Modelo de postura predefinido para o CIS Benchmark v2.0

Esta página descreve as políticas de detecção incluídas na versão v1.0 do modelo de postura predefinido para o comparativo de mercado da plataforma de computação do Google Cloud do Centro de Segurança da Internet (CIS, na sigla em inglês) v2.0.0. Essa postura predefinida ajuda a detectar quando o ambiente do Google Cloud não está alinhado ao comparativo de mercado CIS.

É possível implantar esse modelo de postura sem fazer nenhuma mudança.

A tabela a seguir descreve os detectores do Security Health Analytics incluídos no modelo de postura. Para mais informações sobre esses detectores, consulte Descobertas de vulnerabilidade.

Nome do detector Descrição
ACCESS_TRANSPARENCY_DISABLED

Esse detector verifica se a Transparência no acesso está desativada.

ADMIN_SERVICE_ACCOUNT

Esse detector verifica se uma conta de serviço tem privilégios de Administrador, Proprietário ou Editor.

ESSENTIAL_CONTACTS_NOT_CONFIGURED

Esse detector verifica se você tem pelo menos um Contato essencial.

API_KEY_APIS_UNRESTRICTED

Esse detector verifica se as chaves de API estão sendo usadas de forma muito ampla.

API_KEY_EXISTS

Esse detector verifica se um projeto está usando chaves de API em vez da autenticação padrão.

API_KEY_NOT_ROTATED

Esse detector verifica se uma chave de API foi alternada nos últimos 90 dias.

AUDIT_CONFIG_NOT_MONITORED

Esse detector verifica se as mudanças na configuração de auditoria estão sendo monitoradas.

AUDIT_LOGGING_DISABLED

Esse detector verifica se a geração de registros de auditoria está desativada para um recurso.

AUTO_BACKUP_DISABLED

Esse detector verifica se um banco de dados do Cloud SQL não tem backups automáticos ativados.

BIGQUERY_TABLE_CMEK_DISABLED

Esse detector verifica se uma tabela do BigQuery não está configurada para usar uma chave de criptografia gerenciada pelo cliente (CMEK). Para mais informações, consulte Descobertas de vulnerabilidade do conjunto de dados.

BUCKET_IAM_NOT_MONITORED Esse detector verifica se a geração de registros está desativada para alterações de permissão do IAM no Cloud Storage.
BUCKET_POLICY_ONLY_DISABLED

Esse detector verifica se o acesso uniforme no nível do bucket está configurado.

CLOUD_ASSET_API_DISABLED

Esse detector verifica se o Inventário de recursos do Cloud está desativado.

COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

Esse detector verifica se as chaves SSH do projeto inteiro estão sendo usadas.

COMPUTE_SERIAL_PORTS_ENABLED

Esse detector verifica se as portas seriais estão ativadas.

CONFIDENTIAL_COMPUTING_DISABLED

Esse detector verifica se a Computação confidencial está desativada.

CUSTOM_ROLE_NOT_MONITORED

Esse detector verifica se o registro está desativado para mudanças de função personalizada.

DATAPROC_CMEK_DISABLED

Esse detector verifica se o suporte a CMEK está desativado para um cluster do Dataproc.

DATASET_CMEK_DISABLED

Esse detector verifica se o suporte a CMEK está desativado para um conjunto de dados do BigQuery.

DEFAULT_NETWORK

Esse detector verifica se a rede padrão existe em um projeto.

DEFAULT_SERVICE_ACCOUNT_USED

Esse detector verifica se a conta de serviço padrão está sendo usada.

DISK_CSEK_DISABLED

Esse detector verifica se o suporte à chave de criptografia fornecida pelo cliente (CSEK) está desativado para uma VM.

DNS_LOGGING_DISABLED

Esse detector verifica se a geração de registros de DNS está ativada na rede VPC.

DNSSEC_DISABLED

Esse detector verifica se o DNSSEC está desativado para as zonas do Cloud DNS.

FIREWALL_NOT_MONITORED

Esse detector verifica se as métricas e os alertas de registro não estão configurados para monitorar as alterações na regra do firewall da VPC.

VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Esse detector verifica se os registros de fluxo de VPC não estão ativados.

FULL_API_ACCESS

Esse detector verifica se uma instância está usando uma conta de serviço padrão com acesso total a todas as APIs do Google Cloud.

INSTANCE_OS_LOGIN_DISABLED

Esse detector verifica se o Login do SO não está ativado.

IP_FORWARDING_ENABLED

Esse detector verifica se o encaminhamento de IP está ativado.

KMS_KEY_NOT_ROTATED

Esse detector verifica se a rotação da criptografia do Cloud Key Management Service não está ativada.

KMS_PROJECT_HAS_OWNER

Esse detector verifica se um usuário tem a permissão de proprietário em um projeto que inclui chaves.

KMS_PUBLIC_KEY

Esse detector verifica se uma chave criptográfica do Cloud Key Management Service está acessível publicamente. Para mais informações, consulte Descobertas de vulnerabilidades do KMS.

KMS_ROLE_SEPARATION

Esse detector verifica a separação de tarefas para chaves do Cloud KMS.

LEGACY_NETWORK

Esse detector verifica se uma rede legada existe em um projeto.

LOCKED_RETENTION_POLICY_NOT_SET

Esse detector verifica se a política de retenção bloqueada está definida para os registros.

LOAD_BALANCER_LOGGING_DISABLED

Esse detector verifica se a geração de registros está desativada no balanceador de carga.

LOG_NOT_EXPORTED

Esse detector verifica se um recurso não tem um coletor de registros configurado.

MFA_NOT_ENFORCED

Esse detector verifica se um usuário não está usando a verificação em duas etapas.

