Cette page a été traduite par l'API Cloud Translation.

Modèle de stratégie prédéfini pour NIST SP 800-53

Cette page décrit les règles de détection incluses dans la version 1.0 du modèle de stratégie prédéfini pour la norme SP 800-53 du NIST (National Institute of Standards and Technology). Ce modèle inclut un ensemble de règles qui définit les détecteurs Security Health Analytics qui s'appliquent aux charges de travail qui doivent être conformes à la norme NIST SP 800-53.

Vous pouvez déployer ce modèle de stratégie sans apporter de modifications.

Détecteurs Security Health Analytics

Le tableau suivant décrit les détecteurs Security Health Analytics inclus dans ce modèle de stratégie.

Nom du détecteur	Description
`BIGQUERY_TABLE_CMEK_DISABLED`	Ce détecteur vérifie si une table BigQuery n'est pas configurée pour utiliser une clé de chiffrement gérée par le client (CMEK). Pour en savoir plus, consultez Ensemble de données et des failles.
`PUBLIC_DATASET`	Ce détecteur vérifie si un ensemble de données est configuré pour être ouvert l'accès public. Pour en savoir plus, consultez Ensemble de données et des failles.
`SQL_CROSS_DB_OWNERSHIP_CHAINING`	Ce détecteur vérifie si l'option `cross_db_ownership_chaining` de Cloud SQL pour SQL Server n'est pas désactivée.
`INSTANCE_OS_LOGIN_DISABLED`	Ce détecteur vérifie si OS Login n'est pas activé.
`SQL_SKIP_SHOW_DATABASE_DISABLED`	Ce détecteur vérifie si l'option `skip_show_database` de Cloud SQL pour MySQL n'est pas activée.
`SQL_EXTERNAL_SCRIPTS_ENABLED`	Ce détecteur vérifie si l'option `external scripts enabled` de Cloud SQL pour SQL Server n'est pas désactivée.
`VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED`	Ce détecteur vérifie si les journaux de flux VPC ne sont pas activés.
`API_KEY_EXISTS`	Ce détecteur vérifie si un projet utilise des clés API au lieu de l'authentification standard.
`SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY`	Ce détecteur vérifie si l'option `log_min_error_statement` de Cloud SQL pour PostgreSQL n'a pas un niveau de gravité approprié.
`COMPUTE_SERIAL_PORTS_ENABLED`	Ce détecteur vérifie si les ports série sont activés.
`SQL_LOG_DISCONNECTIONS_DISABLED`	Ce détecteur vérifie si l'option `log_disconnections` de Cloud SQL pour PostgreSQL n'est pas activée.
`COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED`	Ce détecteur vérifie si des clés SSH à l'échelle du projet sont utilisées.
`KMS_PROJECT_HAS_OWNER`	Ce détecteur vérifie si un utilisateur dispose de l'autorisation Propriétaire sur un projet qui inclut des clés.
`KMS_KEY_NOT_ROTATED`	Ce détecteur vérifie si la rotation du chiffrement Cloud Key Management Service n'est pas activée.
`ESSENTIAL_CONTACTS_NOT_CONFIGURED`	Ce détecteur vérifie si vous avez au moins un contact essentiel.
`AUDIT_LOGGING_DISABLED`	Ce détecteur vérifie si la journalisation d'audit est désactivée pour une ressource.
`LOCKED_RETENTION_POLICY_NOT_SET`	Ce détecteur vérifie si une règle de conservation verrouillée est définie pour les journaux.
`DNS_LOGGING_DISABLED`	Ce détecteur vérifie si la journalisation DNS est activée sur le réseau VPC.
`LOG_NOT_EXPORTED`	Ce détecteur vérifie si un récepteur de journaux n'est pas configuré pour une ressource.
`KMS_ROLE_SEPARATION`	Ce détecteur vérifie la séparation des tâches pour les clés Cloud KMS.
`DISK_CSEK_DISABLED`	Ce détecteur vérifie si la prise en charge des clés de chiffrement fournies par le client (CSEK) est désactivée pour une VM.
`SQL_USER_CONNECTIONS_CONFIGURED`	Ce détecteur vérifie si l'indicateur `user connections` de Cloud SQL pour SQL Server est configuré.
