Auf dieser Seite werden die Richtlinien zur Erkennung von Sicherheitslücken beschrieben, die in der Version 1.0 der vordefinierten Posture-Vorlage für den SP 800-53-Standard des National Institute of Standards and Technology (NIST) enthalten sind. Diese Vorlage enthält einen Richtliniensatz, der die Security Health Analytics-Detektoren definiert, die für Arbeitslasten gelten, die dem NIST SP 800-53-Standard entsprechen müssen.
Sie können diese Vorlage für den Sicherheitsstatus bereitstellen, ohne Änderungen vorzunehmen.
Security Health Analytics – Detektoren
In der folgenden Tabelle werden die Security Health Analytics-Detektoren beschrieben, die in dieser Vorlage enthalten sind.
Detektorname | Beschreibung |
---|---|
BIGQUERY_TABLE_CMEK_DISABLED |
Dieser Prüfmechanismus prüft, ob eine BigQuery-Tabelle nicht für die Verwendung eines vom Kunden verwalteten Verschlüsselungsschlüssels (CMEK) konfiguriert ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Datasets. |
PUBLIC_DATASET |
Dieser Detektor prüft, ob ein Datensatz für den öffentlichen Zugriff konfiguriert ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Datasets. |
SQL_CROSS_DB_OWNERSHIP_CHAINING |
Dieser Prüfer prüft, ob das Flag |
INSTANCE_OS_LOGIN_DISABLED |
Dieser Detektor prüft, ob OS Login nicht aktiviert ist. |
SQL_SKIP_SHOW_DATABASE_DISABLED |
Dieser Detektor prüft, ob das Flag |
SQL_EXTERNAL_SCRIPTS_ENABLED |
Dieser Prüfer prüft, ob das Flag |
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED |
Dieser Detektor prüft, ob VPC-Flusslogs nicht aktiviert sind. |
API_KEY_EXISTS |
Dieser Prüfmechanismus prüft, ob in einem Projekt API-Schlüssel anstelle der Standardauthentifizierung verwendet werden. |
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY |
Dieser Prüfmechanismus prüft, ob das Flag |
COMPUTE_SERIAL_PORTS_ENABLED |
Dieser Detektor prüft, ob serielle Ports aktiviert sind. |
SQL_LOG_DISCONNECTIONS_DISABLED |
Dieser Prüfmechanismus prüft, ob das Flag |
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
Mit diesem Detektor wird geprüft, ob projektweite SSH-Schlüssel verwendet werden. |
KMS_PROJECT_HAS_OWNER |
Mit diesem Detector wird geprüft, ob ein Nutzer die Berechtigung Inhaber für ein Projekt mit Schlüsseln hat. |
KMS_KEY_NOT_ROTATED |
Dieser Detektor prüft, ob die Rotation für die Cloud Key Management Service-Verschlüsselung nicht aktiviert ist. |
ESSENTIAL_CONTACTS_NOT_CONFIGURED |
Dieser Detektor prüft, ob Sie mindestens einen wichtigen Kontakt haben. |
AUDIT_LOGGING_DISABLED |
Dieser Detektor prüft, ob das Audit-Logging für eine Ressource deaktiviert ist. |
LOCKED_RETENTION_POLICY_NOT_SET |
Dieser Detektor prüft, ob die gesperrte Aufbewahrungsrichtlinie für Protokolle festgelegt ist. |
DNS_LOGGING_DISABLED |
Mit diesem Detektor wird geprüft, ob das DNS-Logging im VPC-Netzwerk aktiviert ist. |
LOG_NOT_EXPORTED |
Dieser Detektor prüft, ob für eine Ressource keine Logsenke konfiguriert ist. |
KMS_ROLE_SEPARATION |
Dieser Detektor prüft die Aufgabenverteilung für Cloud KMS-Schlüssel. |
DISK_CSEK_DISABLED |
