Cette page décrit les règles de détection incluses dans la version 1.0 du modèle de posture prédéfini pour le benchmark v2.0.0 de la plate-forme de calcul Google Cloud du Center for Internet Security (CIS). Cette posture prédéfinie vous aide à détecter quand votre environnement Google Cloud ne correspond pas au benchmark CIS.
Vous pouvez déployer ce modèle de posture sans apporter de modifications.
Le tableau suivant décrit les détecteurs Security Health Analytics inclus dans le modèle d'état. Pour en savoir plus sur ces détecteurs, consultez la page Résultats concernant les failles.
Nom du détecteur | Description |
---|---|
ACCESS_TRANSPARENCY_DISABLED |
Ce détecteur vérifie si Access Transparency est désactivé. |
ADMIN_SERVICE_ACCOUNT |
Ce détecteur vérifie si un compte de service dispose des droits d'administrateur, de propriétaire ou d'éditeur. |
ESSENTIAL_CONTACTS_NOT_CONFIGURED |
Ce détecteur vérifie si vous avez au moins un contact essentiel. |
API_KEY_APIS_UNRESTRICTED |
Ce détecteur vérifie si les clés API sont utilisées de manière trop large. |
API_KEY_EXISTS |
Ce détecteur vérifie si un projet utilise des clés API au lieu de l'authentification standard. |
API_KEY_NOT_ROTATED |
Ce détecteur vérifie si une clé API a été modifiée au cours des 90 derniers jours. |
AUDIT_CONFIG_NOT_MONITORED |
Ce détecteur vérifie si les modifications de la configuration d'audit sont surveillées. |
AUDIT_LOGGING_DISABLED |
Ce détecteur vérifie si la journalisation d'audit est désactivée pour une ressource. |
AUTO_BACKUP_DISABLED |
Ce détecteur vérifie si les sauvegardes automatiques ne sont pas activées pour une base de données Cloud SQL. |
BIGQUERY_TABLE_CMEK_DISABLED |
Ce détecteur vérifie si une table BigQuery n'est pas configurée pour utiliser une clé de chiffrement gérée par le client (CMEK). Pour en savoir plus, consultez la page Résultats des failles liées aux ensembles de données. |
BUCKET_IAM_NOT_MONITORED |
Ce détecteur vérifie si la journalisation est désactivée pour les modifications des autorisations IAM dans Cloud Storage. |
BUCKET_POLICY_ONLY_DISABLED |
Ce détecteur vérifie si l'accès uniforme au niveau du bucket est configuré. |
CLOUD_ASSET_API_DISABLED |
Ce détecteur vérifie si l'inventaire des éléments Cloud est désactivé. |
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
Ce détecteur vérifie si des clés SSH à l'échelle du projet sont utilisées. |
COMPUTE_SERIAL_PORTS_ENABLED |
Ce détecteur vérifie si les ports série sont activés. |
CONFIDENTIAL_COMPUTING_DISABLED |
Ce détecteur vérifie si l'informatique confidentielle est désactivée. |
CUSTOM_ROLE_NOT_MONITORED |
Ce détecteur vérifie si la journalisation est désactivée pour les modifications de rôles personnalisés. |
DATAPROC_CMEK_DISABLED |
Ce détecteur vérifie si la compatibilité CMEK est désactivée pour un cluster Dataproc. |
DATASET_CMEK_DISABLED |
Ce détecteur vérifie si la prise en charge de CMEK est désactivée pour un ensemble de données BigQuery. |
DEFAULT_NETWORK |
Ce détecteur vérifie si le réseau par défaut existe dans un projet. |
DEFAULT_SERVICE_ACCOUNT_USED |
Ce détecteur vérifie si le compte de service par défaut est utilisé. |
DISK_CSEK_DISABLED |
Ce détecteur vérifie si la prise en charge des clés de chiffrement fournies par le client (CSEK) est désactivée pour une VM. |
DNS_LOGGING_DISABLED |
Ce détecteur vérifie si la journalisation DNS est activée sur le réseau VPC. |
DNSSEC_DISABLED |
Ce détecteur vérifie si DNSSEC est désactivé pour les zones Cloud DNS. |
FIREWALL_NOT_MONITORED |
Ce détecteur vérifie si les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées aux règles de pare-feu de réseau VPC. |
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED |
Ce détecteur vérifie si les journaux de flux VPC ne sont pas activés. |
FULL_API_ACCESS |
Ce détecteur vérifie si une instance utilise un compte de service par défaut avec un accès complet à toutes les API Google Cloud. |
INSTANCE_OS_LOGIN_DISABLED |
Ce détecteur vérifie si la OS Login;exploitation n'est pas activée. |
IP_FORWARDING_ENABLED |
Ce détecteur vérifie si le transfert IP est activé. |
KMS_KEY_NOT_ROTATED |
Ce détecteur vérifie si la rotation du chiffrement Cloud Key Management Service n'est pas activée. |
KMS_PROJECT_HAS_OWNER |
Ce détecteur vérifie si un utilisateur dispose de l'autorisation Propriétaire sur un projet qui inclut des clés. |
KMS_PUBLIC_KEY |
Ce détecteur vérifie si une clé cryptographique Cloud Key Management Service est accessible au public. Pour en savoir plus, consultez la page Résultats des failles liées à KMS. |
KMS_ROLE_SEPARATION |
Ce détecteur vérifie la séparation des tâches pour les clés Cloud KMS. |
LEGACY_NETWORK |
Ce détecteur vérifie si un ancien réseau existe dans un projet. |
LOCKED_RETENTION_POLICY_NOT_SET |
Ce détecteur vérifie si la règle de conservation verrouillée est définie pour les journaux. |
