Halaman ini menjelaskan kebijakan detektif yang disertakan dalam versi v1.0 template postur standar untuk standar National Institute of Standards and Technology (NIST) SP 800-53. Template ini mencakup kumpulan kebijakan yang menentukan detektor Security Health Analytics yang berlaku untuk workload yang harus mematuhi standar NIST SP 800-53.
Anda dapat men-deploy template postur ini tanpa melakukan perubahan apa pun.
Pendeteksi Security Health Analytics
Tabel berikut menjelaskan detektor Security Health Analytics yang disertakan dalam template postur ini.
| Nama pendeteksi | Deskripsi |
|---|---|
BIGQUERY_TABLE_CMEK_DISABLED |
Pendeteksi ini memeriksa apakah tabel BigQuery tidak dikonfigurasi untuk menggunakan kunci enkripsi yang dikelola pelanggan (CMEK). Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan set data. |
PUBLIC_DATASET |
Detektor ini memeriksa apakah set data dikonfigurasi agar terbuka untuk akses publik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan set data. |
SQL_CROSS_DB_OWNERSHIP_CHAINING |
Detektor ini memeriksa apakah flag |
INSTANCE_OS_LOGIN_DISABLED |
Pendeteksi ini memeriksa apakah Login OS tidak diaktifkan. |
SQL_SKIP_SHOW_DATABASE_DISABLED |
Detektor ini memeriksa apakah flag |
SQL_EXTERNAL_SCRIPTS_ENABLED |
Detektor ini memeriksa apakah flag |
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED |
Pendeteksi ini memeriksa apakah Log Aliran VPC tidak diaktifkan. |
API_KEY_EXISTS |
Pendeteksi ini memeriksa apakah project menggunakan kunci API, bukan autentikasi standar. |
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY |
Detektor ini memeriksa apakah flag |
COMPUTE_SERIAL_PORTS_ENABLED |
Pendeteksi ini memeriksa apakah port serial diaktifkan. |
SQL_LOG_DISCONNECTIONS_DISABLED |
Detektor ini memeriksa apakah tanda |
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
Detektor ini memeriksa apakah kunci SSH di seluruh project sedang digunakan. |
KMS_PROJECT_HAS_OWNER |
Pendeteksi ini memeriksa apakah pengguna memiliki izin Pemilik di project yang menyertakan kunci. |
KMS_KEY_NOT_ROTATED |
Detektor ini memeriksa apakah rotasi untuk enkripsi Cloud Key Management Service tidak diaktifkan. |
ESSENTIAL_CONTACTS_NOT_CONFIGURED |
Pendeteksi ini memeriksa apakah Anda memiliki setidaknya satu Kontak Penting. |
AUDIT_LOGGING_DISABLED |
Pendeteksi ini memeriksa apakah logging audit dinonaktifkan untuk suatu resource. |
LOCKED_RETENTION_POLICY_NOT_SET |
Pendeteksi ini memeriksa apakah kebijakan retensi yang terkunci disetel untuk log. |
DNS_LOGGING_DISABLED |
Detektor ini memeriksa apakah logging DNS diaktifkan di jaringan VPC. |
LOG_NOT_EXPORTED |
Detektor ini memeriksa apakah resource tidak memiliki sink log yang dikonfigurasi. |
KMS_ROLE_SEPARATION |
Detektor ini memeriksa pemisahan tugas untuk kunci Cloud KMS. |
DISK_CSEK_DISABLED |
Pendeteksi ini memeriksa apakah dukungan kunci enkripsi yang disediakan pelanggan (CSEK) dinonaktifkan untuk VM. |
SQL_USER_CONNECTIONS_CONFIGURED |
Detektor ini memeriksa apakah flag |
API_KEY_APIS_UNRESTRICTED |
Pendeteksi ini memeriksa apakah kunci API digunakan terlalu luas. |
SQL_LOG_MIN_MESSAGES |
Detektor ini memeriksa apakah flag |
SQL_LOCAL_INFILE |
Detektor ini memeriksa apakah flag |
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED |
Detektor ini memeriksa apakah flag |
DATASET_CMEK_DISABLED |
Pendeteksi ini memeriksa apakah dukungan CMEK dinonaktifkan untuk set data BigQuery. |
OPEN_SSH_PORT |
Pendeteksi ini memeriksa apakah firewall memiliki port SSH terbuka yang memungkinkan akses generik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall. |
FIREWALL_NOT_MONITORED |
Pendeteksi ini memeriksa apakah notifikasi dan metrik log tidak dikonfigurasi untuk memantau perubahan aturan firewall VPC. |
SQL_LOG_STATEMENT |
Detektor ini memeriksa apakah tanda |
SQL_PUBLIC_IP |
Pendeteksi ini memeriksa apakah database Cloud SQL memiliki alamat IP eksternal atau tidak. |
