Plantilla de postura predefinida para PCI DSS v3.2.1 y v1.0

En esta página, se describen las políticas de detección que se incluyen en la versión 1.0 de la plantilla de postura predefinida para las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) versión 3.2.1 y 1.0. Esta plantilla incluye un conjunto de políticas que define los detectores de Security Health Analytics que se aplican a las cargas de trabajo que deben cumplir con el estándar PCI DSS.

Puedes implementar esta plantilla de postura sin hacer ningún cambio.

Detectores de estadísticas de estado de seguridad

En la siguiente tabla, se describen los detectores de las estadísticas del estado de la seguridad que se incluyen en esta plantilla de postura.

Nombre del detector Descripción
PUBLIC_DATASET

Este detector verifica si un conjunto de datos está configurado para abrirse el acceso público. Para obtener más información, consulta Conjunto de datos hallazgos de vulnerabilidades.

NON_ORG_IAM_MEMBER

Este detector verifica si un usuario no está usando las credenciales de la organización.

KMS_PROJECT_HAS_OWNER

Este detector verifica si un usuario tiene el permiso de Propietario en un proyecto que incluye claves.

AUDIT_LOGGING_DISABLED

Este detector verifica si el registro de auditoría está desactivado para un recurso.

SSL_NOT_ENFORCED

Este detector verifica si una instancia de base de datos de Cloud SQL no usar SSL para todas las conexiones entrantes. Para obtener más información, consulta SQL hallazgos de vulnerabilidades.

LOCKED_RETENTION_POLICY_NOT_SET

Este detector verifica si la política de retención bloqueada se configuró para los registros.

KMS_KEY_NOT_ROTATED

Este detector verifica si la rotación para la encriptación de Cloud Key Management Service no está activada.

OPEN_SMTP_PORT

Este detector verifica si un firewall tiene un puerto SMTP abierto que permite el acceso genérico. Para obtener más información, consulta Resultados de vulnerabilidades de firewall.

SQL_NO_ROOT_PASSWORD

Este detector verifica si una base de datos de Cloud SQL con una dirección IP pública no tiene una contraseña para la cuenta raíz.

OPEN_LDAP_PORT

Este detector verifica si un firewall tiene un puerto LDAP abierto permite el acceso genérico. Para obtener más información, consulta Firewall hallazgos de vulnerabilidades.

OPEN_ORACLEDB_PORT

Este detector verifica si un firewall tiene una base de datos Oracle abierta. que permite el acceso genérico. Para obtener más información, consulta Firewall hallazgos de vulnerabilidades.

OPEN_SSH_PORT

Este detector verifica si un firewall tiene un puerto SSH abierto permite el acceso genérico. Para obtener más información, consulta Firewall hallazgos de vulnerabilidades.

MFA_NOT_ENFORCED

Este detector verifica si un usuario no usa la verificación en 2 pasos.

COS_NOT_USED

Este detector verifica si las VMs de Compute Engine no usan el Container-Optimized OS. Para obtener más información, consulta Contenedor hallazgos de vulnerabilidades.

HTTP_LOAD_BALANCER

Este detector verifica si la instancia de Compute Engine usa una carga configurado para usar un proxy HTTP de destino en lugar de un proxy proxy HTTPS. Para obtener más información, consulta Procesamiento hallazgos de vulnerabilidades de instancias.

EGRESS_DENY_RULE_NOT_SET

Este detector verifica si una regla de denegación de salida no está configurada en un firewall. Para obtener más información, consulta Firewall hallazgos de vulnerabilidades.

PUBLIC_LOG_BUCKET

Este detector verifica si se puede acceder públicamente a un bucket con un receptor de registros.

OPEN_DIRECTORY_SERVICES_PORT

Este detector verifica si un firewall tiene un DIRECTORY_SERVICES abierto que permite el acceso genérico. Para obtener más información, consulta Firewall hallazgos de vulnerabilidades.

OPEN_MYSQL_PORT

Este detector verifica si un firewall tiene un puerto MySQL abierto que permite el acceso genérico. Para obtener más información, consulta Firewall hallazgos de vulnerabilidades.

