON_ORG_IAM_MEMBER |
Esse detector verifica se um usuário não está usando as credenciais da organização. |
OPEN_RDP_PORT |
Esse detector verifica se um firewall tem uma porta RDP aberta. |
OPEN_SSH_PORT |
Esse detector verifica se um firewall tem uma porta SSH aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade de firewall. |
OS_LOGIN_DISABLED |
Esse detector verifica se o Login do SO está desativado. |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
Esse detector verifica se um usuário tem papéis de conta de serviço no nível do projeto, e não para uma conta de serviço específica. |
OWNER_NOT_MONITORED |
Esse detector verifica se a geração de registros está desativada para atribuições e mudanças de propriedade do projeto. |
PUBLIC_BUCKET_ACL |
Esse detector verifica se um bucket é acessível publicamente. |
PUBLIC_DATASET |
Esse detector verifica se um conjunto de dados está configurado para ser aberto ao acesso público. Para mais informações, consulte Descobertas de vulnerabilidade do conjunto de dados. |
PUBLIC_IP_ADDRESS |
Esse detector verifica se uma instância tem um endereço IP externo. |
PUBLIC_SQL_INSTANCE |
Esse detector verifica se o Cloud SQL permite conexões de todos os endereços IP. |
ROUTE_NOT_MONITORED |
Este detector verifica se as métricas de registro e os alertas não estão configurados para monitorar alterações nas rotas da rede VPC. |
RSASHA1_FOR_SIGNING |
Esse detector verifica se o RSASHA1 é usado para assinatura de chaves nas zonas do Cloud DNS. |
SERVICE_ACCOUNT_KEY_NOT_ROTATED |
Esse detector verifica se uma chave de conta de serviço foi alterada nos últimos 90 dias. |
SERVICE_ACCOUNT_ROLE_SEPARATION |
Este detector verifica a separação de tarefas nas chaves de conta de serviço. |
SHIELDED_VM_DISABLED |
Este detector verifica se a VM protegida está desativada. |
SQL_CONTAINED_DATABASE_AUTHENTICATION |
Esse detector verifica se a sinalização |
SQL_CROSS_DB_OWNERSHIP_CHAINING |
Esse detector verifica se a sinalização |
SQL_EXTERNAL_SCRIPTS_ENABLED |
Esse detector verifica se a sinalização |
SQL_INSTANCE_NOT_MONITORED |
Esse detector verifica se a geração de registros está desativada para alterações de configuração do Cloud SQL. |
SQL_LOCAL_INFILE |
Esse detector verifica se a sinalização |
SQL_LOG_CONNECTIONS_DISABLED |
Esse detector verifica se a sinalização |
SQL_LOG_DISCONNECTIONS_DISABLED |
Esse detector verifica se a sinalização |
SQL_LOG_ERROR_VERBOSITY |
Esse detector verifica se a sinalização |
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED |
Esse detector verifica se a sinalização |
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY |
Esse detector verifica se a sinalização |
SQL_LOG_MIN_MESSAGES |
Esse detector verifica se a sinalização |
SQL_LOG_STATEMENT |
Esse detector verifica se a sinalização |
SQL_NO_ROOT_PASSWORD |
Esse detector verifica se um banco de dados do Cloud SQL com um endereço IP externo não tem uma senha para a conta raiz. |
SQL_PUBLIC_IP |
Esse detector verifica se um banco de dados do Cloud SQL tem um endereço IP externo. |
SQL_REMOTE_ACCESS_ENABLED |
Esse detector verifica se a sinalização |
SQL_SKIP_SHOW_DATABASE_DISABLED |
Esse detector verifica se a sinalização |
SQL_TRACE_FLAG_3625 |
Esse detector verifica se a sinalização |
SQL_USER_CONNECTIONS_CONFIGURED |
Esse detector verifica se a sinalização |
SQL_USER_OPTIONS_CONFIGURED |
Esse detector verifica se a sinalização |
USER_MANAGED_SERVICE_ACCOUNT_KEY |
Esse detector verifica se um usuário gerencia uma chave de conta de serviço. |
WEAK_SSL_POLICY |
Esse detector verifica se uma instância tem uma política de SSL fraca. |
Definição de YAML
Veja a seguir a definição YAML para o modelo de postura do CIS 2.0.
name: organizations/123/locations/global/postureTemplates/cis_2_0
description: Posture Template to make your workload secure and CIS 2.0 compliant
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: CIS_2_0 detective policy set
description: CIS_2_0 SHA modules that new customers can automatically enable.
