Vordefinierte Statusvorlage für NIST SP 800-53

Auf dieser Seite werden die Richtlinien zur Erkennung von Sicherheitslücken beschrieben, die in der Version 1.0 der vordefinierten Posture-Vorlage für den SP 800-53-Standard des National Institute of Standards and Technology (NIST) enthalten sind. Diese Vorlage enthält einen Richtliniensatz, der definiert, Security Health Analytics-Detektoren für Arbeitslasten, die mit dem NIST SP 800-53-Standard.

Sie können diese Vorlage für den Sicherheitsstatus bereitstellen, ohne Änderungen vorzunehmen.

Security Health Analytics – Detektoren

In der folgenden Tabelle werden die Detektoren von Security Health Analytics beschrieben, die in dieser Posture-Vorlage.

Detektorname Beschreibung
BIGQUERY_TABLE_CMEK_DISABLED

Dieser Detektor prüft, ob keine BigQuery-Tabelle konfiguriert ist um einen vom Kunden verwalteten Verschlüsselungsschlüssel (CMEK) zu verwenden. Weitere Informationen finden Sie unter Datensatz Ergebnisse zu Sicherheitslücken.

PUBLIC_DATASET

Dieser Detektor prüft, ob ein Datensatz für den öffentlichen Zugriff konfiguriert ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Datasets.

SQL_CROSS_DB_OWNERSHIP_CHAINING

Dieser Prüfer prüft, ob das Flag cross_db_ownership_chaining in Cloud SQL for SQL Server nicht deaktiviert ist.

INSTANCE_OS_LOGIN_DISABLED

Dieser Detektor prüft, ob OS Login nicht aktiviert ist.

SQL_SKIP_SHOW_DATABASE_DISABLED

Dieser Detektor prüft, ob das Flag skip_show_database in Cloud SQL for MySQL nicht aktiviert ist.

SQL_EXTERNAL_SCRIPTS_ENABLED

Dieser Detektor prüft, ob das Flag external scripts enabled in Cloud SQL for SQL Server nicht deaktiviert ist.

VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Dieser Detektor prüft, ob VPC-Flusslogs nicht aktiviert sind.

API_KEY_EXISTS

Dieser Prüfmechanismus prüft, ob in einem Projekt API-Schlüssel anstelle der Standardauthentifizierung verwendet werden.

SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

Dieser Prüfmechanismus prüft, ob das Flag log_min_error_statement in Cloud SQL for PostgreSQL keinen geeigneten Schweregrad hat.

COMPUTE_SERIAL_PORTS_ENABLED

Dieser Detektor prüft, ob serielle Ports aktiviert sind.

SQL_LOG_DISCONNECTIONS_DISABLED

Dieser Prüfmechanismus prüft, ob das Flag log_disconnections in Cloud SQL for PostgreSQL deaktiviert ist.

COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

Dieser Detektor prüft, ob projektweite SSH-Schlüssel verwendet werden.

KMS_PROJECT_HAS_OWNER

Dieser Detektor prüft, ob ein Nutzer die Berechtigung Owner für ein Projekt hat, das Schlüssel enthält.

KMS_KEY_NOT_ROTATED

Dieser Detektor prüft, ob die Rotation für die Cloud Key Management Service-Verschlüsselung nicht aktiviert ist.

ESSENTIAL_CONTACTS_NOT_CONFIGURED

Mit diesem Detektor wird geprüft, ob Sie mindestens einen wichtigen Kontakt haben.

AUDIT_LOGGING_DISABLED

Dieser Detektor prüft, ob Audit-Logging für eine Ressource deaktiviert ist.

LOCKED_RETENTION_POLICY_NOT_SET

Dieser Detektor prüft, ob die gesperrte Aufbewahrungsrichtlinie für Logs festgelegt ist.

DNS_LOGGING_DISABLED

Mit diesem Detektor wird geprüft, ob das DNS-Logging im VPC-Netzwerk aktiviert ist.

LOG_NOT_EXPORTED

Dieser Detektor prüft, ob für eine Ressource keine Logsenke konfiguriert ist.

KMS_ROLE_SEPARATION

Dieser Detektor prüft die Aufgabentrennung für Cloud KMS-Schlüssel.

DISK_CSEK_DISABLED

Dieser Detektor prüft, ob die Unterstützung für vom Kunden bereitgestellte Verschlüsselungsschlüssel (CSEK) für eine VM deaktiviert ist.

