Halaman ini diterjemahkan oleh Cloud Translation API.

Template postur standar untuk CIS Benchmark v2.0

Halaman ini menjelaskan kebijakan detektif yang disertakan dalam versi v1.0 template postur standar untuk Center for Internet Security (CIS) Google Cloud Computing Platform Benchmark v2.0.0. Postur standar ini membantu Anda mendeteksi saat lingkungan Google Cloud Anda tidak sesuai dengan CIS Benchmark.

Anda dapat men-deploy template postur ini tanpa melakukan perubahan apa pun.

Tabel berikut menjelaskan detektor Security Health Analytics yang disertakan dalam template postur. Untuk informasi selengkapnya tentang pendeteksi ini, lihat Temuan kerentanan.

Nama pendeteksi	Deskripsi
`ACCESS_TRANSPARENCY_DISABLED`	Detektor ini memeriksa apakah Transparansi Akses dinonaktifkan.
`ADMIN_SERVICE_ACCOUNT`	Detektor ini memeriksa apakah akun layanan memiliki hak istimewa Admin, Pemilik, atau Editor.
`ESSENTIAL_CONTACTS_NOT_CONFIGURED`	Detektor ini memeriksa apakah Anda memiliki setidaknya satu Kontak Penting.
`API_KEY_APIS_UNRESTRICTED`	Detektor ini memeriksa apakah kunci API digunakan terlalu luas.
`API_KEY_EXISTS`	Detektor ini memeriksa apakah project menggunakan kunci API, bukan autentikasi standar.
`API_KEY_NOT_ROTATED`	Detektor ini memeriksa apakah kunci API telah dirotasi dalam 90 hari terakhir.
`AUDIT_CONFIG_NOT_MONITORED`	Detektor ini memeriksa apakah perubahan konfigurasi audit sedang dipantau.
`AUDIT_LOGGING_DISABLED`	Detektor ini memeriksa apakah logging audit dinonaktifkan untuk resource.
`AUTO_BACKUP_DISABLED`	Detektor ini memeriksa apakah database Cloud SQL tidak mengaktifkan pencadangan otomatis.
`BIGQUERY_TABLE_CMEK_DISABLED`	Detektor ini memeriksa apakah tabel BigQuery tidak dikonfigurasi untuk menggunakan kunci enkripsi yang dikelola pelanggan (CMEK). Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan set data.
`BUCKET_IAM_NOT_MONITORED`	Detektor ini memeriksa apakah logging dinonaktifkan untuk perubahan izin IAM di Cloud Storage.
`BUCKET_POLICY_ONLY_DISABLED`	Detektor ini memeriksa apakah akses level bucket yang seragam dikonfigurasi.
`CLOUD_ASSET_API_DISABLED`	Detektor ini memeriksa apakah Inventaris Aset Cloud dinonaktifkan.
`COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED`	Detektor ini memeriksa apakah kunci SSH di seluruh project sedang digunakan.
`COMPUTE_SERIAL_PORTS_ENABLED`	Detektor ini memeriksa apakah port serial diaktifkan.
`CONFIDENTIAL_COMPUTING_DISABLED`	Detektor ini memeriksa apakah Confidential Computing dinonaktifkan.
`CUSTOM_ROLE_NOT_MONITORED`	Detektor ini memeriksa apakah logging dinonaktifkan untuk perubahan peran kustom.
`DATAPROC_CMEK_DISABLED`	Detektor ini memeriksa apakah dukungan CMEK dinonaktifkan untuk cluster Dataproc.
`DATASET_CMEK_DISABLED`	Detektor ini memeriksa apakah dukungan CMEK dinonaktifkan untuk set data BigQuery.
`DEFAULT_NETWORK`	Detektor ini memeriksa apakah jaringan default ada dalam project.
`DEFAULT_SERVICE_ACCOUNT_USED`	Detektor ini memeriksa apakah akun layanan default sedang digunakan.
`DISK_CSEK_DISABLED`	Detektor ini memeriksa apakah dukungan kunci enkripsi yang disediakan pelanggan (CSEK) dinonaktifkan untuk VM.
`DNS_LOGGING_DISABLED`	Detektor ini memeriksa apakah logging DNS diaktifkan di jaringan VPC.
`DNSSEC_DISABLED`	Detektor ini memeriksa apakah DNSSEC dinonaktifkan untuk zona Cloud DNS.
`FIREWALL_NOT_MONITORED`	Detektor ini memeriksa apakah metrik log dan pemberitahuan tidak dikonfigurasi untuk memantau perubahan aturan firewall VPC.
`VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED`	Detektor ini memeriksa apakah Log Aliran VPC tidak diaktifkan.
`FULL_API_ACCESS`	Detektor ini memeriksa apakah instance menggunakan akun layanan default dengan akses penuh ke semua Google Cloud API.
`INSTANCE_OS_LOGIN_DISABLED`	Detektor ini memeriksa apakah Login OS tidak diaktifkan.
`IP_FORWARDING_ENABLED`	Detektor ini memeriksa apakah penerusan IP diaktifkan.
`KMS_KEY_NOT_ROTATED`	Detektor ini memeriksa apakah rotasi untuk enkripsi Cloud Key Management Service tidak diaktifkan.
`KMS_PROJECT_HAS_OWNER`	Detektor ini memeriksa apakah pengguna memiliki izin Pemilik di project yang menyertakan kunci.
`KMS_PUBLIC_KEY`	Detektor ini memeriksa apakah kunci kriptografis Cloud Key Management Service dapat diakses secara publik. Untuk informasi selengkapnya, lihat Temuan kerentanan KMS.
`KMS_ROLE_SEPARATION`	Pendeteksi ini memeriksa pemisahan tugas untuk kunci Cloud KMS.
`LEGACY_NETWORK`	Detektor ini memeriksa apakah jaringan lama ada dalam project.
`LOCKED_RETENTION_POLICY_NOT_SET`	Detektor ini memeriksa apakah kebijakan retensi terkunci ditetapkan untuk log.
`LOAD_BALANCER_LOGGING_DISABLED`	Detektor ini memeriksa apakah logging dinonaktifkan untuk load balancer.