NETWORK_NOT_MONITORED

Esse detector verifica se as métricas e os alertas de registro não estão configurados para monitorar mudanças na rede VPC.

NON_ORG_IAM_MEMBER

Esse detector verifica se um usuário não está usando credenciais organizacionais.

OPEN_RDP_PORT

Esse detector verifica se um firewall tem uma porta RDP aberta.

OPEN_SSH_PORT

Esse detector verifica se um firewall tem uma porta SSH aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall.

OS_LOGIN_DISABLED

Esse detector verifica se o Login do SO está desativado.

OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Esse detector verifica se um usuário tem papéis de conta de serviço no nível do projeto, e não de uma conta de serviço específica.

OWNER_NOT_MONITORED

Esse detector verifica se o registro está desativado para atribuições e alterações de propriedade do projeto.

PUBLIC_BUCKET_ACL

Esse detector verifica se um bucket está acessível ao público.

PUBLIC_DATASET

Esse detector verifica se um conjunto de dados está configurado para ser aberto ao acesso público. Para mais informações, consulte Descobertas de vulnerabilidade do conjunto de dados.

PUBLIC_IP_ADDRESS

Esse detector verifica se uma instância tem um endereço IP externo.

PUBLIC_SQL_INSTANCE

Esse detector verifica se o Cloud SQL permite conexões de todos os endereços IP.

ROUTE_NOT_MONITORED

Esse detector verifica se as métricas e os alertas de registro não estão configurados para monitorar mudanças na rota da rede VPC.

RSASHA1_FOR_SIGNING

Esse detector verifica se o RSASHA1 é usado para assinatura de chaves em zonas do Cloud DNS.

SERVICE_ACCOUNT_KEY_NOT_ROTATED

Esse detector verifica se uma chave da conta de serviço foi alternada nos últimos 90 dias.

SERVICE_ACCOUNT_ROLE_SEPARATION

Esse detector verifica a separação de funções para chaves de conta de serviço.

SHIELDED_VM_DISABLED

Esse detector verifica se a VM protegida está desativada.

SQL_CONTAINED_DATABASE_AUTHENTICATION

Esse detector verifica se a flag contained database authentication no Cloud SQL para SQL Server não está desativada.

SQL_CROSS_DB_OWNERSHIP_CHAINING

Esse detector verifica se a flag cross_db_ownership_chaining no Cloud SQL para SQL Server não está desativada.

SQL_EXTERNAL_SCRIPTS_ENABLED

Esse detector verifica se a flag external scripts enabled no Cloud SQL para SQL Server não está desativada.

SQL_INSTANCE_NOT_MONITORED

Esse detector verifica se a geração de registros está desativada para mudanças na configuração do Cloud SQL.

SQL_LOCAL_INFILE

Esse detector verifica se a flag local_infile no Cloud SQL para MySQL não está desativada.

SQL_LOG_CONNECTIONS_DISABLED

Esse detector verifica se a flag log_connections no Cloud SQL para PostgreSQL não está ativada.

SQL_LOG_DISCONNECTIONS_DISABLED

Esse detector verifica se a flag log_disconnections no Cloud SQL para PostgreSQL não está ativada.

SQL_LOG_ERROR_VERBOSITY

Esse detector verifica se a flag log_error_verbosity no Cloud SQL para PostgreSQL não está definida como default.

SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

Esse detector verifica se a flag log_min_duration_statement no Cloud SQL para PostgreSQL não está definida como -1.

SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

Esse detector verifica se a flag log_min_error_statement no Cloud SQL para PostgreSQL não tem um nível de gravidade adequado.

SQL_LOG_MIN_MESSAGES

Esse detector verifica se a flag log_min_messages no Cloud SQL para PostgreSQL não está definida como warning.

SQL_LOG_STATEMENT

Esse detector verifica se a flag log_statement no Cloud SQL para PostgreSQL Server não está definida como ddl.

SQL_NO_ROOT_PASSWORD

Esse detector verifica se um banco de dados do Cloud SQL com um endereço IP externo não tem uma senha para a conta raiz.

SQL_PUBLIC_IP

Esse detector verifica se um banco de dados do Cloud SQL tem um endereço IP externo.

SQL_REMOTE_ACCESS_ENABLED

Esse detector verifica se a flag remote_access no Cloud SQL para SQL Server não está desativada.

SQL_SKIP_SHOW_DATABASE_DISABLED

Esse detector verifica se a flag skip_show_database no Cloud SQL para MySQL não está ativada.

SQL_TRACE_FLAG_3625

Esse detector verifica se a flag 3625 (trace flag) no Cloud SQL para SQL Server não está ativada.

SQL_USER_CONNECTIONS_CONFIGURED

Esse detector verifica se a flag user connections no Cloud SQL para SQL Server está configurada.

SQL_USER_OPTIONS_CONFIGURED

Esse detector verifica se a flag user options no Cloud SQL para SQL Server está configurada.

USER_MANAGED_SERVICE_ACCOUNT_KEY

Esse detector verifica se um usuário gerencia uma chave de conta de serviço.

WEAK_SSL_POLICY

Esse detector verifica se uma instância tem uma política de SSL fraca.

Conferir o modelo de postura

Para conferir o modelo de postura do CIS Benchmark v2.0, faça o seguinte:

gcloud

Antes de usar os dados do comando abaixo, faça estas substituições:

  • ORGANIZATION_ID: o ID numérico da organização

Execute o comando gcloud scc posture-templates describe:

Linux, macOS ou Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

A resposta contém o modelo de postura.

REST

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • ORGANIZATION_ID: o ID numérico da organização

Método HTTP e URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

Para enviar a solicitação, expanda uma destas opções:

A resposta contém o modelo de postura.

A seguir