Modello di postura predefinito per NIST SP 800-53

Questa pagina descrive i criteri di rilevamento inclusi nella versione 1.0 del modello di stato predefinito per lo standard SP 800-53 del National Institute of Standards and Technology (NIST). Questo modello include un insieme di criteri che definisce i rilevatori di Security Health Analytics che si applicano ai carichi di lavoro che devono essere conformi allo standard NIST SP 800-53.

Puoi implementare questo modello di postura senza apportare modifiche.

Rilevamento di Security Health Analytics

La tabella seguente descrive i rilevatori di Security Health Analytics inclusi in questo modello di stato.

Nome rilevatore Descrizione
BIGQUERY_TABLE_CMEK_DISABLED

Questo rilevatore controlla se una tabella BigQuery non è configurata per utilizzare una chiave di crittografia gestita dal cliente (CMEK). Per ulteriori informazioni, consulta Risultati delle vulnerabilità dei set di dati.

PUBLIC_DATASET

Questo rilevatore controlla se un set di dati è configurato per essere aperto all'accesso pubblico. Per ulteriori informazioni, consulta Risultati delle vulnerabilità dei set di dati.

SQL_CROSS_DB_OWNERSHIP_CHAINING

Questo rilevatore controlla se il flag cross_db_ownership_chaining in Cloud SQL per SQL Server non è disattivato.

INSTANCE_OS_LOGIN_DISABLED

Questo rilevatore controlla se l'OS Login non è attivo.

SQL_SKIP_SHOW_DATABASE_DISABLED

Questo rilevatore controlla se il flag skip_show_database in Cloud SQL per MySQL non è attivo.

SQL_EXTERNAL_SCRIPTS_ENABLED

Questo rilevatore controlla se il flag external scripts enabled in Cloud SQL per SQL Server non è disattivato.

VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Questo rilevatore controlla se i log di flusso VPC non sono attivi.

API_KEY_EXISTS

Questo rilevatore controlla se un progetto utilizza chiavi API anziché l'autenticazione standard.

SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

Questo rilevatore controlla se il flag log_min_error_statement in Cloud SQL per PostgreSQL non ha un livello di gravità appropriato.

COMPUTE_SERIAL_PORTS_ENABLED

Questo rilevatore controlla se le porte seriali sono attive.

SQL_LOG_DISCONNECTIONS_DISABLED

Questo rilevatore controlla se il flag log_disconnections in Cloud SQL per PostgreSQL non è attivo.

COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

Questo rilevatore controlla se vengono utilizzate chiavi SSH a livello di progetto.

KMS_PROJECT_HAS_OWNER

Questo rilevatore verifica se un utente dispone dell'autorizzazione Proprietario per un progetto che include chiavi.

KMS_KEY_NOT_ROTATED

Questo rilevatore controlla se la rotazione per la crittografia di Cloud Key Management Service non è attivata.

ESSENTIAL_CONTACTS_NOT_CONFIGURED

Questo rilevatore verifica se hai almeno un Contatto necessario.

AUDIT_LOGGING_DISABLED

Questo rilevatore controlla se la registrazione degli audit è disattivata per una risorsa.

LOCKED_RETENTION_POLICY_NOT_SET

Questo rilevatore controlla se il criterio di conservazione bloccato è impostato per i log.

DNS_LOGGING_DISABLED

Questo rilevatore controlla se il logging DNS è abilitato sulla rete VPC.

LOG_NOT_EXPORTED

Questo rilevatore controlla se per una risorsa non è configurato un sink di log.

KMS_ROLE_SEPARATION

Questo rilevatore controlla la separazione dei compiti per le chiavi Cloud KMS.

DISK_CSEK_DISABLED

Questo rilevatore controlla se il supporto delle chiavi di crittografia fornite dal cliente (CSEK) è disattivato per una VM.

SQL_USER_CONNECTIONS_CONFIGURED

Questo rilevatore controlla se il flag user connections in Cloud SQL per SQL Server è configurato.

API_KEY_APIS_UNRESTRICTED

Questo rilevatore controlla se le chiavi API vengono utilizzate in modo troppo ampio.

SQL_LOG_MIN_MESSAGES

Questo rilevatore controlla se il flag log_min_messages in Cloud SQL per PostgreSQL non è impostato su warning.

SQL_LOCAL_INFILE

Questo rilevatore controlla se il flag local_infile in Cloud SQL per MySQL non è disattivato.

SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

Questo rilevatore controlla se il flag log_min_duration_statement in Cloud SQL per PostgreSQL non è impostato su -1.

DATASET_CMEK_DISABLED

Questo rilevatore controlla se il supporto CMEK è disattivato per un set di dati BigQuery.

OPEN_SSH_PORT

Questo rilevatore controlla se un firewall ha una porta SSH aperta che consente l'accesso generico. Per ulteriori informazioni, consulta Risultati delle vulnerabilità del firewall.

FIREWALL_NOT_MONITORED

Questo rilevatore controlla se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alle regole del firewall VPC.

SQL_LOG_STATEMENT

Questo rilevatore controlla se il flag log_statement in Cloud SQL per PostgreSQL Server non è impostato su ddl.

SQL_PUBLIC_IP

Questo rilevatore controlla se un database Cloud SQL ha un indirizzo IP esterno.

IP_FORWARDING_ENABLED

Questo rilevatore controlla se l'inoltro IP è attivo.

DATAPROC_CMEK_DISABLED

Questo rilevatore controlla se il supporto di CMEK è disattivato per un cluster Dataproc.

CONFIDENTIAL_COMPUTING_DISABLED

Questo rilevatore controlla se Confidential Computing è disattivato.

