Vordefinierte Sicherheitsvorlage für NIST SP 800-53

Auf dieser Seite werden die Detektivrichtlinien beschrieben, die in Version 1.0 der vordefinierten Posture-Vorlage des Standards SP 800-53 des National Institute of Standards and Technology (NIST) SP 800-53 enthalten sind. Diese Vorlage enthält einen Richtliniensatz, der die Security Health Analytics-Detektoren definiert, die für Arbeitslasten gelten, die dem NIST SP 800-53-Standard entsprechen müssen.

Sie können diese Sicherheitsvorlage bereitstellen, ohne Änderungen vorzunehmen.

Security Health Analytics – Detektoren

In der folgenden Tabelle werden die Security Health Analytics-Detektoren beschrieben, die in dieser Posture-Vorlage enthalten sind.

Detektorname Beschreibung
BIGQUERY_TABLE_CMEK_DISABLED

Dieser Detektor prüft, ob eine BigQuery-Tabelle nicht für die Verwendung eines vom Kunden verwalteten Verschlüsselungsschlüssels (CMEK) konfiguriert ist. Weitere Informationen finden Sie unter Ergebnisse von Sicherheitslücken in Datasets.
PUBLIC_DATASET

Dieser Detektor prüft, ob ein Dataset für den öffentlichen Zugriff konfiguriert ist. Weitere Informationen finden Sie unter Ergebnisse von Sicherheitslücken in Datasets.
SQL_CROSS_DB_OWNERSHIP_CHAINING

Dieser Detektor prüft, ob das Flag cross_db_ownership_chaining in Cloud SQL for SQL Server nicht deaktiviert ist.
INSTANCE_OS_LOGIN_DISABLED

Dieser Detektor prüft, ob OS Login nicht aktiviert ist.
SQL_SKIP_SHOW_DATABASE_DISABLED

Dieser Detektor prüft, ob das Flag skip_show_database in Cloud SQL for MySQL nicht aktiviert ist.
SQL_EXTERNAL_SCRIPTS_ENABLED

Dieser Detektor prüft, ob das Flag external scripts enabled in Cloud SQL for SQL Server nicht deaktiviert ist.
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Dieser Detektor prüft, ob VPC-Flusslogs aktiviert sind.
API_KEY_EXISTS

Dieser Detektor prüft, ob für ein Projekt API-Schlüssel anstelle der Standardauthentifizierung verwendet werden.
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

Dieser Detektor prüft, ob das Flag log_min_error_statement in Cloud SQL for PostgreSQL keine geeignete Wichtigkeitsstufe hat.
COMPUTE_SERIAL_PORTS_ENABLED

Dieser Detektor prüft, ob serielle Ports aktiviert sind.
SQL_LOG_DISCONNECTIONS_DISABLED

Dieser Detektor prüft, ob das Flag log_disconnections in Cloud SQL for PostgreSQL nicht aktiviert ist.
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

Dieser Detektor prüft, ob projektweite SSH-Schlüssel verwendet werden.
KMS_PROJECT_HAS_OWNER

Dieser Detektor prüft, ob ein Nutzer die Berechtigung Inhaber für ein Projekt hat, das Schlüssel enthält.
KMS_KEY_NOT_ROTATED

Dieser Detektor prüft, ob die Rotation für die Cloud Key Management Service-Verschlüsselung nicht aktiviert ist.
ESSENTIAL_CONTACTS_NOT_CONFIGURED

Dieser Detektor prüft, ob es mindestens einen wichtigen Kontakt gibt.
AUDIT_LOGGING_DISABLED

Dieser Detektor prüft, ob Audit-Logging für eine Ressource deaktiviert ist.
LOCKED_RETENTION_POLICY_NOT_SET

Dieser Detektor prüft, ob die gesperrte Aufbewahrungsrichtlinie für Logs festgelegt ist.
DNS_LOGGING_DISABLED

Dieser Detektor prüft, ob DNS-Logging im VPC-Netzwerk aktiviert ist.
LOG_NOT_EXPORTED

Dieser Detektor prüft, ob für eine Ressource keine Logsenke konfiguriert ist.
KMS_ROLE_SEPARATION

Dieser Detektor prüft die Aufgabentrennung für Cloud KMS-Schlüssel.
DISK_CSEK_DISABLED

Dieser Detektor prüft, ob die Unterstützung des vom Kunden bereitgestellten Verschlüsselungsschlüssels (CSEK) für eine VM deaktiviert ist.
SQL_USER_CONNECTIONS_CONFIGURED

Dieser Detektor prüft, ob das Flag user connections in Cloud SQL for SQL Server konfiguriert ist.
API_KEY_APIS_UNRESTRICTED

