이 페이지에서는 결제 카드 산업 데이터 보안 표준(PCI DSS) 버전 3.2.1 및 버전 1.0의 사전 정의된 상황 템플릿 v1.0 버전에 포함된 감지 정책에 대해 설명합니다. 이 템플릿에는 PCI DSS 표준과 호환되어야 하는 워크로드에 적용되는 Security Health Analytics 감지기를 정의하는 정책 집합이 포함되어 있습니다.
변경 없이 이 상황 템플릿을 배포할 수 있습니다.
Security Health Analytics 감지기
다음 표에서는 이 상황 템플릿에 포함된 Security Health Analytics 감지기에 대해 설명합니다.
검사 프로그램 이름 | 설명 |
---|---|
PUBLIC_DATASET |
이 감지기는 데이터 세트가 공개 액세스에 개방되도록 구성되었는지 확인합니다. 자세한 내용은 데이터 세트 취약점 발견 항목을 참조하세요. |
NON_ORG_IAM_MEMBER |
이 감지기는 사용자가 조직 사용자 인증 정보를 사용하지 않는지 확인합니다. |
KMS_PROJECT_HAS_OWNER |
이 감지기는 키가 포함된 프로젝트에 대해 사용자에게 소유자 권한이 있는지 여부를 확인합니다. |
AUDIT_LOGGING_DISABLED |
이 감지기는 리소스에 대해 감사 로깅이 사용 중지되었는지 확인합니다. |
SSL_NOT_ENFORCED |
이 감지기는 Cloud SQL 데이터베이스 인스턴스가 모든 수신 연결에 대해 SSL을 사용하는지 확인합니다. 자세한 내용은 SQL 취약점 발견 항목을 참조하세요. |
LOCKED_RETENTION_POLICY_NOT_SET |
이 감지기는 잠금 보관 정책이 로그에 설정되었는지 확인합니다. |
KMS_KEY_NOT_ROTATED |
이 감지기는 Cloud Key Management Service 암호화의 순환이 사용 설정되지 않았는지 확인합니다. |
OPEN_SMTP_PORT |
이 감지기는 방화벽에 일반 액세스를 허용하는 SMTP 포트가 열려 있는지 확인합니다. 자세한 내용은 방화벽 취약점 발견 항목을 참조하세요. |
SQL_NO_ROOT_PASSWORD |
이 감지기는 공개 IP 주소를 사용하는 Cloud SQL 데이터베이스에 루트 계정에 대한 암호가 없는지 확인합니다. |
OPEN_LDAP_PORT |
이 감지기는 방화벽에 일반 액세스를 허용하는 LDAP 포트가 열려 있는지 확인합니다. 자세한 내용은 방화벽 취약점 발견 항목을 참조하세요. |
OPEN_ORACLEDB_PORT |
이 감지기는 방화벽에 일반 액세스를 허용하는 Oracle 데이터베이스 포트가 열려 있는지 확인합니다. 자세한 내용은 방화벽 취약점 발견 항목을 참조하세요. |
OPEN_SSH_PORT |
이 감지기는 방화벽에 일반 액세스를 허용하는 SSH 포트가 열려 있는지 확인합니다. 자세한 내용은 방화벽 취약점 발견 항목을 참조하세요. |
MFA_NOT_ENFORCED |
이 감지기는 사용자가 2단계 인증을 사용하지 않는지 확인합니다. |
COS_NOT_USED |
이 감지기는 Compute Engine VM이 Container-Optimized OS를 사용 중이 아닌지 확인합니다. 자세한 내용은 컨테이너 취약점 발견 항목을 참조하세요. |
HTTP_LOAD_BALANCER |
이 감지기는 Compute Engine 인스턴스가 대상 HTTPS 프록시 대신 대상 HTTP 프록시를 사용하도록 구성된 부하 분산기를 사용하는지 확인합니다. 자세한 내용은 Compute 인스턴스 취약점 발견 항목을 참조하세요. |
EGRESS_DENY_RULE_NOT_SET |
이 감지기는 이그레스 거부 규칙이 방화벽에 설정되지 않았는지 확인합니다. 자세한 내용은 방화벽 취약점 발견 항목을 참조하세요. |
PUBLIC_LOG_BUCKET |
이 감지기는 로그 싱크에 연결된 버킷에 공개적으로 액세스할 수 있는지 확인합니다. |
OPEN_DIRECTORY_SERVICES_PORT |
이 감지기는 방화벽에 일반 액세스를 허용하는 DIRECTORY_SERVICES 포트가 열려 있는지 확인합니다. 자세한 내용은 방화벽 취약점 발견 항목을 참조하세요. |
