Plantilla de postura predefinida para la SP 800-53 del NIST

En esta página, se describen las políticas de detección que se incluyen en la versión 1.0 de la plantilla de postura predefinida para el estándar SP 800-53 del Instituto Nacional de Normas y Tecnología (NIST). Esta plantilla incluye un conjunto de políticas que definen los detectores de Security Health Analytics que se aplican a las cargas de trabajo que deben cumplir con el estándar NIST SP 800-53.

Puedes implementar esta plantilla de postura sin hacer ningún cambio.

Detectores de estadísticas de estado de seguridad

En la siguiente tabla, se describen los detectores de las estadísticas del estado de la seguridad que se incluyen en esta plantilla de postura.

Nombre del detector Descripción
BIGQUERY_TABLE_CMEK_DISABLED

Este detector verifica si una tabla de BigQuery no está configurada para usar una clave de encriptación administrada por el cliente (CMEK). Para obtener más información, consulta Resultados de vulnerabilidades de conjuntos de datos.

PUBLIC_DATASET

Este detector verifica si un conjunto de datos está configurado para estar abierto al acceso público. Para obtener más información, consulta Resultados de vulnerabilidades de conjuntos de datos.

SQL_CROSS_DB_OWNERSHIP_CHAINING

Este detector verifica si la marca cross_db_ownership_chaining en Cloud SQL para SQL Server no está desactivada.

INSTANCE_OS_LOGIN_DISABLED

Este detector verifica si el Acceso al SO no está activado.

SQL_SKIP_SHOW_DATABASE_DISABLED

Este detector verifica si la marca skip_show_database en Cloud SQL para MySQL no está activada.

SQL_EXTERNAL_SCRIPTS_ENABLED

Este detector verifica si la marca external scripts enabled en Cloud SQL para SQL Server no está desactivada.

VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Este detector verifica si los registros de flujo de VPC no están activados.

API_KEY_EXISTS

Este detector verifica si un proyecto usa claves de API en lugar de la autenticación estándar.

SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

Este detector verifica si la marca log_min_error_statement en Cloud SQL para PostgreSQL no tiene un nivel de gravedad adecuado.

COMPUTE_SERIAL_PORTS_ENABLED

Este detector verifica si los puertos en serie están habilitados.

SQL_LOG_DISCONNECTIONS_DISABLED

Este detector verifica si la marca log_disconnections en Cloud SQL para PostgreSQL no está activada.

COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

Este detector verifica si se usan claves SSH para todo el proyecto.

KMS_PROJECT_HAS_OWNER

Este detector verifica si un usuario tiene el permiso de Propietario en un proyecto que incluye claves.

KMS_KEY_NOT_ROTATED

Este detector verifica si la rotación de la encriptación de Cloud Key Management Service no está activada.

ESSENTIAL_CONTACTS_NOT_CONFIGURED

Este detector verifica si tienes al menos un Contacto esencial.

AUDIT_LOGGING_DISABLED

Este detector verifica si el registro de auditoría está desactivado para un recurso.

LOCKED_RETENTION_POLICY_NOT_SET

Este detector verifica si la política de retención bloqueada está configurada para los registros.

DNS_LOGGING_DISABLED

Este detector verifica si el registro DNS está habilitado en la red de VPC.

LOG_NOT_EXPORTED

Este detector verifica si un recurso no tiene configurado un receptor de registros.

KMS_ROLE_SEPARATION

Este detector verifica la separación de obligaciones para las claves de Cloud KMS.

DISK_CSEK_DISABLED

Este detector verifica si la compatibilidad con la clave de encriptación proporcionada por el cliente (CSEK) está desactivada para una VM.

SQL_USER_CONNECTIONS_CONFIGURED

Este detector verifica si la marca user connections en Cloud SQL para SQL Server está configurada.

API_KEY_APIS_UNRESTRICTED

Este detector verifica si las claves de API se usan de una forma demasiado general.

SQL_LOG_MIN_MESSAGES

Este detector verifica si la marca log_min_messages en Cloud SQL para PostgreSQL no está configurada como warning.

SQL_LOCAL_INFILE

Este detector verifica si la marca local_infile en Cloud SQL para MySQL no está desactivada.

SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

Este detector verifica si la marca log_min_duration_statement en Cloud SQL para PostgreSQL no está configurada como -1.

DATASET_CMEK_DISABLED

Este detector verifica si la compatibilidad con CMEK está desactivada para un conjunto de datos de BigQuery.

OPEN_SSH_PORT

Este detector verifica si un firewall tiene un puerto SSH abierto que permita el acceso genérico. Para obtener más información, consulta Resultados de vulnerabilidades de firewall.

FIREWALL_NOT_MONITORED

Este detector verifica si las métricas y alertas de registro no están configuradas para supervisar los cambios en las reglas de firewall de la VPC.

SQL_LOG_STATEMENT

Este detector verifica si la marca log_statement en el servidor de Cloud SQL para PostgreSQL no está configurada como ddl.

SQL_PUBLIC_IP

Este detector verifica si una base de datos de Cloud SQL tiene una dirección IP externa.

IP_FORWARDING_ENABLED

Este detector verifica si el reenvío de IP está activado.

DATAPROC_CMEK_DISABLED

Este detector verifica si la compatibilidad con CMEK está desactivada para un clúster de Dataproc.

