Template postur yang telah ditentukan sebelumnya untuk NIST SP 800-53

Halaman ini menjelaskan kebijakan detektif yang disertakan dalam template postur standar yang telah ditetapkan versi v1.0 untuk standar SP 800-53 National Institute of Standards and Technology (NIST). Template ini menyertakan kumpulan kebijakan yang menentukan detektor Security Health Analytics yang berlaku untuk workload yang harus mematuhi standar NIST SP 800-53.

Anda dapat men-deploy template postur ini tanpa melakukan perubahan apa pun.

Detektor Security Health Analytics

Tabel berikut menjelaskan detektor Security Health Analytics yang disertakan dalam template postur ini.

Nama pendeteksi Deskripsi
BIGQUERY_TABLE_CMEK_DISABLED

Detektor ini memeriksa apakah tabel BigQuery tidak dikonfigurasi untuk menggunakan kunci enkripsi yang dikelola pelanggan (CMEK). Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan set data.
PUBLIC_DATASET

Detektor ini memeriksa apakah set data dikonfigurasi agar terbuka untuk akses publik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan set data.
SQL_CROSS_DB_OWNERSHIP_CHAINING

Detektor ini memeriksa apakah flag cross_db_ownership_chaining di Cloud SQL untuk SQL Server tidak nonaktif.
INSTANCE_OS_LOGIN_DISABLED

Detektor ini memeriksa apakah Login OS tidak diaktifkan.
SQL_SKIP_SHOW_DATABASE_DISABLED

Detektor ini memeriksa apakah tanda skip_show_database di Cloud SQL untuk MySQL tidak aktif.
SQL_EXTERNAL_SCRIPTS_ENABLED

Detektor ini memeriksa apakah flag external scripts enabled di Cloud SQL untuk SQL Server tidak nonaktif.
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Detektor ini memeriksa apakah Log Aliran VPC tidak diaktifkan.
API_KEY_EXISTS

Detektor ini memeriksa apakah project menggunakan kunci API, bukan autentikasi standar.
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

Detektor ini memeriksa apakah tanda log_min_error_statement di Cloud SQL untuk PostgreSQL tidak memiliki tingkat keparahan yang sesuai.
COMPUTE_SERIAL_PORTS_ENABLED

Detektor ini memeriksa apakah port serial diaktifkan.
SQL_LOG_DISCONNECTIONS_DISABLED

Detektor ini memeriksa apakah tanda log_disconnections di Cloud SQL untuk PostgreSQL tidak aktif.
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

Detektor ini memeriksa apakah kunci SSH di seluruh project sedang digunakan.
KMS_PROJECT_HAS_OWNER

Detektor ini memeriksa apakah pengguna memiliki izin Pemilik di project yang menyertakan kunci.
KMS_KEY_NOT_ROTATED

Detektor ini memeriksa apakah rotasi untuk enkripsi Cloud Key Management Service tidak diaktifkan.
ESSENTIAL_CONTACTS_NOT_CONFIGURED

Detektor ini memeriksa apakah Anda memiliki setidaknya satu Kontak Penting.
AUDIT_LOGGING_DISABLED

Detektor ini memeriksa apakah logging audit dinonaktifkan untuk resource.
LOCKED_RETENTION_POLICY_NOT_SET

Detektor ini memeriksa apakah kebijakan retensi terkunci ditetapkan untuk log.
DNS_LOGGING_DISABLED

Detektor ini memeriksa apakah logging DNS diaktifkan di jaringan VPC.
LOG_NOT_EXPORTED

Detektor ini memeriksa apakah resource tidak memiliki sink log yang dikonfigurasi.
KMS_ROLE_SEPARATION

Pendeteksi ini memeriksa pemisahan tugas untuk kunci Cloud KMS.
DISK_CSEK_DISABLED

