Halaman ini menjelaskan kebijakan detektif yang disertakan dalam versi v1.0 template postur standar yang telah ditentukan untuk Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) versi 3.2.1 dan versi 1.0. Template ini menyertakan kumpulan kebijakan yang menentukan detektor Security Health Analytics yang berlaku untuk beban kerja yang harus mematuhi standar PCI DSS.
Anda dapat men-deploy template postur ini tanpa melakukan perubahan apa pun.
Detektor Security Health Analytics
Tabel berikut menjelaskan detektor Security Health Analytics yang disertakan dalam template postur ini.
Nama pendeteksi | Deskripsi |
---|---|
PUBLIC_DATASET |
Detektor ini memeriksa apakah set data dikonfigurasi agar terbuka untuk akses publik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan set data. |
NON_ORG_IAM_MEMBER |
Detektor ini memeriksa apakah pengguna tidak menggunakan kredensial organisasi. |
KMS_PROJECT_HAS_OWNER |
Detektor ini memeriksa apakah pengguna memiliki izin Pemilik di project yang menyertakan kunci. |
AUDIT_LOGGING_DISABLED |
Detektor ini memeriksa apakah logging audit dinonaktifkan untuk resource. |
SSL_NOT_ENFORCED |
Detektor ini memeriksa apakah instance database Cloud SQL tidak menggunakan SSL untuk semua koneksi masuk. Untuk informasi selengkapnya, lihat temuan vulnerability SQL. |
LOCKED_RETENTION_POLICY_NOT_SET |
Detektor ini memeriksa apakah kebijakan retensi terkunci ditetapkan untuk log. |
KMS_KEY_NOT_ROTATED |
Detektor ini memeriksa apakah rotasi untuk enkripsi Cloud Key Management Service tidak diaktifkan. |
OPEN_SMTP_PORT |
Detektor ini memeriksa apakah firewall memiliki port SMTP terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall. |
SQL_NO_ROOT_PASSWORD |
Detektor ini memeriksa apakah database Cloud SQL dengan alamat IP publik tidak memiliki sandi untuk akun root. |
OPEN_LDAP_PORT |
Detektor ini memeriksa apakah firewall memiliki port LDAP terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall. |
OPEN_ORACLEDB_PORT |
Detektor ini memeriksa apakah firewall memiliki port database Oracle terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall. |
OPEN_SSH_PORT |
Detektor ini memeriksa apakah firewall memiliki port SSH terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall. |
MFA_NOT_ENFORCED |
Detektor ini memeriksa apakah pengguna tidak menggunakan verifikasi 2 langkah. |
COS_NOT_USED |
Detektor ini memeriksa apakah VM Compute Engine tidak menggunakan Container-Optimized OS. Untuk informasi selengkapnya, lihat Temuan kerentanan penampung. |
HTTP_LOAD_BALANCER |
Detektor ini memeriksa apakah instance Compute Engine menggunakan load balancer yang dikonfigurasi untuk menggunakan proxy HTTP target, bukan proxy HTTPS target. Untuk informasi selengkapnya, lihat Temuan kerentanan instance compute. |
EGRESS_DENY_RULE_NOT_SET |
Detektor ini memeriksa apakah aturan penolakan traffic keluar tidak ditetapkan di firewall. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall. |
PUBLIC_LOG_BUCKET |
Detektor ini memeriksa apakah bucket dengan sink log dapat diakses secara publik. |
OPEN_DIRECTORY_SERVICES_PORT |
Detektor ini memeriksa apakah firewall memiliki port DIRECTORY_SERVICES terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall. |
OPEN_MYSQL_PORT |
Detektor ini memeriksa apakah firewall memiliki port MySQL terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall. |
OPEN_FTP_PORT |
Detektor ini memeriksa apakah firewall memiliki port FTP terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall. |
OPEN_FIREWALL |
Detektor ini memeriksa apakah firewall terbuka untuk akses publik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall. |
WEAK_SSL_POLICY |
Detektor ini memeriksa apakah instance memiliki kebijakan SSL yang lemah. |
OPEN_POP3_PORT |
Detektor ini memeriksa apakah firewall memiliki port POP3 terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall. |
OPEN_NETBIOS_PORT |
Detektor ini memeriksa apakah firewall memiliki port NETBIOS terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall. |
FLOW_LOGS_DISABLED |
Detektor ini memeriksa apakah log alur diaktifkan di subjaringan VPC. |
OPEN_MONGODB_PORT |
Detektor ini memeriksa apakah firewall memiliki port database Mongo terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall. |
MASTER_AUTHORIZED_NETWORKS_DISABLED |
Detektor ini memeriksa apakah Jaringan yang Diizinkan Bidang Kontrol tidak diaktifkan di cluster GKE. Untuk informasi selengkapnya, lihat Temuan kerentanan penampung. |
OPEN_REDIS_PORT |
Detektor ini memeriksa apakah firewall memiliki port REDIS terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall. |
OPEN_DNS_PORT |
Detektor ini memeriksa apakah firewall memiliki port DNS terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall. |
OPEN_TELNET_PORT |
Detektor ini memeriksa apakah firewall memiliki port TELNET terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall. |
OPEN_HTTP_PORT |
