Nesta página, descrevemos as políticas de detetive incluídas na versão v1.0 do modelo de postura predefinida do Padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) versão 3.2.1 e 1.0. Esse modelo inclui um conjunto de políticas que define os detectores da Análise de integridade da segurança que se aplicam a cargas de trabalho que precisam estar em conformidade com o padrão PCI DSS.
É possível implantar esse modelo de postura sem fazer mudanças.
Detectores do Security Health Analytics
A tabela a seguir descreve os detectores da Análise de integridade da segurança incluídos nesse modelo de postura.
Nome do detector | Descrição |
---|---|
PUBLIC_DATASET |
Esse detector verifica se um conjunto de dados está configurado para ser aberto ao acesso público. Para mais informações, consulte Descobertas de vulnerabilidade do conjunto de dados. |
NON_ORG_IAM_MEMBER |
Esse detector verifica se um usuário não está usando as credenciais da organização. |
KMS_PROJECT_HAS_OWNER |
Esse detector verifica se um usuário tem a permissão Owner em um projeto que inclui chaves. |
AUDIT_LOGGING_DISABLED |
Esse detector verifica se a geração de registros de auditoria está desativada para um recurso. |
SSL_NOT_ENFORCED |
Esse detector verifica se uma instância de banco de dados do Cloud SQL não usa SSL para todas as conexões de entrada. Para mais informações, consulte Descobertas de vulnerabilidade do SQL. |
LOCKED_RETENTION_POLICY_NOT_SET |
Este detector verifica se a política de retenção bloqueada está definida para registros. |
KMS_KEY_NOT_ROTATED |
Esse detector verifica se a rotação para a criptografia do Cloud Key Management Service não está ativada. |
OPEN_SMTP_PORT |
Esse detector verifica se um firewall tem uma porta SMTP aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade de firewall. |
SQL_NO_ROOT_PASSWORD |
Esse detector verifica se um banco de dados do Cloud SQL com um endereço IP público não tem uma senha para a conta raiz. |
OPEN_LDAP_PORT |
Esse detector verifica se um firewall tem uma porta LDAP aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade de firewall. |
OPEN_ORACLEDB_PORT |
Esse detector verifica se um firewall tem uma porta aberta do banco de dados Oracle que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade de firewall. |
OPEN_SSH_PORT |
Esse detector verifica se um firewall tem uma porta SSH aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade de firewall. |
MFA_NOT_ENFORCED |
Este detector confere se um usuário não está usando a verificação em duas etapas. |
COS_NOT_USED |
Esse detector verifica se as VMs do Compute Engine não estão usando o Container-Optimized OS. Para mais informações, consulte Descobertas de vulnerabilidade do contêiner. |
HTTP_LOAD_BALANCER |
Esse detector verifica se a instância do Compute Engine usa um balanceador de carga configurado para usar um proxy HTTP de destino em vez de um proxy HTTPS de destino. Para mais informações, consulte Descobertas de vulnerabilidade da instância do Compute. |
EGRESS_DENY_RULE_NOT_SET |
Esse detector verifica se uma regra de negação de saída não está definida em um firewall. Para mais informações, consulte Descobertas de vulnerabilidade de firewall. |
PUBLIC_LOG_BUCKET |
Esse detector verifica se um bucket com um coletor de registros está acessível publicamente. |
OPEN_DIRECTORY_SERVICES_PORT |
Esse detector verifica se um firewall tem uma porta DIRECTORY_SERVICES aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade de firewall. |
OPEN_MYSQL_PORT |
Esse detector verifica se um firewall tem uma porta MySQL aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade de firewall. |
OPEN_FTP_PORT |
Esse detector verifica se um firewall tem uma porta de FTP aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade de firewall. |
OPEN_FIREWALL |
Esse detector verifica se um firewall está aberto para acesso público. Para mais informações, consulte Descobertas de vulnerabilidade de firewall. |
WEAK_SSL_POLICY |
Esse detector verifica se uma instância tem uma política de SSL fraca. |
OPEN_POP3_PORT |
Esse detector verifica se um firewall tem uma porta POP3 aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade de firewall. |
OPEN_NETBIOS_PORT |
Esse detector verifica se um firewall tem uma porta NETBIOS aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade de firewall. |
FLOW_LOGS_DISABLED |
Este detector verifica se os registros de fluxo estão ativados na sub-rede VPC. |
OPEN_MONGODB_PORT |
Esse detector verifica se um firewall tem uma porta aberta do banco de dados Mongo que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade de firewall. |
MASTER_AUTHORIZED_NETWORKS_DISABLED |
Este detector verifica se as redes autorizadas do plano de controle não estão ativadas nos clusters do GKE. Para mais informações, consulte Descobertas de vulnerabilidade do contêiner. |
OPEN_REDIS_PORT |
Esse detector verifica se um firewall tem uma porta REDIS aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade de firewall. |
OPEN_DNS_PORT |
Esse detector verifica se um firewall tem uma porta DNS aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade de firewall. |