Detektor ini memeriksa apakah dukungan kunci enkripsi yang disediakan pelanggan (CSEK) dinonaktifkan untuk VM.
SQL_USER_CONNECTIONS_CONFIGURED

Detektor ini memeriksa apakah flag user connections di Cloud SQL untuk SQL Server dikonfigurasi.
API_KEY_APIS_UNRESTRICTED

Detektor ini memeriksa apakah kunci API digunakan terlalu luas.
SQL_LOG_MIN_MESSAGES

Detektor ini memeriksa apakah flag log_min_messages di Cloud SQL untuk PostgreSQL tidak disetel ke warning.
SQL_LOCAL_INFILE

Detektor ini memeriksa apakah flag local_infile di Cloud SQL untuk MySQL tidak dinonaktifkan.
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

Detektor ini memeriksa apakah flag log_min_duration_statement di Cloud SQL untuk PostgreSQL tidak disetel ke -1.
DATASET_CMEK_DISABLED

Detektor ini memeriksa apakah dukungan CMEK dinonaktifkan untuk set data BigQuery.
OPEN_SSH_PORT

Detektor ini memeriksa apakah firewall memiliki port SSH terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.
FIREWALL_NOT_MONITORED

Detektor ini memeriksa apakah metrik log dan pemberitahuan tidak dikonfigurasi untuk memantau perubahan aturan firewall VPC.
SQL_LOG_STATEMENT

Detektor ini memeriksa apakah tanda log_statement di Server Cloud SQL untuk PostgreSQL tidak disetel ke ddl.
SQL_PUBLIC_IP

Detektor ini memeriksa apakah database Cloud SQL memiliki alamat IP eksternal.
IP_FORWARDING_ENABLED

Detektor ini memeriksa apakah penerusan IP diaktifkan.
DATAPROC_CMEK_DISABLED

Detektor ini memeriksa apakah dukungan CMEK dinonaktifkan untuk cluster Dataproc.
CONFIDENTIAL_COMPUTING_DISABLED

Detektor ini memeriksa apakah Confidential Computing dinonaktifkan.
KMS_PUBLIC_KEY

Detektor ini memeriksa apakah kunci kriptografis Cloud Key Management Service dapat diakses secara publik. Untuk informasi selengkapnya, lihat Temuan kerentanan KMS.
SQL_INSTANCE_NOT_MONITORED

Detektor ini memeriksa apakah logging dinonaktifkan untuk perubahan konfigurasi Cloud SQL.
SQL_TRACE_FLAG_3625

Detektor ini memeriksa apakah flag 3625 (trace flag) di Cloud SQL untuk SQL Server tidak aktif.
DEFAULT_NETWORK

Detektor ini memeriksa apakah jaringan default ada dalam project.
DNSSEC_DISABLED

Detektor ini memeriksa apakah keamanan DNS (DNSSEC) dinonaktifkan untuk Cloud DNS. Untuk mengetahui informasi selengkapnya, lihat temuan kerentanan DNS.
API_KEY_NOT_ROTATED

Detektor ini memeriksa apakah kunci API telah dirotasi dalam 90 hari terakhir.
SQL_LOG_CONNECTIONS_DISABLED

Detektor ini memeriksa apakah tanda log_connections di Cloud SQL untuk PostgreSQL tidak aktif.
LEGACY_NETWORK

Detektor ini memeriksa apakah jaringan lama ada dalam project.
IAM_ROOT_ACCESS_KEY_CHECK

Detektor ini memeriksa apakah kunci akses root IAM dapat diakses.
PUBLIC_IP_ADDRESS

Detektor ini memeriksa apakah instance memiliki alamat IP eksternal.
OPEN_RDP_PORT

Detektor ini memeriksa apakah firewall memiliki port RDP yang terbuka.
INSTANCE_OS_LOGIN_DISABLED

Detektor ini memeriksa apakah Login OS tidak diaktifkan.
ADMIN_SERVICE_ACCOUNT

Detektor ini memeriksa apakah akun layanan memiliki hak istimewa Admin, Pemilik, atau Editor.
SQL_USER_OPTIONS_CONFIGURED

