Modelo de postura predefinido para PCI DSS v3.2.1 e v1.0

Esta página descreve as políticas de detecção incluídas na versão v1.0 do modelo de postura predefinido para o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) versão 3.2.1 e 1.0. Esse modelo inclui um conjunto de políticas que define os detectores do Security Health Analytics que se aplicam a cargas de trabalho que precisam estar em conformidade com o padrão PCI DSS.

É possível implantar esse modelo de postura sem fazer mudanças.

Detectores do Security Health Analytics

A tabela a seguir descreve os detectores do Security Health Analytics incluídos neste modelo de postura.

Nome do detector Descrição
PUBLIC_DATASET

Esse detector verifica se um conjunto de dados está configurado para ser aberto ao acesso público. Para mais informações, consulte Descobertas de vulnerabilidade do conjunto de dados.

NON_ORG_IAM_MEMBER

Esse detector verifica se um usuário não está usando credenciais organizacionais.

KMS_PROJECT_HAS_OWNER

Esse detector verifica se um usuário tem a permissão de proprietário em um projeto que inclui chaves.

AUDIT_LOGGING_DISABLED

Esse detector verifica se a geração de registros de auditoria está desativada para um recurso.

SSL_NOT_ENFORCED

Esse detector verifica se uma instância de banco de dados do Cloud SQL não usa SSL para todas as conexões de entrada. Para mais informações, consulte Resultados de vulnerabilidades do SQL.

LOCKED_RETENTION_POLICY_NOT_SET

Esse detector verifica se a política de retenção bloqueada está definida para os registros.

KMS_KEY_NOT_ROTATED

Esse detector verifica se a rotação da criptografia do Cloud Key Management Service não está ativada.

OPEN_SMTP_PORT

Esse detector verifica se um firewall tem uma porta SMTP aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall.

SQL_NO_ROOT_PASSWORD

Esse detector verifica se um banco de dados do Cloud SQL com um endereço IP público não tem uma senha para a conta raiz.

OPEN_LDAP_PORT

Esse detector verifica se um firewall tem uma porta LDAP aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall.

OPEN_ORACLEDB_PORT

Esse detector verifica se um firewall tem uma porta de banco de dados Oracle aberta que permite o acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall.

OPEN_SSH_PORT

Esse detector verifica se um firewall tem uma porta SSH aberta que permite o acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall.

MFA_NOT_ENFORCED

Esse detector verifica se um usuário não está usando a verificação em duas etapas.

COS_NOT_USED

Esse detector verifica se as VMs do Compute Engine não estão usando o Container-Optimized OS. Para mais informações, consulte Descobertas de vulnerabilidade de contêineres.

HTTP_LOAD_BALANCER

Esse detector verifica se a instância do Compute Engine usa um balanceador de carga configurado para usar um proxy HTTP de destino em vez de um proxy HTTPS de destino. Para mais informações, consulte Descobertas de vulnerabilidade da instância do Compute.

EGRESS_DENY_RULE_NOT_SET

Esse detector verifica se uma regra de negação de saída não está definida em um firewall. Para mais informações, consulte Descobertas de vulnerabilidade do firewall.

PUBLIC_LOG_BUCKET

Esse detector verifica se um bucket com um coletor de registros está acessível publicamente.

OPEN_DIRECTORY_SERVICES_PORT

Esse detector verifica se um firewall tem uma porta DIRECTORY_SERVICES aberta que permite o acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall.

OPEN_MYSQL_PORT

Esse detector verifica se um firewall tem uma porta MySQL aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall.

OPEN_FTP_PORT

Esse detector verifica se um firewall tem uma porta FTP aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall.

OPEN_FIREWALL

Esse detector verifica se um firewall está aberto para acesso público. Para mais informações, consulte Descobertas de vulnerabilidade do firewall.

WEAK_SSL_POLICY

Esse detector verifica se uma instância tem uma política de SSL fraca.

OPEN_POP3_PORT

Esse detector verifica se um firewall tem uma porta POP3 aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall.

OPEN_NETBIOS_PORT

Esse detector verifica se um firewall tem uma porta NETBIOS aberta que permite o acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall.

FLOW_LOGS_DISABLED

Esse detector verifica se os registros de fluxo estão ativados na sub-rede da VPC.

OPEN_MONGODB_PORT

Esse detector verifica se um firewall tem uma porta de banco de dados Mongo aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall.

MASTER_AUTHORIZED_NETWORKS_DISABLED

Esse detector verifica se as redes autorizadas do plano de controle não estão ativadas nos clusters do GKE. Para mais informações, consulte Descobertas de vulnerabilidade de contêineres.

OPEN_REDIS_PORT

Esse detector verifica se um firewall tem uma porta REDIS aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall.

OPEN_DNS_PORT

Esse detector verifica se um firewall tem uma porta DNS aberta que permite o acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall.

OPEN_TELNET_PORT

Esse detector verifica se um firewall tem uma porta TELNET aberta que permite o acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall.

OPEN_HTTP_PORT

Esse detector verifica se um firewall tem uma porta HTTP aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall.

