Questa pagina è stata tradotta dall'API Cloud Translation.

Modello di postura predefinito per NIST SP 800-53

Questa pagina descrive i criteri di rilevamento inclusi nella versione 1.0 del modello di stato predefinito per lo standard SP 800-53 del National Institute of Standards and Technology (NIST). Questo modello include un insieme di criteri che definisce i rilevatori di Security Health Analytics che si applicano ai carichi di lavoro che devono essere conformi allo standard NIST SP 800-53.

Puoi implementare questo modello di postura senza apportare modifiche.

Rilevatori Security Health Analytics

La tabella seguente descrive i rilevatori di Security Health Analytics inclusi in questo modello di postura.

Nome rilevatore	Descrizione
`BIGQUERY_TABLE_CMEK_DISABLED`	Questo rilevatore controlla se non è configurata una tabella BigQuery per utilizzare una chiave di crittografia gestita dal cliente (CMEK). Per ulteriori informazioni, consulta Risultati delle vulnerabilità dei set di dati.
`PUBLIC_DATASET`	Questo rilevatore controlla se un set di dati è configurato per essere aperto all'accesso pubblico. Per ulteriori informazioni, consulta Risultati delle vulnerabilità dei set di dati.
`SQL_CROSS_DB_OWNERSHIP_CHAINING`	Questo rilevatore controlla se il flag `cross_db_ownership_chaining` in Cloud SQL per SQL Server non è disattivato.
`INSTANCE_OS_LOGIN_DISABLED`	Questo rilevatore verifica se OS Login non è attivo.
`SQL_SKIP_SHOW_DATABASE_DISABLED`	Questo rilevatore controlla se il flag `skip_show_database` in Cloud SQL per MySQL non è attivo.
`SQL_EXTERNAL_SCRIPTS_ENABLED`	Questo rilevatore controlla se il flag `external scripts enabled` in Cloud SQL per SQL Server non è disattivato.
`VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED`	Questo rilevatore controlla se i log di flusso VPC non sono attivati.
`API_KEY_EXISTS`	Questo rilevatore controlla se un progetto utilizza chiavi API anziché l'autenticazione standard.
`SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY`	Questo rilevatore controlla se il flag `log_min_error_statement` in Cloud SQL per PostgreSQL non ha un livello di gravità appropriato.
`COMPUTE_SERIAL_PORTS_ENABLED`	Questo rilevatore controlla se le porte seriali sono abilitate.
`SQL_LOG_DISCONNECTIONS_DISABLED`	Questo rilevatore controlla se il flag `log_disconnections` in Cloud SQL per PostgreSQL non è attivo.
`COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED`	Questo rilevatore verifica se vengono utilizzate chiavi SSH a livello di progetto.
`KMS_PROJECT_HAS_OWNER`	Questo rilevatore verifica se un utente dispone dell'autorizzazione Proprietario per un progetto che include chiavi.
`KMS_KEY_NOT_ROTATED`	Questo rilevatore controlla se la rotazione per la crittografia di Cloud Key Management Service non è attivata.
`ESSENTIAL_CONTACTS_NOT_CONFIGURED`	Questo rilevatore controlla se hai almeno un Contatto necessario.
`AUDIT_LOGGING_DISABLED`	Questo rilevatore verifica se l'audit logging è disattivato per una risorsa.
`LOCKED_RETENTION_POLICY_NOT_SET`	Questo rilevatore controlla se il criterio di conservazione bloccato è impostato per i log.
`DNS_LOGGING_DISABLED`	Questo rilevatore controlla se il logging DNS è abilitato sulla rete VPC.
`LOG_NOT_EXPORTED`	Questo rilevatore controlla se per una risorsa non è configurato un sink di log.
`KMS_ROLE_SEPARATION`	Questo rilevatore verifica la separazione dei compiti per le chiavi Cloud KMS.
`DISK_CSEK_DISABLED`	Questo rilevatore controlla se il supporto delle chiavi di crittografia fornite dal cliente (CSEK) è disattivato per una VM.
