Auf dieser Seite werden die Prüfrichtlinien beschrieben, die in der Version 1.0 der vordefinierten Vorlage für die Sicherheitskonfiguration für den Google Cloud Computing Platform Benchmark v2.0.0 des Center for Internet Security (CIS) enthalten sind. Anhand dieser vordefinierten Sicherheitsstufe können Sie erkennen, ob Ihre Google Cloud-Umgebung nicht dem CIS-Benchmark entspricht.
Sie können diese Statusvorlage ohne Änderungen vornehmen.
In der folgenden Tabelle werden die Security Health Analytics-Detektoren beschrieben, die in der Vorlage für den Sicherheitsstatus enthalten sind. Weitere Informationen zu diesen Detektoren finden Sie unter Ergebnisse zu Sicherheitslücken.
| Detektorname | Beschreibung |
|---|---|
ACCESS_TRANSPARENCY_DISABLED |
Dieser Detektor prüft, ob Access Transparency deaktiviert ist. |
ADMIN_SERVICE_ACCOUNT |
Mit diesem Detektor wird geprüft, ob ein Dienstkonto die Berechtigungen Administrator, Inhaber oder Bearbeiter hat. |
ESSENTIAL_CONTACTS_NOT_CONFIGURED |
Mit diesem Detektor wird geprüft, ob Sie mindestens einen wichtigen Kontakt haben. |
API_KEY_APIS_UNRESTRICTED |
Dieser Detektor prüft, ob API-Schlüssel zu häufig verwendet werden. |
API_KEY_EXISTS |
Dieser Prüfmechanismus prüft, ob in einem Projekt API-Schlüssel anstelle der Standardauthentifizierung verwendet werden. |
API_KEY_NOT_ROTATED |
Dieser Detektor prüft, ob ein API-Schlüssel in den letzten 90 Tagen rotiert wurde. |
AUDIT_CONFIG_NOT_MONITORED |
Dieser Detektor prüft, ob Änderungen an der Audit-Konfiguration überwacht werden. |
AUDIT_LOGGING_DISABLED |
Dieser Detektor prüft, ob Audit-Logging für eine Ressource deaktiviert ist. |
AUTO_BACKUP_DISABLED |
Dieser Detektor prüft, ob für eine Cloud SQL-Datenbank keine automatischen Sicherungen aktiviert sind. |
BIGQUERY_TABLE_CMEK_DISABLED |
Dieser Prüfmechanismus prüft, ob eine BigQuery-Tabelle nicht für die Verwendung eines vom Kunden verwalteten Verschlüsselungsschlüssels (CMEK) konfiguriert ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Datasets. |
BUCKET_IAM_NOT_MONITORED |
Dieser Detektor prüft, ob das Logging für Änderungen der IAM-Berechtigung in Cloud Storage deaktiviert ist. |
BUCKET_POLICY_ONLY_DISABLED |
Dieser Detektor prüft, ob der einheitliche Zugriff auf Bucket-Ebene konfiguriert ist. |
CLOUD_ASSET_API_DISABLED |
Dieser Detektor prüft, ob Cloud Asset Inventory deaktiviert ist. |
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
Mit diesem Detektor wird geprüft, ob projektweite SSH-Schlüssel verwendet werden. |
COMPUTE_SERIAL_PORTS_ENABLED |
Dieser Detektor prüft, ob serielle Ports aktiviert sind. |
CONFIDENTIAL_COMPUTING_DISABLED |
Dieser Detektor prüft, ob Confidential Computing deaktiviert ist. |
CUSTOM_ROLE_NOT_MONITORED |
Dieser Detektor prüft, ob die Protokollierung für Änderungen an benutzerdefinierten Rollen deaktiviert ist. |
DATAPROC_CMEK_DISABLED |
Dieser Detektor prüft, ob die CMEK-Unterstützung für einen Dataproc-Cluster deaktiviert ist. |
DATASET_CMEK_DISABLED |
Mit diesem Detektor wird geprüft, ob die CMEK-Unterstützung für ein BigQuery-Dataset deaktiviert ist. |
DEFAULT_NETWORK |
Dieser Detektor prüft, ob das Standardnetzwerk in einem Projekt vorhanden ist. |
DEFAULT_SERVICE_ACCOUNT_USED |
