Vordefinierte Vorlage für den CIS Benchmark v2.0

Auf dieser Seite werden die Prüfrichtlinien beschrieben, die in der Version 1.0 der vordefinierten Vorlage für die Sicherheitskonfiguration für den Google Cloud Computing Platform Benchmark v2.0.0 des Center for Internet Security (CIS) enthalten sind. Anhand dieser vordefinierten Sicherheitsstufe können Sie erkennen, ob Ihre Google Cloud-Umgebung nicht dem CIS-Benchmark entspricht.

Sie können diese Vorlage für den Sicherheitsstatus bereitstellen, ohne Änderungen vorzunehmen.

In der folgenden Tabelle werden die Security Health Analytics-Detektoren beschrieben, die in der Vorlage für den Sicherheitsstatus enthalten sind. Weitere Informationen zu diesen Detektoren finden Sie unter Erfasste Sicherheitslücken.

Detektorname Beschreibung
ACCESS_TRANSPARENCY_DISABLED

Dieser Detektor prüft, ob Access Transparency deaktiviert ist.

ADMIN_SERVICE_ACCOUNT

Dieser Prüfmechanismus prüft, ob ein Dienstkonto die Berechtigungen Administrator, Inhaber oder Bearbeiter hat.

ESSENTIAL_CONTACTS_NOT_CONFIGURED

Dieser Detektor prüft, ob Sie mindestens einen wichtigen Kontakt haben.

API_KEY_APIS_UNRESTRICTED

Dieser Detektor prüft, ob API-Schlüssel zu häufig verwendet werden.

API_KEY_EXISTS

Dieser Prüfmechanismus prüft, ob in einem Projekt API-Schlüssel anstelle der Standardauthentifizierung verwendet werden.

API_KEY_NOT_ROTATED

Dieser Detektor prüft, ob ein API-Schlüssel innerhalb der letzten 90 Tage rotiert wurde.

AUDIT_CONFIG_NOT_MONITORED

Dieser Detektor prüft, ob Änderungen an der Audit-Konfiguration überwacht werden.

AUDIT_LOGGING_DISABLED

Dieser Detektor prüft, ob das Audit-Logging für eine Ressource deaktiviert ist.

AUTO_BACKUP_DISABLED

Dieser Detektor prüft, ob für eine Cloud SQL-Datenbank keine automatischen Sicherungen aktiviert sind.

BIGQUERY_TABLE_CMEK_DISABLED

Dieser Prüfmechanismus prüft, ob eine BigQuery-Tabelle nicht für die Verwendung eines vom Kunden verwalteten Verschlüsselungsschlüssels (CMEK) konfiguriert ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Datasets.

BUCKET_IAM_NOT_MONITORED Dieser Detektor prüft, ob die Protokollierung für Änderungen an IAM-Berechtigungen in Cloud Storage deaktiviert ist.
BUCKET_POLICY_ONLY_DISABLED

Dieser Detektor prüft, ob der einheitliche Zugriff auf Bucket-Ebene konfiguriert ist.

CLOUD_ASSET_API_DISABLED

Dieser Detektor prüft, ob Cloud Asset Inventory deaktiviert ist.

COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

Mit diesem Detektor wird geprüft, ob projektweite SSH-Schlüssel verwendet werden.

COMPUTE_SERIAL_PORTS_ENABLED

Dieser Detektor prüft, ob serielle Ports aktiviert sind.

CONFIDENTIAL_COMPUTING_DISABLED

Dieser Detektor prüft, ob Confidential Computing deaktiviert ist.

CUSTOM_ROLE_NOT_MONITORED

Dieser Detektor prüft, ob die Protokollierung für Änderungen an benutzerdefinierten Rollen deaktiviert ist.

DATAPROC_CMEK_DISABLED

Dieser Detektor prüft, ob die CMEK-Unterstützung für einen Dataproc-Cluster deaktiviert ist.

DATASET_CMEK_DISABLED

Dieser Detector prüft, ob die CMEK-Unterstützung für ein BigQuery-Dataset deaktiviert ist.

DEFAULT_NETWORK

Dieser Detektor prüft, ob das Standardnetzwerk in einem Projekt vorhanden ist.

DEFAULT_SERVICE_ACCOUNT_USED

Dieser Detector prüft, ob das Standarddienstkonto verwendet wird.

DISK_CSEK_DISABLED

Dieser Detektor prüft, ob die Unterstützung für vom Kunden bereitgestellte Verschlüsselungsschlüssel (CSEK) für eine VM deaktiviert ist.

DNS_LOGGING_DISABLED

Mit diesem Detektor wird geprüft, ob das DNS-Logging im VPC-Netzwerk aktiviert ist.

