En esta página, se describen las políticas de detective que se incluyen en la versión v1.0 de la plantilla de posición predefinida para Center for Internet Security (CIS) Google Cloud Computing Platform Benchmark v2.0.0. Esta posición predefinida te ayuda a detectar cuándo tu entorno de Google Cloud no se alinea con la comparativa de CIS.
Puedes implementar esta plantilla de posición sin realizar ningún cambio.
En la siguiente tabla, se describen los detectores de Security Health Analytics que se incluyen en la plantilla de postura. Para obtener más información sobre estos detectores, consulta Búsquedas de vulnerabilidades.
Nombre del detector | Descripción |
---|---|
ACCESS_TRANSPARENCY_DISABLED |
Este detector verifica si la Transparencia de acceso está desactivada. |
ADMIN_SERVICE_ACCOUNT |
Este detector verifica si una cuenta de servicio tiene privilegios de Administrador, Propietario o Editor. |
ESSENTIAL_CONTACTS_NOT_CONFIGURED |
Este detector verifica si tienes al menos un contacto esencial. |
API_KEY_APIS_UNRESTRICTED |
Este detector verifica si las claves de API se usan de manera demasiado amplia. |
API_KEY_EXISTS |
Este detector verifica si un proyecto usa claves de API en lugar de la autenticación estándar. |
API_KEY_NOT_ROTATED |
Este detector verifica si se rotó una clave de API en los últimos 90 días. |
AUDIT_CONFIG_NOT_MONITORED |
Este detector verifica si se supervisan los cambios de configuración de auditoría. |
AUDIT_LOGGING_DISABLED |
Este detector verifica si el registro de auditoría está desactivado para un recurso. |
AUTO_BACKUP_DISABLED |
Este detector verifica si una base de datos de Cloud SQL no tiene activadas las copias de seguridad automáticas. |
BIGQUERY_TABLE_CMEK_DISABLED |
Este detector verifica si una tabla de BigQuery no está configurada para usar una clave de encriptación administrada por el cliente (CMEK). Para obtener más información, consulta Hallazgos de vulnerabilidades del conjunto de datos. |
BUCKET_IAM_NOT_MONITORED |
Este detector verifica si el registro está desactivado para los cambios de permisos de IAM en Cloud Storage. |
BUCKET_POLICY_ONLY_DISABLED |
Este detector verifica si se configuró el acceso uniforme a nivel de bucket. |
CLOUD_ASSET_API_DISABLED |
Este detector verifica si Cloud Asset Inventory está desactivado. |
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
Este detector verifica si se están usando las claves SSH en todo el proyecto. |
COMPUTE_SERIAL_PORTS_ENABLED |
Este detector verifica si los puertos en serie están habilitados. |
CONFIDENTIAL_COMPUTING_DISABLED |
Este detector verifica si Confidential Computing está desactivado. |
CUSTOM_ROLE_NOT_MONITORED |
Este detector verifica si el registro está desactivado para cambios de funciones personalizadas. |
DATAPROC_CMEK_DISABLED |
Este detector verifica si la compatibilidad con CMEK está desactivada para un clúster de Dataproc. |
DATASET_CMEK_DISABLED |
Este detector verifica si la compatibilidad con CMEK está desactivada para un conjunto de datos de BigQuery. |
DEFAULT_NETWORK |
Este detector verifica si la red predeterminada existe en un proyecto. |
DEFAULT_SERVICE_ACCOUNT_USED |
Este detector verifica si se está usando la cuenta de servicio predeterminada. |
DISK_CSEK_DISABLED |
Este detector verifica si la compatibilidad con claves de encriptación proporcionadas por el cliente (CSEK) está desactivada para una VM. |
DNS_LOGGING_DISABLED |
Este detector verifica si el registro de DNS está habilitado en la red de VPC. |
DNSSEC_DISABLED |
Este detector verifica si las DNSSEC están desactivadas para las zonas de Cloud DNS. |
FIREWALL_NOT_MONITORED |
Este detector verifica si las métricas de registro y las alertas no están configuradas para supervisar los cambios en las reglas de firewall de VPC. |
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED |
Este detector verifica si los registros de flujo de VPC no están activados. |
FULL_API_ACCESS |
Este detector verifica si una instancia está usando una cuenta de servicio predeterminada con acceso completo a todas las APIs de Google Cloud. |
INSTANCE_OS_LOGIN_DISABLED |
Este detector verifica si el Acceso al SO no está activado. |
IP_FORWARDING_ENABLED |
Este detector verifica si el reenvío de IP está activado. |
KMS_KEY_NOT_ROTATED |
Este detector verifica si la rotación de la encriptación de Cloud Key Management Service no está activada. |
KMS_PROJECT_HAS_OWNER |
