このページでは、Payment Card Industry Data Security Standard(PCI DSS)バージョン 3.2.1 とバージョン 1.0 の事前定義されたポスチャー テンプレートの v1.0 バージョンに含まれる検出ポリシーについて説明します。このテンプレートには、PCI DSS 基準を遵守する必要があるワークロードに適用される Security Health Analytics 検出項目を定義するポリシーセットが含まれています。
このポスチャー テンプレートは、変更を加えることなくデプロイできます。
Security Health Analytics の検出機能
次の表に、このポスチャー テンプレートに含まれる Security Health Analytics の検出機能を示します。
| 検出項目の名前 | 説明 |
|---|---|
PUBLIC_DATASET |
この検出機能は、データセットが公開アクセスを許可するように構成されているかどうかを確認します。詳細については、データセットの脆弱性の検出をご覧ください。 |
NON_ORG_IAM_MEMBER |
この検出機能は、ユーザーが組織の認証情報を使用していないかどうかを確認します。 |
KMS_PROJECT_HAS_OWNER |
この検出機能は、キーを含むプロジェクトに対するオーナー権限がユーザーに付与されているかどうかをチェックします。 |
AUDIT_LOGGING_DISABLED |
この検出機能は、リソースで監査ロギングがオフになっているかどうかを確認します。 |
SSL_NOT_ENFORCED |
この検出機能は、Cloud SQL データベース インスタンスがすべての受信接続に SSL を使用していないかどうかを確認します。詳細については、SQL の脆弱性の検出をご覧ください。 |
LOCKED_RETENTION_POLICY_NOT_SET |
この検出機能は、ロックされた保持ポリシーがログに設定されているかどうかを確認します。 |
KMS_KEY_NOT_ROTATED |
この検出機能は、Cloud Key Management Service の暗号化のローテーションが有効になっていないかどうかを確認します。 |
OPEN_SMTP_PORT |
この検出機能は、一般的なアクセスを許可するオープン SMTP ポートがファイアウォールにあるかどうかを確認します。詳しくは、ファイアウォールの脆弱性の検出をご覧ください。 |
SQL_NO_ROOT_PASSWORD |
この検出機能は、パブリック IP アドレスを持つ Cloud SQL データベースに root アカウントのパスワードが設定されていないかどうかを確認します。 |
OPEN_LDAP_PORT |
この検出機能は、一般的なアクセスを許可するオープン LDAP ポートがファイアウォールにあるかどうかを確認します。詳しくは、ファイアウォールの脆弱性の検出をご覧ください。 |
OPEN_ORACLEDB_PORT |
この検出機能は、一般的なアクセスを許可するオープン Oracle データベース ポートがファイアウォールにあるかどうかを確認します。詳しくは、ファイアウォールの脆弱性の検出をご覧ください。 |
OPEN_SSH_PORT |
この検出機能は、一般的なアクセスを許可するオープン SSH ポートがファイアウォールにあるかどうかを確認します。詳しくは、ファイアウォールの脆弱性の検出をご覧ください。 |
MFA_NOT_ENFORCED |
この検出機能は、ユーザーが 2 段階認証プロセスを使用していないかどうかを確認します。 |
COS_NOT_USED |
この検出機能は、Compute Engine VM が Container-Optimized OS を使用していないかどうかを確認します。詳細については、コンテナの脆弱性の検出をご覧ください。 |
HTTP_LOAD_BALANCER |
この検出機能は、Compute Engine インスタンスがターゲット HTTPS プロキシではなく、ターゲット HTTP プロキシを使用するように構成されているロードバランサを使用しているかどうかを確認します。詳細については、Compute インスタンスの脆弱性の検出をご覧ください。 |
EGRESS_DENY_RULE_NOT_SET |
この検出機能は、ファイアウォールに下り(外向き)拒否ルールが設定されていないかどうかを確認します。詳しくは、ファイアウォールの脆弱性の検出をご覧ください。 |
PUBLIC_LOG_BUCKET |
この検出機能は、ログシンクを含むバケットが一般公開されているかどうかを確認します。 |
OPEN_DIRECTORY_SERVICES_PORT |
この検出機能は、一般的なアクセスを許可する DIRECTORY_SERVICES ポートがファイアウォールにあるかどうかを確認します。詳しくは、ファイアウォールの脆弱性の検出をご覧ください。 |
OPEN_MYSQL_PORT |
この検出機能は、一般的なアクセスを許可するオープン MySQL ポートがファイアウォールにあるかどうかを確認します。詳しくは、ファイアウォールの脆弱性の検出をご覧ください。 |
OPEN_FTP_PORT |
この検出機能は、一般的なアクセスを許可するオープン FTP ポートがファイアウォールにあるかどうかを確認します。詳しくは、ファイアウォールの脆弱性の検出をご覧ください。 |
OPEN_FIREWALL |
この検出機能は、ファイアウォールが公開アクセスを受け入れているかどうかを確認します。詳しくは、ファイアウォールの脆弱性の検出をご覧ください。 |
WEAK_SSL_POLICY |
この検出機能は、インスタンスに脆弱な SSL ポリシーがあるかどうかをチェックします。 |
OPEN_POP3_PORT |