policies:
- policy_id: Access transparency disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ACCESS_TRANSPARENCY_DISABLED
- policy_id: Admin service account
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ADMIN_SERVICE_ACCOUNT
- policy_id: Essential contacts not configured
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ESSENTIAL_CONTACTS_NOT_CONFIGURED
- policy_id: API key APIs unrestricted
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: API_KEY_APIS_UNRESTRICTED
- policy_id: API key APPs unrestricted
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: API_KEY_APPS_UNRESTRICTED
- policy_id: API key exists
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: API_KEY_EXISTS
- policy_id: API key not rotated
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: API_KEY_NOT_ROTATED
- policy_id: Audit config not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUDIT_CONFIG_NOT_MONITORED
- policy_id: Audit logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUDIT_LOGGING_DISABLED
- policy_id: Auto backup disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUTO_BACKUP_DISABLED
- policy_id: BigQuery table CMEK disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BIGQUERY_TABLE_CMEK_DISABLED
- policy_id: Bucket IAM not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_IAM_NOT_MONITORED
- policy_id: Bucket policy only disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_POLICY_ONLY_DISABLED
- policy_id: Cloud asset API disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CLOUD_ASSET_API_DISABLED
- policy_id: Compute project wide SSH keys allowed
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED
- policy_id: Compute serial port enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: COMPUTE_SERIAL_PORTS_ENABLED
- policy_id: Confidential computing disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CONFIDENTIAL_COMPUTING_DISABLED
- policy_id: Custom role not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CUSTOM_ROLE_NOT_MONITORED
- policy_id: Dataproc CMEK disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DATAPROC_CMEK_DISABLED
- policy_id: Dataset CMEK disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DATASET_CMEK_DISABLED
- policy_id: Default network
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DEFAULT_NETWORK
- policy_id: Default service account used
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DEFAULT_SERVICE_ACCOUNT_USED
- policy_id: Disk CSEK disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DISK_CSEK_DISABLED
- policy_id: DNS logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DNS_LOGGING_DISABLED
- policy_id: DNSSEC disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DNSSEC_DISABLED
- policy_id: Firewall not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FIREWALL_NOT_MONITORED
- policy_id: VPC flow logs settings not recommended
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED
- policy_id: Full API access
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FULL_API_ACCESS
- policy_id: Instance OS login disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: INSTANCE_OS_LOGIN_DISABLED
- policy_id: IP forwarding enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: IP_FORWARDING_ENABLED
- policy_id: KMS key not rotated
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_KEY_NOT_ROTATED
- policy_id: KMS project has owner
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_PROJECT_HAS_OWNER
- policy_id: KMS public key
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_PUBLIC_KEY
- policy_id: KMS role separation
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_ROLE_SEPARATION
- policy_id: Legacy network
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LEGACY_NETWORK
- policy_id: Locked retention policy not set
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LOCKED_RETENTION_POLICY_NOT_SET
- policy_id: Load balancer logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LOAD_BALANCER_LOGGING_DISABLED
- policy_id: Log not exported
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LOG_NOT_EXPORTED
- policy_id: MFA not enforced
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: MFA_NOT_ENFORCED
- policy_id: Network not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: NETWORK_NOT_MONITORED
- policy_id: Non org IAM member
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: NON_ORG_IAM_MEMBER
- policy_id: Open RDP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_RDP_PORT
- policy_id: Open SSH port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_SSH_PORT
- policy_id: OS login disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OS_LOGIN_DISABLED
- policy_id: Over privileged service account user
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OVER_PRIVILEGED_SERVICE_ACCOUNT_USER
- policy_id: Owner not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OWNER_NOT_MONITORED
- policy_id: Public bucket ACL
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_BUCKET_ACL
- policy_id: Public dataset
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_DATASET
- policy_id: Public IP address
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_IP_ADDRESS
- policy_id: Public SQL instance
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_SQL_INSTANCE
- policy_id: Route not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ROUTE_NOT_MONITORED
- policy_id: RSASHA1 for signing
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: RSASHA1_FOR_SIGNING
- policy_id: Service account key not rotated
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SERVICE_ACCOUNT_KEY_NOT_ROTATED
- policy_id: Service account role separation
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SERVICE_ACCOUNT_ROLE_SEPARATION
- policy_id: Shielded VM disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SHIELDED_VM_DISABLED
- policy_id: SQL contained database authentication
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_CONTAINED_DATABASE_AUTHENTICATION
- policy_id: SQL cross DB ownership chaining
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_CROSS_DB_OWNERSHIP_CHAINING
- policy_id: SQL external scripts enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_EXTERNAL_SCRIPTS_ENABLED
- policy_id: SQL instnance not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_INSTANCE_NOT_MONITORED
- policy_id: SQL local infile
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOCAL_INFILE
- policy_id: SQL log connections disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_CONNECTIONS_DISABLED
- policy_id: SQL log disconnections disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_DISCONNECTIONS_DISABLED
- policy_id: SQL log error verbosity
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_ERROR_VERBOSITY
- policy_id: SQL log min duration statement enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_MIN_DURATION_STATEMENT_ENABLED
- policy_id: SQL log min error statement severity
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY
- policy_id: SQL log min messages
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_MIN_MESSAGES
- policy_id: SQL log statement
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_STATEMENT
- policy_id: SQL no root password
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_NO_ROOT_PASSWORD
- policy_id: SQL public IP
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_PUBLIC_IP
- policy_id: SQL remote access enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_REMOTE_ACCESS_ENABLED
- policy_id: SQL skip show database disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_SKIP_SHOW_DATABASE_DISABLED
- policy_id: SQL trace flag 3625
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_TRACE_FLAG_3625
- policy_id: SQL user connection configured
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_USER_CONNECTIONS_CONFIGURED
- policy_id: SQL user options configured
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_USER_OPTIONS_CONFIGURED
- policy_id: User managed service account key
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: USER_MANAGED_SERVICE_ACCOUNT_KEY
- policy_id: Weak SSL policy
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: WEAK_SSL_POLICY