Cette page décrit les règles de détection incluses dans la version 1.0 du modèle de stratégie prédéfini pour la norme SP 800-53 du NIST (National Institute of Standards and Technology). Ce modèle inclut un ensemble de règles qui définit les détecteurs Security Health Analytics qui s'appliquent aux charges de travail devant être conformes à la norme NIST SP 800-53.
Vous pouvez déployer ce modèle de stratégie sans apporter de modifications.
Détecteurs Security Health Analytics
Le tableau suivant décrit les détecteurs Security Health Analytics inclus dans ce modèle de stratégie.
| Nom du détecteur | Description |
|---|---|
BIGQUERY_TABLE_CMEK_DISABLED |
Ce détecteur vérifie si une table BigQuery n'est pas configurée pour utiliser une clé de chiffrement gérée par le client (CMEK). Pour en savoir plus, consultez la section Résultats des failles des ensembles de données. |
PUBLIC_DATASET |
Ce détecteur vérifie si un ensemble de données est configuré pour être accessible au public. Pour en savoir plus, consultez la section Résultats des failles des ensembles de données. |
SQL_CROSS_DB_OWNERSHIP_CHAINING |
Ce détecteur vérifie si l'option |
INSTANCE_OS_LOGIN_DISABLED |
Ce détecteur vérifie si OS Login n'est pas activé. |
SQL_SKIP_SHOW_DATABASE_DISABLED |
Ce détecteur vérifie si l'option |
SQL_EXTERNAL_SCRIPTS_ENABLED |
Ce détecteur vérifie si l'option |
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED |
Ce détecteur vérifie si les journaux de flux VPC ne sont pas activés. |
API_KEY_EXISTS |
Ce détecteur vérifie si un projet utilise des clés API au lieu de l'authentification standard. |
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY |
Ce détecteur vérifie si l'option |
COMPUTE_SERIAL_PORTS_ENABLED |
Ce détecteur vérifie si les ports série sont activés. |
SQL_LOG_DISCONNECTIONS_DISABLED |
Ce détecteur vérifie si l'option |
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
Ce détecteur vérifie si des clés SSH à l'échelle du projet sont utilisées. |
KMS_PROJECT_HAS_OWNER |
Ce détecteur vérifie si un utilisateur dispose de l'autorisation Propriétaire sur un projet qui inclut des clés. |
KMS_KEY_NOT_ROTATED |
Ce détecteur vérifie si la rotation du chiffrement Cloud Key Management Service n'est pas activée. |
ESSENTIAL_CONTACTS_NOT_CONFIGURED |
Ce détecteur vérifie si vous avez au moins un contact essentiel. |
AUDIT_LOGGING_DISABLED |
Ce détecteur vérifie si la journalisation d'audit est désactivée pour une ressource. |
LOCKED_RETENTION_POLICY_NOT_SET |
Ce détecteur vérifie si une règle de conservation verrouillée est définie pour les journaux. |
DNS_LOGGING_DISABLED |
Ce détecteur vérifie si la journalisation DNS est activée sur le réseau VPC. |
LOG_NOT_EXPORTED |
Ce détecteur vérifie si aucun récepteur de journaux n'est configuré pour une ressource. |
KMS_ROLE_SEPARATION |
Ce détecteur vérifie la séparation des tâches pour les clés Cloud KMS. |
DISK_CSEK_DISABLED |
Ce détecteur vérifie si la compatibilité des clés de chiffrement fournies par le client (CSEK) est désactivée pour une VM. |
SQL_USER_CONNECTIONS_CONFIGURED |
Ce détecteur vérifie si l'option |
API_KEY_APIS_UNRESTRICTED |
Ce détecteur vérifie si les clés API sont utilisées de façon trop étendue. |
SQL_LOG_MIN_MESSAGES |
Ce détecteur vérifie si l'option |
SQL_LOCAL_INFILE |
Ce détecteur vérifie si l'option |
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED |
Ce détecteur vérifie si l'option |
DATASET_CMEK_DISABLED |
Ce détecteur vérifie si la compatibilité des CMEK est désactivée pour un ensemble de données BigQuery. |
OPEN_SSH_PORT |
Ce détecteur vérifie si un pare-feu dispose d'un port SSH ouvert qui autorise un accès générique. Pour en savoir plus, consultez la section Résultats des failles de pare-feu. |
FIREWALL_NOT_MONITORED |
Ce détecteur vérifie si les métriques de journal et les alertes ne sont pas configurées pour surveiller les modifications apportées aux règles de pare-feu VPC. |
SQL_LOG_STATEMENT |
Ce détecteur vérifie si l'option |
SQL_PUBLIC_IP |