Dieser Detektor prüft, ob API-Schlüssel zu allgemein verwendet werden.
SQL_LOG_MIN_MESSAGES

Dieser Detektor prüft, ob das Flag log_min_messages in Cloud SQL for PostgreSQL nicht auf warning festgelegt ist.
SQL_LOCAL_INFILE

Dieser Detektor prüft, ob das Flag local_infile in Cloud SQL for MySQL nicht deaktiviert ist.
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

Dieser Detektor prüft, ob das Flag log_min_duration_statement in Cloud SQL for PostgreSQL nicht auf -1 festgelegt ist.
DATASET_CMEK_DISABLED

Dieser Detektor prüft, ob die CMEK-Unterstützung für ein BigQuery-Dataset deaktiviert ist.
OPEN_SSH_PORT

Dieser Detektor prüft, ob eine Firewall einen offenen SSH-Port hat, der allgemeinen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse von Firewall-Sicherheitslücken.
FIREWALL_NOT_MONITORED

Dieser Detektor prüft, ob Logmesswerte und Benachrichtigungen zum Überwachen von Änderungen der VPC-Firewallregel konfiguriert sind.
SQL_LOG_STATEMENT

Dieser Detektor prüft, ob das Flag log_statement in Cloud SQL for PostgreSQL Server nicht auf ddl festgelegt ist.
SQL_PUBLIC_IP

Dieser Detektor prüft, ob eine Cloud SQL-Datenbank eine externe IP-Adresse hat.
IP_FORWARDING_ENABLED

Dieser Detektor prüft, ob die IP-Weiterleitung aktiviert ist.
DATAPROC_CMEK_DISABLED

Dieser Detektor prüft, ob die CMEK-Unterstützung für einen Dataproc-Cluster deaktiviert ist.
CONFIDENTIAL_COMPUTING_DISABLED

Dieser Detektor prüft, ob Confidential Computing deaktiviert ist.
KMS_PUBLIC_KEY

Dieser Detektor prüft, ob ein kryptografischer Schlüssel des Cloud Key Management Service öffentlich zugänglich ist. Weitere Informationen finden Sie unter Ergebnisse von KMS-Sicherheitslücken.
SQL_INSTANCE_NOT_MONITORED

Dieser Detektor prüft, ob das Logging für Cloud SQL-Konfigurationsänderungen deaktiviert ist.
SQL_TRACE_FLAG_3625

Dieser Detektor prüft, ob das Flag 3625 (trace flag) in Cloud SQL for SQL Server nicht aktiviert ist.
DEFAULT_NETWORK

Dieser Detektor prüft, ob das Standardnetzwerk in einem Projekt vorhanden ist.
DNSSEC_DISABLED

Dieser Detektor prüft, ob die DNS-Sicherheit (DNSSEC) für Cloud DNS deaktiviert ist. Weitere Informationen finden Sie unter Ergebnisse von DNS-Sicherheitslücken.
API_KEY_NOT_ROTATED

Dieser Detektor prüft, ob ein API-Schlüssel in den letzten 90 Tagen rotiert wurde.
SQL_LOG_CONNECTIONS_DISABLED

Dieser Detektor prüft, ob das Flag log_connections in Cloud SQL for PostgreSQL nicht aktiviert ist.
LEGACY_NETWORK

Dieser Detektor prüft, ob in einem Projekt ein Legacy-Netzwerk vorhanden ist.
IAM_ROOT_ACCESS_KEY_CHECK

Dieser Detektor prüft, ob der IAM-Root-Zugriffsschlüssel zugänglich ist.
PUBLIC_IP_ADDRESS

Dieser Detektor prüft, ob eine Instanz eine externe IP-Adresse hat.
OPEN_RDP_PORT

Dieser Detektor prüft, ob eine Firewall einen offenen RDP-Port hat.
INSTANCE_OS_LOGIN_DISABLED

Dieser Detektor prüft, ob OS Login nicht aktiviert ist.
ADMIN_SERVICE_ACCOUNT

Dieser Detektor prüft, ob ein Dienstkonto die Berechtigungen Administrator, Inhaber oder Bearbeiter hat.
SQL_USER_OPTIONS_CONFIGURED

Dieser Detektor prüft, ob das Flag user options in Cloud SQL for SQL Server konfiguriert ist.
FULL_API_ACCESS

Dieser Detektor prüft, ob eine Instanz ein Standarddienstkonto mit uneingeschränktem Zugriff auf alle Google Cloud APIs verwendet.
DEFAULT_SERVICE_ACCOUNT_USED

Dieser Detektor prüft, ob das Standarddienstkonto verwendet wird.
NETWORK_NOT_MONITORED