Dieser Detector prüft, ob das Standarddienstkonto verwendet wird. |
DISK_CSEK_DISABLED |
Dieser Detektor prüft, ob die Unterstützung für vom Kunden bereitgestellte Verschlüsselungsschlüssel (CSEK) für eine VM deaktiviert ist. |
DNS_LOGGING_DISABLED |
Dieser Detektor prüft, ob DNS-Logging im VPC-Netzwerk aktiviert ist. |
DNSSEC_DISABLED |
Dieser Prüfmechanismus prüft, ob DNSSEC für Cloud DNS-Zonen deaktiviert ist. |
FIREWALL_NOT_MONITORED |
Dieser Prüfmechanismus prüft, ob Logmesswerte und Benachrichtigungen nicht für das Monitoring von Änderungen an VPC-Firewallregeln konfiguriert sind. |
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED |
Dieser Detektor prüft, ob VPC-Flusslogs nicht aktiviert sind. |
FULL_API_ACCESS |
Dieser Prüfmechanismus prüft, ob für eine Instanz ein Standarddienstkonto mit uneingeschränktem Zugriff auf alle Google Cloud APIs verwendet wird. |
INSTANCE_OS_LOGIN_DISABLED |
Mit diesem Detektor wird geprüft, ob OS Login nicht aktiviert ist. |
IP_FORWARDING_ENABLED |
Dieser Detektor prüft, ob die IP-Weiterleitung aktiviert ist. |
KMS_KEY_NOT_ROTATED |
Dieser Detektor prüft, ob die Rotation für die Cloud Key Management Service-Verschlüsselung nicht aktiviert ist. |
KMS_PROJECT_HAS_OWNER |
Mit diesem Detector wird geprüft, ob ein Nutzer die Berechtigung Inhaber für ein Projekt mit Schlüsseln hat. |
KMS_PUBLIC_KEY |
Dieser Detector prüft, ob ein kryptografischer Cloud Key Management Service-Schlüssel öffentlich zugänglich ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in KMS. |
KMS_ROLE_SEPARATION |
Dieser Detektor prüft die Aufgabentrennung für Cloud KMS-Schlüssel. |
LEGACY_NETWORK |
Dieser Detektor prüft, ob in einem Projekt ein Legacy-Netzwerk vorhanden ist. |
LOCKED_RETENTION_POLICY_NOT_SET |
Dieser Detektor prüft, ob die gesperrte Aufbewahrungsrichtlinie für Protokolle festgelegt ist. |
LOAD_BALANCER_LOGGING_DISABLED |
Dieser Detektor prüft, ob das Logging für den Load-Balancer deaktiviert ist. |
LOG_NOT_EXPORTED |
Dieser Detektor prüft, ob für eine Ressource keine Logsenke konfiguriert ist. |
MFA_NOT_ENFORCED |
Dieser Detektor prüft, ob ein Nutzer die 2-Faktor-Authentifizierung nicht verwendet. |
NETWORK_NOT_MONITORED |
Dieser Detektor prüft, ob Logmesswerte und Benachrichtigungen nicht zum Überwachen von VPC-Netzwerkänderungen konfiguriert sind. |
NON_ORG_IAM_MEMBER |
Dieser Detektor prüft, ob ein Nutzer keine organisationsgebundenen Anmeldedaten verwendet. |
OPEN_RDP_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen RDP-Port hat. |
OPEN_SSH_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen SSH-Port hat, der allgemeinen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls. |
OS_LOGIN_DISABLED |
Mit diesem Detektor wird geprüft, ob OS Login deaktiviert ist. |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
Dieser Detektor prüft, ob ein Nutzer Dienstkontorollen auf Projektebene und nicht für ein bestimmtes Dienstkonto hat. |
OWNER_NOT_MONITORED |
Dieser Detektor prüft, ob das Logging für Zuweisungen und Änderungen von Projekteigentümern deaktiviert ist. |
PUBLIC_BUCKET_ACL |
Dieser Detektor prüft, ob ein Bucket öffentlich zugänglich ist. |
PUBLIC_DATASET |
Dieser Detektor prüft, ob ein Dataset für die Öffentlichkeit konfiguriert ist Zugriff haben. Weitere Informationen finden Sie unter Datensatz Ergebnisse zu Sicherheitslücken. |