Ce détecteur vérifie si une base de données Cloud SQL dispose d'une adresse IP externe. |
IP_FORWARDING_ENABLED |
Ce détecteur vérifie si le transfert IP est activé. |
DATAPROC_CMEK_DISABLED |
Ce détecteur vérifie si la compatibilité des CMEK est désactivée pour un cluster Dataproc. |
CONFIDENTIAL_COMPUTING_DISABLED |
Ce détecteur vérifie si l'informatique confidentielle est désactivée. |
KMS_PUBLIC_KEY |
Ce détecteur vérifie si une clé cryptographique Cloud Key Management Service est accessible publiquement. Pour en savoir plus, consultez la page Résultats des failles KMS. |
SQL_INSTANCE_NOT_MONITORED |
Ce détecteur vérifie si la journalisation est désactivée pour les modifications de configuration Cloud SQL. |
SQL_TRACE_FLAG_3625 |
Ce détecteur vérifie si l'option |
DEFAULT_NETWORK |
Ce détecteur vérifie si le réseau par défaut existe dans un projet. |
DNSSEC_DISABLED |
Ce détecteur vérifie si la sécurité DNS (DNSSEC) est désactivée pour Cloud DNS. Pour en savoir plus, consultez la section Résultats des failles DNS. |
API_KEY_NOT_ROTATED |
Ce détecteur vérifie si une clé API a été alternée au cours des 90 derniers jours. |
SQL_LOG_CONNECTIONS_DISABLED |
Ce détecteur vérifie si l'option |
LEGACY_NETWORK |
Ce détecteur vérifie si un ancien réseau existe dans un projet. |
IAM_ROOT_ACCESS_KEY_CHECK |
Ce détecteur vérifie si la clé d'accès racine IAM est accessible. |
PUBLIC_IP_ADDRESS |
Ce détecteur vérifie si une instance possède une adresse IP externe. |
OPEN_RDP_PORT |
Ce détecteur vérifie si un pare-feu dispose d'un port RDP ouvert. |
INSTANCE_OS_LOGIN_DISABLED |
Ce détecteur vérifie si OS Login n'est pas activé. |
ADMIN_SERVICE_ACCOUNT |
Ce détecteur vérifie si un compte de service dispose des droits Administrateur, Propriétaire ou Éditeur. |
SQL_USER_OPTIONS_CONFIGURED |
Ce détecteur vérifie si l'option |
FULL_API_ACCESS |
Ce détecteur vérifie si une instance utilise un compte de service par défaut disposant d'un accès complet à toutes les API Google Cloud. |
DEFAULT_SERVICE_ACCOUNT_USED |
Ce détecteur vérifie si le compte de service par défaut est utilisé. |
NETWORK_NOT_MONITORED |
Ce détecteur vérifie si les métriques de journal et les alertes ne sont pas configurées pour surveiller les modifications apportées au réseau VPC. |
SQL_CONTAINED_DATABASE_AUTHENTICATION |
Ce détecteur vérifie si l'option |
PUBLIC_BUCKET_ACL |
Ce détecteur vérifie si un bucket est accessible publiquement. |
LOAD_BALANCER_LOGGING_DISABLED |
Ce détecteur vérifie si la journalisation est désactivée pour l'équilibreur de charge. |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
Ce détecteur vérifie si un utilisateur dispose de rôles de compte de service au niveau du projet, plutôt que pour un compte de service spécifique. |
SQL_REMOTE_ACCESS_ENABLED |
Ce détecteur vérifie si l'option |
CUSTOM_ROLE_NOT_MONITORED |
Ce détecteur vérifie si la journalisation est désactivée pour les modifications de rôle personnalisé. |
AUTO_BACKUP_DISABLED |
Ce détecteur vérifie si les sauvegardes automatiques d'une base de données Cloud SQL ne sont pas activées. |
RSASHA1_FOR_SIGNING |
Ce détecteur vérifie si RSASHA1 est utilisé pour la signature de clé dans les zones Cloud DNS. |
CLOUD_ASSET_API_DISABLED |
Ce détecteur vérifie si l'inventaire des éléments cloud est désactivé. |
SQL_LOG_ERROR_VERBOSITY |
Ce détecteur vérifie si l'option |
ROUTE_NOT_MONITORED |
Ce détecteur vérifie si les métriques de journal et les alertes ne sont pas configurées pour surveiller les modifications apportées aux routes du réseau VPC. |
BUCKET_POLICY_ONLY_DISABLED |
Ce détecteur vérifie si l'accès uniforme au niveau du bucket est configuré. |
BUCKET_IAM_NOT_MONITORED |
Ce détecteur vérifie si la journalisation est désactivée pour les modifications d'autorisations IAM dans Cloud Storage. |
PUBLIC_SQL_INSTANCE |
Ce détecteur vérifie si une instance Cloud SQL autorise les connexions en provenance de toutes les adresses IP. |
SERVICE_ACCOUNT_ROLE_SEPARATION |
