Cette page décrit les règles de détection incluses dans la version v1.0 du modèle de stratégie prédéfini pour les normes PCI DSS (Payment Card Industry Data Security Standard) version 3.2.1 et version 1.0. Ce modèle inclut un ensemble de règles qui définit les détecteurs de Security Health Analytics qui s'appliquent aux charges de travail qui doivent être conformes à la norme PCI DSS.
Vous pouvez déployer ce modèle de stratégie sans apporter de modifications.
Détecteurs Security Health Analytics
Le tableau suivant décrit les détecteurs Security Health Analytics inclus dans ce modèle de stratégie.
Nom du détecteur | Description |
---|---|
PUBLIC_DATASET |
Ce détecteur vérifie si un ensemble de données est configuré pour être accessible au public. Pour en savoir plus, consultez la page Résultats de failles des ensembles de données. |
NON_ORG_IAM_MEMBER |
Ce détecteur vérifie si un utilisateur n'utilise pas les identifiants de l'organisation. |
KMS_PROJECT_HAS_OWNER |
Ce détecteur vérifie si un utilisateur dispose de l'autorisation Propriétaire pour un projet qui inclut des clés. |
AUDIT_LOGGING_DISABLED |
Ce détecteur vérifie si la journalisation d'audit est désactivée pour une ressource. |
SSL_NOT_ENFORCED |
Ce détecteur vérifie si une instance de base de données Cloud SQL n'utilise pas SSL pour toutes les connexions entrantes. Pour en savoir plus, consultez Résultats de failles SQL. |
LOCKED_RETENTION_POLICY_NOT_SET |
Ce détecteur vérifie si la règle de conservation verrouillée est définie pour les journaux. |
KMS_KEY_NOT_ROTATED |
Ce détecteur vérifie si la rotation du chiffrement Cloud Key Management Service n'est pas activée. |
OPEN_SMTP_PORT |
Ce détecteur vérifie si un pare-feu dispose d'un port SMTP ouvert qui autorise un accès générique. Pour en savoir plus, consultez la page Résultats de failles de pare-feu. |
SQL_NO_ROOT_PASSWORD |
Ce détecteur vérifie si une base de données Cloud SQL associée à une adresse IP publique ne possède pas de mot de passe pour le compte racine. |
OPEN_LDAP_PORT |
Ce détecteur vérifie si un pare-feu dispose d'un port LDAP ouvert autorisant un accès générique. Pour en savoir plus, consultez la page Résultats de failles de pare-feu. |
OPEN_ORACLEDB_PORT |
Ce détecteur vérifie si un pare-feu dispose d'un port de base de données Oracle ouvert qui autorise un accès générique. Pour en savoir plus, consultez la page Résultats de failles de pare-feu. |
OPEN_SSH_PORT |
Ce détecteur vérifie si un pare-feu dispose d'un port SSH ouvert autorisant un accès générique. Pour en savoir plus, consultez la page Résultats de failles de pare-feu. |
MFA_NOT_ENFORCED |
Ce détecteur permet de vérifier si un utilisateur n'utilise pas la validation en deux étapes. |
COS_NOT_USED |
Ce détecteur vérifie si les VM Compute Engine n'utilisent pas Container-Optimized OS. Pour en savoir plus, consultez la page Résultats de failles des conteneurs. |
HTTP_LOAD_BALANCER |
Ce détecteur vérifie si l'instance Compute Engine utilise un équilibreur de charge configuré pour utiliser un proxy HTTP cible au lieu d'un proxy HTTPS cible. Pour en savoir plus, consultez la page Résultats de failles des instances Compute. |
EGRESS_DENY_RULE_NOT_SET |
Ce détecteur vérifie si une règle de refus du trafic sortant n'est pas définie sur un pare-feu. Pour en savoir plus, consultez la page Résultats de failles de pare-feu. |
PUBLIC_LOG_BUCKET |
Ce détecteur vérifie si un bucket avec un récepteur de journaux est accessible publiquement. |
OPEN_DIRECTORY_SERVICES_PORT |
Ce détecteur vérifie si un pare-feu dispose d'un port DIRECTORY_SERVICES ouvert autorisant un accès générique. Pour en savoir plus, consultez la page Résultats de failles de pare-feu. |
OPEN_MYSQL_PORT |