Este detector verifica si un usuario tiene el permiso de Owner en un proyecto que incluye claves. |
KMS_PUBLIC_KEY |
Este detector verifica si una clave criptográfica de Cloud Key Management Service es de acceso público. Para obtener más información, consulta Hallazgos de vulnerabilidades de KMS. |
KMS_ROLE_SEPARATION |
Este detector verifica la separación de obligaciones de las claves de Cloud KMS. |
LEGACY_NETWORK |
Este detector verifica si existe una red heredada en un proyecto. |
LOCKED_RETENTION_POLICY_NOT_SET |
Este detector verifica si la política de retención bloqueada está establecida para los registros. |
LOAD_BALANCER_LOGGING_DISABLED |
Este detector verifica si el registro está desactivado para el balanceador de cargas. |
LOG_NOT_EXPORTED |
Este detector verifica si un recurso no tiene un receptor de registros configurado. |
MFA_NOT_ENFORCED |
Este detector verifica si un usuario no usa la verificación en 2 pasos. |
NETWORK_NOT_MONITORED |
Este detector verifica si las métricas de registro y las alertas no están configuradas para supervisar los cambios en la red de VPC. |
NON_ORG_IAM_MEMBER |
Este detector verifica si un usuario no está usando credenciales de la organización. |
OPEN_RDP_PORT |
Este detector verifica si un firewall tiene un puerto RDP abierto. |
OPEN_SSH_PORT |
Este detector verifica si un firewall tiene un puerto SSH abierto que permite el acceso genérico. Para obtener más información, consulta Hallazgos de vulnerabilidades de firewall. |
OS_LOGIN_DISABLED |
Este detector verifica si el Acceso al SO está desactivado. |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
Este detector verifica si un usuario tiene funciones de cuenta de servicio a nivel de proyecto, en lugar de hacerlo para una cuenta de servicio específica. |
OWNER_NOT_MONITORED |
Este detector verifica si el registro está desactivado para las asignaciones y los cambios de propiedad del proyecto. |
PUBLIC_BUCKET_ACL |
Este detector verifica si un bucket es de acceso público. |
PUBLIC_DATASET |
Este detector verifica si un conjunto de datos está configurado para ser abierto al acceso público. Para obtener más información, consulta Hallazgos de vulnerabilidades del conjunto de datos. |
PUBLIC_IP_ADDRESS |
Este detector verifica si una instancia tiene una dirección IP externa. |
PUBLIC_SQL_INSTANCE |
Este detector verifica si un Cloud SQL permite conexiones desde todas las direcciones IP. |
ROUTE_NOT_MONITORED |
Este detector verifica si las métricas de registro y las alertas no están configuradas para supervisar los cambios en la ruta de la red de VPC. |
RSASHA1_FOR_SIGNING |
Este detector verifica si RSASHA1 se usa para el acceso de claves en zonas de Cloud DNS. |
SERVICE_ACCOUNT_KEY_NOT_ROTATED |
Este detector verifica si se rotó una clave de cuenta de servicio en los últimos 90 días. |
SERVICE_ACCOUNT_ROLE_SEPARATION |
Este detector verifica la separación de obligaciones para las claves de cuenta de servicio. |
SHIELDED_VM_DISABLED |
Este detector verifica si la VM protegida está desactivada. |
SQL_CONTAINED_DATABASE_AUTHENTICATION |
Este detector verifica si la marca |
SQL_CROSS_DB_OWNERSHIP_CHAINING |
Este detector verifica si la marca |
SQL_EXTERNAL_SCRIPTS_ENABLED |
Este detector verifica si la marca |
SQL_INSTANCE_NOT_MONITORED |
Este detector verifica si el registro está desactivado para los cambios de configuración de Cloud SQL. |
SQL_LOCAL_INFILE |
Este detector verifica si la marca |
SQL_LOG_CONNECTIONS_DISABLED |
Este detector verifica si la marca |
SQL_LOG_DISCONNECTIONS_DISABLED |
Este detector verifica si la marca |
SQL_LOG_ERROR_VERBOSITY |
Este detector verifica si la marca |
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED |
Este detector verifica si la marca |
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY |
Este detector verifica si la marca |
SQL_LOG_MIN_MESSAGES |
Este detector verifica si la marca |
SQL_LOG_STATEMENT |
Este detector verifica si la marca |
SQL_NO_ROOT_PASSWORD |
Este detector verifica si una base de datos de Cloud SQL con una dirección IP externa no tiene una contraseña para la cuenta raíz. |
SQL_PUBLIC_IP |
Este detector verifica si una base de datos de Cloud SQL tiene una dirección IP externa. |
SQL_REMOTE_ACCESS_ENABLED |
Este detector verifica si la marca |
SQL_SKIP_SHOW_DATABASE_DISABLED |
Este detector verifica si la marca |
SQL_TRACE_FLAG_3625 |
Este detector verifica si la marca |
SQL_USER_CONNECTIONS_CONFIGURED |
Este detector verifica si la marca |