IP_FORWARDING_ENABLED |
Pendeteksi ini memeriksa apakah penerusan IP diaktifkan atau tidak. |
DATAPROC_CMEK_DISABLED |
Detektor ini memeriksa apakah dukungan CMEK dinonaktifkan untuk cluster Dataproc. |
CONFIDENTIAL_COMPUTING_DISABLED |
Pendeteksi ini memeriksa apakah Confidential Computing dinonaktifkan. |
KMS_PUBLIC_KEY |
Pendeteksi ini memeriksa apakah kunci kriptografis Cloud Key Management Service dapat diakses secara publik. Untuk informasi selengkapnya, lihat Temuan kerentanan KMS. |
SQL_INSTANCE_NOT_MONITORED |
Pendeteksi ini memeriksa apakah logging dinonaktifkan untuk perubahan konfigurasi Cloud SQL. |
SQL_TRACE_FLAG_3625 |
Detektor ini memeriksa apakah flag |
DEFAULT_NETWORK |
Pendeteksi ini memeriksa apakah jaringan default ada dalam project. |
DNSSEC_DISABLED |
Detektor ini memeriksa apakah keamanan DNS (DNSSEC) dinonaktifkan untuk Cloud DNS. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan DNS. |
API_KEY_NOT_ROTATED |
Pendeteksi ini memeriksa apakah kunci API telah dirotasi dalam 90 hari terakhir. |
SQL_LOG_CONNECTIONS_DISABLED |
Detektor ini memeriksa apakah tanda |
LEGACY_NETWORK |
Detektor ini memeriksa apakah jaringan lama ada dalam project. |
IAM_ROOT_ACCESS_KEY_CHECK |
Pendeteksi ini memeriksa apakah kunci akses root IAM dapat diakses. |
PUBLIC_IP_ADDRESS |
Pendeteksi ini memeriksa apakah instance memiliki alamat IP eksternal atau tidak. |
OPEN_RDP_PORT |
Detektor ini memeriksa apakah firewall memiliki port RDP terbuka atau tidak. |
INSTANCE_OS_LOGIN_DISABLED |
Pendeteksi ini memeriksa apakah Login OS tidak diaktifkan. |
ADMIN_SERVICE_ACCOUNT |
Pendeteksi ini memeriksa apakah akun layanan memiliki hak istimewa Admin, Pemilik, atau Editor. |
SQL_USER_OPTIONS_CONFIGURED |
Detektor ini memeriksa apakah flag |
FULL_API_ACCESS |
Pendeteksi ini memeriksa apakah instance menggunakan akun layanan default dengan akses penuh ke semua Google Cloud API. |
DEFAULT_SERVICE_ACCOUNT_USED |
Pendeteksi ini memeriksa apakah akun layanan default digunakan. |
NETWORK_NOT_MONITORED |
Pendeteksi ini memeriksa apakah pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan jaringan VPC. |
SQL_CONTAINED_DATABASE_AUTHENTICATION |
Detektor ini memeriksa apakah flag |
PUBLIC_BUCKET_ACL |
Pendeteksi ini memeriksa apakah bucket dapat diakses secara publik. |
LOAD_BALANCER_LOGGING_DISABLED |
Detektor ini memeriksa apakah logging dinonaktifkan untuk load balancer. |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
Pendeteksi ini memeriksa apakah pengguna memiliki peran akun layanan di level project, bukan untuk akun layanan tertentu. |
SQL_REMOTE_ACCESS_ENABLED |
Detektor ini memeriksa apakah flag |
CUSTOM_ROLE_NOT_MONITORED |
Pendeteksi ini memeriksa apakah logging dinonaktifkan untuk perubahan peran khusus. |
AUTO_BACKUP_DISABLED |
Detektor ini memeriksa apakah database Cloud SQL tidak mengaktifkan pencadangan otomatis. |
RSASHA1_FOR_SIGNING |
Detektor ini memeriksa apakah RSASHA1 digunakan untuk penandatanganan kunci di zona Cloud DNS. |
CLOUD_ASSET_API_DISABLED |
Pendeteksi ini memeriksa apakah Inventaris Aset Cloud dinonaktifkan. |
SQL_LOG_ERROR_VERBOSITY |
Detektor ini memeriksa apakah flag |
ROUTE_NOT_MONITORED |
Pendeteksi ini memeriksa apakah pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan rute jaringan VPC. |
BUCKET_POLICY_ONLY_DISABLED |
Pendeteksi ini memeriksa apakah akses level bucket yang seragam dikonfigurasi. |
BUCKET_IAM_NOT_MONITORED |
Pendeteksi ini memeriksa apakah logging dinonaktifkan untuk perubahan izin IAM di Cloud Storage. |
PUBLIC_SQL_INSTANCE |
Detektor ini memeriksa apakah Cloud SQL mengizinkan koneksi dari semua alamat IP. |
SERVICE_ACCOUNT_ROLE_SEPARATION |
Pendeteksi ini memeriksa pemisahan tugas untuk kunci akun layanan. |
AUDIT_CONFIG_NOT_MONITORED |
Pendeteksi ini memeriksa apakah perubahan konfigurasi audit sedang dipantau. |
OWNER_NOT_MONITORED |