Dieser Detektor prüft, ob die Unterstützung für vom Kunden bereitgestellte Verschlüsselungsschlüssel (CSEK) für eine VM deaktiviert ist. |
SQL_USER_CONNECTIONS_CONFIGURED |
Dieser Prüfmechanismus prüft, ob das Flag |
API_KEY_APIS_UNRESTRICTED |
Dieser Detektor prüft, ob API-Schlüssel zu häufig verwendet werden. |
SQL_LOG_MIN_MESSAGES |
Dieser Prüfmechanismus prüft, ob das Flag |
SQL_LOCAL_INFILE |
Dieser Detektor prüft, ob das Flag |
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED |
Dieser Prüfmechanismus prüft, ob das Flag |
DATASET_CMEK_DISABLED |
Dieser Detector prüft, ob die CMEK-Unterstützung für ein BigQuery-Dataset deaktiviert ist. |
OPEN_SSH_PORT |
Dieser Detector prüft, ob eine Firewall einen offenen SSH-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls. |
FIREWALL_NOT_MONITORED |
Dieser Prüfmechanismus prüft, ob Logmesswerte und Benachrichtigungen nicht für das Monitoring von Änderungen an VPC-Firewallregeln konfiguriert sind. |
SQL_LOG_STATEMENT |
Dieser Prüfmechanismus prüft, ob das Flag |
SQL_PUBLIC_IP |
Dieser Detector prüft, ob eine Cloud SQL-Datenbank eine externe IP-Adresse hat. |
IP_FORWARDING_ENABLED |
Dieser Detektor prüft, ob die IP-Weiterleitung aktiviert ist. |
DATAPROC_CMEK_DISABLED |
Dieser Detektor prüft, ob die CMEK-Unterstützung für einen Dataproc-Cluster deaktiviert ist. |
CONFIDENTIAL_COMPUTING_DISABLED |
Dieser Detektor prüft, ob Confidential Computing deaktiviert ist. |
KMS_PUBLIC_KEY |
Dieser Detector prüft, ob ein kryptografischer Cloud Key Management Service-Schlüssel öffentlich zugänglich ist. Weitere Informationen finden Sie unter Ergebnisse zu KMS-Sicherheitslücken. |
SQL_INSTANCE_NOT_MONITORED |
Mit diesem Detektor wird geprüft, ob das Logging für Änderungen an der Cloud SQL-Konfiguration deaktiviert ist. |
SQL_TRACE_FLAG_3625 |
Dieser Prüfmechanismus prüft, ob das Flag |
DEFAULT_NETWORK |
Dieser Detektor prüft, ob das Standardnetzwerk in einem Projekt vorhanden ist. |
DNSSEC_DISABLED |
Dieser Detektor prüft, ob die DNS-Sicherheit (DNSSEC) für Cloud DNS deaktiviert ist. Weitere Informationen finden Sie unter Ergebnisse zu DNS-Sicherheitslücken. |
API_KEY_NOT_ROTATED |
Dieser Detektor prüft, ob ein API-Schlüssel innerhalb der letzten 90 Tage rotiert wurde. |
SQL_LOG_CONNECTIONS_DISABLED |
Dieser Prüfmechanismus prüft, ob das Flag |
LEGACY_NETWORK |
Dieser Detektor prüft, ob ein Legacy-Netzwerk in einem Projekt vorhanden ist. |
IAM_ROOT_ACCESS_KEY_CHECK |
Mit diesem Detektor wird geprüft, ob auf den IAM-Root-Zugriffsschlüssel zugegriffen werden kann. |
PUBLIC_IP_ADDRESS |
Dieser Detektor prüft, ob eine Instanz eine externe IP-Adresse hat. |
OPEN_RDP_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen RDP-Port hat. |
INSTANCE_OS_LOGIN_DISABLED |
Dieser Detektor prüft, ob OS Login nicht aktiviert ist. |
ADMIN_SERVICE_ACCOUNT |
Dieser Prüfmechanismus prüft, ob ein Dienstkonto die Berechtigungen Administrator, Inhaber oder Bearbeiter hat. |
SQL_USER_OPTIONS_CONFIGURED |
Dieser Prüfmechanismus prüft, ob das Flag |
FULL_API_ACCESS |