LOAD_BALANCER_LOGGING_DISABLED |
Ce détecteur vérifie si la journalisation est désactivée pour l'équilibreur de charge. |
LOG_NOT_EXPORTED |
Ce détecteur vérifie si un récepteur de journaux n'est pas configuré pour une ressource. |
MFA_NOT_ENFORCED |
Ce détecteur vérifie si un utilisateur n'utilise pas la validation en deux étapes. |
NETWORK_NOT_MONITORED |
Ce détecteur vérifie si les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées au réseau VPC. |
NON_ORG_IAM_MEMBER |
Ce détecteur vérifie si un utilisateur n'utilise pas d'identifiants d'organisation. |
OPEN_RDP_PORT |
Ce détecteur vérifie si un pare-feu dispose d'un port RDP ouvert. |
OPEN_SSH_PORT |
Ce détecteur vérifie si un pare-feu dispose d'un port SSH ouvert qui autorise un accès générique. Pour en savoir plus, consultez la page Résultats des failles liées au pare-feu. |
OS_LOGIN_DISABLED |
Ce détecteur vérifie si OS Login est désactivé. |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
Ce détecteur vérifie si un utilisateur dispose de rôles de compte de service au niveau du projet, plutôt qu'au niveau d'un compte de service spécifique. |
OWNER_NOT_MONITORED |
Ce détecteur vérifie si la journalisation est désactivée pour les attributions et les modifications de propriétaire de projet. |
PUBLIC_BUCKET_ACL |
Ce détecteur vérifie si un bucket est accessible au public. |
PUBLIC_DATASET |
Ce détecteur vérifie si un ensemble de données est configuré pour être accessible au public. Pour en savoir plus, consultez la page Résultats des failles liées aux ensembles de données. |
PUBLIC_IP_ADDRESS |
Ce détecteur vérifie si une instance possède une adresse IP externe. |
PUBLIC_SQL_INSTANCE |
Ce détecteur vérifie si une instance Cloud SQL autorise les connexions de toutes les adresses IP. |
ROUTE_NOT_MONITORED |
Ce détecteur vérifie si les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées à la route de réseau VPC. |
RSASHA1_FOR_SIGNING |
Ce détecteur vérifie si RSASHA1 est utilisé pour la signature de clé dans les zones Cloud DNS. |
SERVICE_ACCOUNT_KEY_NOT_ROTATED |
Ce détecteur vérifie si une clé de compte de service a été remplacée au cours des 90 derniers jours. |
SERVICE_ACCOUNT_ROLE_SEPARATION |
Ce détecteur vérifie la séparation des tâches pour les clés de compte de service. |
SHIELDED_VM_DISABLED |
Ce détecteur vérifie si la VM protégée est désactivée. |
SQL_CONTAINED_DATABASE_AUTHENTICATION |
Ce détecteur vérifie si l'indicateur |
SQL_CROSS_DB_OWNERSHIP_CHAINING |
Ce détecteur vérifie si l'indicateur |
SQL_EXTERNAL_SCRIPTS_ENABLED |
Ce détecteur vérifie si l'indicateur |
SQL_INSTANCE_NOT_MONITORED |
Ce détecteur vérifie si la journalisation est désactivée pour les modifications de configuration Cloud SQL. |
SQL_LOCAL_INFILE |
Ce détecteur vérifie si l'indicateur |
SQL_LOG_CONNECTIONS_DISABLED |
Ce détecteur vérifie si l'indicateur |
SQL_LOG_DISCONNECTIONS_DISABLED |
Ce détecteur vérifie si l'indicateur |
SQL_LOG_ERROR_VERBOSITY |
Ce détecteur vérifie si l'indicateur |
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED |
Ce détecteur vérifie si l'indicateur |
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY |
Ce détecteur vérifie si l'indicateur |
SQL_LOG_MIN_MESSAGES |
Ce détecteur vérifie si l'indicateur |
SQL_LOG_STATEMENT |
Ce détecteur vérifie si l'indicateur |
SQL_NO_ROOT_PASSWORD |
Ce détecteur vérifie si une base de données Cloud SQL avec une adresse IP externe ne possède pas de mot de passe pour le compte racine. |
SQL_PUBLIC_IP |
Ce détecteur vérifie si une base de données Cloud SQL dispose d'une adresse IP externe. |
SQL_REMOTE_ACCESS_ENABLED |
Ce détecteur vérifie si l'indicateur |
SQL_SKIP_SHOW_DATABASE_DISABLED |
Ce détecteur vérifie si l'indicateur |
SQL_TRACE_FLAG_3625 |
Ce détecteur vérifie si l'indicateur |
SQL_USER_CONNECTIONS_CONFIGURED |
Ce détecteur vérifie si l'indicateur |
SQL_USER_OPTIONS_CONFIGURED |
Ce détecteur vérifie si l'indicateur |
USER_MANAGED_SERVICE_ACCOUNT_KEY |
Ce détecteur vérifie si un utilisateur gère une clé de compte de service. |
WEAK_SSL_POLICY |
Ce détecteur vérifie si une instance a une stratégie SSL faible. |
Afficher le modèle de posture
Pour afficher le modèle d'état pour le benchmark CIS v2.0, procédez comme suit:
gcloud
Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
-
ORGANIZATION_ID
: ID numérique de l'organisation
Exécutez la commande gcloud scc posture-templates
describe
:
Linux, macOS ou Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0
La réponse contient le modèle de posture.
REST
Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :
-
ORGANIZATION_ID
: ID numérique de l'organisation
Méthode HTTP et URL :
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0
Pour envoyer votre requête, développez l'une des options suivantes :
La réponse contient le modèle de posture.