OPEN_MYSQL_PORT |
이 감지기는 방화벽에 일반 액세스를 허용하는 MySQL 포트가 열려 있는지 확인합니다. 자세한 내용은 방화벽 취약점 발견 항목을 참조하세요. |
OPEN_FTP_PORT |
이 감지기는 방화벽에 일반 액세스를 허용하는 FTP 포트가 열려 있는지 확인합니다. 자세한 내용은 방화벽 취약점 발견 항목을 참조하세요. |
OPEN_FIREWALL |
이 감지기는 방화벽이 공개 액세스에 대해 열려 있는지 확인합니다. 자세한 내용은 방화벽 취약점 발견 항목을 참조하세요. |
WEAK_SSL_POLICY |
이 감지기는 인스턴스에 취약한 SSL 정책이 있는지 확인합니다. |
OPEN_POP3_PORT |
이 감지기는 방화벽에 일반 액세스를 허용하는 POP3 포트가 열려 있는지 확인합니다. 자세한 내용은 방화벽 취약점 발견 항목을 참조하세요. |
OPEN_NETBIOS_PORT |
이 감지기는 방화벽에 일반 액세스를 허용하는 NETBIOS 포트가 열려 있는지 확인합니다. 자세한 내용은 방화벽 취약점 발견 항목을 참조하세요. |
FLOW_LOGS_DISABLED |
이 감지기는 VPC 서브네트워크에서 흐름 로그가 사용 설정되었는지 확인합니다. |
OPEN_MONGODB_PORT |
이 감지기는 방화벽에 일반 액세스를 허용하는 Mongo 데이터베이스 포트가 열려 있는지 확인합니다. 자세한 내용은 방화벽 취약점 발견 항목을 참조하세요. |
MASTER_AUTHORIZED_NETWORKS_DISABLED |
이 감지기는 제어 영역 승인 네트워크가 GKE 클러스터에 사용 설정되지 않았는지 확인합니다. 자세한 내용은 컨테이너 취약점 발견 항목을 참조하세요. |
OPEN_REDIS_PORT |
이 감지기는 방화벽에 일반 액세스를 허용하는 REDIS 포트가 열려 있는지 확인합니다. 자세한 내용은 방화벽 취약점 발견 항목을 참조하세요. |
OPEN_DNS_PORT |
이 감지기는 방화벽에 일반 액세스를 허용하는 DNS 포트가 열려 있는지 확인합니다. 자세한 내용은 방화벽 취약점 발견 항목을 참조하세요. |
OPEN_TELNET_PORT |
이 감지기는 방화벽에 일반 액세스를 허용하는 TELNET 포트가 열려 있는지 확인합니다. 자세한 내용은 방화벽 취약점 발견 항목을 참조하세요. |
OPEN_HTTP_PORT |
이 감지기는 방화벽에 일반 액세스를 허용하는 HTTP 포트가 열려 있는지 확인합니다. 자세한 내용은 방화벽 취약점 발견 항목을 참조하세요. |
CLUSTER_LOGGING_DISABLED |
이 감지기는 GKE 클러스터에 대해 로깅이 사용 설정되지 않았는지 확인합니다. 자세한 내용은 컨테이너 취약점 발견 항목을 참조하세요. |
FULL_API_ACCESS |
이 감지기는 인스턴스가 모든 Google Cloud API에 대해 전체 액세스 권한이 있는 기본 서비스 계정을 사용 중인지 확인합니다. |
OBJECT_VERSIONING_DISABLED |
이 감지기는 객체 버전 관리가 싱크에 연결된 스토리지 버킷에 사용 설정되었는지 확인합니다. |
PUBLIC_IP_ADDRESS |
이 감지기는 인스턴스에 공개 IP 주소가 있는지 확인합니다. |
AUTO_UPGRADE_DISABLED |
이 감지기는 GKE 클러스터의 자동 업그레이드 기능이 사용 중지되었는지 확인합니다. 자세한 내용은 컨테이너 취약점 발견 항목을 참조하세요. |
LEGACY_AUTHORIZATION_ENABLED |
이 감지기는 기존 승인이 GKE 클러스터에 사용 설정되었는지 확인합니다. 자세한 내용은 컨테이너 취약점 발견 항목을 참조하세요. |
CLUSTER_MONITORING_DISABLED |
이 감지기는 모니터링이 GKE 클러스터에 사용 중지되었는지 확인합니다. 자세한 내용은 컨테이너 취약점 발견 항목을 참조하세요. |
OPEN_CISCOSECURE_WEBSM_PORT |
이 감지기는 방화벽에 일반 액세스를 허용하는 CISCOSECURE_WEBSM 포트가 열려 있는지 확인합니다. 자세한 내용은 방화벽 취약점 발견 항목을 참조하세요. |
