En esta página, se describen las políticas de detective que se incluyen en la versión v1.0 de la plantilla de postura predefinida para las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) versiones 3.2.1 y 1.0. En esta plantilla, se incluye un conjunto de políticas que define los detectores de Security Health Analytics que se aplican a las cargas de trabajo que deben cumplir con el estándar PCI DSS.
Puedes implementar esta plantilla de posición sin realizar cambios.
Detectores de estadísticas de estado de seguridad
En la siguiente tabla, se describen los detectores de Security Health Analytics que se incluyen en esta plantilla de posición.
Nombre del detector | Descripción |
---|---|
PUBLIC_DATASET |
Este detector verifica si un conjunto de datos está configurado para ser abierto al acceso público. Para obtener más información, consulta Hallazgos de vulnerabilidades del conjunto de datos. |
NON_ORG_IAM_MEMBER |
Este detector verifica si un usuario no está usando credenciales de la organización. |
KMS_PROJECT_HAS_OWNER |
Este detector verifica si un usuario tiene el permiso de Owner en un proyecto que incluye claves. |
AUDIT_LOGGING_DISABLED |
Este detector verifica si el registro de auditoría está desactivado para un recurso. |
SSL_NOT_ENFORCED |
Este detector verifica si una instancia de base de datos de Cloud SQL no usa SSL para todas las conexiones entrantes. Para obtener más información, consulta Resultados de vulnerabilidades de SQL. |
LOCKED_RETENTION_POLICY_NOT_SET |
Este detector verifica si la política de retención bloqueada está establecida para los registros. |
KMS_KEY_NOT_ROTATED |
Este detector verifica si la rotación de la encriptación de Cloud Key Management Service no está activada. |
OPEN_SMTP_PORT |
Este detector verifica si un firewall tiene un puerto SMTP abierto que permite el acceso genérico. Para obtener más información, consulta Hallazgos de vulnerabilidades de firewall. |
SQL_NO_ROOT_PASSWORD |
Este detector verifica si una base de datos de Cloud SQL con una dirección IP pública no tiene una contraseña para la cuenta raíz. |
OPEN_LDAP_PORT |
Este detector verifica si un firewall tiene un puerto LDAP abierto que permite el acceso genérico. Para obtener más información, consulta Hallazgos de vulnerabilidades de firewall. |
OPEN_ORACLEDB_PORT |
Este detector verifica si un firewall tiene un puerto de base de datos de Oracle abierto que permite el acceso genérico. Para obtener más información, consulta Hallazgos de vulnerabilidades de firewall. |
OPEN_SSH_PORT |
Este detector verifica si un firewall tiene un puerto SSH abierto que permite el acceso genérico. Para obtener más información, consulta Hallazgos de vulnerabilidades de firewall. |
MFA_NOT_ENFORCED |
Este detector verifica si un usuario no usa la verificación en 2 pasos. |
COS_NOT_USED |
Este detector verifica si las VM de Compute Engine no usan Container-Optimized OS. Para obtener más información, consulta Resultados de vulnerabilidades de contenedores. |
HTTP_LOAD_BALANCER |
Este detector verifica si la instancia de Compute Engine usa un balanceador de cargas configurado para usar un proxy HTTP de destino en lugar de un proxy HTTPS de destino. Para obtener más información, consulta Hallazgos de vulnerabilidades de instancias de Compute. |
EGRESS_DENY_RULE_NOT_SET |
Este detector verifica si una regla de denegación de salida no está configurada en un firewall. Para obtener más información, consulta Hallazgos de vulnerabilidades de firewall. |
PUBLIC_LOG_BUCKET |
Este detector verifica si un bucket con un receptor de registros es de acceso público. |
OPEN_DIRECTORY_SERVICES_PORT |
Este detector verifica si un firewall tiene un puerto DIRECTORY_SERVICES abierto que permite el acceso genérico. Para obtener más información, consulta Hallazgos de vulnerabilidades de firewall. |
OPEN_MYSQL_PORT |
Este detector verifica si un firewall tiene un puerto MySQL abierto que permite el acceso genérico. Para obtener más información, consulta Hallazgos de vulnerabilidades de firewall. |
