Template postur standar untuk NIST SP 800-53

Halaman ini menjelaskan kebijakan detektif yang disertakan dalam template postur standar yang telah ditetapkan versi v1.0 untuk standar SP 800-53 National Institute of Standards and Technology (NIST). Template ini menyertakan kumpulan kebijakan yang menentukan detektor Security Health Analytics yang berlaku untuk workload yang harus mematuhi standar NIST SP 800-53.

Anda dapat men-deploy template postur ini tanpa melakukan perubahan apa pun.

Detektor Security Health Analytics

Tabel berikut menjelaskan detektor Security Health Analytics yang disertakan dalam template postur ini.

Nama pendeteksi Deskripsi
BIGQUERY_TABLE_CMEK_DISABLED

Detektor ini memeriksa apakah tabel BigQuery tidak dikonfigurasi untuk menggunakan kunci enkripsi yang dikelola pelanggan (CMEK). Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan set data.

PUBLIC_DATASET

Detektor ini memeriksa apakah set data dikonfigurasi agar terbuka untuk akses publik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan set data.

SQL_CROSS_DB_OWNERSHIP_CHAINING

Detektor ini memeriksa apakah flag cross_db_ownership_chaining di Cloud SQL untuk SQL Server tidak nonaktif.

INSTANCE_OS_LOGIN_DISABLED

Detektor ini memeriksa apakah Login OS tidak diaktifkan.

SQL_SKIP_SHOW_DATABASE_DISABLED

Detektor ini memeriksa apakah tanda skip_show_database di Cloud SQL untuk MySQL tidak aktif.

SQL_EXTERNAL_SCRIPTS_ENABLED

Detektor ini memeriksa apakah flag external scripts enabled di Cloud SQL untuk SQL Server tidak nonaktif.

VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Detektor ini memeriksa apakah Log Aliran VPC tidak diaktifkan.

API_KEY_EXISTS

Detektor ini memeriksa apakah project menggunakan kunci API, bukan autentikasi standar.

SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

Detektor ini memeriksa apakah tanda log_min_error_statement di Cloud SQL untuk PostgreSQL tidak memiliki tingkat keparahan yang sesuai.

COMPUTE_SERIAL_PORTS_ENABLED

Detektor ini memeriksa apakah port serial diaktifkan.

SQL_LOG_DISCONNECTIONS_DISABLED

Detektor ini memeriksa apakah tanda log_disconnections di Cloud SQL untuk PostgreSQL tidak aktif.

COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

Detektor ini memeriksa apakah kunci SSH di seluruh project sedang digunakan.

KMS_PROJECT_HAS_OWNER

Detektor ini memeriksa apakah pengguna memiliki izin Pemilik di project yang menyertakan kunci.

KMS_KEY_NOT_ROTATED

Detektor ini memeriksa apakah rotasi untuk enkripsi Cloud Key Management Service tidak diaktifkan.

ESSENTIAL_CONTACTS_NOT_CONFIGURED

Detektor ini memeriksa apakah Anda memiliki setidaknya satu Kontak Penting.

AUDIT_LOGGING_DISABLED

Detektor ini memeriksa apakah logging audit dinonaktifkan untuk resource.

LOCKED_RETENTION_POLICY_NOT_SET

Detektor ini memeriksa apakah kebijakan retensi terkunci ditetapkan untuk log.

DNS_LOGGING_DISABLED

Detektor ini memeriksa apakah logging DNS diaktifkan di jaringan VPC.

LOG_NOT_EXPORTED

Detektor ini memeriksa apakah resource tidak memiliki sink log yang dikonfigurasi.

KMS_ROLE_SEPARATION

Pendeteksi ini memeriksa pemisahan tugas untuk kunci Cloud KMS.

DISK_CSEK_DISABLED

Detektor ini memeriksa apakah dukungan kunci enkripsi yang disediakan pelanggan (CSEK) dinonaktifkan untuk VM.