OPEN_TELNET_PORT |
Esse detector verifica se um firewall tem uma porta TELNET aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade de firewall. |
OPEN_HTTP_PORT |
Esse detector verifica se um firewall tem uma porta HTTP aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade de firewall. |
CLUSTER_LOGGING_DISABLED |
Este detector verifica se a geração de registros não está ativada para um cluster do GKE. Para mais informações, consulte Descobertas de vulnerabilidade do contêiner. |
FULL_API_ACCESS |
Esse detector verifica se uma instância está usando uma conta de serviço padrão com acesso total a todas as APIs do Google Cloud. |
OBJECT_VERSIONING_DISABLED |
Esse detector verifica se o controle de versões de objetos está ativado em buckets de armazenamento com coletores. |
PUBLIC_IP_ADDRESS |
Esse detector verifica se uma instância tem um endereço IP público. |
AUTO_UPGRADE_DISABLED |
Este detector verifica se o recurso de upgrade automático de um cluster do GKE está desativado. Para mais informações, consulte Descobertas de vulnerabilidade do contêiner. |
LEGACY_AUTHORIZATION_ENABLED |
Esse detector verifica se a autorização legada está ativada nos clusters do GKE. Para mais informações, consulte Descobertas de vulnerabilidade do contêiner. |
CLUSTER_MONITORING_DISABLED |
Esse detector verifica se o monitoramento está desativado nos clusters do GKE. Para mais informações, consulte Descobertas de vulnerabilidade do contêiner. |
OPEN_CISCOSECURE_WEBSM_PORT |
Este detector verifica se um firewall tem uma porta CISCOSECURE_WEBSM aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade de firewall. |
OPEN_RDP_PORT |
Esse detector verifica se um firewall tem uma porta RDP aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade de firewall. |
WEB_UI_ENABLED |
Esse detector verifica se a UI da Web do GKE está ativada. Para mais informações, consulte Descobertas de vulnerabilidade do contêiner. |
FIREWALL_RULE_LOGGING_DISABLED |
Esse detector verifica se a geração de registros de regras de firewall está desativada. Para mais informações, consulte Descobertas de vulnerabilidade de firewall. |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
Esse detector verifica se um usuário tem papéis de conta de serviço no nível do projeto, e não para uma conta de serviço específica. |
PRIVATE_CLUSTER_DISABLED |
Esse detector verifica se um cluster do GKE está com o cluster particular desativado. Para mais informações, consulte Descobertas de vulnerabilidade do contêiner. |
PRIMITIVE_ROLES_USED |
Esse detector verifica se um usuário tem um papel básico (Proprietário, Editor ou Leitor). Para mais informações, consulte Descobertas de vulnerabilidade do IAM. |
REDIS_ROLE_USED_ON_ORG |
Esse detector verifica se o papel do IAM do Redis está atribuído a uma organização ou pasta. Para mais informações, consulte Descobertas de vulnerabilidade do IAM. |
PUBLIC_BUCKET_ACL |
Esse detector verifica se um bucket é acessível publicamente. |
OPEN_MEMCACHED_PORT |
Esse detector verifica se um firewall tem uma porta MEMCACHED aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade de firewall. |
OVER_PRIVILEGED_ACCOUNT |
Esse detector verifica se uma conta de serviço tem acesso excessivamente amplo ao projeto em um cluster. Para mais informações, consulte Descobertas de vulnerabilidade do contêiner. |
AUTO_REPAIR_DISABLED |
Esse detector verifica se o recurso de reparo automático de um cluster do GKE está desativado. Para mais informações, consulte Descobertas de vulnerabilidade do contêiner. |
NETWORK_POLICY_DISABLED |
Este detector verifica se a política de rede está desativada em um cluster. Para mais informações, consulte Descobertas de vulnerabilidade do contêiner. |
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED |
Esse detector verifica se os hosts de cluster não estão configurados para usar apenas endereços IP internos particulares para acessar as APIs do Google. Para mais informações, consulte Descobertas de vulnerabilidade do contêiner. |
OPEN_CASSANDRA_PORT |
Esse detector verifica se um firewall tem uma porta do Cassandra aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade de firewall. |
TOO_MANY_KMS_USERS |
Este detector verifica se há mais de três usuários de chaves criptográficas. Para mais informações, consulte Descobertas de vulnerabilidade do KMS. |
OPEN_POSTGRESQL_PORT |
Esse detector verifica se um firewall tem uma porta PostgreSQL aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade de firewall. |
IP_ALIAS_DISABLED |
Esse detector verifica se um cluster do GKE foi criado com o intervalo de endereços IP do alias desativado. Para mais informações, consulte Descobertas de vulnerabilidade do contêiner. |
PUBLIC_SQL_INSTANCE |
Esse detector verifica se o Cloud SQL permite conexões de todos os endereços IP. |
OPEN_ELASTICSEARCH_PORT |
Esse detector verifica se um firewall tem uma porta Elasticsearch aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade de firewall. |
Definição de YAML
Veja a seguir a definição YAML para o modelo de postura do PCI DSS.