OPEN_FTP_PORT |
Este detector verifica si un firewall tiene un puerto FTP abierto que permite el acceso genérico. Para obtener más información, consulta Hallazgos de vulnerabilidades de firewall. |
OPEN_FIREWALL |
Este detector verifica si un firewall está abierto al acceso público. Para obtener más información, consulta Hallazgos de vulnerabilidades de firewall. |
WEAK_SSL_POLICY |
Este detector verifica si una instancia tiene una política de SSL débil. |
OPEN_POP3_PORT |
Este detector verifica si un firewall tiene un puerto POP3 abierto que permite el acceso genérico. Para obtener más información, consulta Hallazgos de vulnerabilidades de firewall. |
OPEN_NETBIOS_PORT |
Este detector verifica si un firewall tiene un puerto NETBIOS abierto que permite el acceso genérico. Para obtener más información, consulta Hallazgos de vulnerabilidades de firewall. |
FLOW_LOGS_DISABLED |
Este detector verifica si los registros de flujo están habilitados en la subred de VPC. |
OPEN_MONGODB_PORT |
Este detector verifica si un firewall tiene un puerto de base de datos Mongo abierto que permite el acceso genérico. Para obtener más información, consulta Hallazgos de vulnerabilidades de firewall. |
MASTER_AUTHORIZED_NETWORKS_DISABLED |
Este detector verifica si las redes autorizadas del plano de control no están habilitadas en los clústeres de GKE. Para obtener más información, consulta Resultados de vulnerabilidades de contenedores. |
OPEN_REDIS_PORT |
Este detector verifica si un firewall tiene un puerto REDIS abierto que permite el acceso genérico. Para obtener más información, consulta Hallazgos de vulnerabilidades de firewall. |
OPEN_DNS_PORT |
Este detector verifica si un firewall tiene un puerto DNS abierto que permite el acceso genérico. Para obtener más información, consulta Hallazgos de vulnerabilidades de firewall. |
OPEN_TELNET_PORT |
Este detector verifica si un firewall tiene un puerto TELNET abierto que permite el acceso genérico. Para obtener más información, consulta Hallazgos de vulnerabilidades de firewall. |
OPEN_HTTP_PORT |
Este detector verifica si un firewall tiene un puerto HTTP abierto que permite el acceso genérico. Para obtener más información, consulta Hallazgos de vulnerabilidades de firewall. |
CLUSTER_LOGGING_DISABLED |
Este detector verifica que el registro no esté habilitado para un clúster de GKE. Para obtener más información, consulta Resultados de vulnerabilidades de contenedores. |
FULL_API_ACCESS |
Este detector verifica si una instancia está usando una cuenta de servicio predeterminada con acceso completo a todas las APIs de Google Cloud. |
OBJECT_VERSIONING_DISABLED |
Este detector verifica si el control de versiones de objetos está habilitado en los buckets de almacenamiento con receptores. |
PUBLIC_IP_ADDRESS |
Este detector verifica si una instancia tiene una dirección IP pública. |
AUTO_UPGRADE_DISABLED |
Este detector verifica si la función de actualización automática de un clúster de GKE está inhabilitada. Para obtener más información, consulta Resultados de vulnerabilidades de contenedores. |
LEGACY_AUTHORIZATION_ENABLED |
Este detector verifica si la autorización heredada está habilitada en los clústeres de GKE. Para obtener más información, consulta Resultados de vulnerabilidades de contenedores. |
CLUSTER_MONITORING_DISABLED |
Este detector verifica si la supervisión está inhabilitada en los clústeres de GKE. Para obtener más información, consulta Resultados de vulnerabilidades de contenedores. |
OPEN_CISCOSECURE_WEBSM_PORT |
Este detector verifica si un firewall tiene un puerto CISCOSECURE_WEBSM abierto que permite el acceso genérico. Para obtener más información, consulta Hallazgos de vulnerabilidades de firewall. |
OPEN_RDP_PORT |
Este detector verifica si un firewall tiene un puerto RDP abierto que permite el acceso genérico. Para obtener más información, consulta Hallazgos de vulnerabilidades de firewall. |