PUBLIC_IP_ADDRESS |
Dieser Detektor prüft, ob eine Instanz eine externe IP-Adresse hat. |
PUBLIC_SQL_INSTANCE |
Dieser Detektor prüft, ob Cloud SQL Verbindungen von allen IP-Adressen zulässt. |
ROUTE_NOT_MONITORED |
Dieser Detektor prüft, ob Logmesswerte und Benachrichtigungen nicht zum Überwachen von Änderungen der VPC-Netzwerkroute konfiguriert sind. |
RSASHA1_FOR_SIGNING |
Dieser Detektor prüft, ob RSASHA1 für die Schlüsselsignierung in Cloud DNS-Zonen verwendet wird. |
SERVICE_ACCOUNT_KEY_NOT_ROTATED |
Dieser Prüfmechanismus prüft, ob ein Dienstkontoschlüssel innerhalb der letzten 90 Tage rotiert wurde. |
SERVICE_ACCOUNT_ROLE_SEPARATION |
Dieser Prüfmechanismus prüft die Trennung von Aufgaben für Dienstkontoschlüssel. |
SHIELDED_VM_DISABLED |
Dieser Detektor prüft, ob Shielded VM deaktiviert ist. |
SQL_CONTAINED_DATABASE_AUTHENTICATION |
Dieser Prüfer prüft, ob das Flag |
SQL_CROSS_DB_OWNERSHIP_CHAINING |
Dieser Detektor prüft, ob das Flag |
SQL_EXTERNAL_SCRIPTS_ENABLED |
Dieser Detektor prüft, ob das Flag |
SQL_INSTANCE_NOT_MONITORED |
Dieser Detektor prüft, ob das Logging für Cloud SQL-Konfigurationsänderungen deaktiviert ist. |
SQL_LOCAL_INFILE |
Dieser Detektor prüft, ob das Flag |
SQL_LOG_CONNECTIONS_DISABLED |
Dieser Prüfmechanismus prüft, ob das Flag |
SQL_LOG_DISCONNECTIONS_DISABLED |
Dieser Prüfmechanismus prüft, ob das Flag |
SQL_LOG_ERROR_VERBOSITY |
Dieser Prüfmechanismus prüft, ob das Flag |
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED |
Dieser Detektor prüft, ob das Flag |
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY |
Dieser Detektor prüft, ob das Flag |
SQL_LOG_MIN_MESSAGES |
Dieser Detektor prüft, ob das Flag |
SQL_LOG_STATEMENT |
Dieser Prüfmechanismus prüft, ob das Flag |
SQL_NO_ROOT_PASSWORD |
Dieser Detektor prüft, ob eine Cloud SQL-Datenbank mit einer externen IP-Adresse kein Passwort für das Root-Konto hat. |
SQL_PUBLIC_IP |
Dieser Detektor prüft, ob eine Cloud SQL-Datenbank eine externe IP-Adresse hat. |
SQL_REMOTE_ACCESS_ENABLED |
Dieser Prüfer prüft, ob das Flag |
SQL_SKIP_SHOW_DATABASE_DISABLED |
Dieser Detektor prüft, ob das Flag |
SQL_TRACE_FLAG_3625 |
Dieser Detektor prüft, ob das Flag |
SQL_USER_CONNECTIONS_CONFIGURED |
Dieser Detektor prüft, ob das Flag |
SQL_USER_OPTIONS_CONFIGURED |
Dieser Prüfmechanismus prüft, ob das Flag |
USER_MANAGED_SERVICE_ACCOUNT_KEY |
Dieser Detektor prüft, ob ein Nutzer einen Dienstkontoschlüssel verwaltet. |
WEAK_SSL_POLICY |
Dieser Detektor prüft, ob eine Instanz eine schwache SSL-Richtlinie hat. |
Vorlage für den Sicherheitsstatus ansehen
So rufen Sie die Vorlage für die Risikobewertung für CIS Benchmark v2.0 auf:
gcloud
Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
-
ORGANIZATION_ID: die numerische ID der Organisation
Führen Sie den Befehl gcloud scc posture-templates
describe aus:
Linux, macOS oder Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0
Die Antwort enthält die Vorlage für die Bewertung.
REST
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
-
ORGANIZATION_ID: die numerische ID der Organisation
HTTP-Methode und URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Die Antwort enthält die Posture-Vorlage.