Dieser Detektor prüft, ob Logmesswerte und Benachrichtigungen zum Überwachen von VPC-Netzwerkänderungen konfiguriert sind.
SQL_CONTAINED_DATABASE_AUTHENTICATION

Dieser Detektor prüft, ob das Flag contained database authentication in Cloud SQL for SQL Server nicht deaktiviert ist.
PUBLIC_BUCKET_ACL

Dieser Detektor prüft, ob ein Bucket öffentlich zugänglich ist.
LOAD_BALANCER_LOGGING_DISABLED

Dieser Detektor prüft, ob das Logging für den Load-Balancer deaktiviert ist.
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Dieser Detektor prüft, ob ein Nutzer Dienstkontorollen auf Projektebene und nicht für ein bestimmtes Dienstkonto hat.
SQL_REMOTE_ACCESS_ENABLED

Dieser Detektor prüft, ob das Flag remote_access in Cloud SQL for SQL Server nicht deaktiviert ist.
CUSTOM_ROLE_NOT_MONITORED

Dieser Detektor prüft, ob das Logging für Änderungen an benutzerdefinierten Rollen deaktiviert ist.
AUTO_BACKUP_DISABLED

Dieser Detektor prüft, ob für eine Cloud SQL-Datenbank keine automatischen Sicherungen aktiviert sind.
RSASHA1_FOR_SIGNING

Dieser Detektor prüft, ob RSASHA1 für die Schlüsselsignatur in Cloud DNS-Zonen verwendet wird.
CLOUD_ASSET_API_DISABLED

Dieser Detektor prüft, ob Cloud Asset Inventory deaktiviert ist.
SQL_LOG_ERROR_VERBOSITY

Dieser Detektor prüft, ob das Flag log_error_verbosity in Cloud SQL for PostgreSQL nicht auf default festgelegt ist.
ROUTE_NOT_MONITORED

Dieser Detektor prüft, ob Logmesswerte und Benachrichtigungen zum Überwachen von Änderungen der VPC-Netzwerkroute konfiguriert sind.
BUCKET_POLICY_ONLY_DISABLED

Dieser Detektor prüft, ob ein einheitlicher Zugriff auf Bucket-Ebene konfiguriert ist.
BUCKET_IAM_NOT_MONITORED

Dieser Detektor prüft, ob das Logging für IAM-Berechtigungsänderungen in Cloud Storage deaktiviert ist.
PUBLIC_SQL_INSTANCE

Dieser Detektor prüft, ob Cloud SQL Verbindungen von allen IP-Adressen zulässt.
SERVICE_ACCOUNT_ROLE_SEPARATION

Dieser Detektor prüft die Aufgabentrennung für Dienstkontoschlüssel.
AUDIT_CONFIG_NOT_MONITORED

Dieser Detektor prüft, ob Änderungen an der Audit-Konfiguration überwacht werden.
OWNER_NOT_MONITORED

Dieser Detektor prüft, ob das Logging für Zuweisungen und Änderungen von Projektinhaberschaften deaktiviert ist.

YAML-Definition

Im Folgenden finden Sie die YAML-Definition für die Sicherheitsvorlage für NIST 800-53.

