Template postur standar untuk PCI DSS v3.2.1 dan v1.0

Halaman ini menjelaskan kebijakan detektif yang disertakan dalam versi v1.0 template postur standar yang telah ditentukan untuk Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) versi 3.2.1 dan versi 1.0. Template ini menyertakan kumpulan kebijakan yang menentukan detektor Security Health Analytics yang berlaku untuk beban kerja yang harus mematuhi standar PCI DSS.

Anda dapat men-deploy template postur ini tanpa melakukan perubahan apa pun.

Detektor Security Health Analytics

Tabel berikut menjelaskan detektor Security Health Analytics yang disertakan dalam template postur ini.

Nama pendeteksi Deskripsi
PUBLIC_DATASET

Detektor ini memeriksa apakah set data dikonfigurasi agar terbuka untuk akses publik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan set data.

NON_ORG_IAM_MEMBER

Detektor ini memeriksa apakah pengguna tidak menggunakan kredensial organisasi.

KMS_PROJECT_HAS_OWNER

Detektor ini memeriksa apakah pengguna memiliki izin Pemilik di project yang menyertakan kunci.

AUDIT_LOGGING_DISABLED

Detektor ini memeriksa apakah logging audit dinonaktifkan untuk resource.

SSL_NOT_ENFORCED

Detektor ini memeriksa apakah instance database Cloud SQL tidak menggunakan SSL untuk semua koneksi masuk. Untuk informasi selengkapnya, lihat temuan vulnerability SQL.

LOCKED_RETENTION_POLICY_NOT_SET

Detektor ini memeriksa apakah kebijakan retensi terkunci ditetapkan untuk log.

KMS_KEY_NOT_ROTATED

Detektor ini memeriksa apakah rotasi untuk enkripsi Cloud Key Management Service tidak diaktifkan.

OPEN_SMTP_PORT

Detektor ini memeriksa apakah firewall memiliki port SMTP terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.

SQL_NO_ROOT_PASSWORD

Detektor ini memeriksa apakah database Cloud SQL dengan alamat IP publik tidak memiliki sandi untuk akun root.

OPEN_LDAP_PORT

Detektor ini memeriksa apakah firewall memiliki port LDAP terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.

OPEN_ORACLEDB_PORT

Detektor ini memeriksa apakah firewall memiliki port database Oracle terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.

OPEN_SSH_PORT

Detektor ini memeriksa apakah firewall memiliki port SSH terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.

MFA_NOT_ENFORCED

Detektor ini memeriksa apakah pengguna tidak menggunakan verifikasi 2 langkah.

COS_NOT_USED

Detektor ini memeriksa apakah VM Compute Engine tidak menggunakan Container-Optimized OS. Untuk informasi selengkapnya, lihat Temuan kerentanan penampung.

HTTP_LOAD_BALANCER

Detektor ini memeriksa apakah instance Compute Engine menggunakan load balancer yang dikonfigurasi untuk menggunakan proxy HTTP target, bukan proxy HTTPS target. Untuk informasi selengkapnya, lihat Temuan kerentanan instance compute.

EGRESS_DENY_RULE_NOT_SET

Detektor ini memeriksa apakah aturan penolakan traffic keluar tidak ditetapkan di firewall. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.

PUBLIC_LOG_BUCKET

Detektor ini memeriksa apakah bucket dengan sink log dapat diakses secara publik.

OPEN_DIRECTORY_SERVICES_PORT

Detektor ini memeriksa apakah firewall memiliki port DIRECTORY_SERVICES terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.

OPEN_MYSQL_PORT

Detektor ini memeriksa apakah firewall memiliki port MySQL terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.

OPEN_FTP_PORT

Detektor ini memeriksa apakah firewall memiliki port FTP terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.

OPEN_FIREWALL

Detektor ini memeriksa apakah firewall terbuka untuk akses publik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.

WEAK_SSL_POLICY

Detektor ini memeriksa apakah instance memiliki kebijakan SSL yang lemah.

OPEN_POP3_PORT

Detektor ini memeriksa apakah firewall memiliki port POP3 terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.

OPEN_NETBIOS_PORT

Detektor ini memeriksa apakah firewall memiliki port NETBIOS terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.

FLOW_LOGS_DISABLED

Detektor ini memeriksa apakah log alur diaktifkan di subjaringan VPC.

OPEN_MONGODB_PORT

Detektor ini memeriksa apakah firewall memiliki port database Mongo terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.

MASTER_AUTHORIZED_NETWORKS_DISABLED

Detektor ini memeriksa apakah Jaringan yang Diizinkan Bidang Kontrol tidak diaktifkan di cluster GKE. Untuk informasi selengkapnya, lihat Temuan kerentanan penampung.

OPEN_REDIS_PORT

Detektor ini memeriksa apakah firewall memiliki port REDIS terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.

OPEN_DNS_PORT

Detektor ini memeriksa apakah firewall memiliki port DNS terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.

OPEN_TELNET_PORT

Detektor ini memeriksa apakah firewall memiliki port TELNET terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.

OPEN_HTTP_PORT

Detektor ini memeriksa apakah firewall memiliki port HTTP terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.