SQL_USER_CONNECTIONS_CONFIGURED

Detektor ini memeriksa apakah flag user connections di Cloud SQL untuk SQL Server dikonfigurasi.

API_KEY_APIS_UNRESTRICTED

Detektor ini memeriksa apakah kunci API digunakan terlalu luas.

SQL_LOG_MIN_MESSAGES

Detektor ini memeriksa apakah flag log_min_messages di Cloud SQL untuk PostgreSQL tidak disetel ke warning.

SQL_LOCAL_INFILE

Detektor ini memeriksa apakah flag local_infile di Cloud SQL untuk MySQL tidak dinonaktifkan.

SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

Detektor ini memeriksa apakah flag log_min_duration_statement di Cloud SQL untuk PostgreSQL tidak disetel ke -1.

DATASET_CMEK_DISABLED

Detektor ini memeriksa apakah dukungan CMEK dinonaktifkan untuk set data BigQuery.

OPEN_SSH_PORT

Detektor ini memeriksa apakah firewall memiliki port SSH terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.

FIREWALL_NOT_MONITORED

Detektor ini memeriksa apakah metrik log dan pemberitahuan tidak dikonfigurasi untuk memantau perubahan aturan firewall VPC.

SQL_LOG_STATEMENT

Detektor ini memeriksa apakah tanda log_statement di Server Cloud SQL untuk PostgreSQL tidak disetel ke ddl.

SQL_PUBLIC_IP

Detektor ini memeriksa apakah database Cloud SQL memiliki alamat IP eksternal.

IP_FORWARDING_ENABLED

Detektor ini memeriksa apakah penerusan IP diaktifkan.

DATAPROC_CMEK_DISABLED

Detektor ini memeriksa apakah dukungan CMEK dinonaktifkan untuk cluster Dataproc.

CONFIDENTIAL_COMPUTING_DISABLED

Detektor ini memeriksa apakah Confidential Computing dinonaktifkan.

KMS_PUBLIC_KEY

Detektor ini memeriksa apakah kunci kriptografis Cloud Key Management Service dapat diakses secara publik. Untuk informasi selengkapnya, lihat Temuan kerentanan KMS.

SQL_INSTANCE_NOT_MONITORED

Detektor ini memeriksa apakah logging dinonaktifkan untuk perubahan konfigurasi Cloud SQL.

SQL_TRACE_FLAG_3625

Detektor ini memeriksa apakah flag 3625 (trace flag) di Cloud SQL untuk SQL Server tidak aktif.

DEFAULT_NETWORK

Detektor ini memeriksa apakah jaringan default ada dalam project.

DNSSEC_DISABLED

Detektor ini memeriksa apakah keamanan DNS (DNSSEC) dinonaktifkan untuk Cloud DNS. Untuk mengetahui informasi selengkapnya, lihat temuan kerentanan DNS.

API_KEY_NOT_ROTATED

Detektor ini memeriksa apakah kunci API telah dirotasi dalam 90 hari terakhir.

SQL_LOG_CONNECTIONS_DISABLED

Detektor ini memeriksa apakah tanda log_connections di Cloud SQL untuk PostgreSQL tidak aktif.

LEGACY_NETWORK

Detektor ini memeriksa apakah jaringan lama ada dalam project.

IAM_ROOT_ACCESS_KEY_CHECK

Detektor ini memeriksa apakah kunci akses root IAM dapat diakses.

PUBLIC_IP_ADDRESS

Detektor ini memeriksa apakah instance memiliki alamat IP eksternal.

OPEN_RDP_PORT

Detektor ini memeriksa apakah firewall memiliki port RDP yang terbuka.

INSTANCE_OS_LOGIN_DISABLED

Detektor ini memeriksa apakah Login OS tidak diaktifkan.

ADMIN_SERVICE_ACCOUNT

Detektor ini memeriksa apakah akun layanan memiliki hak istimewa Admin, Pemilik, atau Editor.

