Esta página foi traduzida pela API Cloud Translation.

Modelo de postura predefinido para o NIST SP 800-53

Esta página descreve as políticas de detecção incluídas na versão v1.0 do modelo de postura predefinido para a norma Instituto Nacional de Padrões e Tecnologia (NIST) SP 800-53. Esse modelo inclui um conjunto de políticas que define os detectores da Análise de integridade da segurança que se aplicam a cargas de trabalho que precisam estar em conformidade com com o padrão NIST SP 800-53.

É possível implantar esse modelo de postura sem fazer alterações.

Detectores do Security Health Analytics

A tabela a seguir descreve os detectores da Análise de integridade da segurança incluídos em este modelo de postura.

Nome do detector	Descrição
`BIGQUERY_TABLE_CMEK_DISABLED`	Este detector verifica se uma tabela do BigQuery não está configurada usar uma chave de criptografia gerenciada pelo cliente (CMEK). Para mais informações, consulte Conjunto de dados descobertas de vulnerabilidades.
`PUBLIC_DATASET`	Este detector verifica se um conjunto de dados está configurado para ser aberto para acesso público. Para mais informações, consulte Conjunto de dados descobertas de vulnerabilidades.
`SQL_CROSS_DB_OWNERSHIP_CHAINING`	Este detector verifica se a sinalização `cross_db_ownership_chaining` no Cloud SQL para SQL Server não está desativada.
`INSTANCE_OS_LOGIN_DISABLED`	Este detector verifica se o login do SO não está ativado.
`SQL_SKIP_SHOW_DATABASE_DISABLED`	Esse detector verifica se a flag `skip_show_database` no Cloud SQL para MySQL não está ativada.
`SQL_EXTERNAL_SCRIPTS_ENABLED`	Este detector verifica se a sinalização `external scripts enabled` no Cloud SQL para SQL Server não está desativada.
`VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED`	Este detector verifica se os registros de fluxo de VPC não estão ativados.
`API_KEY_EXISTS`	Este detector verifica se um projeto está usando chaves de API em vez de autenticação padrão.
`SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY`	Este detector verifica se a flag `log_min_error_statement` no Cloud SQL para PostgreSQL não tem um nível de gravidade apropriado.
`COMPUTE_SERIAL_PORTS_ENABLED`	Este detector verifica se as portas seriais estão ativadas.
`SQL_LOG_DISCONNECTIONS_DISABLED`	Este detector verifica se a sinalização `log_disconnections` no Cloud SQL para PostgreSQL não está ativada.
`COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED`	Esse detector verifica se as chaves SSH do projeto inteiro estão sendo usadas.
`KMS_PROJECT_HAS_OWNER`	Este detector verifica se um usuário tem a permissão Owner em um projeto que inclui chaves.
`KMS_KEY_NOT_ROTATED`	Este detector verifica se a rotação para a criptografia do Cloud Key Management Service não está ativada.
`ESSENTIAL_CONTACTS_NOT_CONFIGURED`	Este detector verifica se você tem pelo menos um contato essencial.
`AUDIT_LOGGING_DISABLED`	Este detector verifica se o registro de auditoria está desativado para um recurso.
`LOCKED_RETENTION_POLICY_NOT_SET`	Este detector verifica se a política de retenção bloqueada está definida para registros.
`DNS_LOGGING_DISABLED`	Este detector verifica se a geração de registros de DNS está ativada na rede VPC.
`LOG_NOT_EXPORTED`	Este detector verifica se um recurso não tem um coletor de registros configurado.
`KMS_ROLE_SEPARATION`	Esse detector verifica a separação de tarefas para as chaves do Cloud KMS.
`DISK_CSEK_DISABLED`	Esse detector verifica se o suporte à chave de criptografia fornecida pelo cliente (CSEK) está desativado para uma VM.
