CIS 基准 v2.0 的预定义状况模板

本页面介绍了 v1.0 版本中包含的检测策略。 预定义安全状况模板的安全状况模板 (CIS) Google Cloud 计算平台基准 v2.0.0。 这种预定义的状况可帮助您检测 Google Cloud 环境 与 CIS 基准不符。

部署此安全状况模板无需 进行更改。

下表介绍了状态模板中包含的 Security Health Analytics 检测器。如需详细了解这些检测器,请参阅漏洞发现结果

检测器名称 说明
ACCESS_TRANSPARENCY_DISABLED

此检测器会检查 Access Transparency 是否已停用。
ADMIN_SERVICE_ACCOUNT

此检测器用于检查服务账号是否具有 AdminOwnerEditor 权限。
ESSENTIAL_CONTACTS_NOT_CONFIGURED

此检测器会检查您是否至少有一位重要联系人
API_KEY_APIS_UNRESTRICTED

此检测器会检查 API 密钥的使用是否过于宽泛。
API_KEY_EXISTS

此检测器会检查项目是否使用的是 API 密钥而不是标准身份验证。
API_KEY_NOT_ROTATED

此检测器会检查 API 密钥在过去 90 天内是否已轮替。
AUDIT_CONFIG_NOT_MONITORED

此检测器会检查审核配置更改是否被监控。
AUDIT_LOGGING_DISABLED

此检测器会检查是否为资源关闭了审核日志记录。
AUTO_BACKUP_DISABLED

此检测器会检查 Cloud SQL 数据库是否未开启自动备份。
BIGQUERY_TABLE_CMEK_DISABLED

此检测器会检查 BigQuery 表是否未配置为使用客户管理的加密密钥 (CMEK)。如需了解详情,请参阅数据集漏洞发现结果
BUCKET_IAM_NOT_MONITORED 此检测器会检查是否已为 Cloud Storage 中的 IAM 权限更改关闭了日志记录。
BUCKET_POLICY_ONLY_DISABLED

此检测器会检查是否已配置统一存储桶级访问权限。
CLOUD_ASSET_API_DISABLED

此检测器会检查 Cloud Asset Inventory 是否已停用。
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

此检测器会检查是否使用了项目级 SSH 密钥。
COMPUTE_SERIAL_PORTS_ENABLED

此检测器会检查串行端口是否已启用。
CONFIDENTIAL_COMPUTING_DISABLED

此检测器会检查机密计算是否已关闭。
CUSTOM_ROLE_NOT_MONITORED

此检测器会检查是否已针对自定义角色更改关闭了日志记录。
DATAPROC_CMEK_DISABLED

此检测器会检查是否已为 Dataproc 集群停用 CMEK 支持。
DATASET_CMEK_DISABLED

此检测器会检查是否已为 BigQuery 数据集停用 CMEK 支持。
DEFAULT_NETWORK

此检测器会检查项目中是否存在默认网络。
DEFAULT_SERVICE_ACCOUNT_USED

此检测器会检查是否正在使用默认服务账号。
DISK_CSEK_DISABLED

此检测器会检查是否已为虚拟机关闭客户提供的加密密钥 (CSEK) 支持。
DNS_LOGGING_DISABLED

此检测器会检查 VPC 网络是否启用了 DNS 日志记录。
DNSSEC_DISABLED

此检测器会检查是否为 Cloud DNS 区域停用了 DNSSEC。
FIREWALL_NOT_MONITORED

此检测器用于检查日志指标和提醒是否未配置为监控 VPC 防火墙规则更改。
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

此检测器会检查 VPC 流日志是否未开启。
FULL_API_ACCESS

此检测器会检查实例是否使用对所有 Google Cloud API 拥有完整访问权限的默认服务账号。
INSTANCE_OS_LOGIN_DISABLED

此检测器会检查 OS Login 是否未开启。
IP_FORWARDING_ENABLED

此检测器会检查 IP 转发是否已开启。
KMS_KEY_NOT_ROTATED

此检测器会检查是否未开启 Cloud Key Management Service 加密轮替。
KMS_PROJECT_HAS_OWNER

此检测器会检查用户是否对包含密钥的项目具有 Owner 权限。
KMS_PUBLIC_KEY

此检测器会检查 Cloud Key Management Service 加密密钥是否 可公开访问。如需了解详情,请参阅 KMS 漏洞发现结果
KMS_ROLE_SEPARATION