DNSSEC_DISABLED

Dieser Prüfmechanismus prüft, ob DNSSEC für Cloud DNS-Zonen deaktiviert ist.

FIREWALL_NOT_MONITORED

Dieser Prüfmechanismus prüft, ob Logmesswerte und Benachrichtigungen nicht für das Monitoring von Änderungen an VPC-Firewallregeln konfiguriert sind.

VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Dieser Detektor prüft, ob VPC-Flusslogs nicht aktiviert sind.

FULL_API_ACCESS

Dieser Prüfmechanismus prüft, ob für eine Instanz ein Standarddienstkonto mit uneingeschränktem Zugriff auf alle Google Cloud APIs verwendet wird.

INSTANCE_OS_LOGIN_DISABLED

Dieser Detektor prüft, ob OS Login nicht aktiviert ist.

IP_FORWARDING_ENABLED

Dieser Detektor prüft, ob die IP-Weiterleitung aktiviert ist.

KMS_KEY_NOT_ROTATED

Dieser Detektor prüft, ob die Rotation für die Cloud Key Management Service-Verschlüsselung nicht aktiviert ist.

KMS_PROJECT_HAS_OWNER

Mit diesem Detector wird geprüft, ob ein Nutzer die Berechtigung Inhaber für ein Projekt mit Schlüsseln hat.

KMS_PUBLIC_KEY

Dieser Detector prüft, ob ein kryptografischer Cloud Key Management Service-Schlüssel öffentlich zugänglich ist. Weitere Informationen finden Sie unter Ergebnisse zu KMS-Sicherheitslücken.

KMS_ROLE_SEPARATION

Dieser Detektor prüft die Aufgabenverteilung für Cloud KMS-Schlüssel.

LEGACY_NETWORK

Dieser Detektor prüft, ob ein Legacy-Netzwerk in einem Projekt vorhanden ist.

LOCKED_RETENTION_POLICY_NOT_SET

Dieser Detektor prüft, ob die gesperrte Aufbewahrungsrichtlinie für Protokolle festgelegt ist.

LOAD_BALANCER_LOGGING_DISABLED

Dieser Detektor prüft, ob die Protokollierung für den Load Balancer deaktiviert ist.

LOG_NOT_EXPORTED

Dieser Detektor prüft, ob für eine Ressource keine Logsenke konfiguriert ist.

MFA_NOT_ENFORCED

Dieser Detektor prüft, ob ein Nutzer die Bestätigung in zwei Schritten nicht verwendet.

NETWORK_NOT_MONITORED

Dieser Prüfmechanismus prüft, ob Logmesswerte und Benachrichtigungen nicht für das Monitoring von Änderungen am VPC-Netzwerk konfiguriert sind.

NON_ORG_IAM_MEMBER

Dieser Detektor prüft, ob ein Nutzer keine organisationsgebundenen Anmeldedaten verwendet.

OPEN_RDP_PORT

Dieser Detektor prüft, ob eine Firewall einen offenen RDP-Port hat.

OPEN_SSH_PORT

Dieser Detector prüft, ob eine Firewall einen offenen SSH-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls.

OS_LOGIN_DISABLED

Dieser Detektor prüft, ob OS Login deaktiviert ist.

OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Dieser Prüfmechanismus prüft, ob ein Nutzer Dienstkontorollen auf Projektebene und nicht für ein bestimmtes Dienstkonto hat.

OWNER_NOT_MONITORED

Mit diesem Detektor wird geprüft, ob die Protokollierung für Zuweisungen und Änderungen der Projektinhaberschaft deaktiviert ist.

PUBLIC_BUCKET_ACL

Dieser Detektor prüft, ob ein Bucket öffentlich zugänglich ist.

PUBLIC_DATASET

Dieser Detektor prüft, ob ein Datensatz für den öffentlichen Zugriff konfiguriert ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Datasets.

PUBLIC_IP_ADDRESS

Dieser Detektor prüft, ob eine Instanz eine externe IP-Adresse hat.

PUBLIC_SQL_INSTANCE

Mit diesem Detektor wird geprüft, ob eine Cloud SQL-Instanz Verbindungen von allen IP-Adressen zulässt.

ROUTE_NOT_MONITORED

Dieser Detektor prüft, ob Logmesswerte und Benachrichtigungen nicht für das Monitoring von Änderungen an der VPC-Netzwerkroute konfiguriert sind.

RSASHA1_FOR_SIGNING

Dieser Detektor prüft, ob RSASHA1 für die Schlüsselsignierung in Cloud DNS-Zonen verwendet wird.

SERVICE_ACCOUNT_KEY_NOT_ROTATED

Dieser Prüfmechanismus prüft, ob ein Dienstkontoschlüssel innerhalb der letzten 90 Tage rotiert wurde.