OPEN_RDP_PORT |
이 감지기는 방화벽에 일반 액세스를 허용하는 RDP 포트가 열려 있는지 확인합니다. 자세한 내용은 방화벽 취약점 발견 항목을 참조하세요. |
WEB_UI_ENABLED |
이 감지기는 GKE 웹 UI가 사용 설정되었는지 확인합니다. 자세한 내용은 컨테이너 취약점 발견 항목을 참조하세요. |
FIREWALL_RULE_LOGGING_DISABLED |
이 감지기는 방화벽 규칙 로깅이 사용 중지되었는지 확인합니다. 자세한 내용은 방화벽 취약점 발견 항목을 참조하세요. |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
이 감지기는 사용자에게 특정 서비스 계정 대신 프로젝트 수준의 서비스 계정 역할이 있는지 확인합니다. |
PRIVATE_CLUSTER_DISABLED |
이 감지기는 GKE 클러스터에 비공개 클러스터가 사용 중지되었는지 확인합니다. 자세한 내용은 컨테이너 취약점 발견 항목을 참조하세요. |
PRIMITIVE_ROLES_USED |
이 감지기는 사용자에게 기본 역할(소유자, 편집자, 뷰어)이 있는지 확인합니다. 자세한 내용은 IAM 취약점 발견 항목을 참조하세요. |
REDIS_ROLE_USED_ON_ORG |
이 감지기는 Redis IAM 역할이 조직 또는 폴더에 할당되었는지 확인합니다. 자세한 내용은 IAM 취약점 발견 항목을 참조하세요. |
PUBLIC_BUCKET_ACL |
이 감지기는 버킷에 공개적으로 액세스할 수 있는지 확인합니다. |
OPEN_MEMCACHED_PORT |
이 감지기는 방화벽에 일반 액세스를 허용하는 MEMCACHED 포트가 열려 있는지 확인합니다. 자세한 내용은 방화벽 취약점 발견 항목을 참조하세요. |
OVER_PRIVILEGED_ACCOUNT |
이 감지기는 클러스터에서 서비스 계정에 과도하게 포괄적인 프로젝트 액세스 권한이 있는지 확인합니다. 자세한 내용은 컨테이너 취약점 발견 항목을 참조하세요. |
AUTO_REPAIR_DISABLED |
이 감지기는 GKE 클러스터의 자동 복구 기능이 사용 중지되었는지 확인합니다. 자세한 내용은 컨테이너 취약점 발견 항목을 참조하세요. |
NETWORK_POLICY_DISABLED |
이 감지기는 클러스터에서 네트워크 정책이 사용 중지되었는지 확인합니다. 자세한 내용은 컨테이너 취약점 발견 항목을 참조하세요. |
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED |
이 감지기는 클러스터 호스트가 비공개 내부 IP 주소만 사용하여 Google API에 액세스하도록 구성되지 않았는지 확인합니다. 자세한 내용은 컨테이너 취약점 발견 항목을 참조하세요. |
OPEN_CASSANDRA_PORT |
이 감지기는 방화벽에 일반 액세스를 허용하는 Cassandra 포트가 열려 있는지 확인합니다. 자세한 내용은 방화벽 취약점 발견 항목을 참조하세요. |
TOO_MANY_KMS_USERS |
이 감지기는 암호화 키 사용자가 3명 넘게 있는지 확인합니다. 자세한 내용은 KMS 취약점 발견 항목을 참조하세요. |
OPEN_POSTGRESQL_PORT |
이 감지기는 방화벽에 일반 액세스를 허용하는 PostgreSQL 포트가 열려 있는지 확인합니다. 자세한 내용은 방화벽 취약점 발견 항목을 참조하세요. |
IP_ALIAS_DISABLED |
이 감지기는 별칭 IP 주소 범위가 사용 중지된 상태로 GKE 클러스터가 생성되었는지 확인합니다. 자세한 내용은 컨테이너 취약점 발견 항목을 참조하세요. |
PUBLIC_SQL_INSTANCE |
이 감지기는 Cloud SQL이 모든 IP 주소의 연결을 허용하는지 확인합니다. |
OPEN_ELASTICSEARCH_PORT |
이 감지기는 방화벽에 일반 액세스를 허용하는 Elasticsearch 포트가 열려 있는지 확인합니다. 자세한 내용은 방화벽 취약점 발견 항목을 참조하세요. |
YAML 정의
다음은 PCI DSS의 상황 템플릿에 대한 YAML 정의입니다.