Dieser Prüfmechanismus prüft, ob für eine Instanz ein Standarddienstkonto mit uneingeschränktem Zugriff auf alle Google Cloud APIs verwendet wird. |
DEFAULT_SERVICE_ACCOUNT_USED |
Dieser Detector prüft, ob das Standarddienstkonto verwendet wird. |
NETWORK_NOT_MONITORED |
Dieser Prüfmechanismus prüft, ob Logmesswerte und Benachrichtigungen nicht für das Monitoring von Änderungen am VPC-Netzwerk konfiguriert sind. |
SQL_CONTAINED_DATABASE_AUTHENTICATION |
Dieser Prüfer prüft, ob das Flag |
PUBLIC_BUCKET_ACL |
Dieser Detektor prüft, ob ein Bucket öffentlich zugänglich ist. |
LOAD_BALANCER_LOGGING_DISABLED |
Dieser Detektor prüft, ob die Protokollierung für den Load Balancer deaktiviert ist. |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
Dieser Prüfmechanismus prüft, ob ein Nutzer Dienstkontorollen auf Projektebene und nicht für ein bestimmtes Dienstkonto hat. |
SQL_REMOTE_ACCESS_ENABLED |
Dieser Prüfer prüft, ob das Flag |
CUSTOM_ROLE_NOT_MONITORED |
Dieser Detektor prüft, ob die Protokollierung für Änderungen an benutzerdefinierten Rollen deaktiviert ist. |
AUTO_BACKUP_DISABLED |
Dieser Detektor prüft, ob für eine Cloud SQL-Datenbank keine automatischen Sicherungen aktiviert sind. |
RSASHA1_FOR_SIGNING |
Dieser Detektor prüft, ob RSASHA1 für die Schlüsselsignierung in Cloud DNS-Zonen verwendet wird. |
CLOUD_ASSET_API_DISABLED |
Dieser Detektor prüft, ob Cloud Asset Inventory deaktiviert ist. |
SQL_LOG_ERROR_VERBOSITY |
Dieser Prüfmechanismus prüft, ob das Flag |
ROUTE_NOT_MONITORED |
Dieser Detektor prüft, ob Logmesswerte und Benachrichtigungen nicht für das Monitoring von Änderungen an der VPC-Netzwerkroute konfiguriert sind. |
BUCKET_POLICY_ONLY_DISABLED |
Dieser Detektor prüft, ob der einheitliche Zugriff auf Bucket-Ebene konfiguriert ist. |
BUCKET_IAM_NOT_MONITORED |
Dieser Detektor prüft, ob die Protokollierung für Änderungen an IAM-Berechtigungen in Cloud Storage deaktiviert ist. |
PUBLIC_SQL_INSTANCE |
Mit diesem Detektor wird geprüft, ob eine Cloud SQL-Instanz Verbindungen von allen IP-Adressen zulässt. |
SERVICE_ACCOUNT_ROLE_SEPARATION |
Dieser Prüfmechanismus prüft die Trennung von Aufgaben für Dienstkontoschlüssel. |
AUDIT_CONFIG_NOT_MONITORED |
Dieser Detektor prüft, ob Änderungen an der Audit-Konfiguration überwacht werden. |
OWNER_NOT_MONITORED |
Mit diesem Detektor wird geprüft, ob die Protokollierung für Zuweisungen und Änderungen der Projektinhaberschaft deaktiviert ist. |
Vorlage für den Sicherheitsstatus ansehen
So rufen Sie die Vorlage für die Bewertung für NIST 800-53 auf:
gcloud
Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
-
ORGANIZATION_ID
: die numerische ID der Organisation
Führen Sie den Befehl gcloud scc posture-templates
describe
aus:
Linux, macOS oder Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53
Die Antwort enthält die Vorlage für die Bewertung.
REST
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
-
ORGANIZATION_ID
: die numerische ID der Organisation
HTTP-Methode und URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Die Antwort enthält die Vorlage für die Bewertung.