Ce détecteur vérifie la séparation des tâches pour les clés de compte de service. |
AUDIT_CONFIG_NOT_MONITORED |
Ce détecteur vérifie si les modifications de configuration d'audit sont surveillées. |
OWNER_NOT_MONITORED |
Ce détecteur vérifie si la journalisation est désactivée pour les attributions de propriété de projets et les modifications. |
Définition YAML
Voici la définition YAML du modèle de stratégie pour la norme NIST 800-53.
name: organizations/123/locations/global/postureTemplates/nist_800_53
description: Posture Template to make your workload NIST800-53 compliant.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: NIST800-53 detective policy set
description: 68 SHA modules that new customers can automatically enable.
policies:
- policy_id: BigQuery table CMEK disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BIGQUERY_TABLE_CMEK_DISABLED
- policy_id: Public dataset
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_DATASET
- policy_id: SQl cross db ownership
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_CROSS_DB_OWNERSHIP_CHAINING
- policy_id: Instance OS login disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: INSTANCE_OS_LOGIN_DISABLED
- policy_id: SQL skip show database disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_SKIP_SHOW_DATABASE_DISABLED
- policy_id: SQL external scripts enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_EXTERNAL_SCRIPTS_ENABLED
- policy_id: VPC flow logs settings not recommended
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED
- policy_id: API key exists
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: API_KEY_EXISTS
- policy_id: SQL log min error statement severity
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY
- policy_id: Compute serial ports enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: COMPUTE_SERIAL_PORTS_ENABLED
- policy_id: SQL log disconnections disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_DISCONNECTIONS_DISABLED
- policy_id: Compute project wide SHH keys allowed
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED
- policy_id: KMS project has owner
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_PROJECT_HAS_OWNER
- policy_id: KMS key not rotated
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_KEY_NOT_ROTATED
- policy_id: Essential contacts not configured
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ESSENTIAL_CONTACTS_NOT_CONFIGURED
- policy_id: Audit logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUDIT_LOGGING_DISABLED
- policy_id: Locked retention policy not set
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LOCKED_RETENTION_POLICY_NOT_SET
- policy_id: DNS logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DNS_LOGGING_DISABLED
- policy_id: Log not exported
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LOG_NOT_EXPORTED
- policy_id: KMS role separation
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_ROLE_SEPARATION
- policy_id: Disk CSEK disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DISK_CSEK_DISABLED
- policy_id: SQL user connections configured
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_USER_CONNECTIONS_CONFIGURED
- policy_id: API key APIs unrestricted
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: API_KEY_APIS_UNRESTRICTED
- policy_id: SQL log min messages
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_MIN_MESSAGES
- policy_id: SQL log infile
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOCAL_INFILE
- policy_id: SQL log min duration statement enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_MIN_DURATION_STATEMENT_ENABLED
- policy_id: Dataset CMEK disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DATASET_CMEK_DISABLED
- policy_id: Open SSH port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_SSH_PORT
- policy_id: Firewall not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FIREWALL_NOT_MONITORED
- policy_id: SQL log statement
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_STATEMENT
- policy_id: SQL public IP