name: organizations/123/locations/global/postureTemplates/pci_dss_v_3_2_1
description: Posture Template to make your workload PCI-DSS v3.2.1 compliant.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: PCI-DSS v3.2.1 detective policy set
description: 58 SHA modules that new customers can automatically enable.
policies:
- policy_id: Public dataset
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_DATASET
- policy_id: Non org IAM member
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: NON_ORG_IAM_MEMBER
- policy_id: KMS project has owner
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_PROJECT_HAS_OWNER
- policy_id: Audit logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUDIT_LOGGING_DISABLED
- policy_id: SSL not enforced
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SSL_NOT_ENFORCED
- policy_id: Locked retention policy not set
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LOCKED_RETENTION_POLICY_NOT_SET
- policy_id: KMS key not rotated
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_KEY_NOT_ROTATED
- policy_id: Open SMTP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_SMTP_PORT
- policy_id: SQL no root password
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_NO_ROOT_PASSWORD
- policy_id: Open LDAP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_LDAP_PORT
- policy_id: Open oracle db port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_ORACLEDB_PORT
- policy_id: Open SSH port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_SSH_PORT
- policy_id: MFA not enforced
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: MFA_NOT_ENFORCED
- policy_id: COS not used
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: COS_NOT_USED
- policy_id: HTTP load balancer
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: HTTP_LOAD_BALANCER
- policy_id: Egress deny rule not set
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: EGRESS_DENY_RULE_NOT_SET
- policy_id: Public log bucket
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_LOG_BUCKET
- policy_id: Open directory services port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_DIRECTORY_SERVICES_PORT
- policy_id: Open mysql port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_MYSQL_PORT
- policy_id: Open FTP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_FTP_PORT
- policy_id: Open firewall
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_FIREWALL
- policy_id: Weak SSL policy
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: WEAK_SSL_POLICY
- policy_id: Open POP3 port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_POP3_PORT
- policy_id: Open netbios port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_NETBIOS_PORT
- policy_id: Flow logs disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FLOW_LOGS_DISABLED
- policy_id: Open mongo db port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_MONGODB_PORT
- policy_id: Master authorized networks disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: MASTER_AUTHORIZED_NETWORKS_DISABLED
- policy_id: Open redis port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_REDIS_PORT
- policy_id: Open dns port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_DNS_PORT
- policy_id: Open telnet port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_TELNET_PORT
- policy_id: Open HTTP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_HTTP_PORT
- policy_id: Cluster logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CLUSTER_LOGGING_DISABLED
- policy_id: Full API access
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FULL_API_ACCESS
- policy_id: Object versioning disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OBJECT_VERSIONING_DISABLED
- policy_id: Public IP address
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_IP_ADDRESS
- policy_id: Auto upgrade disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUTO_UPGRADE_DISABLED
- policy_id: Legacy authorization enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LEGACY_AUTHORIZATION_ENABLED
- policy_id: Cluster monitoring disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CLUSTER_MONITORING_DISABLED
- policy_id: Open ciscosecure websm port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_CISCOSECURE_WEBSM_PORT
- policy_id: Open RDP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_RDP_PORT
- policy_id: Web UI enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: WEB_UI_ENABLED
- policy_id: Firewall rule logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FIREWALL_RULE_LOGGING_DISABLED
- policy_id: Over privileged service account user
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OVER_PRIVILEGED_SERVICE_ACCOUNT_USER
- policy_id: Private cluster disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PRIVATE_CLUSTER_DISABLED
- policy_id: Primitive roles used
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PRIMITIVE_ROLES_USED
- policy_id: Redis role used on org
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: REDIS_ROLE_USED_ON_ORG
- policy_id: Public bucket ACL
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_BUCKET_ACL
- policy_id: Open memcached port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_MEMCACHED_PORT
- policy_id: Over privileged account
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OVER_PRIVILEGED_ACCOUNT
- policy_id: Auto repair disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUTO_REPAIR_DISABLED
- policy_id: Network policy disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: NETWORK_POLICY_DISABLED
- policy_id: Cluster private google access disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED
- policy_id: Open cassandra port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_CASSANDRA_PORT
- policy_id: Too many KMS users
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: TOO_MANY_KMS_USERS
- policy_id: Open postgresql port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_POSTGRESQL_PORT
- policy_id: IP alias disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: IP_ALIAS_DISABLED
- policy_id: Public SQL instance
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_SQL_INSTANCE
- policy_id: Open elasticsearch port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_ELASTICSEARCH_PORT