Esta página descreve as políticas de detecção incluídas na versão v1.0 do modelo de postura predefinida do Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) versões 3.2.1 e 1.0. Esse modelo inclui um conjunto de políticas que define os detectores da Análise de integridade da segurança que se aplicam a cargas de trabalho que precisam estar em conformidade com com o padrão PCI DSS.
É possível implantar esse modelo de postura sem fazer alterações.
Detectores do Security Health Analytics
A tabela a seguir descreve os detectores da Análise de integridade da segurança incluídos em este modelo de postura.
Nome do detector | Descrição |
---|---|
PUBLIC_DATASET |
Este detector verifica se um conjunto de dados está configurado para ser aberto ao acesso público. Para mais informações, consulte Descobertas de vulnerabilidade do conjunto de dados. |
NON_ORG_IAM_MEMBER |
Este detector verifica se um usuário não está usando as credenciais da organização. |
KMS_PROJECT_HAS_OWNER |
Este detector verifica se um usuário tem a permissão Owner em um projeto que inclui chaves. |
AUDIT_LOGGING_DISABLED |
Este detector verifica se o registro de auditoria está desativado para um recurso. |
SSL_NOT_ENFORCED |
Este detector verifica se uma instância de banco de dados do Cloud SQL não usa SSL para todas as conexões de entrada. Para mais informações, consulte Descobertas de vulnerabilidade do SQL. |
LOCKED_RETENTION_POLICY_NOT_SET |
Este detector verifica se a política de retenção bloqueada está definida para registros. |
KMS_KEY_NOT_ROTATED |
Este detector verifica se a rotação para a criptografia do Cloud Key Management Service não está ativada. |
OPEN_SMTP_PORT |
Esse detector verifica se um firewall tem uma porta SMTP aberta que permite o acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade de firewall. |
SQL_NO_ROOT_PASSWORD |
Este detector verifica se um banco de dados do Cloud SQL com um endereço IP público não tem uma senha para a conta raiz. |
OPEN_LDAP_PORT |
Este detector verifica se um firewall tem uma porta LDAP aberta que permite o acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade de firewall. |
OPEN_ORACLEDB_PORT |
Este detector verifica se um firewall tem uma porta de banco de dados Oracle aberta que permite o acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade de firewall. |
OPEN_SSH_PORT |
Esse detector verifica se um firewall tem uma porta SSH aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade de firewall. |
MFA_NOT_ENFORCED |
Este detector verifica se um usuário não está usando a verificação em duas etapas. |
COS_NOT_USED |
Este detector verifica se as VMs do Compute Engine não estão usando o Container-Optimized OS. Para mais informações, consulte Descobertas de vulnerabilidade de contêiner. |
HTTP_LOAD_BALANCER |
Este detector verifica se a instância do Compute Engine usa um balanceador de carga configurado para usar um proxy HTTP em vez de um proxy HTTPS de destino. Para mais informações, consulte Descobertas de vulnerabilidade da instância do Compute. |
EGRESS_DENY_RULE_NOT_SET |
Este detector verifica se uma regra de negação de saída não está definida em um firewall. Para mais informações, consulte Descobertas de vulnerabilidade de firewall. |
PUBLIC_LOG_BUCKET |
Esse detector verifica se um bucket com um coletor de registros está acessível publicamente. |
OPEN_DIRECTORY_SERVICES_PORT |
Este detector verifica se um firewall tem uma porta DIRECTORY_SERVICE aberta que permite o acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade de firewall. |
OPEN_MYSQL_PORT |
Este detector verifica se um firewall tem uma porta do MySQL aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade de firewall. |
OPEN_FTP_PORT |
Esse detector verifica se um firewall tem uma porta FTP aberta que permita acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade de firewall. |
OPEN_FIREWALL |
Este detector verifica se um firewall está aberto ao acesso público. Para mais informações, consulte Descobertas de vulnerabilidade de firewall. |
WEAK_SSL_POLICY |
Este detector verifica se uma instância tem uma política de SSL fraca. |
OPEN_POP3_PORT |
Este detector verifica se um firewall tem uma porta POP3 aberta que permite o acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade de firewall. |
OPEN_NETBIOS_PORT |
Esse detector verifica se um firewall tem uma porta NETBIOS aberta que permite o acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade de firewall. |
FLOW_LOGS_DISABLED |
Este detector verifica se os registros de fluxo estão ativados na sub-rede VPC. |
OPEN_MONGODB_PORT |
Esse detector verifica se um firewall tem uma porta de banco de dados do Mongo aberta que permite o acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade de firewall. |
MASTER_AUTHORIZED_NETWORKS_DISABLED |
Este detector verifica se as redes autorizadas do plano de controle não estão ativadas nos clusters do GKE. Para mais informações, consulte Descobertas de vulnerabilidade de contêiner. |
OPEN_REDIS_PORT |
Este detector verifica se um firewall tem uma porta REDIS aberta que permite o acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade de firewall. |
OPEN_DNS_PORT |
Este detector verifica se um firewall tem uma porta DNS aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade de firewall. |