SQL_USER_CONNECTIONS_CONFIGURED

Dieser Prüfmechanismus prüft, ob das Flag user connections in Cloud SQL for SQL Server konfiguriert ist.

API_KEY_APIS_UNRESTRICTED

Dieser Detektor prüft, ob API-Schlüssel zu allgemein verwendet werden.

SQL_LOG_MIN_MESSAGES

Dieser Prüfmechanismus prüft, ob das Flag log_min_messages in Cloud SQL for PostgreSQL nicht auf warning gesetzt ist.

SQL_LOCAL_INFILE

Dieser Detektor prüft, ob das Flag local_infile in Cloud SQL for MySQL aktiviert ist.

SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

Dieser Prüfmechanismus prüft, ob das Flag log_min_duration_statement in Cloud SQL for PostgreSQL nicht auf -1 gesetzt ist.

DATASET_CMEK_DISABLED

Mit diesem Detektor wird geprüft, ob die CMEK-Unterstützung für ein BigQuery-Dataset deaktiviert ist.

OPEN_SSH_PORT

Dieser Detector prüft, ob eine Firewall einen offenen SSH-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls.

FIREWALL_NOT_MONITORED

Dieser Detektor prüft, ob Logmesswerte und Benachrichtigungen nicht zum Überwachen von Änderungen der VPC-Firewallregel konfiguriert sind.

SQL_LOG_STATEMENT

Dieser Detektor prüft, ob das Flag log_statement in Cloud SQL for PostgreSQL Server nicht auf ddl festgelegt ist.

SQL_PUBLIC_IP

Dieser Detector prüft, ob eine Cloud SQL-Datenbank eine externe IP-Adresse hat.

IP_FORWARDING_ENABLED

Dieser Detektor prüft, ob die IP-Weiterleitung aktiviert ist.

DATAPROC_CMEK_DISABLED

Dieser Detektor prüft, ob die CMEK-Unterstützung für einen Dataproc-Cluster deaktiviert ist.

CONFIDENTIAL_COMPUTING_DISABLED

Dieser Detektor prüft, ob Confidential Computing deaktiviert ist.

KMS_PUBLIC_KEY

Dieser Detector prüft, ob ein kryptografischer Cloud Key Management Service-Schlüssel öffentlich zugänglich ist. Weitere Informationen finden Sie unter KMS Ergebnisse zu Sicherheitslücken.

SQL_INSTANCE_NOT_MONITORED

Dieser Detektor prüft, ob das Logging für Cloud SQL-Konfigurationsänderungen deaktiviert ist.

SQL_TRACE_FLAG_3625

Dieser Detektor prüft, ob das Flag 3625 (trace flag) in Cloud SQL for SQL Server nicht aktiviert ist.

DEFAULT_NETWORK

Dieser Detektor prüft, ob das Standardnetzwerk in einem Projekt vorhanden ist.

DNSSEC_DISABLED

Dieser Detektor prüft, ob die DNS-Sicherheit (DNSSEC) für Cloud DNS deaktiviert ist. Weitere Informationen finden Sie unter DNS Ergebnisse zu Sicherheitslücken.

API_KEY_NOT_ROTATED

Dieser Detektor prüft, ob ein API-Schlüssel in den letzten 90 Tagen rotiert wurde.

SQL_LOG_CONNECTIONS_DISABLED

Dieser Prüfmechanismus prüft, ob das Flag log_connections in Cloud SQL for PostgreSQL deaktiviert ist.

LEGACY_NETWORK

Dieser Detektor prüft, ob ein Legacy-Netzwerk in einem Projekt vorhanden ist.

IAM_ROOT_ACCESS_KEY_CHECK

Dieser Detektor prüft, ob der IAM-Root-Zugriffsschlüssel zugänglich ist.

PUBLIC_IP_ADDRESS

Dieser Detektor prüft, ob eine Instanz eine externe IP-Adresse hat.

OPEN_RDP_PORT

Dieser Detektor prüft, ob eine Firewall einen offenen RDP-Port hat.

INSTANCE_OS_LOGIN_DISABLED

Mit diesem Detektor wird geprüft, ob OS Login nicht aktiviert ist.