`SQL_USER_CONNECTIONS_CONFIGURED`	Questo rilevatore controlla se il flag `user connections` in Cloud SQL per SQL Server è configurato.
`API_KEY_APIS_UNRESTRICTED`	Questo rilevatore controlla se le chiavi API vengono utilizzate in modo troppo ampio.
`SQL_LOG_MIN_MESSAGES`	Questo rilevatore controlla se il flag `log_min_messages` in Cloud SQL per PostgreSQL non è impostato su `warning`.
`SQL_LOCAL_INFILE`	Questo rilevatore controlla se il flag `local_infile` in Cloud SQL per MySQL non è disattivato.
`SQL_LOG_MIN_DURATION_STATEMENT_ENABLED`	Questo rilevatore controlla se il flag `log_min_duration_statement` in Cloud SQL per PostgreSQL non è impostato su `-1`.
`DATASET_CMEK_DISABLED`	Questo rilevatore controlla se il supporto CMEK è disattivato per un set di dati BigQuery.
`OPEN_SSH_PORT`	Questo rilevatore verifica se un firewall ha una porta SSH aperta consente l'accesso generico. Per ulteriori informazioni, consulta Risultati delle vulnerabilità del firewall.
`FIREWALL_NOT_MONITORED`	Questo rilevatore controlla se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alle regole del firewall VPC.
`SQL_LOG_STATEMENT`	Questo rilevatore controlla se il flag `log_statement` in Cloud SQL per PostgreSQL Server non è impostato su `ddl`.
`SQL_PUBLIC_IP`	Questo rilevatore verifica se un database Cloud SQL ha un indirizzo IP esterno.
`IP_FORWARDING_ENABLED`	Questo rilevatore verifica se l'IP forwarding è attivo.
`DATAPROC_CMEK_DISABLED`	Questo rilevatore controlla se il supporto CMEK è disattivato per un cluster Dataproc.
`CONFIDENTIAL_COMPUTING_DISABLED`	Questo rilevatore controlla se Confidential Computing è disattivato.
`KMS_PUBLIC_KEY`	Questo rilevatore verifica se una chiave di crittografia Cloud Key Management Service è pubblicamente accessibili. Per ulteriori informazioni, vedi KMS vulnerabilità.
`SQL_INSTANCE_NOT_MONITORED`	Questo rilevatore controlla se la registrazione è disattivata per le modifiche alla configurazione di Cloud SQL.
`SQL_TRACE_FLAG_3625`	Questo rilevatore controlla se il flag `3625 (trace flag)` in Cloud SQL per SQL Server non è attivo.
`DEFAULT_NETWORK`	Questo rilevatore controlla se la rete predefinita esiste in un progetto.
`DNSSEC_DISABLED`	Questo rilevatore controlla se la sicurezza DNS (DNSSEC) è disattivata per Cloud DNS. Per ulteriori informazioni, vedi DNS vulnerabilità.
`API_KEY_NOT_ROTATED`	Questo rilevatore controlla se una chiave API è stata ruotata negli ultimi 90 giorni.
`SQL_LOG_CONNECTIONS_DISABLED`	Questo rilevatore controlla se il flag `log_connections` in Cloud SQL per PostgreSQL non è attivo.
`LEGACY_NETWORK`	Questo rilevatore controlla se in un progetto esiste una rete legacy.
`IAM_ROOT_ACCESS_KEY_CHECK`	Questo rilevatore verifica se la chiave di accesso principale IAM è accessibile.
`PUBLIC_IP_ADDRESS`	Questo rilevatore controlla se un'istanza ha un indirizzo IP esterno.
`OPEN_RDP_PORT`	Questo rilevatore verifica se un firewall ha una porta RDP aperta.
`INSTANCE_OS_LOGIN_DISABLED`	Questo rilevatore controlla se l'accesso al sistema operativo non è attivo.
`ADMIN_SERVICE_ACCOUNT`	Questo rilevatore controlla se un account di servizio dispone dei privilegi Amministratore, Proprietario o Editor.
`SQL_USER_OPTIONS_CONFIGURED`	Questo rilevatore controlla se il flag `user options` in Cloud SQL per SQL Server è configurato.
`FULL_API_ACCESS`	Questo rilevatore verifica se un'istanza utilizza un account di servizio predefinito con accesso completo a tutte le API Google Cloud.
`DEFAULT_SERVICE_ACCOUNT_USED`	Questo rilevatore verifica se viene utilizzato l'account di servizio predefinito.
`NETWORK_NOT_MONITORED`	Questo rilevatore controlla se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alla rete VPC.
