Vordefinierte Vorlage für die Risikobewertung für NIST SP 800-53

Auf dieser Seite werden die Richtlinien zur Erkennung von Sicherheitslücken beschrieben, die in der Version 1.0 der vordefinierten Posture-Vorlage für den SP 800-53-Standard des National Institute of Standards and Technology (NIST) enthalten sind. Diese Vorlage enthält einen Richtliniensatz, der die Security Health Analytics-Detektoren definiert, die für Arbeitslasten gelten, die dem NIST SP 800-53-Standard entsprechen müssen.

Sie können diese Vorlage für den Sicherheitsstatus bereitstellen, ohne Änderungen vorzunehmen.

Security Health Analytics – Detektoren

In der folgenden Tabelle werden die Security Health Analytics-Detektoren beschrieben, die in dieser Vorlage enthalten sind.

Detektorname Beschreibung
BIGQUERY_TABLE_CMEK_DISABLED

Dieser Prüfmechanismus prüft, ob eine BigQuery-Tabelle nicht für die Verwendung eines vom Kunden verwalteten Verschlüsselungsschlüssels (CMEK) konfiguriert ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Datasets.

PUBLIC_DATASET

Dieser Detektor prüft, ob ein Datensatz für den öffentlichen Zugriff konfiguriert ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Datasets.

SQL_CROSS_DB_OWNERSHIP_CHAINING

Dieser Prüfmechanismus prüft, ob das Flag cross_db_ownership_chaining in Cloud SQL for SQL Server nicht deaktiviert ist.

INSTANCE_OS_LOGIN_DISABLED

Dieser Detektor prüft, ob OS Login nicht aktiviert ist.

SQL_SKIP_SHOW_DATABASE_DISABLED

Dieser Detektor prüft, ob das Flag skip_show_database in Cloud SQL for MySQL deaktiviert ist.

SQL_EXTERNAL_SCRIPTS_ENABLED

Dieser Prüfmechanismus prüft, ob das Flag external scripts enabled in Cloud SQL for SQL Server nicht deaktiviert ist.

VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Dieser Detektor prüft, ob VPC-Flusslogs nicht aktiviert sind.

API_KEY_EXISTS

Dieser Prüfmechanismus prüft, ob in einem Projekt API-Schlüssel anstelle der Standardauthentifizierung verwendet werden.

SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

Dieser Prüfmechanismus prüft, ob das Flag log_min_error_statement in Cloud SQL for PostgreSQL keinen geeigneten Schweregrad hat.

COMPUTE_SERIAL_PORTS_ENABLED

Dieser Detektor prüft, ob serielle Ports aktiviert sind.

SQL_LOG_DISCONNECTIONS_DISABLED

Dieser Prüfmechanismus prüft, ob das Flag log_disconnections in Cloud SQL for PostgreSQL deaktiviert ist.

COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

Mit diesem Detektor wird geprüft, ob projektweite SSH-Schlüssel verwendet werden.

KMS_PROJECT_HAS_OWNER

Mit diesem Detector wird geprüft, ob ein Nutzer die Berechtigung Inhaber für ein Projekt mit Schlüsseln hat.

KMS_KEY_NOT_ROTATED

Dieser Detektor prüft, ob die Rotation für die Cloud Key Management Service-Verschlüsselung nicht aktiviert ist.

ESSENTIAL_CONTACTS_NOT_CONFIGURED

Dieser Detektor prüft, ob Sie mindestens einen wichtigen Kontakt haben.

AUDIT_LOGGING_DISABLED

Dieser Detektor prüft, ob das Audit-Logging für eine Ressource deaktiviert ist.

LOCKED_RETENTION_POLICY_NOT_SET

Dieser Detektor prüft, ob die gesperrte Aufbewahrungsrichtlinie für Protokolle festgelegt ist.

DNS_LOGGING_DISABLED

Mit diesem Detektor wird geprüft, ob das DNS-Logging im VPC-Netzwerk aktiviert ist.

LOG_NOT_EXPORTED

Dieser Detektor prüft, ob für eine Ressource keine Logsenke konfiguriert ist.

KMS_ROLE_SEPARATION

Dieser Detektor prüft die Aufgabenverteilung für Cloud KMS-Schlüssel.

DISK_CSEK_DISABLED

Dieser Detektor prüft, ob die Unterstützung für vom Kunden bereitgestellte Verschlüsselungsschlüssel (CSEK) für eine VM deaktiviert ist.