SERVICE_ACCOUNT_ROLE_SEPARATION

Dieser Prüfmechanismus prüft die Trennung von Aufgaben für Dienstkontoschlüssel.

SHIELDED_VM_DISABLED

Dieser Detektor prüft, ob die Shielded VM deaktiviert ist.

SQL_CONTAINED_DATABASE_AUTHENTICATION

Dieser Prüfmechanismus prüft, ob das Flag contained database authentication in Cloud SQL for SQL Server nicht deaktiviert ist.

SQL_CROSS_DB_OWNERSHIP_CHAINING

Dieser Prüfmechanismus prüft, ob das Flag cross_db_ownership_chaining in Cloud SQL for SQL Server nicht deaktiviert ist.

SQL_EXTERNAL_SCRIPTS_ENABLED

Dieser Prüfmechanismus prüft, ob das Flag external scripts enabled in Cloud SQL for SQL Server nicht deaktiviert ist.

SQL_INSTANCE_NOT_MONITORED

Mit diesem Detektor wird geprüft, ob das Logging für Änderungen an der Cloud SQL-Konfiguration deaktiviert ist.

SQL_LOCAL_INFILE

Dieser Detektor prüft, ob das Flag local_infile in Cloud SQL for MySQL aktiviert ist.

SQL_LOG_CONNECTIONS_DISABLED

Dieser Prüfmechanismus prüft, ob das Flag log_connections in Cloud SQL for PostgreSQL deaktiviert ist.

SQL_LOG_DISCONNECTIONS_DISABLED

Dieser Prüfmechanismus prüft, ob das Flag log_disconnections in Cloud SQL for PostgreSQL deaktiviert ist.

SQL_LOG_ERROR_VERBOSITY

Dieser Prüfmechanismus prüft, ob das Flag log_error_verbosity in Cloud SQL for PostgreSQL nicht auf default gesetzt ist.

SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

Dieser Prüfmechanismus prüft, ob das Flag log_min_duration_statement in Cloud SQL for PostgreSQL nicht auf -1 gesetzt ist.

SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

Dieser Prüfmechanismus prüft, ob das Flag log_min_error_statement in Cloud SQL for PostgreSQL keinen geeigneten Schweregrad hat.

SQL_LOG_MIN_MESSAGES

Dieser Prüfmechanismus prüft, ob das Flag log_min_messages in Cloud SQL for PostgreSQL nicht auf warning gesetzt ist.

SQL_LOG_STATEMENT

Dieser Prüfmechanismus prüft, ob das Flag log_statement in Cloud SQL for PostgreSQL Server nicht auf ddl gesetzt ist.

SQL_NO_ROOT_PASSWORD

Dieser Prüfmechanismus prüft, ob für eine Cloud SQL-Datenbank mit einer externen IP-Adresse kein Passwort für das Root-Konto festgelegt ist.

SQL_PUBLIC_IP

Dieser Detector prüft, ob eine Cloud SQL-Datenbank eine externe IP-Adresse hat.

SQL_REMOTE_ACCESS_ENABLED

Dieser Prüfer prüft, ob das Flag remote_access in Cloud SQL for SQL Server nicht deaktiviert ist.

SQL_SKIP_SHOW_DATABASE_DISABLED

Dieser Detektor prüft, ob das Flag skip_show_database in Cloud SQL for MySQL deaktiviert ist.

SQL_TRACE_FLAG_3625

Dieser Prüfmechanismus prüft, ob das Flag 3625 (trace flag) in Cloud SQL for SQL Server deaktiviert ist.

SQL_USER_CONNECTIONS_CONFIGURED

Dieser Prüfmechanismus prüft, ob das Flag user connections in Cloud SQL for SQL Server konfiguriert ist.

SQL_USER_OPTIONS_CONFIGURED

Dieser Prüfmechanismus prüft, ob das Flag user options in Cloud SQL for SQL Server konfiguriert ist.

USER_MANAGED_SERVICE_ACCOUNT_KEY

Dieser Detector prüft, ob ein Nutzer einen Dienstkontoschlüssel verwaltet.

WEAK_SSL_POLICY

Dieser Detektor prüft, ob eine Instanz eine schwache SSL-Richtlinie hat.

Vorlage für den Sicherheitsstatus ansehen

So rufen Sie die Vorlage für die Risikobewertung für CIS Benchmark v2.0 auf:

gcloud

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • ORGANIZATION_ID: die numerische ID der Organisation

Führen Sie den Befehl gcloud scc posture-templates describe aus:

Linux, macOS oder Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

Die Antwort enthält die Vorlage für die Bewertung.

REST

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • ORGANIZATION_ID: die numerische ID der Organisation

HTTP-Methode und URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort enthält die Vorlage für die Bewertung.

Nächste Schritte