Pendeteksi ini memeriksa apakah logging dinonaktifkan untuk penetapan dan perubahan kepemilikan project. |
Definisi YAML
Berikut adalah definisi YAML untuk template postur untuk NIST 800-53.
name: organizations/123/locations/global/postureTemplates/nist_800_53
description: Posture Template to make your workload NIST800-53 compliant.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: NIST800-53 detective policy set
description: 68 SHA modules that new customers can automatically enable.
policies:
- policy_id: BigQuery table CMEK disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BIGQUERY_TABLE_CMEK_DISABLED
- policy_id: Public dataset
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_DATASET
- policy_id: SQl cross db ownership
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_CROSS_DB_OWNERSHIP_CHAINING
- policy_id: Instance OS login disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: INSTANCE_OS_LOGIN_DISABLED
- policy_id: SQL skip show database disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_SKIP_SHOW_DATABASE_DISABLED
- policy_id: SQL external scripts enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_EXTERNAL_SCRIPTS_ENABLED
- policy_id: VPC flow logs settings not recommended
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED
- policy_id: API key exists
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: API_KEY_EXISTS
- policy_id: SQL log min error statement severity
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY
- policy_id: Compute serial ports enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: COMPUTE_SERIAL_PORTS_ENABLED
- policy_id: SQL log disconnections disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_DISCONNECTIONS_DISABLED
- policy_id: Compute project wide SHH keys allowed
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED
- policy_id: KMS project has owner
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_PROJECT_HAS_OWNER
- policy_id: KMS key not rotated
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_KEY_NOT_ROTATED
- policy_id: Essential contacts not configured
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ESSENTIAL_CONTACTS_NOT_CONFIGURED
- policy_id: Audit logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUDIT_LOGGING_DISABLED
- policy_id: Locked retention policy not set
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LOCKED_RETENTION_POLICY_NOT_SET
- policy_id: DNS logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DNS_LOGGING_DISABLED
- policy_id: Log not exported
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LOG_NOT_EXPORTED
- policy_id: KMS role separation
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_ROLE_SEPARATION
- policy_id: Disk CSEK disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DISK_CSEK_DISABLED
- policy_id: SQL user connections configured
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_USER_CONNECTIONS_CONFIGURED
- policy_id: API key APIs unrestricted
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: API_KEY_APIS_UNRESTRICTED
- policy_id: SQL log min messages
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_MIN_MESSAGES
- policy_id: SQL log infile
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOCAL_INFILE
- policy_id: SQL log min duration statement enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_MIN_DURATION_STATEMENT_ENABLED
- policy_id: Dataset CMEK disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DATASET_CMEK_DISABLED
- policy_id: Open SSH port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_SSH_PORT
- policy_id: Firewall not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FIREWALL_NOT_MONITORED
- policy_id: SQL log statement
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_STATEMENT
- policy_id: SQL public IP
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_PUBLIC_IP
- policy_id: IP forwarding enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: IP_FORWARDING_ENABLED
