Questa pagina è stata tradotta dall'API Cloud Translation.

Modello di postura predefinito per NIST SP 800-53

In questa pagina vengono descritti i criteri di rilevamento inclusi nella versione v1.0 del modello di postura predefinito per lo standard del National Institute of Standards and Technology (NIST) SP 800-53. Questo modello include un insieme di criteri che definisce rilevatori di Security Health Analytics che si applicano ai carichi di lavoro che devono essere conformi secondo lo standard NIST SP 800-53.

Puoi eseguire il deployment di questo modello di postura senza apportare modifiche.

Rilevatori Security Health Analytics

La tabella seguente descrive i rilevatori di Security Health Analytics inclusi in questo modello di postura.

Nome rilevatore	Descrizione
`BIGQUERY_TABLE_CMEK_DISABLED`	Questo rilevatore verifica se non è configurata una tabella BigQuery per utilizzare una chiave di crittografia gestita dal cliente (CMEK). Per ulteriori informazioni, vedi Set di dati vulnerabilità.
`PUBLIC_DATASET`	Questo rilevatore verifica se un set di dati è configurato per essere aperto a l'accesso pubblico. Per ulteriori informazioni, vedi Set di dati vulnerabilità.
`SQL_CROSS_DB_OWNERSHIP_CHAINING`	Questo rilevatore verifica se il flag `cross_db_ownership_chaining` in Cloud SQL per SQL Server non è disattivato.
`INSTANCE_OS_LOGIN_DISABLED`	Questo rilevatore verifica se OS Login non è attivo.
`SQL_SKIP_SHOW_DATABASE_DISABLED`	Questo rilevatore controlla se il flag `skip_show_database` in Cloud SQL per MySQL non è attivo.
`SQL_EXTERNAL_SCRIPTS_ENABLED`	Questo rilevatore controlla se il flag `external scripts enabled` in Cloud SQL per SQL Server non è disattivato.
`VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED`	Questo rilevatore verifica se i log di flusso VPC non sono attivati.
`API_KEY_EXISTS`	Questo rilevatore controlla se un progetto utilizza chiavi API anziché l'autenticazione standard.
`SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY`	Questo rilevatore controlla se il flag `log_min_error_statement` in Cloud SQL per PostgreSQL non ha un livello di gravità appropriato.
`COMPUTE_SERIAL_PORTS_ENABLED`	Questo rilevatore controlla se le porte seriali sono abilitate.
`SQL_LOG_DISCONNECTIONS_DISABLED`	Questo rilevatore controlla se il flag `log_disconnections` in Cloud SQL per PostgreSQL non è attivo.
`COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED`	Questo rilevatore verifica se vengono utilizzate chiavi SSH a livello di progetto.
`KMS_PROJECT_HAS_OWNER`	Questo rilevatore controlla se un utente dispone dell'autorizzazione Proprietario su un progetto che include chiavi.
`KMS_KEY_NOT_ROTATED`	Questo rilevatore controlla se la rotazione per la crittografia di Cloud Key Management Service non è attiva.
`ESSENTIAL_CONTACTS_NOT_CONFIGURED`	Questo rilevatore controlla se è presente almeno un Contatto necessario.
`AUDIT_LOGGING_DISABLED`	Questo rilevatore verifica se l'audit logging è disattivato per una risorsa.
`LOCKED_RETENTION_POLICY_NOT_SET`	Questo rilevatore controlla se il criterio di conservazione bloccata è impostato per i log.
`DNS_LOGGING_DISABLED`	Questo rilevatore verifica se il logging DNS è abilitato sulla rete VPC.
`LOG_NOT_EXPORTED`	Questo rilevatore verifica se per una risorsa non è configurato un sink di log.
`KMS_ROLE_SEPARATION`	Questo rilevatore verifica la separazione dei compiti per le chiavi Cloud KMS.
`DISK_CSEK_DISABLED`	Questo rilevatore verifica se il supporto della chiave di crittografia fornita dal cliente (CSEK) è disattivato per una VM.