Ce détecteur vérifie si un pare-feu dispose d'un port MySQL ouvert autorisant l'accès générique. Pour en savoir plus, consultez la page Résultats de failles de pare-feu. |
OPEN_FTP_PORT |
Ce détecteur vérifie si un pare-feu dispose d'un port FTP ouvert autorisant un accès générique. Pour en savoir plus, consultez la page Résultats de failles de pare-feu. |
OPEN_FIREWALL |
Ce détecteur vérifie si un pare-feu est ouvert à l'accès public. Pour en savoir plus, consultez la page Résultats de failles de pare-feu. |
WEAK_SSL_POLICY |
Ce détecteur vérifie si une instance dispose d'une règle SSL faible. |
OPEN_POP3_PORT |
Ce détecteur vérifie si un pare-feu dispose d'un port POP3 ouvert autorisant l'accès générique. Pour en savoir plus, consultez la page Résultats de failles de pare-feu. |
OPEN_NETBIOS_PORT |
Ce détecteur vérifie si un pare-feu dispose d'un port NETBIOS ouvert autorisant un accès générique. Pour en savoir plus, consultez la page Résultats de failles de pare-feu. |
FLOW_LOGS_DISABLED |
Ce détecteur vérifie si les journaux de flux sont activés sur le sous-réseau VPC. |
OPEN_MONGODB_PORT |
Ce détecteur vérifie si un pare-feu dispose d'un port de base de données Mongo ouvert qui autorise un accès générique. Pour en savoir plus, consultez la page Résultats de failles de pare-feu. |
MASTER_AUTHORIZED_NETWORKS_DISABLED |
Ce détecteur vérifie si les réseaux autorisés du plan de contrôle ne sont pas activés sur les clusters GKE. Pour en savoir plus, consultez la page Résultats de failles des conteneurs. |
OPEN_REDIS_PORT |
Ce détecteur vérifie si un pare-feu dispose d'un port REDIS ouvert qui autorise un accès générique. Pour en savoir plus, consultez la page Résultats de failles de pare-feu. |
OPEN_DNS_PORT |
Ce détecteur vérifie si un pare-feu dispose d'un port DNS ouvert qui autorise un accès générique. Pour en savoir plus, consultez la page Résultats de failles de pare-feu. |
OPEN_TELNET_PORT |
Ce détecteur vérifie si un pare-feu dispose d'un port TELNET ouvert qui autorise un accès générique. Pour en savoir plus, consultez la page Résultats de failles de pare-feu. |
OPEN_HTTP_PORT |
Ce détecteur vérifie si un pare-feu dispose d'un port HTTP ouvert autorisant l'accès générique. Pour en savoir plus, consultez la page Résultats de failles de pare-feu. |
CLUSTER_LOGGING_DISABLED |
Ce détecteur vérifie que la journalisation n'est pas activée pour un cluster GKE. Pour en savoir plus, consultez la page Résultats de failles des conteneurs. |
FULL_API_ACCESS |
Ce détecteur vérifie si une instance utilise un compte de service par défaut avec un accès complet à toutes les API Google Cloud. |
OBJECT_VERSIONING_DISABLED |
Ce détecteur vérifie si la gestion des versions des objets est activée sur les buckets de stockage dotés de récepteurs. |
PUBLIC_IP_ADDRESS |
Ce détecteur vérifie si une instance possède une adresse IP publique. |
AUTO_UPGRADE_DISABLED |
Ce détecteur vérifie si la fonctionnalité de mise à niveau automatique d'un cluster GKE est désactivée. Pour en savoir plus, consultez la page Résultats de failles des conteneurs. |
LEGACY_AUTHORIZATION_ENABLED |
Ce détecteur vérifie si l'ancienne autorisation est activée sur les clusters GKE. Pour en savoir plus, consultez la page Résultats de failles des conteneurs. |
CLUSTER_MONITORING_DISABLED |
Ce détecteur vérifie si la surveillance est désactivée sur les clusters GKE. Pour en savoir plus, consultez la page Résultats de failles des conteneurs. |
OPEN_CISCOSECURE_WEBSM_PORT |
Ce détecteur vérifie si un pare-feu dispose d'un port CISCOSECURE_WEBSM ouvert qui autorise un accès générique. Pour en savoir plus, consultez la page Résultats de failles de pare-feu. |
OPEN_RDP_PORT |
Ce détecteur vérifie si un pare-feu dispose d'un port RDP ouvert autorisant l'accès générique. Pour en savoir plus, consultez la page Résultats de failles de pare-feu. |