OPEN_TELNET_PORT |
Esse detector verifica se um firewall tem uma porta do TELNET aberta que permite o acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade de firewall. |
OPEN_HTTP_PORT |
Este detector verifica se um firewall tem uma porta HTTP aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade de firewall. |
CLUSTER_LOGGING_DISABLED |
Este detector verifica que a geração de registros não está ativada para um cluster do GKE. Para mais informações, consulte Descobertas de vulnerabilidade de contêiner. |
FULL_API_ACCESS |
Esse detector verifica se uma instância está usando uma conta de serviço padrão com acesso total às APIs do Google Cloud. |
OBJECT_VERSIONING_DISABLED |
Este detector verifica se o controle de versões de objetos está ativado em buckets de armazenamento com coletores. |
PUBLIC_IP_ADDRESS |
Este detector verifica se uma instância tem um endereço IP público. |
AUTO_UPGRADE_DISABLED |
Este detector verifica se o recurso de upgrade automático de um cluster do GKE está desativado. Para mais informações, consulte Descobertas de vulnerabilidade de contêiner. |
LEGACY_AUTHORIZATION_ENABLED |
Este detector verifica se a autorização legada está ativada nos clusters do GKE. Para mais informações, consulte Descobertas de vulnerabilidade de contêiner. |
CLUSTER_MONITORING_DISABLED |
Este detector verifica se o monitoramento está desativado nos clusters do GKE. Para mais informações, consulte Descobertas de vulnerabilidade de contêiner. |
OPEN_CISCOSECURE_WEBSM_PORT |
Este detector verifica se um firewall tem uma porta CISCOSECURE_WEBSM aberta que permite o acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade de firewall. |
OPEN_RDP_PORT |
Esse detector verifica se um firewall tem uma porta RDP aberta que permite o acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade de firewall. |
WEB_UI_ENABLED |
Este detector verifica se UI da Web do GKE está ativada. Para mais informações, consulte Descobertas de vulnerabilidade de contêiner. |
FIREWALL_RULE_LOGGING_DISABLED |
Este detector verifica se a geração de registros das regras de firewall está desativada. Para mais informações, consulte Descobertas de vulnerabilidade de firewall. |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
Este detector verifica se um usuário tem papéis de conta de serviço no nível do projeto, e não em uma conta de serviço específica. |
PRIVATE_CLUSTER_DISABLED |
Este detector verifica se um cluster do GKE tem um cluster particular desativado. Para mais informações, consulte Descobertas de vulnerabilidade de contêiner. |
PRIMITIVE_ROLES_USED |
Este detector verifica se um usuário tem um papel básico (Proprietário, Editor ou Leitor). Para mais informações, consulte Descobertas de vulnerabilidades do IAM. |
REDIS_ROLE_USED_ON_ORG |
Este detector verifica se o papel do IAM do Redis está atribuído a uma organização ou pasta. Para mais informações, consulte Descobertas de vulnerabilidades do IAM. |
PUBLIC_BUCKET_ACL |
Este detector verifica se um bucket está acessível publicamente. |
OPEN_MEMCACHED_PORT |
Esse detector verifica se um firewall tem uma porta MEMCACHED aberta que permite o acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade de firewall. |
OVER_PRIVILEGED_ACCOUNT |
Este detector verifica se uma conta de serviço tem acesso excessivamente amplo ao projeto em um cluster. Para mais informações, consulte Descobertas de vulnerabilidade de contêiner. |
AUTO_REPAIR_DISABLED |
Este detector verifica se o recurso de reparo automático de um cluster do GKE está desativado. Para mais informações, consulte Descobertas de vulnerabilidade de contêiner. |
NETWORK_POLICY_DISABLED |
Este detector verifica se a política de rede está desativada em um cluster. Para mais informações, consulte Descobertas de vulnerabilidade de contêiner. |
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED |
Este detector verifica se os hosts de cluster não estão configurados para usar apenas endereços IP internos particulares para acessar as APIs do Google. Para mais informações, consulte Descobertas de vulnerabilidade de contêiner. |
OPEN_CASSANDRA_PORT |
Esse detector verifica se um firewall tem uma porta aberta do Cassandra que permite o acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade de firewall. |
TOO_MANY_KMS_USERS |
Este detector verifica se há mais de três usuários de chaves criptográficas. Para mais informações, consulte Descobertas de vulnerabilidades do KMS. |
OPEN_POSTGRESQL_PORT |
Este detector verifica se um firewall tem uma porta aberta do PostgreSQL que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade de firewall. |
IP_ALIAS_DISABLED |
Este detector verifica se um cluster do GKE foi criado com o intervalo de endereços IP do alias desativado. Para mais informações, consulte Descobertas de vulnerabilidade de contêiner. |
PUBLIC_SQL_INSTANCE |
Este detector verifica se um Cloud SQL permite conexões de todos os endereços IP. |
OPEN_ELASTICSEARCH_PORT |
Este detector verifica se um firewall tem uma porta do Elasticsearch aberta que permite o acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade de firewall. |
Definição de YAML
Confira a seguir a definição de YAML para o modelo de postura do PCI DSS.