`API_KEY_APIS_UNRESTRICTED`	Ce détecteur vérifie si les clés API sont utilisées de façon trop étendue.
`SQL_LOG_MIN_MESSAGES`	Ce détecteur vérifie si l'indicateur `log_min_messages` de Cloud SQL pour PostgreSQL n'est pas défini sur `warning`.
`SQL_LOCAL_INFILE`	Ce détecteur vérifie si l'option `local_infile` de Cloud SQL pour MySQL n'est pas désactivée.
`SQL_LOG_MIN_DURATION_STATEMENT_ENABLED`	Ce détecteur vérifie si l'indicateur `log_min_duration_statement` de Cloud SQL pour PostgreSQL n'est pas défini sur `-1`.
`DATASET_CMEK_DISABLED`	Ce détecteur vérifie si la compatibilité des CMEK est désactivée pour un ensemble de données BigQuery.
`OPEN_SSH_PORT`	Ce détecteur vérifie si un pare-feu a un port SSH ouvert permet un accès générique. Pour en savoir plus, consultez Pare-feu et des failles.
`FIREWALL_NOT_MONITORED`	Ce détecteur vérifie si les métriques de journal et les alertes ne sont pas configurées pour surveiller les modifications apportées aux règles de pare-feu VPC.
`SQL_LOG_STATEMENT`	Ce détecteur vérifie si l'indicateur `log_statement` de Cloud SQL pour PostgreSQL Server n'est pas défini sur `ddl`.
`SQL_PUBLIC_IP`	Ce détecteur vérifie si une base de données Cloud SQL dispose d'une adresse IP externe.
`IP_FORWARDING_ENABLED`	Ce détecteur vérifie si le transfert IP est activé.
`DATAPROC_CMEK_DISABLED`	Ce détecteur vérifie si la compatibilité CMEK est désactivée pour un cluster Dataproc.
`CONFIDENTIAL_COMPUTING_DISABLED`	Ce détecteur vérifie si l'informatique confidentielle est désactivée.
`KMS_PUBLIC_KEY`	Ce détecteur vérifie si une clé cryptographique Cloud Key Management Service est publiquement accessibles. Pour en savoir plus, consultez KMS et des failles.
`SQL_INSTANCE_NOT_MONITORED`	Ce détecteur vérifie si la journalisation est désactivée pour les modifications de configuration Cloud SQL.
`SQL_TRACE_FLAG_3625`	Ce détecteur vérifie si l'option `3625 (trace flag)` de Cloud SQL pour SQL Server n'est pas activée.
`DEFAULT_NETWORK`	Ce détecteur vérifie si le réseau par défaut existe dans un projet.
`DNSSEC_DISABLED`	Ce détecteur vérifie si la sécurité DNS (DNSSEC) est désactivée pour Cloud DNS. Pour en savoir plus, consultez DNS et des failles.
`API_KEY_NOT_ROTATED`	Ce détecteur vérifie si une clé API a été modifiée au cours des 90 derniers jours.
`SQL_LOG_CONNECTIONS_DISABLED`	Ce détecteur vérifie si l'indicateur `log_connections` dans Cloud SQL pour PostgreSQL n'est pas activé.
`LEGACY_NETWORK`	Ce détecteur vérifie si un ancien réseau existe dans un projet.
`IAM_ROOT_ACCESS_KEY_CHECK`	Ce détecteur vérifie si la clé d'accès racine IAM est accessible.
`PUBLIC_IP_ADDRESS`	Ce détecteur vérifie si une instance possède une adresse IP externe.
`OPEN_RDP_PORT`	Ce détecteur vérifie si un pare-feu dispose d'un port RDP ouvert.
`INSTANCE_OS_LOGIN_DISABLED`	Ce détecteur vérifie si OS Login n'est pas activé.
`ADMIN_SERVICE_ACCOUNT`	Ce détecteur vérifie si un compte de service dispose des droits Administrateur, Propriétaire ou Éditeur.
`SQL_USER_OPTIONS_CONFIGURED`	Ce détecteur vérifie si l'option `user options` de Cloud SQL pour SQL Server est configurée.
`FULL_API_ACCESS`	Ce détecteur vérifie si une instance utilise un compte de service par défaut disposant d'un accès complet à toutes les API Google Cloud.
`DEFAULT_SERVICE_ACCOUNT_USED`	Ce détecteur vérifie si le compte de service par défaut est utilisé.
`NETWORK_NOT_MONITORED`	Ce détecteur vérifie si les métriques de journal et les alertes ne sont pas configurées pour surveiller les modifications apportées au réseau VPC.