CLUSTER_LOGGING_DISABLED

Detektor ini memeriksa apakah logging tidak diaktifkan untuk cluster GKE. Untuk informasi selengkapnya, lihat Temuan kerentanan penampung.

FULL_API_ACCESS

Detektor ini memeriksa apakah instance menggunakan akun layanan default dengan akses penuh ke semua Google Cloud API.

OBJECT_VERSIONING_DISABLED

Detektor ini memeriksa apakah pembuatan versi objek diaktifkan di bucket penyimpanan dengan sink.

PUBLIC_IP_ADDRESS

Detektor ini memeriksa apakah instance memiliki alamat IP publik.

AUTO_UPGRADE_DISABLED

Detektor ini memeriksa apakah fitur upgrade otomatis cluster GKE dinonaktifkan. Untuk informasi selengkapnya, lihat Temuan kerentanan penampung.

LEGACY_AUTHORIZATION_ENABLED

Detektor ini memeriksa apakah Otorisasi Lama diaktifkan di cluster GKE. Untuk informasi selengkapnya, lihat Temuan kerentanan penampung.

CLUSTER_MONITORING_DISABLED

Detektor ini memeriksa apakah pemantauan dinonaktifkan di cluster GKE. Untuk informasi selengkapnya, lihat Temuan kerentanan penampung.

OPEN_CISCOSECURE_WEBSM_PORT

Detektor ini memeriksa apakah firewall memiliki port CISCOSECURE_WEBSM terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.

OPEN_RDP_PORT

Detektor ini memeriksa apakah firewall memiliki port RDP terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.

WEB_UI_ENABLED

Detektor ini memeriksa apakah UI web GKE diaktifkan. Untuk informasi selengkapnya, lihat Temuan kerentanan penampung.

FIREWALL_RULE_LOGGING_DISABLED

Detektor ini memeriksa apakah logging aturan firewall dinonaktifkan. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.

OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Detektor ini memeriksa apakah pengguna memiliki peran akun layanan di tingkat project, bukan untuk akun layanan tertentu.

PRIVATE_CLUSTER_DISABLED

Detektor ini memeriksa apakah cluster GKE telah menonaktifkan cluster pribadi. Untuk informasi selengkapnya, lihat Temuan kerentanan penampung.

PRIMITIVE_ROLES_USED

Detektor ini memeriksa apakah pengguna memiliki peran dasar (Pemilik, Editor, atau Viewer). Untuk mengetahui informasi selengkapnya, lihat temuan kerentanan IAM.

REDIS_ROLE_USED_ON_ORG

Detektor ini memeriksa apakah peran IAM Redis ditetapkan ke organisasi atau folder. Untuk mengetahui informasi selengkapnya, lihat temuan kerentanan IAM.

PUBLIC_BUCKET_ACL

Detektor ini memeriksa apakah bucket dapat diakses secara publik.

OPEN_MEMCACHED_PORT

Detektor ini memeriksa apakah firewall memiliki port MEMCACHED terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.

OVER_PRIVILEGED_ACCOUNT

Detektor ini memeriksa apakah akun layanan memiliki akses project yang terlalu luas di cluster. Untuk informasi selengkapnya, lihat Temuan kerentanan penampung.

AUTO_REPAIR_DISABLED

Detektor ini memeriksa apakah fitur perbaikan otomatis cluster GKE dinonaktifkan. Untuk informasi selengkapnya, lihat Temuan kerentanan penampung.

NETWORK_POLICY_DISABLED

Detektor ini memeriksa apakah kebijakan jaringan dinonaktifkan di cluster. Untuk informasi selengkapnya, lihat Temuan kerentanan penampung.

CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED

Detektor ini memeriksa apakah host cluster tidak dikonfigurasi untuk hanya menggunakan alamat IP internal pribadi untuk mengakses Google API. Untuk informasi selengkapnya, lihat Temuan kerentanan penampung.

OPEN_CASSANDRA_PORT

Detektor ini memeriksa apakah firewall memiliki port Cassandra terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.

TOO_MANY_KMS_USERS

Detektor ini memeriksa apakah ada lebih dari tiga pengguna kunci kriptografis. Untuk informasi selengkapnya, lihat Temuan kerentanan KMS.

OPEN_POSTGRESQL_PORT

Detektor ini memeriksa apakah firewall memiliki port PostgreSQL terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.

IP_ALIAS_DISABLED

Detektor ini memeriksa apakah cluster GKE dibuat dengan menonaktifkan rentang alamat IP alias. Untuk informasi selengkapnya, lihat Temuan kerentanan penampung.

PUBLIC_SQL_INSTANCE

Detektor ini memeriksa apakah Cloud SQL mengizinkan koneksi dari semua alamat IP.

OPEN_ELASTICSEARCH_PORT

Detektor ini memeriksa apakah firewall memiliki port Elasticsearch terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.

Melihat template postur

Untuk melihat template postur PCI DSS, lakukan tindakan berikut:

gcloud

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • ORGANIZATION_ID: ID numerik organisasi

Jalankan perintah gcloud scc posture-templates describe:

Linux, macOS, atau Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

Respons berisi template postur.

REST

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • ORGANIZATION_ID: ID numerik organisasi

Metode HTTP dan URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

Untuk mengirim permintaan, perluas salah satu opsi berikut:

Respons berisi template postur.

Langkah selanjutnya