name: organizations/123/locations/global/postureTemplates/nist_800_53
description: Posture Template to make your workload NIST800-53 compliant.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: NIST800-53 detective policy set
  description: 68 SHA modules that new customers can automatically enable.
  policies:
  - policy_id: BigQuery table CMEK disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: BIGQUERY_TABLE_CMEK_DISABLED
  - policy_id: Public dataset
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: PUBLIC_DATASET
  - policy_id: SQl cross db ownership
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_CROSS_DB_OWNERSHIP_CHAINING
  - policy_id: Instance OS login disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: INSTANCE_OS_LOGIN_DISABLED
  - policy_id: SQL skip show database disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_SKIP_SHOW_DATABASE_DISABLED
  - policy_id: SQL external scripts enabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_EXTERNAL_SCRIPTS_ENABLED
  - policy_id: VPC flow logs settings not recommended
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED
  - policy_id: API key exists
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: API_KEY_EXISTS
  - policy_id: SQL log min error statement severity
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY
  - policy_id: Compute serial ports enabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: COMPUTE_SERIAL_PORTS_ENABLED
  - policy_id: SQL log disconnections disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_LOG_DISCONNECTIONS_DISABLED
  - policy_id: Compute project wide SHH keys allowed
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED
  - policy_id: KMS project has owner
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: KMS_PROJECT_HAS_OWNER
  - policy_id: KMS key not rotated
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: KMS_KEY_NOT_ROTATED
  - policy_id: Essential contacts not configured
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: ESSENTIAL_CONTACTS_NOT_CONFIGURED
  - policy_id: Audit logging disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: AUDIT_LOGGING_DISABLED
  - policy_id: Locked retention policy not set
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: LOCKED_RETENTION_POLICY_NOT_SET
  - policy_id: DNS logging disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: DNS_LOGGING_DISABLED
  - policy_id: Log not exported
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: LOG_NOT_EXPORTED
  - policy_id: KMS role separation
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: KMS_ROLE_SEPARATION
  - policy_id: Disk CSEK disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: DISK_CSEK_DISABLED
  - policy_id: SQL user connections configured
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_USER_CONNECTIONS_CONFIGURED
  - policy_id: API key APIs unrestricted
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: API_KEY_APIS_UNRESTRICTED
  - policy_id: SQL log min messages
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_LOG_MIN_MESSAGES
  - policy_id: SQL log infile
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_LOCAL_INFILE
  - policy_id: SQL log min duration statement enabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_LOG_MIN_DURATION_STATEMENT_ENABLED
  - policy_id: Dataset CMEK disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: DATASET_CMEK_DISABLED
  - policy_id: Open SSH port
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: OPEN_SSH_PORT
  - policy_id: Firewall not monitored
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: FIREWALL_NOT_MONITORED
  - policy_id: SQL log statement
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_LOG_STATEMENT
  - policy_id: SQL public IP
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_PUBLIC_IP
  - policy_id: IP forwarding enabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: IP_FORWARDING_ENABLED
  - policy_id: Dataproc CMEK disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: DATAPROC_CMEK_DISABLED
  - policy_id: Confidential computing disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: CONFIDENTIAL_COMPUTING_DISABLED
  - policy_id: KMS public key
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: KMS_PUBLIC_KEY
  - policy_id: SQL instance not monitored
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_INSTANCE_NOT_MONITORED
  - policy_id: SQL trace flag 3625
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_TRACE_FLAG_3625
  - policy_id: Default network
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: DEFAULT_NETWORK
  - policy_id: DNSSEC disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: DNSSEC_DISABLED
  - policy_id: API key not rotated
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: API_KEY_NOT_ROTATED
  - policy_id: SQL log connections disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_LOG_CONNECTIONS_DISABLED
  - policy_id: Legacy network
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: LEGACY_NETWORK
  - policy_id: IAM root access key check
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: IAM_ROOT_ACCESS_KEY_CHECK
  - policy_id: Public IP address
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: PUBLIC_IP_ADDRESS
  - policy_id: Open RDP port
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: OPEN_RDP_PORT
  - policy_id: OS login disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: OS_LOGIN_DISABLED
  - policy_id: Admin service account
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: ADMIN_SERVICE_ACCOUNT
  - policy_id: SQL user options configured
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_USER_OPTIONS_CONFIGURED
  - policy_id: Full API access
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: FULL_API_ACCESS
  - policy_id: Default service account used
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: DEFAULT_SERVICE_ACCOUNT_USED
  - policy_id: Network not monitored
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: NETWORK_NOT_MONITORED
  - policy_id: SQL contained database authentication
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_CONTAINED_DATABASE_AUTHENTICATION
  - policy_id: Public bucket ACL
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: PUBLIC_BUCKET_ACL
  - policy_id: Load balancer logging disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: LOAD_BALANCER_LOGGING_DISABLED
  - policy_id: Over privileged service account user
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: OVER_PRIVILEGED_SERVICE_ACCOUNT_USER
  - policy_id: SQL remote access enabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_REMOTE_ACCESS_ENABLED
  - policy_id: Custom role not monitored
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: CUSTOM_ROLE_NOT_MONITORED
  - policy_id: Auto backup disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: AUTO_BACKUP_DISABLED
  - policy_id: RSASHA1 for signing
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: RSASHA1_FOR_SIGNING
  - policy_id: Cloud asset API disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: CLOUD_ASSET_API_DISABLED
  - policy_id: SQL log error verbosity
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_LOG_ERROR_VERBOSITY
  - policy_id: Route not monitored
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: ROUTE_NOT_MONITORED
  - policy_id: Bucket policy only disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: BUCKET_POLICY_ONLY_DISABLED
  - policy_id: Bucket IAM not monitored
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: BUCKET_IAM_NOT_MONITORED
  - policy_id: Publc SQL instance
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: PUBLIC_SQL_INSTANCE
  - policy_id: Service account role separation
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SERVICE_ACCOUNT_ROLE_SEPARATION
  - policy_id: Audit config not monitored
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: AUDIT_CONFIG_NOT_MONITORED
  - policy_id: Owner not monitored
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: OWNER_NOT_MONITORED

Nächste Schritte