`SQL_USER_CONNECTIONS_CONFIGURED`	Este detector verifica se a sinalização `user connections` no Cloud SQL para SQL Server está configurada.
`API_KEY_APIS_UNRESTRICTED`	Esse detector verifica se as chaves de API estão sendo usadas de forma muito ampla.
`SQL_LOG_MIN_MESSAGES`	Esse detector verifica se a flag `log_min_messages` no Cloud SQL para PostgreSQL não está definida como `warning`.
`SQL_LOCAL_INFILE`	Este detector verifica se a sinalização `local_infile` no Cloud SQL para MySQL não está desativada.
`SQL_LOG_MIN_DURATION_STATEMENT_ENABLED`	Este detector verifica se a sinalização `log_min_duration_statement` no Cloud SQL para PostgreSQL não está definida como `-1`.
`DATASET_CMEK_DISABLED`	Este detector verifica se o suporte a CMEK está desativado em um conjunto de dados do BigQuery.
`OPEN_SSH_PORT`	Esse detector verifica se um firewall tem uma porta SSH aberta que permite o acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall.
`FIREWALL_NOT_MONITORED`	Este detector verifica se as métricas e os alertas de registro não estão configurados para monitorar as alterações nas regras de firewall da VPC.
`SQL_LOG_STATEMENT`	Este detector verifica se a sinalização `log_statement` no Cloud SQL para PostgreSQL Server não está definida como `ddl`.
`SQL_PUBLIC_IP`	Este detector verifica se um banco de dados do Cloud SQL tem um endereço IP externo.
`IP_FORWARDING_ENABLED`	Este detector verifica se o encaminhamento de IP está ativado.
`DATAPROC_CMEK_DISABLED`	Esse detector verifica se o suporte à CMEK está desativado em um cluster do Dataproc.
`CONFIDENTIAL_COMPUTING_DISABLED`	Este detector verifica se a Computação confidencial está desativada.
`KMS_PUBLIC_KEY`	Este detector verifica se uma chave criptográfica do Cloud Key Management Service acessíveis ao público. Para mais informações, consulte KMS descobertas de vulnerabilidades.
`SQL_INSTANCE_NOT_MONITORED`	Este detector verifica se a geração de registros está desativada para alterações de configuração do Cloud SQL.
`SQL_TRACE_FLAG_3625`	Este detector verifica se a sinalização `3625 (trace flag)` no Cloud SQL para SQL Server está ativada.
`DEFAULT_NETWORK`	Este detector verifica se a rede padrão existe em um projeto.
`DNSSEC_DISABLED`	Este detector verifica se a segurança do DNS (DNSSEC) está desativada para o Cloud DNS. Para mais informações, consulte Descobertas de vulnerabilidade do DNS.
`API_KEY_NOT_ROTATED`	Este detector verifica se uma chave de API foi alternada nos últimos 90 dias.
`SQL_LOG_CONNECTIONS_DISABLED`	Este detector verifica se a sinalização `log_connections` no Cloud SQL para PostgreSQL não está ativada.
`LEGACY_NETWORK`	Este detector verifica se existe uma rede legada em um projeto.
`IAM_ROOT_ACCESS_KEY_CHECK`	Este detector verifica se a chave de acesso raiz do IAM pode ser acessada.
`PUBLIC_IP_ADDRESS`	Este detector verifica se uma instância tem um endereço IP externo.
`OPEN_RDP_PORT`	Esse detector verifica se um firewall tem uma porta RDP aberta.
`INSTANCE_OS_LOGIN_DISABLED`	Este detector verifica se o login do SO não está ativado.
`ADMIN_SERVICE_ACCOUNT`	Este detector verifica se uma conta de serviço tem privilégios de administrador, proprietário ou editor.
`SQL_USER_OPTIONS_CONFIGURED`	Esse detector verifica se a flag `user options` no Cloud SQL para SQL Server está configurada.
`FULL_API_ACCESS`	Esse detector verifica se uma instância está usando uma conta de serviço padrão com acesso total às APIs do Google Cloud.
`DEFAULT_SERVICE_ACCOUNT_USED`	Este detector verifica se a conta de serviço padrão está sendo usada.
`NETWORK_NOT_MONITORED`	Este detector verifica se as métricas e os alertas de registro não estão configurados para monitorar alterações de rede VPC.