SQL_USER_OPTIONS_CONFIGURED |
Este detector verifica si la marca |
USER_MANAGED_SERVICE_ACCOUNT_KEY |
Este detector verifica si un usuario administra una clave de cuenta de servicio. |
WEAK_SSL_POLICY |
Este detector verifica si una instancia tiene una política de SSL débil. |
Definición de YAML
A continuación, se incluye la definición YAML de la plantilla de postura para CIS 2.0.
name: organizations/123/locations/global/postureTemplates/cis_2_0
description: Posture Template to make your workload secure and CIS 2.0 compliant
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: CIS_2_0 detective policy set
description: CIS_2_0 SHA modules that new customers can automatically enable.
policies:
- policy_id: Access transparency disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ACCESS_TRANSPARENCY_DISABLED
- policy_id: Admin service account
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ADMIN_SERVICE_ACCOUNT
- policy_id: Essential contacts not configured
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ESSENTIAL_CONTACTS_NOT_CONFIGURED
- policy_id: API key APIs unrestricted
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: API_KEY_APIS_UNRESTRICTED
- policy_id: API key APPs unrestricted
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: API_KEY_APPS_UNRESTRICTED
- policy_id: API key exists
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: API_KEY_EXISTS
- policy_id: API key not rotated
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: API_KEY_NOT_ROTATED
- policy_id: Audit config not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUDIT_CONFIG_NOT_MONITORED
- policy_id: Audit logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUDIT_LOGGING_DISABLED
- policy_id: Auto backup disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUTO_BACKUP_DISABLED
- policy_id: BigQuery table CMEK disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BIGQUERY_TABLE_CMEK_DISABLED
- policy_id: Bucket IAM not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_IAM_NOT_MONITORED
- policy_id: Bucket policy only disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_POLICY_ONLY_DISABLED
- policy_id: Cloud asset API disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CLOUD_ASSET_API_DISABLED
- policy_id: Compute project wide SSH keys allowed
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED
- policy_id: Compute serial port enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: COMPUTE_SERIAL_PORTS_ENABLED
- policy_id: Confidential computing disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CONFIDENTIAL_COMPUTING_DISABLED
- policy_id: Custom role not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CUSTOM_ROLE_NOT_MONITORED
- policy_id: Dataproc CMEK disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DATAPROC_CMEK_DISABLED
- policy_id: Dataset CMEK disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DATASET_CMEK_DISABLED
- policy_id: Default network
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DEFAULT_NETWORK
- policy_id: Default service account used
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DEFAULT_SERVICE_ACCOUNT_USED
- policy_id: Disk CSEK disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DISK_CSEK_DISABLED
- policy_id: DNS logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DNS_LOGGING_DISABLED
- policy_id: DNSSEC disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DNSSEC_DISABLED
- policy_id: Firewall not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FIREWALL_NOT_MONITORED
- policy_id: VPC flow logs settings not recommended
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED
- policy_id: Full API access
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FULL_API_ACCESS
- policy_id: Instance OS login disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: INSTANCE_OS_LOGIN_DISABLED
- policy_id: IP forwarding enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: IP_FORWARDING_ENABLED
- policy_id: KMS key not rotated
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_KEY_NOT_ROTATED
- policy_id: KMS project has owner
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_PROJECT_HAS_OWNER
- policy_id: KMS public key
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_PUBLIC_KEY
- policy_id: KMS role separation
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_ROLE_SEPARATION
- policy_id: Legacy network
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LEGACY_NETWORK