Detektor ini memeriksa apakah flag user options di Cloud SQL untuk SQL Server dikonfigurasi.
FULL_API_ACCESS

Detektor ini memeriksa apakah instance menggunakan akun layanan default dengan akses penuh ke semua Google Cloud API.
DEFAULT_SERVICE_ACCOUNT_USED

Detektor ini memeriksa apakah akun layanan default sedang digunakan.
NETWORK_NOT_MONITORED

Detektor ini memeriksa apakah metrik log dan pemberitahuan tidak dikonfigurasi untuk memantau perubahan jaringan VPC.
SQL_CONTAINED_DATABASE_AUTHENTICATION

Detektor ini memeriksa apakah flag contained database authentication di Cloud SQL untuk SQL Server tidak nonaktif.
PUBLIC_BUCKET_ACL

Detektor ini memeriksa apakah bucket dapat diakses secara publik.
LOAD_BALANCER_LOGGING_DISABLED

Detektor ini memeriksa apakah logging dinonaktifkan untuk load balancer.
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Detektor ini memeriksa apakah pengguna memiliki peran akun layanan di tingkat project, bukan untuk akun layanan tertentu.
SQL_REMOTE_ACCESS_ENABLED

Detektor ini memeriksa apakah flag remote_access di Cloud SQL untuk SQL Server tidak nonaktif.
CUSTOM_ROLE_NOT_MONITORED

Detektor ini memeriksa apakah logging dinonaktifkan untuk perubahan peran kustom.
AUTO_BACKUP_DISABLED

Detektor ini memeriksa apakah database Cloud SQL tidak mengaktifkan pencadangan otomatis.
RSASHA1_FOR_SIGNING

Detektor ini memeriksa apakah RSASHA1 digunakan untuk penandatanganan kunci di zona Cloud DNS.
CLOUD_ASSET_API_DISABLED

Detektor ini memeriksa apakah Inventaris Aset Cloud dinonaktifkan.
SQL_LOG_ERROR_VERBOSITY

Detektor ini memeriksa apakah flag log_error_verbosity di Cloud SQL untuk PostgreSQL tidak disetel ke default.
ROUTE_NOT_MONITORED

Detektor ini memeriksa apakah metrik log dan pemberitahuan tidak dikonfigurasi untuk memantau perubahan rute jaringan VPC.
BUCKET_POLICY_ONLY_DISABLED

Detektor ini memeriksa apakah akses level bucket yang seragam dikonfigurasi.
BUCKET_IAM_NOT_MONITORED

Detektor ini memeriksa apakah logging dinonaktifkan untuk perubahan izin IAM di Cloud Storage.
PUBLIC_SQL_INSTANCE

Detektor ini memeriksa apakah Cloud SQL mengizinkan koneksi dari semua alamat IP.
SERVICE_ACCOUNT_ROLE_SEPARATION

Detektor ini memeriksa pemisahan tugas untuk kunci akun layanan.
AUDIT_CONFIG_NOT_MONITORED

Detektor ini memeriksa apakah perubahan konfigurasi audit sedang dipantau.
OWNER_NOT_MONITORED

Detektor ini memeriksa apakah logging dinonaktifkan untuk penetapan dan perubahan kepemilikan project.

Melihat template postur

Untuk melihat template postur untuk NIST 800-53, lakukan tindakan berikut:

gcloud

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • ORGANIZATION_ID: ID numerik organisasi

Jalankan perintah gcloud scc posture-templates describe:

Linux, macOS, atau Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53

Respons berisi template postur.

REST

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • ORGANIZATION_ID: ID numerik organisasi

Metode HTTP dan URL: 

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53

Untuk mengirim permintaan, perluas salah satu opsi berikut:

Respons berisi template postur.

Langkah selanjutnya