CLUSTER_LOGGING_DISABLED

Esse detector verifica se a geração de registros não está ativada para um cluster do GKE. Para mais informações, consulte Descobertas de vulnerabilidade de contêineres.

FULL_API_ACCESS

Esse detector verifica se uma instância está usando uma conta de serviço padrão com acesso total a todas as APIs do Google Cloud.

OBJECT_VERSIONING_DISABLED

Esse detector verifica se o controle de versão de objeto está ativado em buckets de armazenamento com coletores.

PUBLIC_IP_ADDRESS

Esse detector verifica se uma instância tem um endereço IP público.

AUTO_UPGRADE_DISABLED

Esse detector verifica se o recurso de upgrade automático de um cluster do GKE está desativado. Para mais informações, consulte Descobertas de vulnerabilidade de contêineres.

LEGACY_AUTHORIZATION_ENABLED

Esse detector verifica se a autorização legada está ativada em clusters do GKE. Para mais informações, consulte Descobertas de vulnerabilidade de contêineres.

CLUSTER_MONITORING_DISABLED

Esse detector verifica se o monitoramento está desativado nos clusters do GKE. Para mais informações, consulte Descobertas de vulnerabilidade de contêineres.

OPEN_CISCOSECURE_WEBSM_PORT

Esse detector verifica se um firewall tem uma porta CISCOSECURE_WEBSM aberta que permita o acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall.

OPEN_RDP_PORT

Esse detector verifica se um firewall tem uma porta RDP aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall.

WEB_UI_ENABLED

Esse detector verifica se a UI da Web do GKE está ativada. Para mais informações, consulte Descobertas de vulnerabilidade de contêineres.

FIREWALL_RULE_LOGGING_DISABLED

Esse detector verifica se a geração de registros de regras de firewall está desativada. Para mais informações, consulte Descobertas de vulnerabilidade do firewall.

OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Esse detector verifica se um usuário tem papéis de conta de serviço no nível do projeto, e não de uma conta de serviço específica.

PRIVATE_CLUSTER_DISABLED

Esse detector verifica se um cluster do GKE tem um cluster particular desativado. Para mais informações, consulte Descobertas de vulnerabilidade de contêineres.

PRIMITIVE_ROLES_USED

Esse detector verifica se um usuário tem um papel básico (proprietário, editor ou leitor). Para mais informações, consulte Descobertas de vulnerabilidade do IAM.

REDIS_ROLE_USED_ON_ORG

Esse detector verifica se o papel do IAM do Redis é atribuído a uma organização ou pasta. Para mais informações, consulte Descobertas de vulnerabilidade do IAM.

PUBLIC_BUCKET_ACL

Esse detector verifica se um bucket está acessível ao público.

OPEN_MEMCACHED_PORT

Esse detector verifica se um firewall tem uma porta MEMCACHED aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall.

OVER_PRIVILEGED_ACCOUNT

Esse detector verifica se uma conta de serviço tem acesso excessivamente amplo ao projeto em um cluster. Para mais informações, consulte Descobertas de vulnerabilidade de contêineres.

AUTO_REPAIR_DISABLED

Esse detector verifica se o recurso de reparo automático de um cluster do GKE está desativado. Para mais informações, consulte Descobertas de vulnerabilidade de contêineres.

NETWORK_POLICY_DISABLED

Esse detector verifica se a política de rede está desativada em um cluster. Para mais informações, consulte Descobertas de vulnerabilidade de contêineres.

CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED

Esse detector verifica se os hosts de cluster não estão configurados para usar apenas endereços IP internos particulares para acessar as APIs do Google. Para mais informações, consulte Descobertas de vulnerabilidade de contêineres.

OPEN_CASSANDRA_PORT

Esse detector verifica se um firewall tem uma porta Cassandra aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall.

TOO_MANY_KMS_USERS

Esse detector verifica se há mais de três usuários de chaves criptográficas. Para mais informações, consulte Descobertas de vulnerabilidades do KMS.

OPEN_POSTGRESQL_PORT

Esse detector verifica se um firewall tem uma porta PostgreSQL aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall.

IP_ALIAS_DISABLED

Esse detector verifica se um cluster do GKE foi criado com o intervalo de endereço IP de alias desativado. Para mais informações, consulte Descobertas de vulnerabilidade de contêineres.

PUBLIC_SQL_INSTANCE

Esse detector verifica se o Cloud SQL permite conexões de todos os endereços IP.

OPEN_ELASTICSEARCH_PORT

Esse detector verifica se um firewall tem uma porta Elasticsearch aberta que permite o acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall.

Conferir o modelo de postura

Para conferir o modelo de postura do PCI DSS, faça o seguinte:

gcloud

Antes de usar os dados do comando abaixo, faça estas substituições:

  • ORGANIZATION_ID: o ID numérico da organização

Execute o comando gcloud scc posture-templates describe:

Linux, macOS ou Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

A resposta contém o modelo de postura.

REST

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • ORGANIZATION_ID: o ID numérico da organização

Método HTTP e URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

Para enviar a solicitação, expanda uma destas opções:

A resposta contém o modelo de postura.

A seguir