SQL_USER_CONNECTIONS_CONFIGURED

Dieser Prüfmechanismus prüft, ob das Flag user connections in Cloud SQL for SQL Server konfiguriert ist.

API_KEY_APIS_UNRESTRICTED

Dieser Detektor prüft, ob API-Schlüssel zu häufig verwendet werden.

SQL_LOG_MIN_MESSAGES

Dieser Prüfmechanismus prüft, ob das Flag log_min_messages in Cloud SQL for PostgreSQL nicht auf warning gesetzt ist.

SQL_LOCAL_INFILE

Dieser Detektor prüft, ob das Flag local_infile in Cloud SQL for MySQL aktiviert ist.

SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

Dieser Prüfmechanismus prüft, ob das Flag log_min_duration_statement in Cloud SQL for PostgreSQL nicht auf -1 gesetzt ist.

DATASET_CMEK_DISABLED

Dieser Detector prüft, ob die CMEK-Unterstützung für ein BigQuery-Dataset deaktiviert ist.

OPEN_SSH_PORT

Dieser Detector prüft, ob eine Firewall einen offenen SSH-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls.

FIREWALL_NOT_MONITORED

Dieser Prüfmechanismus prüft, ob Logmesswerte und Benachrichtigungen nicht für das Monitoring von Änderungen an VPC-Firewallregeln konfiguriert sind.

SQL_LOG_STATEMENT

Dieser Prüfmechanismus prüft, ob das Flag log_statement in Cloud SQL for PostgreSQL Server nicht auf ddl gesetzt ist.

SQL_PUBLIC_IP

Dieser Detector prüft, ob eine Cloud SQL-Datenbank eine externe IP-Adresse hat.

IP_FORWARDING_ENABLED

Dieser Detektor prüft, ob die IP-Weiterleitung aktiviert ist.

DATAPROC_CMEK_DISABLED

Dieser Detektor prüft, ob die CMEK-Unterstützung für einen Dataproc-Cluster deaktiviert ist.

CONFIDENTIAL_COMPUTING_DISABLED

Dieser Detektor prüft, ob Confidential Computing deaktiviert ist.

KMS_PUBLIC_KEY

Dieser Detector prüft, ob ein kryptografischer Cloud Key Management Service-Schlüssel öffentlich zugänglich ist. Weitere Informationen finden Sie unter Ergebnisse zu KMS-Sicherheitslücken.

SQL_INSTANCE_NOT_MONITORED

Mit diesem Detektor wird geprüft, ob das Logging für Änderungen an der Cloud SQL-Konfiguration deaktiviert ist.

SQL_TRACE_FLAG_3625

Dieser Prüfmechanismus prüft, ob das Flag 3625 (trace flag) in Cloud SQL for SQL Server deaktiviert ist.

DEFAULT_NETWORK

Dieser Detektor prüft, ob das Standardnetzwerk in einem Projekt vorhanden ist.

DNSSEC_DISABLED

Dieser Detektor prüft, ob die DNS-Sicherheit (DNSSEC) für Cloud DNS deaktiviert ist. Weitere Informationen finden Sie unter Ergebnisse zu DNS-Sicherheitslücken.

API_KEY_NOT_ROTATED

Dieser Detektor prüft, ob ein API-Schlüssel innerhalb der letzten 90 Tage rotiert wurde.

SQL_LOG_CONNECTIONS_DISABLED

Dieser Prüfmechanismus prüft, ob das Flag log_connections in Cloud SQL for PostgreSQL deaktiviert ist.

LEGACY_NETWORK

Dieser Detektor prüft, ob ein Legacy-Netzwerk in einem Projekt vorhanden ist.

IAM_ROOT_ACCESS_KEY_CHECK

Mit diesem Detektor wird geprüft, ob der IAM-Root-Zugriffsschlüssel zugänglich ist.

PUBLIC_IP_ADDRESS

Dieser Detektor prüft, ob eine Instanz eine externe IP-Adresse hat.

OPEN_RDP_PORT

Dieser Detektor prüft, ob eine Firewall einen offenen RDP-Port hat.

INSTANCE_OS_LOGIN_DISABLED

Dieser Detektor prüft, ob OS Login nicht aktiviert ist.

ADMIN_SERVICE_ACCOUNT

Dieser Prüfmechanismus prüft, ob ein Dienstkonto die Berechtigungen Administrator, Inhaber oder Bearbeiter hat.