WEB_UI_ENABLED |
Este detector verifica si la IU web de GKE está habilitada. Para obtener más información, consulta Resultados de vulnerabilidades de contenedores. |
FIREWALL_RULE_LOGGING_DISABLED |
Este detector verifica si el registro de reglas de firewall está inhabilitado. Para obtener más información, consulta Hallazgos de vulnerabilidades de firewall. |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
Este detector verifica si un usuario tiene funciones de cuenta de servicio a nivel de proyecto, en lugar de hacerlo para una cuenta de servicio específica. |
PRIVATE_CLUSTER_DISABLED |
Este detector verifica si un clúster de GKE tiene un clúster privado inhabilitado. Para obtener más información, consulta Resultados de vulnerabilidades de contenedores. |
PRIMITIVE_ROLES_USED |
Este detector verifica si un usuario tiene un rol básico (propietario, editor o visualizador). Para obtener más información, consulta Hallazgos de vulnerabilidades de IAM. |
REDIS_ROLE_USED_ON_ORG |
Este detector verifica si la función de IAM de Redis se asignó a una organización o carpeta. Para obtener más información, consulta Hallazgos de vulnerabilidades de IAM. |
PUBLIC_BUCKET_ACL |
Este detector verifica si un bucket es de acceso público. |
OPEN_MEMCACHED_PORT |
Este detector verifica si un firewall tiene un puerto MEMCACHED abierto que permite el acceso genérico. Para obtener más información, consulta Hallazgos de vulnerabilidades de firewall. |
OVER_PRIVILEGED_ACCOUNT |
Este detector verifica si una cuenta de servicio tiene un acceso demasiado amplio al proyecto en un clúster. Para obtener más información, consulta Resultados de vulnerabilidades de contenedores. |
AUTO_REPAIR_DISABLED |
Este detector verifica si la función de reparación automática de un clúster de GKE está inhabilitada. Para obtener más información, consulta Resultados de vulnerabilidades de contenedores. |
NETWORK_POLICY_DISABLED |
Este detector verifica si la política de red está inhabilitada en un clúster. Para obtener más información, consulta Resultados de vulnerabilidades de contenedores. |
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED |
Este detector verifica si los hosts del clúster no están configurados para usar solo direcciones IP internas y privadas con el fin de acceder a las APIs de Google. Para obtener más información, consulta Resultados de vulnerabilidades de contenedores. |
OPEN_CASSANDRA_PORT |
Este detector verifica si un firewall tiene un puerto de Cassandra abierto que permite el acceso genérico. Para obtener más información, consulta Hallazgos de vulnerabilidades de firewall. |
TOO_MANY_KMS_USERS |
Este detector verifica si hay más de tres usuarios de claves criptográficas. Para obtener más información, consulta Hallazgos de vulnerabilidades de KMS. |
OPEN_POSTGRESQL_PORT |
Este detector verifica si un firewall tiene un puerto PostgreSQL abierto que permite el acceso genérico. Para obtener más información, consulta Hallazgos de vulnerabilidades de firewall. |
IP_ALIAS_DISABLED |
Este detector verifica si se creó un clúster de GKE con el rango de alias de direcciones IP inhabilitado. Para obtener más información, consulta Resultados de vulnerabilidades de contenedores. |
PUBLIC_SQL_INSTANCE |
Este detector verifica si un Cloud SQL permite conexiones desde todas las direcciones IP. |
OPEN_ELASTICSEARCH_PORT |
Este detector verifica si un firewall tiene un puerto de Elasticsearch abierto que permite el acceso genérico. Para obtener más información, consulta Hallazgos de vulnerabilidades de firewall. |
Definición de YAML
A continuación, se incluye la definición YAML de la plantilla de postura para PCI DSS.
name: organizations/123/locations/global/postureTemplates/pci_dss_v_3_2_1
description: Posture Template to make your workload PCI-DSS v3.2.1 compliant.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: PCI-DSS v3.2.1 detective policy set
description: 58 SHA modules that new customers can automatically enable.