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_PUBLIC_IP
- policy_id: IP forwarding enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: IP_FORWARDING_ENABLED
- policy_id: Dataproc CMEK disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DATAPROC_CMEK_DISABLED
- policy_id: Confidential computing disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CONFIDENTIAL_COMPUTING_DISABLED
- policy_id: KMS public key
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_PUBLIC_KEY
- policy_id: SQL instance not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_INSTANCE_NOT_MONITORED
- policy_id: SQL trace flag 3625
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_TRACE_FLAG_3625
- policy_id: Default network
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DEFAULT_NETWORK
- policy_id: DNSSEC disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DNSSEC_DISABLED
- policy_id: API key not rotated
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: API_KEY_NOT_ROTATED
- policy_id: SQL log connections disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_CONNECTIONS_DISABLED
- policy_id: Legacy network
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LEGACY_NETWORK
- policy_id: IAM root access key check
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: IAM_ROOT_ACCESS_KEY_CHECK
- policy_id: Public IP address
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_IP_ADDRESS
- policy_id: Open RDP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_RDP_PORT
- policy_id: OS login disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OS_LOGIN_DISABLED
- policy_id: Admin service account
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ADMIN_SERVICE_ACCOUNT
- policy_id: SQL user options configured
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_USER_OPTIONS_CONFIGURED
- policy_id: Full API access
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FULL_API_ACCESS
- policy_id: Default service account used
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DEFAULT_SERVICE_ACCOUNT_USED
- policy_id: Network not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: NETWORK_NOT_MONITORED
- policy_id: SQL contained database authentication
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_CONTAINED_DATABASE_AUTHENTICATION
- policy_id: Public bucket ACL
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_BUCKET_ACL
- policy_id: Load balancer logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LOAD_BALANCER_LOGGING_DISABLED
- policy_id: Over privileged service account user
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OVER_PRIVILEGED_SERVICE_ACCOUNT_USER
- policy_id: SQL remote access enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_REMOTE_ACCESS_ENABLED
- policy_id: Custom role not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CUSTOM_ROLE_NOT_MONITORED
- policy_id: Auto backup disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUTO_BACKUP_DISABLED
- policy_id: RSASHA1 for signing
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: RSASHA1_FOR_SIGNING
- policy_id: Cloud asset API disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CLOUD_ASSET_API_DISABLED
- policy_id: SQL log error verbosity
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_ERROR_VERBOSITY
- policy_id: Route not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ROUTE_NOT_MONITORED
- policy_id: Bucket policy only disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_POLICY_ONLY_DISABLED
- policy_id: Bucket IAM not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_IAM_NOT_MONITORED
- policy_id: Publc SQL instance
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_SQL_INSTANCE
- policy_id: Service account role separation
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SERVICE_ACCOUNT_ROLE_SEPARATION
- policy_id: Audit config not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUDIT_CONFIG_NOT_MONITORED
- policy_id: Owner not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OWNER_NOT_MONITORED