En esta página, se describen las políticas de detección que se incluyen en la versión v1.0 de la plantilla de postura predefinida para el estándar SP 800-53 del Instituto Nacional de Estándares y Tecnología (NIST). Esta plantilla incluye un conjunto de políticas que definen los detectores de Security Health Analytics que se aplican a las cargas de trabajo que deben cumplir con el estándar NIST SP 800-53.
Puedes implementar esta plantilla de postura sin hacer ningún cambio.
Detectores de estadísticas de estado de seguridad
En la siguiente tabla, se describen los detectores de las estadísticas del estado de la seguridad que se incluyen en esta plantilla de postura.
Nombre del detector | Descripción |
---|---|
BIGQUERY_TABLE_CMEK_DISABLED |
Este detector verifica si una tabla de BigQuery no está configurada para usar una clave de encriptación administrada por el cliente (CMEK). Para obtener más información, consulta Resultados de vulnerabilidades de conjuntos de datos. |
PUBLIC_DATASET |
Este detector verifica si un conjunto de datos está configurado para abrirse el acceso público. Para obtener más información, consulta Resultados de vulnerabilidades de conjuntos de datos. |
SQL_CROSS_DB_OWNERSHIP_CHAINING |
Este detector verifica si la marca |
INSTANCE_OS_LOGIN_DISABLED |
Este detector verifica si el Acceso al SO no está activado. |
SQL_SKIP_SHOW_DATABASE_DISABLED |
Este detector verifica si la marca |
SQL_EXTERNAL_SCRIPTS_ENABLED |
Este detector verifica si la marca |
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED |
Este detector verifica si los registros de flujo de VPC no están activados. |
API_KEY_EXISTS |
Este detector verifica si un proyecto usa claves de API en lugar de la autenticación estándar. |
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY |
Este detector verifica si la marca |
COMPUTE_SERIAL_PORTS_ENABLED |
Este detector verifica si los puertos en serie están habilitados. |
SQL_LOG_DISCONNECTIONS_DISABLED |
Este detector verifica si la marca |
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
Este detector verifica si se usan claves SSH de todo el proyecto. |
KMS_PROJECT_HAS_OWNER |
Este detector verifica si un usuario tiene el permiso de Propietario en un proyecto que incluye claves. |
KMS_KEY_NOT_ROTATED |
Este detector verifica si la rotación de la encriptación de Cloud Key Management Service no está activada. |
ESSENTIAL_CONTACTS_NOT_CONFIGURED |
Este detector verifica si tienes al menos un Contacto esencial. |
AUDIT_LOGGING_DISABLED |
Este detector verifica si el registro de auditoría está desactivado para un recurso. |
LOCKED_RETENTION_POLICY_NOT_SET |
Este detector verifica si la política de retención bloqueada está configurada para los registros. |
DNS_LOGGING_DISABLED |
Este detector verifica si el registro DNS está habilitado en la red de VPC. |
LOG_NOT_EXPORTED |
Este detector verifica si un recurso no tiene un receptor de registros configurado. |
KMS_ROLE_SEPARATION |
Este detector verifica la separación de tareas para las claves de Cloud KMS. |
DISK_CSEK_DISABLED |
Este detector verifica si la compatibilidad con la clave de encriptación proporcionada por el cliente (CSEK) está desactivada para una VM. |
SQL_USER_CONNECTIONS_CONFIGURED |
Este detector verifica si se configuró la marca |
API_KEY_APIS_UNRESTRICTED |
Este detector verifica si las claves de API se usan de manera demasiado amplia. |
SQL_LOG_MIN_MESSAGES |
Este detector verifica si la marca |
SQL_LOCAL_INFILE |
Este detector verifica si la marca |
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED |
Este detector verifica si la marca |
DATASET_CMEK_DISABLED |
Este detector verifica si la compatibilidad con CMEK está desactivada para un conjunto de datos de BigQuery. |
OPEN_SSH_PORT |
Este detector verifica si un firewall tiene un puerto SSH abierto que permite el acceso genérico. Para obtener más información, consulta Firewall hallazgos de vulnerabilidades. |
FIREWALL_NOT_MONITORED |
Este detector verifica si las métricas de registros y las alertas no están configuradas para supervisar los cambios en las reglas de firewall de VPC. |
SQL_LOG_STATEMENT |
Este detector verifica si la marca |
SQL_PUBLIC_IP |
Este detector verifica si una base de datos de Cloud SQL tiene una dirección IP externa. |
IP_FORWARDING_ENABLED |
Este detector verifica si el reenvío de IP está activado. |
DATAPROC_CMEK_DISABLED |
Este detector verifica si la compatibilidad con CMEK está desactivada para un clúster de Dataproc. |
CONFIDENTIAL_COMPUTING_DISABLED |
Este detector verifica si el procesamiento confidencial está desactivado. |
KMS_PUBLIC_KEY |