- policy_id: Dataproc CMEK disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DATAPROC_CMEK_DISABLED
- policy_id: Confidential computing disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CONFIDENTIAL_COMPUTING_DISABLED
- policy_id: KMS public key
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_PUBLIC_KEY
- policy_id: SQL instance not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_INSTANCE_NOT_MONITORED
- policy_id: SQL trace flag 3625
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_TRACE_FLAG_3625
- policy_id: Default network
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DEFAULT_NETWORK
- policy_id: DNSSEC disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DNSSEC_DISABLED
- policy_id: API key not rotated
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: API_KEY_NOT_ROTATED
- policy_id: SQL log connections disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_CONNECTIONS_DISABLED
- policy_id: Legacy network
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LEGACY_NETWORK
- policy_id: IAM root access key check
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: IAM_ROOT_ACCESS_KEY_CHECK
- policy_id: Public IP address
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_IP_ADDRESS
- policy_id: Open RDP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_RDP_PORT
- policy_id: OS login disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OS_LOGIN_DISABLED
- policy_id: Admin service account
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ADMIN_SERVICE_ACCOUNT
- policy_id: SQL user options configured
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_USER_OPTIONS_CONFIGURED
- policy_id: Full API access
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FULL_API_ACCESS
- policy_id: Default service account used
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DEFAULT_SERVICE_ACCOUNT_USED
- policy_id: Network not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: NETWORK_NOT_MONITORED
- policy_id: SQL contained database authentication
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_CONTAINED_DATABASE_AUTHENTICATION
- policy_id: Public bucket ACL
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_BUCKET_ACL
- policy_id: Load balancer logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LOAD_BALANCER_LOGGING_DISABLED
- policy_id: Over privileged service account user
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OVER_PRIVILEGED_SERVICE_ACCOUNT_USER
- policy_id: SQL remote access enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_REMOTE_ACCESS_ENABLED
- policy_id: Custom role not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CUSTOM_ROLE_NOT_MONITORED
- policy_id: Auto backup disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUTO_BACKUP_DISABLED
- policy_id: RSASHA1 for signing
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: RSASHA1_FOR_SIGNING
- policy_id: Cloud asset API disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CLOUD_ASSET_API_DISABLED
- policy_id: SQL log error verbosity
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_ERROR_VERBOSITY
- policy_id: Route not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ROUTE_NOT_MONITORED
- policy_id: Bucket policy only disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_POLICY_ONLY_DISABLED
- policy_id: Bucket IAM not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_IAM_NOT_MONITORED
- policy_id: Publc SQL instance
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_SQL_INSTANCE
- policy_id: Service account role separation
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SERVICE_ACCOUNT_ROLE_SEPARATION
- policy_id: Audit config not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUDIT_CONFIG_NOT_MONITORED
- policy_id: Owner not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OWNER_NOT_MONITORED