CONFIDENTIAL_COMPUTING_DISABLED

Este detector verifica si el Confidential Computing está desactivado.

KMS_PUBLIC_KEY

Este detector verifica si se puede acceder públicamente a una clave criptográfica de Cloud Key Management Service. Para obtener más información, consulta Hallazgos de vulnerabilidades de KMS.

SQL_INSTANCE_NOT_MONITORED

Este detector verifica si el registro está desactivado para los cambios de configuración de Cloud SQL.

SQL_TRACE_FLAG_3625

Este detector verifica si la marca 3625 (trace flag) en Cloud SQL para SQL Server no está activada.

DEFAULT_NETWORK

Este detector verifica si la red predeterminada existe en un proyecto.

DNSSEC_DISABLED

Este detector verifica si la seguridad de DNS (DNSSEC) está desactivada para Cloud DNS. Para obtener más información, consulta Hallazgos de vulnerabilidades de DNS.

API_KEY_NOT_ROTATED

Este detector verifica si se rotó una clave de API en los últimos 90 días.

SQL_LOG_CONNECTIONS_DISABLED

Este detector verifica si la marca log_connections en Cloud SQL para PostgreSQL no está activada.

LEGACY_NETWORK

Este detector verifica si existe una red heredada en un proyecto.

IAM_ROOT_ACCESS_KEY_CHECK

Este detector verifica si se puede acceder a la clave de acceso raíz de IAM.

PUBLIC_IP_ADDRESS

Este detector verifica si una instancia tiene una dirección IP externa.

OPEN_RDP_PORT

Este detector verifica si un firewall tiene un puerto RDP abierto.

INSTANCE_OS_LOGIN_DISABLED

Este detector verifica si el Acceso al SO no está activado.

ADMIN_SERVICE_ACCOUNT

Este detector verifica si una cuenta de servicio tiene privilegios de Administrador, Propietario o Editor.

SQL_USER_OPTIONS_CONFIGURED

Este detector verifica si la marca user options en Cloud SQL para SQL Server está configurada.

FULL_API_ACCESS

Este detector verifica si una instancia usa una cuenta de servicio predeterminada con acceso completo a todas las APIs de Google Cloud.

DEFAULT_SERVICE_ACCOUNT_USED

Este detector verifica si se está usando la cuenta de servicio predeterminada.

NETWORK_NOT_MONITORED

Este detector verifica si las métricas y las alertas de registros no están configuradas para supervisar los cambios de la red de VPC.

SQL_CONTAINED_DATABASE_AUTHENTICATION

Este detector verifica si la marca contained database authentication en Cloud SQL para SQL Server no está desactivada.

PUBLIC_BUCKET_ACL

Este detector verifica si se puede acceder públicamente a un bucket.

LOAD_BALANCER_LOGGING_DISABLED

Este detector verifica si el registro está desactivado para el balanceador de cargas.

OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Este detector verifica si un usuario tiene roles de cuenta de servicio a nivel del proyecto, en lugar de una cuenta de servicio específica.

SQL_REMOTE_ACCESS_ENABLED

Este detector verifica si la marca remote_access en Cloud SQL para SQL Server no está desactivada.

CUSTOM_ROLE_NOT_MONITORED

Este detector verifica si el registro está desactivado para los cambios de roles personalizados.

AUTO_BACKUP_DISABLED

Este detector verifica si una base de datos de Cloud SQL no tiene activadas las copias de seguridad automáticas.

RSASHA1_FOR_SIGNING

Este detector verifica si se usa RSASHA1 para la firma de claves en las zonas de Cloud DNS.

CLOUD_ASSET_API_DISABLED

Este detector verifica si Cloud Asset Inventory está desactivado.

SQL_LOG_ERROR_VERBOSITY

Este detector verifica si la marca log_error_verbosity en Cloud SQL para PostgreSQL no está configurada como default.

ROUTE_NOT_MONITORED

Este detector verifica si las métricas y las alertas de registros no están configuradas para supervisar los cambios de ruta de la red de VPC.

BUCKET_POLICY_ONLY_DISABLED

Este detector verifica si el acceso uniforme a nivel de bucket está configurado.

BUCKET_IAM_NOT_MONITORED

Este detector verifica si el registro está desactivado para los cambios de permisos de IAM en Cloud Storage.

PUBLIC_SQL_INSTANCE

Este detector verifica si un Cloud SQL permite conexiones de todas las direcciones IP.

SERVICE_ACCOUNT_ROLE_SEPARATION

Este detector verifica la separación de tareas para las claves de la cuenta de servicio.

AUDIT_CONFIG_NOT_MONITORED

Este detector verifica si se supervisan los cambios en la configuración de auditoría.

OWNER_NOT_MONITORED

Este detector verifica si el registro está desactivado para las asignaciones y los cambios de propiedad del proyecto.

Cómo ver la plantilla de postura

Para ver la plantilla de postura para NIST 800-53, haz lo siguiente:

gcloud

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

  • ORGANIZATION_ID: El ID numérico de la organización

Ejecuta el comando gcloud scc posture-templates describe: :

Linux, macOS o Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53

La respuesta contiene la plantilla de postura.

REST

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • ORGANIZATION_ID: El ID numérico de la organización

Método HTTP y URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53

Para enviar tu solicitud, expande una de estas opciones:

La respuesta contiene la plantilla de postura.

¿Qué sigue?