`SQL_CONTAINED_DATABASE_AUTHENTICATION`	Ce détecteur vérifie si l'option `contained database authentication` de Cloud SQL pour SQL Server n'est pas désactivée.
`PUBLIC_BUCKET_ACL`	Ce détecteur vérifie si un bucket est accessible publiquement.
`LOAD_BALANCER_LOGGING_DISABLED`	Ce détecteur vérifie si la journalisation est désactivée pour l'équilibreur de charge.
`OVER_PRIVILEGED_SERVICE_ACCOUNT_USER`	Ce détecteur vérifie si un utilisateur dispose de rôles de compte de service au niveau du projet, plutôt qu'au niveau d'un compte de service spécifique.
`SQL_REMOTE_ACCESS_ENABLED`	Ce détecteur vérifie si l'option `remote_access` de Cloud SQL pour SQL Server n'est pas désactivée.
`CUSTOM_ROLE_NOT_MONITORED`	Ce détecteur vérifie si la journalisation est désactivée pour les modifications de rôle personnalisé.
`AUTO_BACKUP_DISABLED`	Ce détecteur vérifie si les sauvegardes automatiques d'une base de données Cloud SQL ne sont pas activées.
`RSASHA1_FOR_SIGNING`	Ce détecteur vérifie si RSASHA1 est utilisé pour la signature de clé dans les zones Cloud DNS.
`CLOUD_ASSET_API_DISABLED`	Ce détecteur vérifie si l'inventaire des éléments cloud est désactivé.
`SQL_LOG_ERROR_VERBOSITY`	Ce détecteur vérifie si l'indicateur `log_error_verbosity` de Cloud SQL pour PostgreSQL n'est pas défini sur `default`.
`ROUTE_NOT_MONITORED`	Ce détecteur vérifie si les métriques de journal et les alertes ne sont pas configurées pour surveiller les modifications apportées aux routes du réseau VPC.
`BUCKET_POLICY_ONLY_DISABLED`	Ce détecteur vérifie si l'accès uniforme au niveau du bucket est configuré.
`BUCKET_IAM_NOT_MONITORED`	Ce détecteur vérifie si la journalisation est désactivée pour les modifications d'autorisations IAM dans Cloud Storage.
`PUBLIC_SQL_INSTANCE`	Ce détecteur vérifie si une instance Cloud SQL autorise les connexions de toutes les adresses IP.
`SERVICE_ACCOUNT_ROLE_SEPARATION`	Ce détecteur vérifie la séparation des tâches pour les clés de compte de service.
`AUDIT_CONFIG_NOT_MONITORED`	Ce détecteur vérifie si les modifications de configuration d'audit sont surveillées.
`OWNER_NOT_MONITORED`	Ce détecteur vérifie si la journalisation est désactivée pour les attributions et les modifications de propriétaire de projet.

Afficher le modèle de stratégie

Pour afficher le modèle de stratégie NIST 800-53, procédez comme suit:

gcloud

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

ORGANIZATION_ID: ID numérique de l'organisation

Exécutez la gcloud scc posture-templates describe :

Linux, macOS ou Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53

La réponse contient le modèle de stratégie.

REST

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

ORGANIZATION_ID: ID numérique de l'organisation

Méthode HTTP et URL :

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53

Pour envoyer votre requête, développez l'une des options suivantes :

curl (Linux, macOS ou Cloud Shell)

Remarque : La commande suivante suppose que vous êtes connecté à la CLI gcloud avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login, ou en utilisant Cloud Shell, qui vous connecte automatiquement à la CLI gcloud. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Exécutez la commande suivante :

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53"

PowerShell (Windows)

Remarque : La commande suivante suppose que vous vous êtes connecté à la CLI gcloud avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Exécutez la commande suivante :

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53" | Select-Object -Expand Content

La réponse contient le modèle de posture.

Étape suivante

Créez une stratégie de sécurité à l'aide de ce modèle.