OPEN_FTP_PORT

Este detector verifica si un firewall tiene un puerto FTP abierto que permite el acceso genérico. Para obtener más información, consulta Firewall hallazgos de vulnerabilidades.

OPEN_FIREWALL

Este detector verifica si hay un firewall abierto al acceso público. Para obtener más información, consulta Resultados de vulnerabilidades de firewall.

WEAK_SSL_POLICY

Este detector verifica si una instancia tiene una política de SSL débil.

OPEN_POP3_PORT

Este detector verifica si un firewall tiene un puerto POP3 abierto que permite el acceso genérico. Para obtener más información, consulta Firewall hallazgos de vulnerabilidades.

OPEN_NETBIOS_PORT

Este detector verifica si un firewall tiene un puerto NETBIOS abierto que permite el acceso genérico. Para obtener más información, consulta Firewall hallazgos de vulnerabilidades.

FLOW_LOGS_DISABLED

Este detector verifica si los registros de flujo están habilitados en la subred de VPC.

OPEN_MONGODB_PORT

Este detector verifica si un firewall tiene un puerto abierto de base de datos de Mongo. que permite el acceso genérico. Para obtener más información, consulta Firewall hallazgos de vulnerabilidades.

MASTER_AUTHORIZED_NETWORKS_DISABLED

Este detector verifica si las redes autorizadas del plano de control no están habilitado en los clústeres de GKE. Para obtener más información, consulta Contenedor hallazgos de vulnerabilidades.

OPEN_REDIS_PORT

Este detector verifica si un firewall tiene un puerto REDIS abierto que permite el acceso genérico. Para obtener más información, consulta Firewall hallazgos de vulnerabilidades.

OPEN_DNS_PORT

Este detector verifica si un firewall tiene un puerto DNS abierto que permita el acceso genérico. Para obtener más información, consulta Firewall hallazgos de vulnerabilidades.

OPEN_TELNET_PORT

Este detector verifica si un firewall tiene un puerto TELNET abierto que permite el acceso genérico. Para obtener más información, consulta Firewall hallazgos de vulnerabilidades.

OPEN_HTTP_PORT

Este detector verifica si un firewall tiene un puerto HTTP abierto permite el acceso genérico. Para obtener más información, consulta Firewall hallazgos de vulnerabilidades.

CLUSTER_LOGGING_DISABLED

Este detector verifica que el registro no esté habilitado para un clúster de GKE. Para obtener más información, consulta Contenedor hallazgos de vulnerabilidades.

FULL_API_ACCESS

Este detector verifica si una instancia usa una cuenta de servicio predeterminada con acceso completo a todas las APIs de Google Cloud.

OBJECT_VERSIONING_DISABLED

Este detector verifica si el control de versiones de objetos está habilitado en los buckets de almacenamiento con receptores.

PUBLIC_IP_ADDRESS

Este detector verifica si una instancia tiene una dirección IP pública.

AUTO_UPGRADE_DISABLED

Este detector verifica si la función de actualización automática de un clúster de GKE está inhabilitada. Para obtener más información, consulta Contenedor hallazgos de vulnerabilidades.

LEGACY_AUTHORIZATION_ENABLED

Este detector verifica si la autorización heredada está habilitada en clústeres de GKE. Para obtener más información, consulta Contenedor hallazgos de vulnerabilidades.

CLUSTER_MONITORING_DISABLED

Este detector verifica si la supervisión está inhabilitada en clústeres de GKE. Para obtener más información, consulta Resultados de vulnerabilidades de contenedores.

OPEN_CISCOSECURE_WEBSM_PORT

Este detector verifica si un firewall tiene un CISCOSECURE_WEBSM abierto que permite el acceso genérico. Para obtener más información, consulta Firewall hallazgos de vulnerabilidades.

OPEN_RDP_PORT

Este detector verifica si un firewall tiene un puerto RDP abierto que permite el acceso genérico. Para obtener más información, consulta Firewall hallazgos de vulnerabilidades.