Este detector verifica si se puede acceder públicamente a una clave criptográfica de Cloud Key Management Service. Para obtener más información, consulta Hallazgos de vulnerabilidades de KMS. |
SQL_INSTANCE_NOT_MONITORED |
Este detector verifica si el registro está desactivado para los cambios de configuración de Cloud SQL. |
SQL_TRACE_FLAG_3625 |
Este detector verifica si la marca |
DEFAULT_NETWORK |
Este detector verifica si la red predeterminada existe en un proyecto. |
DNSSEC_DISABLED |
Este detector verifica si la seguridad de DNS (DNSSEC) está desactivada para Cloud DNS: Para obtener más información, consulta DNS hallazgos de vulnerabilidades. |
API_KEY_NOT_ROTATED |
Este detector verifica si una clave de API se rotó en los últimos 90 días. |
SQL_LOG_CONNECTIONS_DISABLED |
Este detector verifica si la marca |
LEGACY_NETWORK |
Este detector verifica si existe una red heredada en un proyecto. |
IAM_ROOT_ACCESS_KEY_CHECK |
Este detector verifica si se puede acceder a la clave de acceso raíz de IAM. |
PUBLIC_IP_ADDRESS |
Este detector verifica si una instancia tiene una dirección IP externa. |
OPEN_RDP_PORT |
Este detector verifica si un firewall tiene un puerto RDP abierto. |
INSTANCE_OS_LOGIN_DISABLED |
Este detector verifica si el Acceso al SO no está activado. |
ADMIN_SERVICE_ACCOUNT |
Este detector verifica si una cuenta de servicio tiene privilegios de administrador, propietario o editor. |
SQL_USER_OPTIONS_CONFIGURED |
Este detector verifica si se configuró la marca |
FULL_API_ACCESS |
Este detector verifica si una instancia usa una cuenta de servicio predeterminada con acceso completo a todas las APIs de Google Cloud. |
DEFAULT_SERVICE_ACCOUNT_USED |
Este detector verifica si se está usando la cuenta de servicio predeterminada. |
NETWORK_NOT_MONITORED |
Este detector verifica si las métricas y las alertas de registros no están configuradas para supervisar los cambios de la red de VPC. |
SQL_CONTAINED_DATABASE_AUTHENTICATION |
Este detector verifica si la marca |
PUBLIC_BUCKET_ACL |
Este detector verifica si se puede acceder públicamente a un bucket. |
LOAD_BALANCER_LOGGING_DISABLED |
Este detector verifica si el registro está desactivado para el balanceador de cargas. |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
Este detector verifica si un usuario tiene roles de cuenta de servicio a nivel del proyecto, en lugar de una cuenta de servicio específica. |
SQL_REMOTE_ACCESS_ENABLED |
Este detector verifica si la marca |
CUSTOM_ROLE_NOT_MONITORED |
Este detector verifica si el registro está desactivado para los cambios de roles personalizados. |
AUTO_BACKUP_DISABLED |
Este detector verifica si una base de datos de Cloud SQL no tiene activadas las copias de seguridad automáticas. |
RSASHA1_FOR_SIGNING |
Este detector verifica si se usa RSASHA1 para la firma de claves en las zonas de Cloud DNS. |
CLOUD_ASSET_API_DISABLED |
Este detector verifica si Cloud Asset Inventory está desactivado. |
SQL_LOG_ERROR_VERBOSITY |
Este detector verifica si la marca |
ROUTE_NOT_MONITORED |
Este detector verifica si las métricas y alertas de registro no están configuradas para supervisar los cambios en las rutas de la red de VPC. |
BUCKET_POLICY_ONLY_DISABLED |
Este detector verifica si el acceso uniforme a nivel de bucket está configurado. |
BUCKET_IAM_NOT_MONITORED |
Este detector verifica si el registro está desactivado para los cambios de permiso de IAM en Cloud Storage. |
PUBLIC_SQL_INSTANCE |
Este detector verifica si Cloud SQL permite conexiones desde todas las direcciones IP. |
SERVICE_ACCOUNT_ROLE_SEPARATION |
Este detector verifica la separación de tareas para las claves de la cuenta de servicio. |
AUDIT_CONFIG_NOT_MONITORED |
Este detector verifica si se supervisan los cambios en la configuración de auditoría. |
OWNER_NOT_MONITORED |
Este detector verifica si el registro está desactivado para las asignaciones y los cambios de propiedad del proyecto. |
Visualiza la plantilla de postura
Para ver la plantilla de postura para NIST 800-53, haz lo siguiente:
gcloud
Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:
-
ORGANIZATION_ID
: El ID numérico de la organización
Ejecuta el comando
gcloud scc posture-templates
describe
:
:
Linux, macOS o Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53
La respuesta contiene la plantilla de postura.
REST
Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:
-
ORGANIZATION_ID
: El ID numérico de la organización
Método HTTP y URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53
Para enviar tu solicitud, expande una de estas opciones:
La respuesta contiene la plantilla de postura.