name: organizations/123/locations/global/postureTemplates/pci_dss_v_3_2_1
description: Posture Template to make your workload PCI-DSS v3.2.1 compliant.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: PCI-DSS v3.2.1 detective policy set
description: 58 SHA modules that new customers can automatically enable.
policies:
- policy_id: Public dataset
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_DATASET
- policy_id: Non org IAM member
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: NON_ORG_IAM_MEMBER
- policy_id: KMS project has owner
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_PROJECT_HAS_OWNER
- policy_id: Audit logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUDIT_LOGGING_DISABLED
- policy_id: SSL not enforced
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SSL_NOT_ENFORCED
- policy_id: Locked retention policy not set
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LOCKED_RETENTION_POLICY_NOT_SET
- policy_id: KMS key not rotated
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_KEY_NOT_ROTATED
- policy_id: Open SMTP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_SMTP_PORT
- policy_id: SQL no root password
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_NO_ROOT_PASSWORD
- policy_id: Open LDAP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_LDAP_PORT
- policy_id: Open oracle db port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_ORACLEDB_PORT
- policy_id: Open SSH port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_SSH_PORT
- policy_id: MFA not enforced
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: MFA_NOT_ENFORCED
- policy_id: COS not used
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: COS_NOT_USED
- policy_id: HTTP load balancer
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: HTTP_LOAD_BALANCER
- policy_id: Egress deny rule not set
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: EGRESS_DENY_RULE_NOT_SET
- policy_id: Public log bucket
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_LOG_BUCKET
- policy_id: Open directory services port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_DIRECTORY_SERVICES_PORT
- policy_id: Open mysql port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_MYSQL_PORT
- policy_id: Open FTP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_FTP_PORT
- policy_id: Open firewall
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_FIREWALL
- policy_id: Weak SSL policy
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: WEAK_SSL_POLICY
- policy_id: Open POP3 port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_POP3_PORT
- policy_id: Open netbios port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_NETBIOS_PORT
- policy_id: Flow logs disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FLOW_LOGS_DISABLED
- policy_id: Open mongo db port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_MONGODB_PORT
- policy_id: Master authorized networks disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: MASTER_AUTHORIZED_NETWORKS_DISABLED
- policy_id: Open redis port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_REDIS_PORT
- policy_id: Open dns port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_DNS_PORT
- policy_id: Open telnet port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_TELNET_PORT
- policy_id: Open HTTP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_HTTP_PORT
- policy_id: Cluster logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CLUSTER_LOGGING_DISABLED
- policy_id: Full API access
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FULL_API_ACCESS
- policy_id: Object versioning disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OBJECT_VERSIONING_DISABLED
- policy_id: Public IP address
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_IP_ADDRESS
- policy_id: Auto upgrade disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUTO_UPGRADE_DISABLED
- policy_id: Legacy authorization enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LEGACY_AUTHORIZATION_ENABLED
- policy_id: Cluster monitoring disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CLUSTER_MONITORING_DISABLED
- policy_id: Open ciscosecure websm port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_CISCOSECURE_WEBSM_PORT
- policy_id: Open RDP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_RDP_PORT
- policy_id: Web UI enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: WEB_UI_ENABLED
- policy_id: Firewall rule logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FIREWALL_RULE_LOGGING_DISABLED
- policy_id: Over privileged service account user
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OVER_PRIVILEGED_SERVICE_ACCOUNT_USER
- policy_id: Private cluster disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PRIVATE_CLUSTER_DISABLED
- policy_id: Primitive roles used
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PRIMITIVE_ROLES_USED
- policy_id: Redis role used on org
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: REDIS_ROLE_USED_ON_ORG
- policy_id: Public bucket ACL
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_BUCKET_ACL
- policy_id: Open memcached port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_MEMCACHED_PORT
- policy_id: Over privileged account
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OVER_PRIVILEGED_ACCOUNT
- policy_id: Auto repair disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUTO_REPAIR_DISABLED
- policy_id: Network policy disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: NETWORK_POLICY_DISABLED
- policy_id: Cluster private google access disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED
- policy_id: Open cassandra port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_CASSANDRA_PORT
- policy_id: Too many KMS users
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: TOO_MANY_KMS_USERS
- policy_id: Open postgresql port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_POSTGRESQL_PORT
- policy_id: IP alias disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: IP_ALIAS_DISABLED
- policy_id: Public SQL instance
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_SQL_INSTANCE
- policy_id: Open elasticsearch port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_ELASTICSEARCH_PORT