Esta página descreve as políticas de detecção incluídas na versão v1.0 do modelo de postura predefinido do Center for Internet Security (CIS) Comparativo de mercado da plataforma de computação do Google Cloud v2.0.0 Essa postura predefinida ajuda a detectar quando o ambiente do Google Cloud não está alinhada ao comparativo de mercado CIS.
É possível implantar esse modelo de postura sem fazer nenhuma mudança.
A tabela a seguir descreve os detectores da Análise de integridade da segurança incluídos em modelo de postura. Para mais informações sobre esses detectores, consulte Descobertas de vulnerabilidade.
Nome do detector | Descrição |
---|---|
ACCESS_TRANSPARENCY_DISABLED |
Este detector verifica se a Transparência no acesso está desativada. |
ADMIN_SERVICE_ACCOUNT |
Esse detector verifica se uma conta de serviço tem privilégios de Administrador, Proprietário ou Editor. |
ESSENTIAL_CONTACTS_NOT_CONFIGURED |
Este detector verifica se você tem pelo menos um contato essencial. |
API_KEY_APIS_UNRESTRICTED |
Esse detector verifica se as chaves de API estão sendo usadas de forma muito ampla. |
API_KEY_EXISTS |
Esse detector verifica se um projeto está usando chaves de API em vez da autenticação padrão. |
API_KEY_NOT_ROTATED |
Esse detector verifica se uma chave de API foi alternada nos últimos 90 dias. |
AUDIT_CONFIG_NOT_MONITORED |
Esse detector verifica se as mudanças na configuração de auditoria estão sendo monitoradas. |
AUDIT_LOGGING_DISABLED |
Esse detector verifica se o registro de auditoria está desativado para um recurso. |
AUTO_BACKUP_DISABLED |
Esse detector verifica se um banco de dados do Cloud SQL não tem backups automáticos ativados. |
BIGQUERY_TABLE_CMEK_DISABLED |
Esse detector verifica se uma tabela do BigQuery não está configurada para usar uma chave de criptografia gerenciada pelo cliente (CMEK). Para mais informações, consulte Descobertas de vulnerabilidade do conjunto de dados. |
BUCKET_IAM_NOT_MONITORED |
Esse detector verifica se o registro está desativado para alterações de permissão do IAM no Cloud Storage. |
BUCKET_POLICY_ONLY_DISABLED |
Esse detector verifica se o acesso uniforme no nível do bucket está configurado. |
CLOUD_ASSET_API_DISABLED |
Esse detector verifica se o Inventário de recursos do Cloud está desativado. |
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
Este detector verifica se as chaves SSH em todo o projeto estão sendo usadas. |
COMPUTE_SERIAL_PORTS_ENABLED |
Esse detector verifica se as portas seriais estão ativadas. |
CONFIDENTIAL_COMPUTING_DISABLED |
Esse detector verifica se a Computação confidencial está desativada. |
CUSTOM_ROLE_NOT_MONITORED |
Este detector verifica se a geração de registros está desativada para alterações de papéis personalizados. |
DATAPROC_CMEK_DISABLED |
Esse detector verifica se o suporte à CMEK está desativado em um cluster do Dataproc. |
DATASET_CMEK_DISABLED |
Este detector verifica se o suporte à CMEK está desativado em um conjunto de dados do BigQuery. |
DEFAULT_NETWORK |
Este detector verifica se a rede padrão existe em um projeto. |
DEFAULT_SERVICE_ACCOUNT_USED |
Este detector verifica se a conta de serviço padrão está sendo usada. |
DISK_CSEK_DISABLED |
Esse detector verifica se o suporte à chave de criptografia fornecida pelo cliente (CSEK) está desativado para uma VM. |
DNS_LOGGING_DISABLED |
Este detector verifica se a geração de registros de DNS está ativada na rede VPC. |
DNSSEC_DISABLED |
Esse detector verifica se o DNSSEC está desativado para as zonas do Cloud DNS. |
FIREWALL_NOT_MONITORED |
Esse detector verifica se as métricas e os alertas de registro não estão configurados para monitorar as alterações na regra do firewall da VPC. |
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED |
Esse detector verifica se os registros de fluxo de VPC não estão ativados. |
FULL_API_ACCESS |
Esse detector verifica se uma instância está usando uma conta de serviço padrão com acesso total às APIs do Google Cloud. |
INSTANCE_OS_LOGIN_DISABLED |
Esse detector verifica se o Login do SO não está ativado. |
IP_FORWARDING_ENABLED |
Este detector verifica se o encaminhamento de IP está ativado. |
KMS_KEY_NOT_ROTATED |
Esse detector verifica se a rotação da criptografia do Cloud Key Management Service não está ativada. |
KMS_PROJECT_HAS_OWNER |
Este detector verifica se um usuário tem a permissão Owner em um projeto que inclui chaves. |
KMS_PUBLIC_KEY |
Esse detector verifica se uma chave criptográfica do Cloud Key Management Service está acessível publicamente. Para mais informações, consulte Descobertas de vulnerabilidades do KMS. |
KMS_ROLE_SEPARATION |
Esse detector verifica a separação de tarefas para chaves do Cloud KMS. |
LEGACY_NETWORK |
Este detector verifica se existe uma rede legada em um projeto. |
LOCKED_RETENTION_POLICY_NOT_SET |