WEB_UI_ENABLED

Este detector verifica si la IU web de GKE está habilitado. Para obtener más información, consulta Contenedor hallazgos de vulnerabilidades.

FIREWALL_RULE_LOGGING_DISABLED

Este detector verifica si el registro de las reglas de firewall está inhabilitado. Para más información, consulta Firewall hallazgos de vulnerabilidades.

OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Este detector verifica si un usuario tiene roles de cuenta de servicio a nivel de proyecto, en lugar de para una cuenta de servicio específica.

PRIVATE_CLUSTER_DISABLED

Este detector verifica si un clúster de GKE tiene clúster privado inhabilitado. Para obtener más información, consulta Contenedor hallazgos de vulnerabilidades.

PRIMITIVE_ROLES_USED

Este detector verifica si un usuario tiene un rol básico (Propietario, Editor o Visualizador). Para obtener más información, consulta IAM hallazgos de vulnerabilidades.

REDIS_ROLE_USED_ON_ORG

Este detector verifica si el rol de IAM de Redis se asignó a un organización o carpeta. Para obtener más información, consulta los resultados de vulnerabilidades de IAM.

PUBLIC_BUCKET_ACL

Este detector verifica si un bucket es de acceso público.

OPEN_MEMCACHED_PORT

Este detector verifica si un firewall tiene un puerto MEMCACHED abierto que permita el acceso genérico. Para obtener más información, consulta Resultados de vulnerabilidades de firewall.

OVER_PRIVILEGED_ACCOUNT

Este detector verifica si una cuenta de servicio tiene un proyecto demasiado amplio en un clúster. Para obtener más información, consulta Contenedor hallazgos de vulnerabilidades.

AUTO_REPAIR_DISABLED

Este detector verifica si el estado de un clúster de GKE la función de reparación está inhabilitada. Para obtener más información, consulta Contenedor hallazgos de vulnerabilidades.

NETWORK_POLICY_DISABLED

Este detector comprueba si la política de red está inhabilitada en un clúster. Para obtener más información, consulta Contenedor hallazgos de vulnerabilidades.

CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED

Este detector verifica si los hosts del clúster no están configurados para usar solo direcciones IP internas privadas para acceder a las APIs de Google. Para obtener más información, consulta Resultados de vulnerabilidades de contenedores.

OPEN_CASSANDRA_PORT

Este detector verifica si un firewall tiene un puerto Cassandra abierto que permite el acceso genérico. Para obtener más información, consulta Firewall hallazgos de vulnerabilidades.

TOO_MANY_KMS_USERS

Este detector verifica si hay más de tres usuarios de las claves criptográficas. Para obtener más información, consulta Hallazgos de vulnerabilidades de KMS.

OPEN_POSTGRESQL_PORT

Este detector verifica si un firewall tiene un puerto PostgreSQL abierto que permite el acceso genérico. Para obtener más información, consulta Firewall hallazgos de vulnerabilidades.

IP_ALIAS_DISABLED

Este detector verifica si un clúster de GKE se creado con el rango de alias de direcciones IP inhabilitado. Para obtener más información, consulta Contenedor hallazgos de vulnerabilidades.

PUBLIC_SQL_INSTANCE

Este detector verifica si Cloud SQL permite conexiones desde todas las direcciones IP.

OPEN_ELASTICSEARCH_PORT

Este detector verifica si un firewall tiene un puerto Elasticsearch abierto que permite el acceso genérico. Para obtener más información, consulta Firewall hallazgos de vulnerabilidades.

Visualiza la plantilla de postura

Para ver la plantilla de postura de PCI DSS, haz lo siguiente:

gcloud

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

  • ORGANIZATION_ID: El ID numérico de la organización

Ejecuta el comando gcloud scc posture-templates describe :

Linux, macOS o Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

La respuesta contiene la plantilla de postura.

REST

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • ORGANIZATION_ID: El ID numérico de la organización

Método HTTP y URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

Para enviar tu solicitud, expande una de estas opciones:

La respuesta contiene la plantilla de postura.

¿Qué sigue?