SQL_USER_OPTIONS_CONFIGURED

Detektor ini memeriksa apakah flag user options di Cloud SQL untuk SQL Server dikonfigurasi.

FULL_API_ACCESS

Detektor ini memeriksa apakah instance menggunakan akun layanan default dengan akses penuh ke semua Google Cloud API.

DEFAULT_SERVICE_ACCOUNT_USED

Detektor ini memeriksa apakah akun layanan default sedang digunakan.

NETWORK_NOT_MONITORED

Detektor ini memeriksa apakah metrik log dan pemberitahuan tidak dikonfigurasi untuk memantau perubahan jaringan VPC.

SQL_CONTAINED_DATABASE_AUTHENTICATION

Detektor ini memeriksa apakah flag contained database authentication di Cloud SQL untuk SQL Server tidak nonaktif.

PUBLIC_BUCKET_ACL

Detektor ini memeriksa apakah bucket dapat diakses secara publik.

LOAD_BALANCER_LOGGING_DISABLED

Detektor ini memeriksa apakah logging dinonaktifkan untuk load balancer.

OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Detektor ini memeriksa apakah pengguna memiliki peran akun layanan di tingkat project, bukan untuk akun layanan tertentu.

SQL_REMOTE_ACCESS_ENABLED

Detektor ini memeriksa apakah flag remote_access di Cloud SQL untuk SQL Server tidak nonaktif.

CUSTOM_ROLE_NOT_MONITORED

Detektor ini memeriksa apakah logging dinonaktifkan untuk perubahan peran kustom.

AUTO_BACKUP_DISABLED

Detektor ini memeriksa apakah database Cloud SQL tidak mengaktifkan pencadangan otomatis.

RSASHA1_FOR_SIGNING

Detektor ini memeriksa apakah RSASHA1 digunakan untuk penandatanganan kunci di zona Cloud DNS.

CLOUD_ASSET_API_DISABLED

Detektor ini memeriksa apakah Inventaris Aset Cloud dinonaktifkan.

SQL_LOG_ERROR_VERBOSITY

Detektor ini memeriksa apakah flag log_error_verbosity di Cloud SQL untuk PostgreSQL tidak disetel ke default.

ROUTE_NOT_MONITORED

Detektor ini memeriksa apakah metrik log dan pemberitahuan tidak dikonfigurasi untuk memantau perubahan rute jaringan VPC.

BUCKET_POLICY_ONLY_DISABLED

Detektor ini memeriksa apakah akses level bucket yang seragam dikonfigurasi.

BUCKET_IAM_NOT_MONITORED

Detektor ini memeriksa apakah logging dinonaktifkan untuk perubahan izin IAM di Cloud Storage.

PUBLIC_SQL_INSTANCE

Detektor ini memeriksa apakah Cloud SQL mengizinkan koneksi dari semua alamat IP.

SERVICE_ACCOUNT_ROLE_SEPARATION

Detektor ini memeriksa pemisahan tugas untuk kunci akun layanan.

AUDIT_CONFIG_NOT_MONITORED

Detektor ini memeriksa apakah perubahan konfigurasi audit sedang dipantau.

OWNER_NOT_MONITORED

Detektor ini memeriksa apakah logging dinonaktifkan untuk penetapan dan perubahan kepemilikan project.

Melihat template postur

Untuk melihat template postur untuk NIST 800-53, lakukan tindakan berikut:

gcloud

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • ORGANIZATION_ID: ID numerik organisasi

Jalankan perintah gcloud scc posture-templates describe:

Linux, macOS, atau Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53

Respons berisi template postur.

REST

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • ORGANIZATION_ID: ID numerik organisasi

Metode HTTP dan URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53

Untuk mengirim permintaan, perluas salah satu opsi berikut:

Respons berisi template postur.

Langkah selanjutnya