name: organizations/123/locations/global/postureTemplates/pci_dss_v_3_2_1
description: Posture Template to make your workload PCI-DSS v3.2.1 compliant.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: PCI-DSS v3.2.1 detective policy set
description: 58 SHA modules that new customers can automatically enable.
policies:
- policy_id: Public dataset
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_DATASET
- policy_id: Non org IAM member
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: NON_ORG_IAM_MEMBER
- policy_id: KMS project has owner
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_PROJECT_HAS_OWNER
- policy_id: Audit logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUDIT_LOGGING_DISABLED
- policy_id: SSL not enforced
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SSL_NOT_ENFORCED
- policy_id: Locked retention policy not set
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LOCKED_RETENTION_POLICY_NOT_SET
- policy_id: KMS key not rotated
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_KEY_NOT_ROTATED
- policy_id: Open SMTP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_SMTP_PORT
- policy_id: SQL no root password
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_NO_ROOT_PASSWORD
- policy_id: Open LDAP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_LDAP_PORT
- policy_id: Open oracle db port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_ORACLEDB_PORT
- policy_id: Open SSH port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_SSH_PORT
- policy_id: MFA not enforced
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: MFA_NOT_ENFORCED
- policy_id: COS not used
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: COS_NOT_USED
- policy_id: HTTP load balancer
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: HTTP_LOAD_BALANCER
- policy_id: Egress deny rule not set
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: EGRESS_DENY_RULE_NOT_SET
- policy_id: Public log bucket
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_LOG_BUCKET
- policy_id: Open directory services port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_DIRECTORY_SERVICES_PORT
- policy_id: Open mysql port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_MYSQL_PORT
- policy_id: Open FTP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_FTP_PORT
- policy_id: Open firewall
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_FIREWALL
- policy_id: Weak SSL policy
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: WEAK_SSL_POLICY
- policy_id: Open POP3 port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_POP3_PORT
- policy_id: Open netbios port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_NETBIOS_PORT
- policy_id: Flow logs disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FLOW_LOGS_DISABLED
- policy_id: Open mongo db port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_MONGODB_PORT
- policy_id: Master authorized networks disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: MASTER_AUTHORIZED_NETWORKS_DISABLED
- policy_id: Open redis port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_REDIS_PORT
- policy_id: Open dns port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_DNS_PORT
- policy_id: Open telnet port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_TELNET_PORT
- policy_id: Open HTTP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_HTTP_PORT
- policy_id: Cluster logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CLUSTER_LOGGING_DISABLED
- policy_id: Full API access
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FULL_API_ACCESS
- policy_id: Object versioning disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OBJECT_VERSIONING_DISABLED
- policy_id: Public IP address
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_IP_ADDRESS
- policy_id: Auto upgrade disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUTO_UPGRADE_DISABLED
- policy_id: Legacy authorization enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LEGACY_AUTHORIZATION_ENABLED
- policy_id: Cluster monitoring disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CLUSTER_MONITORING_DISABLED
- policy_id: Open ciscosecure websm port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_CISCOSECURE_WEBSM_PORT
- policy_id: Open RDP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_RDP_PORT
- policy_id: Web UI enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: WEB_UI_ENABLED
- policy_id: Firewall rule logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FIREWALL_RULE_LOGGING_DISABLED
- policy_id: Over privileged service account user
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OVER_PRIVILEGED_SERVICE_ACCOUNT_USER
- policy_id: Private cluster disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PRIVATE_CLUSTER_DISABLED
- policy_id: Primitive roles used
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PRIMITIVE_ROLES_USED
- policy_id: Redis role used on org
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: REDIS_ROLE_USED_ON_ORG
- policy_id: Public bucket ACL
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_BUCKET_ACL
- policy_id: Open memcached port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_MEMCACHED_PORT
- policy_id: Over privileged account
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OVER_PRIVILEGED_ACCOUNT
- policy_id: Auto repair disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUTO_REPAIR_DISABLED
- policy_id: Network policy disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: NETWORK_POLICY_DISABLED
- policy_id: Cluster private google access disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED
- policy_id: Open cassandra port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_CASSANDRA_PORT
- policy_id: Too many KMS users
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: TOO_MANY_KMS_USERS
- policy_id: Open postgresql port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_POSTGRESQL_PORT
- policy_id: IP alias disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: IP_ALIAS_DISABLED
- policy_id: Public SQL instance
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_SQL_INSTANCE
- policy_id: Open elasticsearch port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_ELASTICSEARCH_PORT