`SQL_CONTAINED_DATABASE_AUTHENTICATION`	Questo rilevatore controlla se il flag `contained database authentication` in Cloud SQL per SQL Server non è disattivato.
`PUBLIC_BUCKET_ACL`	Questo rilevatore verifica se un bucket è accessibile pubblicamente.
`LOAD_BALANCER_LOGGING_DISABLED`	Questo rilevatore controlla se il logging è disattivato per il bilanciatore del carico.
`OVER_PRIVILEGED_SERVICE_ACCOUNT_USER`	Questo rilevatore controlla se un utente dispone di ruoli di account di servizio a livello di progetto, anziché per un account di servizio specifico.
`SQL_REMOTE_ACCESS_ENABLED`	Questo rilevatore controlla se il flag `remote_access` in Cloud SQL per SQL Server non è disattivato.
`CUSTOM_ROLE_NOT_MONITORED`	Questo rilevatore controlla se il logging è disattivato per le modifiche ai ruoli personalizzati.
`AUTO_BACKUP_DISABLED`	Questo rilevatore controlla se per un database Cloud SQL non sono attivati i backup automatici.
`RSASHA1_FOR_SIGNING`	Questo rilevatore controlla se RSASHA1 viene utilizzato per la firma delle chiavi nelle zone Cloud DNS.
`CLOUD_ASSET_API_DISABLED`	Questo rilevatore controlla se Cloud Asset Inventory è disattivato.
`SQL_LOG_ERROR_VERBOSITY`	Questo rilevatore controlla se il flag `log_error_verbosity` in Cloud SQL per PostgreSQL non è impostato su `default`.
`ROUTE_NOT_MONITORED`	Questo rilevatore controlla se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alle route di rete VPC.
`BUCKET_POLICY_ONLY_DISABLED`	Questo rilevatore controlla se è configurato l'accesso uniforme a livello di bucket.
`BUCKET_IAM_NOT_MONITORED`	Questo rilevatore controlla se la registrazione è disattivata per le modifiche alle autorizzazioni IAM in Cloud Storage.
`PUBLIC_SQL_INSTANCE`	Questo rilevatore verifica se Cloud SQL consente le connessioni da tutti gli indirizzi IP.
`SERVICE_ACCOUNT_ROLE_SEPARATION`	Questo rilevatore verifica la separazione dei compiti per le chiavi degli account di servizio.
`AUDIT_CONFIG_NOT_MONITORED`	Questo rilevatore controlla se le modifiche alla configurazione del controllo vengono monitorate.
`OWNER_NOT_MONITORED`	Questo rilevatore controlla se il logging è disattivato per le assegnazioni e le modifiche della proprietà del progetto.

Visualizza il modello di postura

Per visualizzare il modello di postura per NIST 800-53, segui questi passaggi:

gcloud

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

ORGANIZATION_ID: l'ID numerico dell'organizzazione

Esegui la gcloud scc posture-templates describe :

Linux, macOS o Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53

La risposta contiene il modello di postura.

REST

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

ORGANIZATION_ID: l'ID numerico dell'organizzazione

Metodo HTTP e URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53

Per inviare la richiesta, espandi una delle seguenti opzioni:

curl (Linux, macOS o Cloud Shell)

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che ti consente di accedere automaticamente all'interfaccia a riga di comando gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list

Esegui questo comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53"

PowerShell (Windows)

Nota: il comando seguente presuppone che tu abbia eseguito l'accesso alla CLI gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login . Puoi controllare l'account attualmente attivo eseguendo gcloud auth list

Esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53" | Select-Object -Expand Content

La risposta contiene il modello di postura.

Passaggi successivi

Crea una postura di sicurezza utilizzando questo modello di postura.