WEB_UI_ENABLED |
Ce détecteur vérifie si l'interface utilisateur Web de GKE est activée. Pour en savoir plus, consultez la page Résultats de failles des conteneurs. |
FIREWALL_RULE_LOGGING_DISABLED |
Ce détecteur vérifie si la journalisation des règles de pare-feu est désactivée. Pour en savoir plus, consultez la page Résultats de failles de pare-feu. |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
Ce détecteur vérifie si un utilisateur dispose de rôles de compte de service au niveau du projet, plutôt que pour un compte de service spécifique. |
PRIVATE_CLUSTER_DISABLED |
Ce détecteur vérifie si le cluster privé est désactivé sur un cluster GKE. Pour en savoir plus, consultez la page Résultats de failles des conteneurs. |
PRIMITIVE_ROLES_USED |
Ce détecteur vérifie si un utilisateur dispose d'un rôle de base (propriétaire, éditeur ou lecteur). Pour en savoir plus, consultez la page Résultats de failles IAM. |
REDIS_ROLE_USED_ON_ORG |
Ce détecteur vérifie si le rôle IAM Redis est attribué à une organisation ou à un dossier. Pour en savoir plus, consultez la page Résultats de failles IAM. |
PUBLIC_BUCKET_ACL |
Ce détecteur vérifie si un bucket est accessible publiquement. |
OPEN_MEMCACHED_PORT |
Ce détecteur vérifie si un pare-feu dispose d'un port MEMCACHED ouvert autorisant l'accès générique. Pour en savoir plus, consultez la page Résultats de failles de pare-feu. |
OVER_PRIVILEGED_ACCOUNT |
Ce détecteur vérifie si l'accès d'un compte de service aux projets d'un cluster est trop étendu. Pour en savoir plus, consultez la page Résultats de failles des conteneurs. |
AUTO_REPAIR_DISABLED |
Ce détecteur vérifie si la fonctionnalité de réparation automatique d'un cluster GKE est désactivée. Pour en savoir plus, consultez la page Résultats de failles des conteneurs. |
NETWORK_POLICY_DISABLED |
Ce détecteur vérifie si la règle de réseau est désactivée sur un cluster. Pour en savoir plus, consultez la page Résultats de failles des conteneurs. |
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED |
Ce détecteur vérifie si les hôtes du cluster ne sont pas configurés pour utiliser uniquement des adresses IP internes privées pour accéder aux API Google. Pour en savoir plus, consultez la page Résultats de failles des conteneurs. |
OPEN_CASSANDRA_PORT |
Ce détecteur vérifie si un pare-feu dispose d'un port Cassandra ouvert qui autorise un accès générique. Pour en savoir plus, consultez la page Résultats de failles de pare-feu. |
TOO_MANY_KMS_USERS |
Ce détecteur vérifie s'il existe plus de trois utilisateurs de clés cryptographiques. Pour en savoir plus, consultez la page Résultats de failles KMS. |
OPEN_POSTGRESQL_PORT |
Ce détecteur vérifie si un pare-feu dispose d'un port PostgreSQL ouvert autorisant l'accès générique. Pour en savoir plus, consultez la page Résultats de failles de pare-feu. |
IP_ALIAS_DISABLED |
Ce détecteur vérifie si un cluster GKE a été créé avec la plage d'adresses IP d'alias désactivée. Pour en savoir plus, consultez la page Résultats de failles des conteneurs. |
PUBLIC_SQL_INSTANCE |
Ce détecteur vérifie si Cloud SQL autorise les connexions provenant de toutes les adresses IP. |
OPEN_ELASTICSEARCH_PORT |
Ce détecteur vérifie si un pare-feu dispose d'un port Elasticsearch ouvert qui autorise un accès générique. Pour en savoir plus, consultez la page Résultats de failles de pare-feu. |
Définition YAML
Vous trouverez ci-dessous la définition YAML du modèle de stratégie pour la norme PCI DSS.
name: organizations/123/locations/global/postureTemplates/pci_dss_v_3_2_1
description: Posture Template to make your workload PCI-DSS v3.2.1 compliant.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: PCI-DSS v3.2.1 detective policy set
description: 58 SHA modules that new customers can automatically enable.