`SQL_USER_CONNECTIONS_CONFIGURED`	Questo rilevatore verifica se il flag `user connections` in Cloud SQL per SQL Server è configurato.
`API_KEY_APIS_UNRESTRICTED`	Questo rilevatore controlla se le chiavi API vengono utilizzate in modo troppo ampio.
`SQL_LOG_MIN_MESSAGES`	Questo rilevatore controlla se il flag `log_min_messages` in Cloud SQL per PostgreSQL non è impostato su `warning`.
`SQL_LOCAL_INFILE`	Questo rilevatore controlla se il flag `local_infile` in Cloud SQL per MySQL non è disattivato.
`SQL_LOG_MIN_DURATION_STATEMENT_ENABLED`	Questo rilevatore controlla se il flag `log_min_duration_statement` in Cloud SQL per PostgreSQL non è impostato su `-1`.
`DATASET_CMEK_DISABLED`	Questo rilevatore controlla se il supporto CMEK è disattivato per un set di dati BigQuery.
`OPEN_SSH_PORT`	Questo rilevatore verifica se un firewall ha una porta SSH aperta consente l'accesso generico. Per ulteriori informazioni, vedi Firewall vulnerabilità.
`FIREWALL_NOT_MONITORED`	Questo rilevatore controlla se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alle regole del firewall VPC.
`SQL_LOG_STATEMENT`	Questo rilevatore controlla se il flag `log_statement` nel server Cloud SQL per PostgreSQL non è impostato su `ddl`.
`SQL_PUBLIC_IP`	Questo rilevatore verifica se un database Cloud SQL ha un indirizzo IP esterno.
`IP_FORWARDING_ENABLED`	Questo rilevatore verifica se l'IP forwarding è attivo.
`DATAPROC_CMEK_DISABLED`	Questo rilevatore controlla se il supporto CMEK è disattivato per un cluster Dataproc.
`CONFIDENTIAL_COMPUTING_DISABLED`	Questo rilevatore controlla se Confidential Computing è disattivato.
`KMS_PUBLIC_KEY`	Questo rilevatore verifica se una chiave di crittografia Cloud Key Management Service è pubblicamente accessibili. Per ulteriori informazioni, vedi km vulnerabilità.
`SQL_INSTANCE_NOT_MONITORED`	Questo rilevatore verifica se il logging è disattivato per le modifiche alla configurazione di Cloud SQL.
`SQL_TRACE_FLAG_3625`	Questo rilevatore controlla se il flag `3625 (trace flag)` in Cloud SQL per SQL Server non è attivo.
`DEFAULT_NETWORK`	Questo rilevatore verifica se in un progetto esiste la rete predefinita.
`DNSSEC_DISABLED`	Questo rilevatore controlla se la sicurezza DNS (DNSSEC) è disattivata per in Cloud DNS. Per ulteriori informazioni, vedi DNS vulnerabilità.
`API_KEY_NOT_ROTATED`	Questo rilevatore controlla se una chiave API è stata ruotata negli ultimi 90 giorni.
`SQL_LOG_CONNECTIONS_DISABLED`	Questo rilevatore controlla se il flag `log_connections` in Cloud SQL per PostgreSQL non è attivo.
`LEGACY_NETWORK`	Questo rilevatore verifica se in un progetto è presente una rete legacy.
`IAM_ROOT_ACCESS_KEY_CHECK`	Questo rilevatore verifica se la chiave di accesso principale IAM è accessibile.
`PUBLIC_IP_ADDRESS`	Questo rilevatore verifica se un'istanza ha un indirizzo IP esterno.
`OPEN_RDP_PORT`	Questo rilevatore verifica se un firewall ha una porta RDP aperta.
`INSTANCE_OS_LOGIN_DISABLED`	Questo rilevatore verifica se OS Login non è attivo.
`ADMIN_SERVICE_ACCOUNT`	Questo rilevatore controlla se un account di servizio dispone dei privilegi di amministratore, proprietario o editor.
`SQL_USER_OPTIONS_CONFIGURED`	Questo rilevatore verifica se il flag `user options` in Cloud SQL per SQL Server è configurato.
`FULL_API_ACCESS`	Questo rilevatore verifica se un'istanza utilizza un account di servizio predefinito con accesso completo a tutte le API Google Cloud.
`DEFAULT_SERVICE_ACCOUNT_USED`	Questo rilevatore verifica se viene utilizzato l'account di servizio predefinito.