SQL_USER_OPTIONS_CONFIGURED

Dieser Prüfmechanismus prüft, ob das Flag user options in Cloud SQL for SQL Server konfiguriert ist.

FULL_API_ACCESS

Dieser Prüfmechanismus prüft, ob für eine Instanz ein Standarddienstkonto mit uneingeschränktem Zugriff auf alle Google Cloud APIs verwendet wird.

DEFAULT_SERVICE_ACCOUNT_USED

Dieser Detector prüft, ob das Standarddienstkonto verwendet wird.

NETWORK_NOT_MONITORED

Dieser Prüfmechanismus prüft, ob Logmesswerte und Benachrichtigungen nicht für das Monitoring von Änderungen am VPC-Netzwerk konfiguriert sind.

SQL_CONTAINED_DATABASE_AUTHENTICATION

Dieser Prüfmechanismus prüft, ob das Flag contained database authentication in Cloud SQL for SQL Server nicht deaktiviert ist.

PUBLIC_BUCKET_ACL

Dieser Detektor prüft, ob ein Bucket öffentlich zugänglich ist.

LOAD_BALANCER_LOGGING_DISABLED

Dieser Detektor prüft, ob die Protokollierung für den Load Balancer deaktiviert ist.

OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Dieser Prüfmechanismus prüft, ob ein Nutzer Dienstkontorollen auf Projektebene und nicht für ein bestimmtes Dienstkonto hat.

SQL_REMOTE_ACCESS_ENABLED

Dieser Prüfmechanismus prüft, ob das Flag remote_access in Cloud SQL for SQL Server nicht deaktiviert ist.

CUSTOM_ROLE_NOT_MONITORED

Dieser Detektor prüft, ob die Protokollierung für Änderungen an benutzerdefinierten Rollen deaktiviert ist.

AUTO_BACKUP_DISABLED

Dieser Detektor prüft, ob für eine Cloud SQL-Datenbank keine automatischen Sicherungen aktiviert sind.

RSASHA1_FOR_SIGNING

Dieser Detektor prüft, ob RSASHA1 für die Schlüsselsignierung in Cloud DNS-Zonen verwendet wird.

CLOUD_ASSET_API_DISABLED

Dieser Detektor prüft, ob Cloud Asset Inventory deaktiviert ist.

SQL_LOG_ERROR_VERBOSITY

Dieser Prüfmechanismus prüft, ob das Flag log_error_verbosity in Cloud SQL for PostgreSQL nicht auf default gesetzt ist.

ROUTE_NOT_MONITORED

Dieser Detektor prüft, ob Logmesswerte und Benachrichtigungen nicht für das Monitoring von Änderungen an der VPC-Netzwerkroute konfiguriert sind.

BUCKET_POLICY_ONLY_DISABLED

Dieser Detektor prüft, ob der einheitliche Zugriff auf Bucket-Ebene konfiguriert ist.

BUCKET_IAM_NOT_MONITORED

Dieser Detector prüft, ob die Protokollierung für Änderungen an IAM-Berechtigungen in Cloud Storage deaktiviert ist.

PUBLIC_SQL_INSTANCE

Mit diesem Detektor wird geprüft, ob eine Cloud SQL-Instanz Verbindungen von allen IP-Adressen zulässt.

SERVICE_ACCOUNT_ROLE_SEPARATION

Dieser Prüfmechanismus prüft die Trennung von Aufgaben für Dienstkontoschlüssel.

AUDIT_CONFIG_NOT_MONITORED

Dieser Detektor prüft, ob Änderungen an der Audit-Konfiguration überwacht werden.

OWNER_NOT_MONITORED

Mit diesem Detektor wird geprüft, ob die Protokollierung für Zuweisungen und Änderungen der Projektinhaberschaft deaktiviert ist.

Vorlage für den Sicherheitsstatus ansehen

So rufen Sie die Vorlage für die Bewertung für NIST 800-53 auf:

gcloud

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • ORGANIZATION_ID: die numerische ID der Organisation

Führen Sie den Befehl gcloud scc posture-templates describe aus:

Linux, macOS oder Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53

Die Antwort enthält die Vorlage für die Bewertung.

REST

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • ORGANIZATION_ID: die numerische ID der Organisation

HTTP-Methode und URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort enthält die Vorlage für die Bewertung.

Nächste Schritte