`LOG_NOT_EXPORTED`	Detektor ini memeriksa apakah resource tidak memiliki sink log yang dikonfigurasi.
`MFA_NOT_ENFORCED`	Detektor ini memeriksa apakah pengguna tidak menggunakan verifikasi 2 langkah.
`NETWORK_NOT_MONITORED`	Detektor ini memeriksa apakah metrik log dan pemberitahuan tidak dikonfigurasi untuk memantau perubahan jaringan VPC.
`NON_ORG_IAM_MEMBER`	Detektor ini memeriksa apakah pengguna tidak menggunakan kredensial organisasi.
`OPEN_RDP_PORT`	Detektor ini memeriksa apakah firewall memiliki port RDP yang terbuka.
`OPEN_SSH_PORT`	Detektor ini memeriksa apakah firewall memiliki port SSH terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.
`OS_LOGIN_DISABLED`	Detektor ini memeriksa apakah Login OS dinonaktifkan.
`OVER_PRIVILEGED_SERVICE_ACCOUNT_USER`	Detektor ini memeriksa apakah pengguna memiliki peran akun layanan di tingkat project, bukan untuk akun layanan tertentu.
`OWNER_NOT_MONITORED`	Detektor ini memeriksa apakah logging dinonaktifkan untuk penetapan dan perubahan kepemilikan project.
`PUBLIC_BUCKET_ACL`	Detektor ini memeriksa apakah bucket dapat diakses secara publik.
`PUBLIC_DATASET`	Detektor ini memeriksa apakah set data dikonfigurasi untuk terbuka bagi akses publik atau tidak. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan set data.
`PUBLIC_IP_ADDRESS`	Detektor ini memeriksa apakah instance memiliki alamat IP eksternal.
`PUBLIC_SQL_INSTANCE`	Detektor ini memeriksa apakah Cloud SQL mengizinkan koneksi dari semua alamat IP.
`ROUTE_NOT_MONITORED`	Detektor ini memeriksa apakah metrik log dan pemberitahuan tidak dikonfigurasi untuk memantau perubahan rute jaringan VPC.
`RSASHA1_FOR_SIGNING`	Detektor ini memeriksa apakah RSASHA1 digunakan untuk penandatanganan kunci di zona Cloud DNS.
`SERVICE_ACCOUNT_KEY_NOT_ROTATED`	Detektor ini memeriksa apakah kunci akun layanan telah dirotasi dalam 90 hari terakhir.
`SERVICE_ACCOUNT_ROLE_SEPARATION`	Detektor ini memeriksa pemisahan tugas untuk kunci akun layanan.
`SHIELDED_VM_DISABLED`	Detektor ini memeriksa apakah Shielded VM dinonaktifkan.
`SQL_CONTAINED_DATABASE_AUTHENTICATION`	Detektor ini memeriksa apakah flag `contained database authentication` di Cloud SQL untuk SQL Server tidak nonaktif.
`SQL_CROSS_DB_OWNERSHIP_CHAINING`	Detektor ini memeriksa apakah flag `cross_db_ownership_chaining` di Cloud SQL untuk SQL Server tidak nonaktif.
`SQL_EXTERNAL_SCRIPTS_ENABLED`	Detektor ini memeriksa apakah flag `external scripts enabled` di Cloud SQL untuk SQL Server tidak nonaktif.
`SQL_INSTANCE_NOT_MONITORED`	Detektor ini memeriksa apakah logging dinonaktifkan untuk perubahan konfigurasi Cloud SQL.
`SQL_LOCAL_INFILE`	Detektor ini memeriksa apakah flag `local_infile` di Cloud SQL untuk MySQL tidak dinonaktifkan.
`SQL_LOG_CONNECTIONS_DISABLED`	Detektor ini memeriksa apakah tanda `log_connections` di Cloud SQL untuk PostgreSQL tidak aktif.
`SQL_LOG_DISCONNECTIONS_DISABLED`	Detektor ini memeriksa apakah tanda `log_disconnections` di Cloud SQL untuk PostgreSQL tidak aktif.
`SQL_LOG_ERROR_VERBOSITY`	Detektor ini memeriksa apakah flag `log_error_verbosity` di Cloud SQL untuk PostgreSQL tidak disetel ke `default`.
`SQL_LOG_MIN_DURATION_STATEMENT_ENABLED`	Detektor ini memeriksa apakah flag `log_min_duration_statement` di Cloud SQL untuk PostgreSQL tidak disetel ke `-1`.
`SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY`	Detektor ini memeriksa apakah tanda `log_min_error_statement` di Cloud SQL untuk PostgreSQL tidak memiliki tingkat keparahan yang sesuai.
`SQL_LOG_MIN_MESSAGES`	Detektor ini memeriksa apakah flag `log_min_messages` di Cloud SQL untuk PostgreSQL tidak disetel ke `warning`.
`SQL_LOG_STATEMENT`	Detektor ini memeriksa apakah tanda `log_statement` di Server Cloud SQL untuk PostgreSQL tidak disetel ke `ddl`.
`SQL_NO_ROOT_PASSWORD`	Detektor ini memeriksa apakah database Cloud SQL dengan alamat IP eksternal tidak memiliki sandi untuk akun root.
`SQL_PUBLIC_IP`	Detektor ini memeriksa apakah database Cloud SQL memiliki alamat IP eksternal.
`SQL_REMOTE_ACCESS_ENABLED`	Detektor ini memeriksa apakah flag `remote_access` di Cloud SQL untuk SQL Server tidak nonaktif.
`SQL_SKIP_SHOW_DATABASE_DISABLED`	Detektor ini memeriksa apakah tanda `skip_show_database` di Cloud SQL untuk MySQL tidak aktif.
`SQL_TRACE_FLAG_3625`	Detektor ini memeriksa apakah flag `3625 (trace flag)` di Cloud SQL untuk SQL Server tidak aktif.
`SQL_USER_CONNECTIONS_CONFIGURED`	Detektor ini memeriksa apakah flag `user connections` di Cloud SQL untuk SQL Server dikonfigurasi.
`SQL_USER_OPTIONS_CONFIGURED`	Detektor ini memeriksa apakah flag `user options` di Cloud SQL untuk SQL Server dikonfigurasi.
`USER_MANAGED_SERVICE_ACCOUNT_KEY`	Detektor ini memeriksa apakah pengguna mengelola kunci akun layanan.
`WEAK_SSL_POLICY`	Detektor ini memeriksa apakah instance memiliki kebijakan SSL yang lemah.