policies:
- policy_id: Public dataset
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_DATASET
- policy_id: Non org IAM member
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: NON_ORG_IAM_MEMBER
- policy_id: KMS project has owner
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_PROJECT_HAS_OWNER
- policy_id: Audit logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUDIT_LOGGING_DISABLED
- policy_id: SSL not enforced
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SSL_NOT_ENFORCED
- policy_id: Locked retention policy not set
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LOCKED_RETENTION_POLICY_NOT_SET
- policy_id: KMS key not rotated
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_KEY_NOT_ROTATED
- policy_id: Open SMTP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_SMTP_PORT
- policy_id: SQL no root password
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_NO_ROOT_PASSWORD
- policy_id: Open LDAP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_LDAP_PORT
- policy_id: Open oracle db port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_ORACLEDB_PORT
- policy_id: Open SSH port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_SSH_PORT
- policy_id: MFA not enforced
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: MFA_NOT_ENFORCED
- policy_id: COS not used
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: COS_NOT_USED
- policy_id: HTTP load balancer
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: HTTP_LOAD_BALANCER
- policy_id: Egress deny rule not set
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: EGRESS_DENY_RULE_NOT_SET
- policy_id: Public log bucket
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_LOG_BUCKET
- policy_id: Open directory services port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_DIRECTORY_SERVICES_PORT
- policy_id: Open mysql port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_MYSQL_PORT
- policy_id: Open FTP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_FTP_PORT
- policy_id: Open firewall
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_FIREWALL
- policy_id: Weak SSL policy
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: WEAK_SSL_POLICY
- policy_id: Open POP3 port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_POP3_PORT
- policy_id: Open netbios port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_NETBIOS_PORT
- policy_id: Flow logs disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FLOW_LOGS_DISABLED
- policy_id: Open mongo db port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_MONGODB_PORT
- policy_id: Master authorized networks disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: MASTER_AUTHORIZED_NETWORKS_DISABLED
- policy_id: Open redis port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_REDIS_PORT
- policy_id: Open dns port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_DNS_PORT
- policy_id: Open telnet port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_TELNET_PORT
- policy_id: Open HTTP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_HTTP_PORT
- policy_id: Cluster logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CLUSTER_LOGGING_DISABLED
- policy_id: Full API access
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FULL_API_ACCESS
- policy_id: Object versioning disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OBJECT_VERSIONING_DISABLED
- policy_id: Public IP address
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_IP_ADDRESS
- policy_id: Auto upgrade disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUTO_UPGRADE_DISABLED
- policy_id: Legacy authorization enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LEGACY_AUTHORIZATION_ENABLED
- policy_id: Cluster monitoring disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CLUSTER_MONITORING_DISABLED
- policy_id: Open ciscosecure websm port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_CISCOSECURE_WEBSM_PORT
- policy_id: Open RDP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_RDP_PORT
- policy_id: Web UI enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: WEB_UI_ENABLED
- policy_id: Firewall rule logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FIREWALL_RULE_LOGGING_DISABLED
- policy_id: Over privileged service account user
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OVER_PRIVILEGED_SERVICE_ACCOUNT_USER
- policy_id: Private cluster disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PRIVATE_CLUSTER_DISABLED
- policy_id: Primitive roles used
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PRIMITIVE_ROLES_USED
- policy_id: Redis role used on org
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: REDIS_ROLE_USED_ON_ORG
- policy_id: Public bucket ACL
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_BUCKET_ACL
- policy_id: Open memcached port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_MEMCACHED_PORT
- policy_id: Over privileged account
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OVER_PRIVILEGED_ACCOUNT
- policy_id: Auto repair disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUTO_REPAIR_DISABLED
- policy_id: Network policy disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: NETWORK_POLICY_DISABLED
- policy_id: Cluster private google access disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED
- policy_id: Open cassandra port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_CASSANDRA_PORT
- policy_id: Too many KMS users
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: TOO_MANY_KMS_USERS
- policy_id: Open postgresql port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_POSTGRESQL_PORT
- policy_id: IP alias disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: IP_ALIAS_DISABLED
- policy_id: Public SQL instance
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_SQL_INSTANCE
- policy_id: Open elasticsearch port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_ELASTICSEARCH_PORT