Detektor ini memeriksa apakah firewall memiliki port HTTP terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall. |
CLUSTER_LOGGING_DISABLED |
Detektor ini memeriksa apakah logging tidak diaktifkan untuk cluster GKE. Untuk informasi selengkapnya, lihat Temuan kerentanan penampung. |
FULL_API_ACCESS |
Detektor ini memeriksa apakah instance menggunakan akun layanan default dengan akses penuh ke semua Google Cloud API. |
OBJECT_VERSIONING_DISABLED |
Detektor ini memeriksa apakah pembuatan versi objek diaktifkan di bucket penyimpanan dengan sink. |
PUBLIC_IP_ADDRESS |
Detektor ini memeriksa apakah instance memiliki alamat IP publik. |
AUTO_UPGRADE_DISABLED |
Detektor ini memeriksa apakah fitur upgrade otomatis cluster GKE dinonaktifkan. Untuk informasi selengkapnya, lihat Temuan kerentanan penampung. |
LEGACY_AUTHORIZATION_ENABLED |
Detektor ini memeriksa apakah Otorisasi Lama diaktifkan di cluster GKE. Untuk informasi selengkapnya, lihat Temuan kerentanan penampung. |
CLUSTER_MONITORING_DISABLED |
Detektor ini memeriksa apakah pemantauan dinonaktifkan di cluster GKE. Untuk informasi selengkapnya, lihat Temuan kerentanan penampung. |
OPEN_CISCOSECURE_WEBSM_PORT |
Detektor ini memeriksa apakah firewall memiliki port CISCOSECURE_WEBSM terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall. |
OPEN_RDP_PORT |
Detektor ini memeriksa apakah firewall memiliki port RDP terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall. |
WEB_UI_ENABLED |
Detektor ini memeriksa apakah UI web GKE diaktifkan. Untuk informasi selengkapnya, lihat Temuan kerentanan penampung. |
FIREWALL_RULE_LOGGING_DISABLED |
Detektor ini memeriksa apakah logging aturan firewall dinonaktifkan. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall. |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
Detektor ini memeriksa apakah pengguna memiliki peran akun layanan di tingkat project, bukan untuk akun layanan tertentu. |
PRIVATE_CLUSTER_DISABLED |
Detektor ini memeriksa apakah cluster GKE telah menonaktifkan cluster pribadi. Untuk informasi selengkapnya, lihat Temuan kerentanan penampung. |
PRIMITIVE_ROLES_USED |
Detektor ini memeriksa apakah pengguna memiliki peran dasar (Pemilik, Editor, atau Viewer). Untuk mengetahui informasi selengkapnya, lihat temuan kerentanan IAM. |
REDIS_ROLE_USED_ON_ORG |
Detektor ini memeriksa apakah peran IAM Redis ditetapkan ke organisasi atau folder. Untuk mengetahui informasi selengkapnya, lihat temuan kerentanan IAM. |
PUBLIC_BUCKET_ACL |
Detektor ini memeriksa apakah bucket dapat diakses secara publik. |
OPEN_MEMCACHED_PORT |
Detektor ini memeriksa apakah firewall memiliki port MEMCACHED terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall. |
OVER_PRIVILEGED_ACCOUNT |
Detektor ini memeriksa apakah akun layanan memiliki akses project yang terlalu luas di cluster. Untuk informasi selengkapnya, lihat Temuan kerentanan penampung. |
AUTO_REPAIR_DISABLED |
Detektor ini memeriksa apakah fitur perbaikan otomatis cluster GKE dinonaktifkan. Untuk informasi selengkapnya, lihat Temuan kerentanan penampung. |
NETWORK_POLICY_DISABLED |
Detektor ini memeriksa apakah kebijakan jaringan dinonaktifkan di cluster. Untuk informasi selengkapnya, lihat Temuan kerentanan penampung. |
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED |
Detektor ini memeriksa apakah host cluster tidak dikonfigurasi untuk hanya menggunakan alamat IP internal pribadi untuk mengakses Google API. Untuk informasi selengkapnya, lihat Temuan kerentanan penampung. |
OPEN_CASSANDRA_PORT |
Detektor ini memeriksa apakah firewall memiliki port Cassandra terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall. |
TOO_MANY_KMS_USERS |
Detektor ini memeriksa apakah ada lebih dari tiga pengguna kunci kriptografis. Untuk informasi selengkapnya, lihat Temuan kerentanan KMS. |
OPEN_POSTGRESQL_PORT |
Detektor ini memeriksa apakah firewall memiliki port PostgreSQL terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall. |
IP_ALIAS_DISABLED |
Detektor ini memeriksa apakah cluster GKE dibuat dengan menonaktifkan rentang alamat IP alias. Untuk informasi selengkapnya, lihat Temuan kerentanan penampung. |
PUBLIC_SQL_INSTANCE |
Detektor ini memeriksa apakah Cloud SQL mengizinkan koneksi dari semua alamat IP. |
OPEN_ELASTICSEARCH_PORT |
Detektor ini memeriksa apakah firewall memiliki port Elasticsearch terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall. |
Melihat template postur
Untuk melihat template postur PCI DSS, lakukan tindakan berikut:
gcloud
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
-
ORGANIZATION_ID
: ID numerik organisasi
Jalankan perintah
gcloud scc posture-templates
describe
:
Linux, macOS, atau Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
Respons berisi template postur.
REST
Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
-
ORGANIZATION_ID
: ID numerik organisasi
Metode HTTP dan URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
Untuk mengirim permintaan, perluas salah satu opsi berikut:
Respons berisi template postur.