`SQL_CONTAINED_DATABASE_AUTHENTICATION`	Esse detector verifica se a flag `contained database authentication` no Cloud SQL para SQL Server não está desativada.
`PUBLIC_BUCKET_ACL`	Este detector verifica se um bucket está acessível publicamente.
`LOAD_BALANCER_LOGGING_DISABLED`	Esse detector verifica se a geração de registros está desativada no balanceador de carga.
`OVER_PRIVILEGED_SERVICE_ACCOUNT_USER`	Esse detector verifica se um usuário tem funções de conta de serviço no nível do projeto, em vez de uma conta de serviço específica.
`SQL_REMOTE_ACCESS_ENABLED`	Este detector verifica se a sinalização `remote_access` no Cloud SQL para SQL Server não está desativada.
`CUSTOM_ROLE_NOT_MONITORED`	Este detector verifica se a geração de registros está desativada para alterações de papéis personalizados.
`AUTO_BACKUP_DISABLED`	Este detector verifica se um banco de dados do Cloud SQL não tem backups automáticos ativados.
`RSASHA1_FOR_SIGNING`	Este detector verifica se o RSASHA1 é usado para assinatura de chaves em zonas do Cloud DNS.
`CLOUD_ASSET_API_DISABLED`	Esse detector verifica se o Inventário de recursos do Cloud está desativado.
`SQL_LOG_ERROR_VERBOSITY`	Este detector verifica se a sinalização `log_error_verbosity` no Cloud SQL para PostgreSQL não está definida como `default`.
`ROUTE_NOT_MONITORED`	Esse detector verifica se as métricas e os alertas de registro não estão configurados para monitorar as alterações na rota da rede VPC.
`BUCKET_POLICY_ONLY_DISABLED`	Este detector verifica se o acesso uniforme no nível do bucket está configurado.
`BUCKET_IAM_NOT_MONITORED`	Esse detector verifica se o registro está desativado para alterações de permissão do IAM no Cloud Storage.
`PUBLIC_SQL_INSTANCE`	Este detector verifica se um Cloud SQL permite conexões de todos os endereços IP.
`SERVICE_ACCOUNT_ROLE_SEPARATION`	Este detector verifica a separação de tarefas para as chaves de conta de serviço.
`AUDIT_CONFIG_NOT_MONITORED`	Este detector verifica se as alterações na configuração de auditoria estão sendo monitoradas.
`OWNER_NOT_MONITORED`	Este detector verifica se a geração de registros está desativada para atribuições e alterações de propriedade do projeto.

Conferir o modelo de postura

Para visualizar o modelo de postura da NIST 800-53, faça o seguinte:

gcloud

Antes de usar os dados do comando abaixo, faça estas substituições:

ORGANIZATION_ID: o ID numérico da organização

Execute o gcloud scc posture-templates describe comando:

Linux, macOS ou Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53

A resposta contém o modelo de postura.

REST

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

ORGANIZATION_ID: o ID numérico da organização

Método HTTP e URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Observação: o comando a seguir pressupõe que você fez login na CLI gcloud com sua conta de usuário executando gcloud init ou gcloud auth login, ou usando o Cloud Shell, que faz login automaticamente na CLI gcloud. . É possível verificar a conta ativa atual executando gcloud auth list.

execute o seguinte comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53"

PowerShell (Windows)

Observação: o comando a seguir pressupõe que você fez login na CLI gcloud com sua conta de usuário executando gcloud init ou gcloud auth login . É possível verificar a conta ativa atual executando gcloud auth list.

execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53" | Select-Object -Expand Content

A resposta contém o modelo de postura.

A seguir

Crie uma postura de segurança usando este modelo.