Melihat template postur

Untuk melihat template postur untuk CIS Benchmark v2.0, lakukan tindakan berikut:

gcloud

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

ORGANIZATION_ID: ID numerik organisasi

Jalankan perintah gcloud scc posture-templates describe:

Linux, macOS, atau Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

Respons berisi template postur.

REST

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

ORGANIZATION_ID: ID numerik organisasi

Metode HTTP dan URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

Untuk mengirim permintaan, perluas salah satu opsi berikut:

curl (Linux, macOS, atau Cloud Shell)

Catatan: Perintah berikut mengasumsikan bahwa Anda telah login ke gcloud CLI dengan akun pengguna Anda dengan menjalankan gcloud init atau gcloud auth login , atau dengan menggunakan Cloud Shell, yang secara otomatis membuat Anda login ke gcloud CLI . Anda dapat memeriksa akun yang saat ini aktif dengan menjalankan gcloud auth list.

Jalankan perintah berikut:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0"

PowerShell (Windows)

Catatan: Perintah berikut mengasumsikan bahwa Anda telah login ke gcloud CLI dengan akun pengguna Anda dengan menjalankan gcloud init atau gcloud auth login . Anda dapat memeriksa akun yang saat ini aktif dengan menjalankan gcloud auth list.

Jalankan perintah berikut:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0" | Select-Object -Expand Content

Respons berisi template postur.

Langkah selanjutnya

Buat postur keamanan menggunakan postur standar ini.