`NETWORK_NOT_MONITORED`	Questo rilevatore controlla se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alla rete VPC.
`SQL_CONTAINED_DATABASE_AUTHENTICATION`	Questo rilevatore verifica se il flag `contained database authentication` in Cloud SQL per SQL Server non è disattivato.
`PUBLIC_BUCKET_ACL`	Questo rilevatore verifica se un bucket è accessibile pubblicamente.
`LOAD_BALANCER_LOGGING_DISABLED`	Questo rilevatore controlla se il logging è disattivato per il bilanciatore del carico.
`OVER_PRIVILEGED_SERVICE_ACCOUNT_USER`	Questo rilevatore controlla se un utente dispone di ruoli dell'account di servizio a livello di progetto, anziché per un account di servizio specifico.
`SQL_REMOTE_ACCESS_ENABLED`	Questo rilevatore verifica se il flag `remote_access` in Cloud SQL per SQL Server non è disattivato.
`CUSTOM_ROLE_NOT_MONITORED`	Questo rilevatore controlla se il logging è disattivato per le modifiche ai ruoli personalizzati.
`AUTO_BACKUP_DISABLED`	Questo rilevatore controlla se per un database Cloud SQL non sono attivati i backup automatici.
`RSASHA1_FOR_SIGNING`	Questo rilevatore verifica se RSASHA1 viene utilizzato per la firma della chiave nelle zone Cloud DNS.
`CLOUD_ASSET_API_DISABLED`	Questo rilevatore controlla se Cloud Asset Inventory è disattivato.
`SQL_LOG_ERROR_VERBOSITY`	Questo rilevatore controlla se il flag `log_error_verbosity` in Cloud SQL per PostgreSQL non è impostato su `default`.
`ROUTE_NOT_MONITORED`	Questo rilevatore controlla se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alle route di rete VPC.
`BUCKET_POLICY_ONLY_DISABLED`	Questo rilevatore verifica se è configurato un accesso uniforme a livello di bucket.
`BUCKET_IAM_NOT_MONITORED`	Questo rilevatore verifica se il logging è disattivato per le modifiche alle autorizzazioni IAM in Cloud Storage.
`PUBLIC_SQL_INSTANCE`	Questo rilevatore verifica se Cloud SQL consente le connessioni da tutti gli indirizzi IP.
`SERVICE_ACCOUNT_ROLE_SEPARATION`	Questo rilevatore verifica la separazione dei compiti per le chiavi degli account di servizio.
`AUDIT_CONFIG_NOT_MONITORED`	Questo rilevatore verifica se le modifiche alla configurazione dell'audit sono monitorate.
`OWNER_NOT_MONITORED`	Questo rilevatore controlla se il logging è disattivato per le assegnazioni e le modifiche della proprietà del progetto.

Visualizza il modello di postura

Per visualizzare il modello di postura per NIST 800-53, segui questi passaggi:

gcloud

Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

ORGANIZATION_ID: l'ID numerico dell'organizzazione

Esegui la gcloud scc posture-templates describe :

Linux, macOS o Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53

La risposta contiene il modello di postura.

REST

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

ORGANIZATION_ID: l'ID numerico dell'organizzazione

Metodo HTTP e URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53

Per inviare la richiesta, espandi una delle seguenti opzioni:

curl (Linux, macOS o Cloud Shell)

Nota: Il comando seguente presuppone che tu abbia eseguito l'accesso a l'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che ti consente di accedere automaticamente all'interfaccia a riga di comando gcloud di Google. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list

Esegui questo comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53"

PowerShell (Windows)

Esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53" | Select-Object -Expand Content

La risposta contiene il modello di postura.

Passaggi successivi

Crea una postura di sicurezza utilizzando questo modello di postura.