ADMIN_SERVICE_ACCOUNT

Mit diesem Detektor wird geprüft, ob ein Dienstkonto die Berechtigungen Administrator, Inhaber oder Bearbeiter hat.

SQL_USER_OPTIONS_CONFIGURED

Dieser Detektor prüft, ob das Flag user options in Cloud SQL for SQL Server konfiguriert ist.

FULL_API_ACCESS

Dieser Prüfmechanismus prüft, ob für eine Instanz ein Standarddienstkonto mit uneingeschränktem Zugriff auf alle Google Cloud APIs verwendet wird.

DEFAULT_SERVICE_ACCOUNT_USED

Dieser Detektor prüft, ob das Standarddienstkonto verwendet wird.

NETWORK_NOT_MONITORED

Dieser Detektor prüft, ob Logmesswerte und Benachrichtigungen nicht zum Überwachen von VPC-Netzwerkänderungen konfiguriert sind.

SQL_CONTAINED_DATABASE_AUTHENTICATION

Dieser Detektor prüft, ob das Flag contained database authentication in Cloud SQL for SQL Server nicht deaktiviert ist.

PUBLIC_BUCKET_ACL

Dieser Detektor prüft, ob ein Bucket öffentlich zugänglich ist.

LOAD_BALANCER_LOGGING_DISABLED

Dieser Detektor prüft, ob das Logging für den Load-Balancer deaktiviert ist.

OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Dieser Detektor prüft, ob ein Nutzer Dienstkontorollen auf Projektebene und nicht für ein bestimmtes Dienstkonto hat.

SQL_REMOTE_ACCESS_ENABLED

Dieser Detektor prüft, ob das Flag remote_access in Cloud SQL for SQL Server nicht deaktiviert ist.

CUSTOM_ROLE_NOT_MONITORED

Dieser Detektor prüft, ob die Protokollierung für Änderungen an benutzerdefinierten Rollen deaktiviert ist.

AUTO_BACKUP_DISABLED

Dieser Detektor prüft, ob für eine Cloud SQL-Datenbank keine automatischen Sicherungen aktiviert sind.

RSASHA1_FOR_SIGNING

Dieser Detektor prüft, ob RSASHA1 für die Schlüsselsignierung in Cloud DNS-Zonen verwendet wird.

CLOUD_ASSET_API_DISABLED

Dieser Detektor prüft, ob Cloud Asset Inventory deaktiviert ist.

SQL_LOG_ERROR_VERBOSITY

Dieser Detektor prüft, ob das Flag log_error_verbosity in Cloud SQL for PostgreSQL nicht auf default gesetzt ist.

ROUTE_NOT_MONITORED

Dieser Detektor prüft, ob Logmesswerte und Benachrichtigungen nicht für das Monitoring von Änderungen an der VPC-Netzwerkroute konfiguriert sind.

BUCKET_POLICY_ONLY_DISABLED

Dieser Detektor prüft, ob ein einheitlicher Zugriff auf Bucket-Ebene konfiguriert ist.

BUCKET_IAM_NOT_MONITORED

Dieser Detektor prüft, ob das Logging für Änderungen der IAM-Berechtigung in Cloud Storage deaktiviert ist.

PUBLIC_SQL_INSTANCE

Dieser Detektor prüft, ob Cloud SQL Verbindungen von allen IP-Adressen zulässt.

SERVICE_ACCOUNT_ROLE_SEPARATION

Dieser Detektor prüft die Aufgabentrennung für Dienstkontoschlüssel.

AUDIT_CONFIG_NOT_MONITORED

Dieser Detektor prüft, ob Änderungen an der Audit-Konfiguration überwacht werden.

OWNER_NOT_MONITORED

Mit diesem Detektor wird geprüft, ob die Protokollierung für Zuweisungen und Änderungen der Projektinhaberschaft deaktiviert ist.

Vorlage für den Sicherheitsstatus ansehen

So rufen Sie die Vorlage für die Bewertung für NIST 800-53 auf:

gcloud

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • ORGANIZATION_ID: die numerische ID der Organisation

Führen Sie den gcloud scc posture-templates describe Befehl:

Linux, macOS oder Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53

Die Antwort enthält die Vorlage für die Bewertung.

REST

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • ORGANIZATION_ID: die numerische ID der Organisation

HTTP-Methode und URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort enthält die Posture-Vorlage.

Nächste Schritte