KMS_PUBLIC_KEY

Questo rilevatore controlla se una chiave di crittografia di Cloud Key Management Service è accessibile pubblicamente. Per ulteriori informazioni, consulta Risultati delle vulnerabilità di KMS.

SQL_INSTANCE_NOT_MONITORED

Questo rilevatore controlla se la registrazione è disattivata per le modifiche alla configurazione di Cloud SQL.

SQL_TRACE_FLAG_3625

Questo rilevatore controlla se il flag 3625 (trace flag) in Cloud SQL per SQL Server non è attivo.

DEFAULT_NETWORK

Questo rilevatore controlla se la rete predefinita esiste in un progetto.

DNSSEC_DISABLED

Questo rilevatore controlla se la sicurezza DNS (DNSSEC) è disattivata per Cloud DNS. Per ulteriori informazioni, consulta Risultati delle vulnerabilità DNS.

API_KEY_NOT_ROTATED

Questo rilevatore controlla se una chiave API è stata ruotata negli ultimi 90 giorni.

SQL_LOG_CONNECTIONS_DISABLED

Questo rilevatore controlla se il flag log_connections in Cloud SQL per PostgreSQL non è attivo.

LEGACY_NETWORK

Questo rilevatore controlla se in un progetto esiste una rete legacy.

IAM_ROOT_ACCESS_KEY_CHECK

Questo rilevatore verifica se la chiave di accesso principale IAM è accessibile.

PUBLIC_IP_ADDRESS

Questo rilevatore controlla se un'istanza ha un indirizzo IP esterno.

OPEN_RDP_PORT

Questo rilevatore controlla se un firewall ha una porta RDP aperta.

INSTANCE_OS_LOGIN_DISABLED

Questo rilevatore controlla se l'OS Login non è attivo.

ADMIN_SERVICE_ACCOUNT

Questo rilevatore controlla se un account di servizio dispone dei privilegi Amministratore, Proprietario o Editor.

SQL_USER_OPTIONS_CONFIGURED

Questo rilevatore controlla se il flag user options in Cloud SQL per SQL Server è configurato.

FULL_API_ACCESS

Questo rilevatore controlla se un'istanza utilizza un account di servizio predefinito con accesso completo a tutte le API Google Cloud.

DEFAULT_SERVICE_ACCOUNT_USED

Questo rilevatore verifica se viene utilizzato l'account di servizio predefinito.

NETWORK_NOT_MONITORED

Questo rilevatore controlla se le metriche dei log e gli avvisi non sono configurati per monitorare le modifiche alla rete VPC.

SQL_CONTAINED_DATABASE_AUTHENTICATION

Questo rilevatore controlla se il flag contained database authentication in Cloud SQL per SQL Server non è disattivato.

PUBLIC_BUCKET_ACL

Questo rilevatore controlla se un bucket è accessibile pubblicamente.

LOAD_BALANCER_LOGGING_DISABLED

Questo rilevatore controlla se il logging è disattivato per il bilanciatore del carico.

OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Questo rilevatore controlla se un utente dispone di ruoli di account di servizio a livello di progetto, anziché per un account di servizio specifico.

SQL_REMOTE_ACCESS_ENABLED

Questo rilevatore controlla se il flag remote_access in Cloud SQL per SQL Server non è disattivato.

CUSTOM_ROLE_NOT_MONITORED

Questo rilevatore controlla se la registrazione è disattivata per le modifiche ai ruoli personalizzati.

AUTO_BACKUP_DISABLED

Questo rilevatore controlla se in un database Cloud SQL non sono attivati i backup automatici.

RSASHA1_FOR_SIGNING

Questo rilevatore controlla se RSASHA1 viene utilizzato per la firma delle chiavi nelle zone Cloud DNS.

CLOUD_ASSET_API_DISABLED

Questo rilevatore controlla se Cloud Asset Inventory è disattivato.

SQL_LOG_ERROR_VERBOSITY

Questo rilevatore controlla se il flag log_error_verbosity in Cloud SQL per PostgreSQL non è impostato su default.

ROUTE_NOT_MONITORED

Questo rilevatore controlla se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alle route di rete VPC.

BUCKET_POLICY_ONLY_DISABLED

Questo rilevatore controlla se è configurato l'accesso uniforme a livello di bucket.

BUCKET_IAM_NOT_MONITORED

Questo rilevatore controlla se la registrazione è disattivata per le modifiche alle autorizzazioni IAM in Cloud Storage.

PUBLIC_SQL_INSTANCE

Questo rilevatore controlla se Cloud SQL consente connessioni da tutti gli indirizzi IP.

SERVICE_ACCOUNT_ROLE_SEPARATION

Questo rilevatore controlla la separazione dei compiti per le chiavi dell'account di servizio.

AUDIT_CONFIG_NOT_MONITORED

Questo rilevatore controlla se le modifiche alla configurazione del controllo vengono monitorate.

OWNER_NOT_MONITORED

Questo rilevatore controlla se la registrazione è disattivata per le modifiche e le assegnazioni della proprietà del progetto.

Visualizza il modello di postura

Per visualizzare il modello di conformità per NIST 800-53:

gcloud

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

  • ORGANIZATION_ID: l'ID numerico dell'organizzazione

Esegui il comando gcloud scc posture-templates describe:

Linux, macOS o Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53

La risposta contiene il modello di postura.

REST

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • ORGANIZATION_ID: l'ID numerico dell'organizzazione

Metodo HTTP e URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53

Per inviare la richiesta, espandi una di queste opzioni:

La risposta contiene il modello di postura.

Passaggi successivi