Este detector verifica se a política de retenção bloqueada está definida para registros. |
LOAD_BALANCER_LOGGING_DISABLED |
Esse detector verifica se a geração de registros está desativada no balanceador de carga. |
LOG_NOT_EXPORTED |
Este detector verifica se um recurso não tem um coletor de registros configurado. |
MFA_NOT_ENFORCED |
Esse detector verifica se um usuário não está usando a verificação em duas etapas. |
NETWORK_NOT_MONITORED |
Este detector verifica se as métricas e os alertas de registro não estão configurados para monitorar alterações de rede VPC. |
NON_ORG_IAM_MEMBER |
Esse detector verifica se um usuário não está usando credenciais da organização. |
OPEN_RDP_PORT |
Esse detector verifica se um firewall tem uma porta RDP aberta. |
OPEN_SSH_PORT |
Esse detector verifica se um firewall tem uma porta SSH aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade de firewall. |
OS_LOGIN_DISABLED |
Este detector verifica se o login do SO está desativado. |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
Esse detector verifica se um usuário tem funções de conta de serviço no nível do projeto, em vez de uma conta de serviço específica. |
OWNER_NOT_MONITORED |
Esse detector verifica se o registro está desativado para atribuições e alterações de propriedade do projeto. |
PUBLIC_BUCKET_ACL |
Este detector verifica se um bucket está acessível publicamente. |
PUBLIC_DATASET |
Esse detector verifica se um conjunto de dados está configurado para ser aberto ao acesso público. Para mais informações, consulte Conjunto de dados descobertas de vulnerabilidades. |
PUBLIC_IP_ADDRESS |
Este detector verifica se uma instância tem um endereço IP externo. |
PUBLIC_SQL_INSTANCE |
Este detector verifica se um Cloud SQL permite conexões de todos os endereços IP. |
ROUTE_NOT_MONITORED |
Esse detector verifica se as métricas e os alertas de registro não estão configurados para monitorar as alterações na rota da rede VPC. |
RSASHA1_FOR_SIGNING |
Esse detector verifica se o RSASHA1 é usado para assinatura de chaves em zonas do Cloud DNS. |
SERVICE_ACCOUNT_KEY_NOT_ROTATED |
Este detector verifica se uma chave de conta de serviço foi alterada nos últimos 90 dias. |
SERVICE_ACCOUNT_ROLE_SEPARATION |
Este detector verifica a separação de tarefas para as chaves de conta de serviço. |
SHIELDED_VM_DISABLED |
Este detector verifica se a VM protegida está desativada. |
SQL_CONTAINED_DATABASE_AUTHENTICATION |
Este detector verifica se a sinalização |
SQL_CROSS_DB_OWNERSHIP_CHAINING |
Este detector verifica se a sinalização |
SQL_EXTERNAL_SCRIPTS_ENABLED |
Esse detector verifica se a flag |
SQL_INSTANCE_NOT_MONITORED |
Esse detector verifica se a geração de registros está desativada para mudanças na configuração do Cloud SQL. |
SQL_LOCAL_INFILE |
Esse detector verifica se a flag |
SQL_LOG_CONNECTIONS_DISABLED |
Este detector verifica se a sinalização |
SQL_LOG_DISCONNECTIONS_DISABLED |
Este detector verifica se a sinalização |
SQL_LOG_ERROR_VERBOSITY |
Este detector verifica se a sinalização |
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED |
Este detector verifica se a sinalização |
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY |
Esse detector verifica se a flag |
SQL_LOG_MIN_MESSAGES |
Este detector verifica se a sinalização |
SQL_LOG_STATEMENT |
Este detector verifica se a sinalização |
SQL_NO_ROOT_PASSWORD |
Este detector verifica se um banco de dados do Cloud SQL com um endereço IP externo não tem uma senha para a conta raiz. |
SQL_PUBLIC_IP |
Esse detector verifica se um banco de dados do Cloud SQL tem um endereço IP externo. |
SQL_REMOTE_ACCESS_ENABLED |
Este detector verifica se a sinalização |
SQL_SKIP_SHOW_DATABASE_DISABLED |
Este detector verifica se a sinalização |
SQL_TRACE_FLAG_3625 |
Esse detector verifica se a flag |
SQL_USER_CONNECTIONS_CONFIGURED |
Este detector verifica se a sinalização |
SQL_USER_OPTIONS_CONFIGURED |
Este detector verifica se a sinalização |
USER_MANAGED_SERVICE_ACCOUNT_KEY |
Esse detector verifica se um usuário gerencia uma chave de conta de serviço. |
WEAK_SSL_POLICY |
Este detector verifica se uma instância tem uma política de SSL fraca. |
Conferir o modelo de postura
Para visualizar o modelo de postura do CIS Benchmark v2.0, faça o seguinte:
gcloud
Antes de usar os dados do comando abaixo, faça estas substituições:
-
ORGANIZATION_ID
: o ID numérico da organização
Execute o
gcloud scc posture-templates
describe
comando:
Linux, macOS ou Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0
A resposta contém o modelo de postura.
REST
Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:
-
ORGANIZATION_ID
: o ID numérico da organização
Método HTTP e URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0
Para enviar a solicitação, expanda uma destas opções:
A resposta contém o modelo de postura.