- policy_id: Locked retention policy not set
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LOCKED_RETENTION_POLICY_NOT_SET
- policy_id: Load balancer logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LOAD_BALANCER_LOGGING_DISABLED
- policy_id: Log not exported
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LOG_NOT_EXPORTED
- policy_id: MFA not enforced
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: MFA_NOT_ENFORCED
- policy_id: Network not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: NETWORK_NOT_MONITORED
- policy_id: Non org IAM member
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: NON_ORG_IAM_MEMBER
- policy_id: Open RDP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_RDP_PORT
- policy_id: Open SSH port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_SSH_PORT
- policy_id: OS login disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OS_LOGIN_DISABLED
- policy_id: Over privileged service account user
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OVER_PRIVILEGED_SERVICE_ACCOUNT_USER
- policy_id: Owner not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OWNER_NOT_MONITORED
- policy_id: Public bucket ACL
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_BUCKET_ACL
- policy_id: Public dataset
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_DATASET
- policy_id: Public IP address
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_IP_ADDRESS
- policy_id: Public SQL instance
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_SQL_INSTANCE
- policy_id: Route not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ROUTE_NOT_MONITORED
- policy_id: RSASHA1 for signing
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: RSASHA1_FOR_SIGNING
- policy_id: Service account key not rotated
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SERVICE_ACCOUNT_KEY_NOT_ROTATED
- policy_id: Service account role separation
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SERVICE_ACCOUNT_ROLE_SEPARATION
- policy_id: Shielded VM disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SHIELDED_VM_DISABLED
- policy_id: SQL contained database authentication
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_CONTAINED_DATABASE_AUTHENTICATION
- policy_id: SQL cross DB ownership chaining
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_CROSS_DB_OWNERSHIP_CHAINING
- policy_id: SQL external scripts enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_EXTERNAL_SCRIPTS_ENABLED
- policy_id: SQL instnance not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_INSTANCE_NOT_MONITORED
- policy_id: SQL local infile
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOCAL_INFILE
- policy_id: SQL log connections disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_CONNECTIONS_DISABLED
- policy_id: SQL log disconnections disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_DISCONNECTIONS_DISABLED
- policy_id: SQL log error verbosity
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_ERROR_VERBOSITY
- policy_id: SQL log min duration statement enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_MIN_DURATION_STATEMENT_ENABLED
- policy_id: SQL log min error statement severity
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY
- policy_id: SQL log min messages
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_MIN_MESSAGES
- policy_id: SQL log statement
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_STATEMENT
- policy_id: SQL no root password
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_NO_ROOT_PASSWORD
- policy_id: SQL public IP
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_PUBLIC_IP
- policy_id: SQL remote access enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_REMOTE_ACCESS_ENABLED
- policy_id: SQL skip show database disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_SKIP_SHOW_DATABASE_DISABLED
- policy_id: SQL trace flag 3625
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_TRACE_FLAG_3625
- policy_id: SQL user connection configured
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_USER_CONNECTIONS_CONFIGURED
- policy_id: SQL user options configured
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_USER_OPTIONS_CONFIGURED
- policy_id: User managed service account key
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: USER_MANAGED_SERVICE_ACCOUNT_KEY
- policy_id: Weak SSL policy
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: WEAK_SSL_POLICY