policies:
- policy_id: Public dataset
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_DATASET
- policy_id: Non org IAM member
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: NON_ORG_IAM_MEMBER
- policy_id: KMS project has owner
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_PROJECT_HAS_OWNER
- policy_id: Audit logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUDIT_LOGGING_DISABLED
- policy_id: SSL not enforced
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SSL_NOT_ENFORCED
- policy_id: Locked retention policy not set
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LOCKED_RETENTION_POLICY_NOT_SET
- policy_id: KMS key not rotated
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_KEY_NOT_ROTATED
- policy_id: Open SMTP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_SMTP_PORT
- policy_id: SQL no root password
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_NO_ROOT_PASSWORD
- policy_id: Open LDAP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_LDAP_PORT
- policy_id: Open oracle db port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_ORACLEDB_PORT
- policy_id: Open SSH port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_SSH_PORT
- policy_id: MFA not enforced
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: MFA_NOT_ENFORCED
- policy_id: COS not used
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: COS_NOT_USED
- policy_id: HTTP load balancer
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: HTTP_LOAD_BALANCER
- policy_id: Egress deny rule not set
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: EGRESS_DENY_RULE_NOT_SET
- policy_id: Public log bucket
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_LOG_BUCKET
- policy_id: Open directory services port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_DIRECTORY_SERVICES_PORT
- policy_id: Open mysql port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_MYSQL_PORT
- policy_id: Open FTP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_FTP_PORT
- policy_id: Open firewall
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_FIREWALL
- policy_id: Weak SSL policy
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: WEAK_SSL_POLICY
- policy_id: Open POP3 port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_POP3_PORT
- policy_id: Open netbios port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_NETBIOS_PORT
- policy_id: Flow logs disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FLOW_LOGS_DISABLED
- policy_id: Open mongo db port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_MONGODB_PORT
- policy_id: Master authorized networks disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: MASTER_AUTHORIZED_NETWORKS_DISABLED
- policy_id: Open redis port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_REDIS_PORT
- policy_id: Open dns port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_DNS_PORT
- policy_id: Open telnet port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_TELNET_PORT
- policy_id: Open HTTP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_HTTP_PORT
- policy_id: Cluster logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CLUSTER_LOGGING_DISABLED
- policy_id: Full API access
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FULL_API_ACCESS
- policy_id: Object versioning disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OBJECT_VERSIONING_DISABLED
- policy_id: Public IP address
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_IP_ADDRESS
- policy_id: Auto upgrade disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUTO_UPGRADE_DISABLED
- policy_id: Legacy authorization enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LEGACY_AUTHORIZATION_ENABLED
- policy_id: Cluster monitoring disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CLUSTER_MONITORING_DISABLED
- policy_id: Open ciscosecure websm port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_CISCOSECURE_WEBSM_PORT
- policy_id: Open RDP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_RDP_PORT
- policy_id: Web UI enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: WEB_UI_ENABLED
- policy_id: Firewall rule logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FIREWALL_RULE_LOGGING_DISABLED
- policy_id: Over privileged service account user
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OVER_PRIVILEGED_SERVICE_ACCOUNT_USER
- policy_id: Private cluster disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PRIVATE_CLUSTER_DISABLED
- policy_id: Primitive roles used
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PRIMITIVE_ROLES_USED
- policy_id: Redis role used on org
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: REDIS_ROLE_USED_ON_ORG
- policy_id: Public bucket ACL
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_BUCKET_ACL
- policy_id: Open memcached port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_MEMCACHED_PORT
- policy_id: Over privileged account
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OVER_PRIVILEGED_ACCOUNT
- policy_id: Auto repair disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUTO_REPAIR_DISABLED
- policy_id: Network policy disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: NETWORK_POLICY_DISABLED
- policy_id: Cluster private google access disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED
- policy_id: Open cassandra port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_CASSANDRA_PORT
- policy_id: Too many KMS users
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: TOO_MANY_KMS_USERS
- policy_id: Open postgresql port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_POSTGRESQL_PORT
- policy_id: IP alias disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: IP_ALIAS_DISABLED
- policy_id: Public SQL instance
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_SQL_INSTANCE
- policy_id: Open elasticsearch port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_ELASTICSEARCH_PORT