此检测器会检查 Cloud KMS 密钥的职责分离。
LEGACY_NETWORK

此检测器会检查项目中是否存在旧版网络。
LOCKED_RETENTION_POLICY_NOT_SET

此检测器会检查是否为日志设置了锁定的保留政策。
LOAD_BALANCER_LOGGING_DISABLED

此检测器会检查负载均衡器是否关闭了日志记录。
LOG_NOT_EXPORTED

此检测器会检查资源是否未配置日志接收器。
MFA_NOT_ENFORCED

此检测器会检查用户是否未使用两步验证。
NETWORK_NOT_MONITORED

此检测器会检查是否未将日志指标和提醒配置为监控 VPC 网络更改。
NON_ORG_IAM_MEMBER

此检测器会检查用户是否未使用组织凭据。
OPEN_RDP_PORT

此检测器会检查防火墙是否具有开放的 RDP 端口。
OPEN_SSH_PORT

此检测器会检查防火墙是否具有允许通用访问的开放 SSH 端口。如需了解详情,请参阅防火墙漏洞发现结果
OS_LOGIN_DISABLED

此检测器会检查 OS Login 是否已关闭。
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

此检测器会检查用户是否在项目级(而不是特定服务账号)拥有服务账号角色。
OWNER_NOT_MONITORED

此检测器会检查是否已为项目所有权分配和更改关闭了日志记录。
PUBLIC_BUCKET_ACL

此检测器会检查存储桶是否可公开访问。
PUBLIC_DATASET

此检测器会检查数据集是否已配置为公开 访问权限。如需了解详情,请参阅 数据集 漏洞发现结果
PUBLIC_IP_ADDRESS

此检测器会检查实例是否具有外部 IP 地址。
PUBLIC_SQL_INSTANCE

此检测器会检查 Cloud SQL 是否允许来自所有 IP 地址的连接。
ROUTE_NOT_MONITORED

此检测器用于检查日志指标和提醒是否未配置为监控 VPC 网络路由更改。
RSASHA1_FOR_SIGNING

此检测器会检查是否使用了 RSASHA1 进行 Cloud DNS 区域中的密钥签名。
SERVICE_ACCOUNT_KEY_NOT_ROTATED

此检测器会检查服务账号密钥在过去 90 天内是否发生了轮替。
SERVICE_ACCOUNT_ROLE_SEPARATION

此检测器会检查服务账号密钥的职责分离。
SHIELDED_VM_DISABLED

此检测器会检查安全强化型虚拟机是否处于关闭状态。
SQL_CONTAINED_DATABASE_AUTHENTICATION

此检测器会检查 Cloud SQL for SQL Server 中的 contained database authentication 标志是否未关闭。
SQL_CROSS_DB_OWNERSHIP_CHAINING

此检测器会检查 Cloud SQL for SQL Server 中的 cross_db_ownership_chaining 标志是否未处于关闭状态。
SQL_EXTERNAL_SCRIPTS_ENABLED

此检测器会检查 Cloud SQL for SQL Server 中的 external scripts enabled 标志是否未关闭。
SQL_INSTANCE_NOT_MONITORED

此检测器会检查是否为 Cloud SQL 配置更改关闭了日志记录。
SQL_LOCAL_INFILE

此检测器会检查 Cloud SQL for MySQL 中的 local_infile 标志是否未关闭。
SQL_LOG_CONNECTIONS_DISABLED

此检测器会检查 Cloud SQL for PostgreSQL 中的 log_connections 标志是否未开启。
SQL_LOG_DISCONNECTIONS_DISABLED

此检测器会检查 Cloud SQL for PostgreSQL 中的 log_disconnections 标志是否未开启。
SQL_LOG_ERROR_VERBOSITY

此检测器会检查 Cloud SQL for PostgreSQL 中的 log_error_verbosity 标志是否未设置为 default
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

此检测器会检查 Cloud SQL for PostgreSQL 中的 log_min_duration_statement 标志是否未设置为 -1
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

此检测器会检查 Cloud SQL for PostgreSQL 中的 log_min_error_statement 标志是否没有适当的严重级别。
SQL_LOG_MIN_MESSAGES

此检测器会检查 Cloud SQL for PostgreSQL 中的 log_min_messages 标志是否未设置为 warning
SQL_LOG_STATEMENT

此检测器会检查 Cloud SQL for PostgreSQL Server 中的 log_statement 标志是否未设置为 ddl
SQL_NO_ROOT_PASSWORD

此检测器用于检查具有外部 IP 地址的 Cloud SQL 数据库是否没有根账号密码。
SQL_PUBLIC_IP

此检测器会检查 Cloud SQL 数据库是否具有外部 IP 地址。
SQL_REMOTE_ACCESS_ENABLED

此检测器会检查 Cloud SQL for SQL Server 中的 remote_access 标志是否未关闭。
SQL_SKIP_SHOW_DATABASE_DISABLED

此检测器会检查 Cloud SQL for MySQL 中的 skip_show_database 标志是否未开启。
SQL_TRACE_FLAG_3625

此检测器会检查 Cloud SQL for SQL Server 中的 3625 (trace flag) 标志是否未开启。
SQL_USER_CONNECTIONS_CONFIGURED

此检测器会检查是否已配置 Cloud SQL for SQL Server 中的 user connections 标志。
SQL_USER_OPTIONS_CONFIGURED

此检测器会检查是否已配置 Cloud SQL for SQL Server 中的 user options 标志。
USER_MANAGED_SERVICE_ACCOUNT_KEY

此检测器会检查用户是否管理服务账号密钥。
WEAK_SSL_POLICY

此检测器会检查实例的 SSL 政策是否较弱。

查看状况模板

如需查看 CIS 基准 v2.0 的安全状况模板,请执行以下操作:

gcloud

在使用下面的命令数据之前,请先进行以下替换:

  • ORGANIZATION_ID:组织的数字 ID

执行 gcloud scc posture-templates describe 命令:

Linux、macOS 或 Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

响应包含状况模板。

REST

在使用任何请求数据之前,请先进行以下替换:

  • ORGANIZATION_ID:组织的数字 ID

HTTP 方法和网址:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

如需发送您的请求,请展开以下选项之一:

响应包含状况模板。

后续步骤