この検出機能は、一般的なアクセスを許可するオープン POP3 ポートがファイアウォールにあるかどうかを確認します。詳しくは、ファイアウォールの脆弱性の検出をご覧ください。 |
OPEN_NETBIOS_PORT |
この検出機能は、一般的なアクセスを許可するオープン NETBIOS ポートがファイアウォールにあるかどうかを確認します。詳しくは、ファイアウォールの脆弱性の検出をご覧ください。 |
FLOW_LOGS_DISABLED |
この検出機能は、VPC サブネットワークでフローログが有効になっているかどうかを確認します。 |
OPEN_MONGODB_PORT |
この検出機能は、ファイアウォールに、一般的なアクセスを許可するオープン Mongo データベース ポートがあるかどうかを確認します。詳しくは、ファイアウォールの脆弱性の検出をご覧ください。 |
MASTER_AUTHORIZED_NETWORKS_DISABLED |
この検出機能は、GKE クラスタでコントロール プレーン承認済みネットワークが有効になっていないかどうかを確認します。詳細については、コンテナの脆弱性の検出をご覧ください。 |
OPEN_REDIS_PORT |
この検出機能は、ファイアウォールに一般的なアクセスを許可するオープン REDIS ポートがあるかどうかを確認します。詳しくは、ファイアウォールの脆弱性の検出をご覧ください。 |
OPEN_DNS_PORT |
この検出機能は、一般的なアクセスを許可するオープン DNS ポートがファイアウォールにあるかどうかを確認します。詳しくは、ファイアウォールの脆弱性の検出をご覧ください。 |
OPEN_TELNET_PORT |
この検出機能は、一般的なアクセスを許可するオープン TELNET ポートがファイアウォールにあるかどうかを確認します。詳しくは、ファイアウォールの脆弱性の検出をご覧ください。 |
OPEN_HTTP_PORT |
この検出機能は、一般的なアクセスを許可するオープン HTTP ポートがファイアウォールにあるかどうかを確認します。詳しくは、ファイアウォールの脆弱性の検出をご覧ください。 |
CLUSTER_LOGGING_DISABLED |
この検出機能は、GKE クラスタのロギングが有効になっていないことを確認します。詳細については、コンテナの脆弱性の検出をご覧ください。 |
FULL_API_ACCESS |
この検出機能は、インスタンスがすべての Google Cloud API に対する完全アクセス権を持つデフォルトのサービス アカウントを使用しているかどうかを確認します。 |
OBJECT_VERSIONING_DISABLED |
この検出機能は、シンクがあるストレージ バケットでオブジェクトのバージョニングが有効になっているかどうかを確認します。 |
PUBLIC_IP_ADDRESS |
この検出機能は、インスタンスにパブリック IP アドレスがあるかどうかを確認します。 |
AUTO_UPGRADE_DISABLED |
この検出機能は、GKE クラスタの自動アップグレード機能が無効になっているかどうかを確認します。詳細については、コンテナの脆弱性の検出をご覧ください。 |
LEGACY_AUTHORIZATION_ENABLED |
この検出機能は、GKE クラスタで以前の承認が有効になっているかどうかを確認します。詳細については、コンテナの脆弱性の検出をご覧ください。 |
CLUSTER_MONITORING_DISABLED |
この検出機能は、GKE クラスタでモニタリングが無効になっているかどうかを確認します。詳細については、コンテナの脆弱性の検出をご覧ください。 |
OPEN_CISCOSECURE_WEBSM_PORT |
この検出機能は、ファイアウォールに一般的なアクセスを許可するオープン CISCOSECURE_WEBSM ポートがあるかどうかを確認します。詳しくは、ファイアウォールの脆弱性の検出をご覧ください。 |
OPEN_RDP_PORT |
この検出機能は、一般的なアクセスを許可するオープン RDP ポートがファイアウォールにあるかどうかを確認します。詳しくは、ファイアウォールの脆弱性の検出をご覧ください。 |
WEB_UI_ENABLED |
この検出機能は、GKE ウェブ UI が有効かどうかを確認します。詳細については、コンテナの脆弱性の検出をご覧ください。 |
FIREWALL_RULE_LOGGING_DISABLED |
この検出機能は、ファイアウォール ルールのロギングが無効になっているかどうかを確認します。詳しくは、ファイアウォールの脆弱性の検出をご覧ください。 |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
この検出機能は、ユーザーが特定のサービス アカウントではなく、プロジェクト レベルでのサービス アカウントのロールを持っているかどうかを確認します。 |
PRIVATE_CLUSTER_DISABLED |
この検出機能は、GKE クラスタで限定公開クラスタが無効になっているかどうかを確認します。詳細については、コンテナの脆弱性の検出をご覧ください。 |
PRIMITIVE_ROLES_USED |
この検出機能は、ユーザーに基本ロール(オーナー、編集者、または閲覧者)が付与されているかどうかを確認します。詳細については、IAM の脆弱性の検出をご覧ください。 |
REDIS_ROLE_USED_ON_ORG |
この検出機能は、Redis IAM ロールが組織またはフォルダに割り当てられているかどうかを確認します。詳細については、IAM の脆弱性の検出をご覧ください。 |
PUBLIC_BUCKET_ACL |
この検出機能は、バケットが一般公開されているかどうかを確認します。 |
OPEN_MEMCACHED_PORT |
この検出機能は、一般的なアクセスを許可するオープン MEMCACHED ポートがファイアウォールにあるかどうかを確認します。詳しくは、ファイアウォールの脆弱性の検出をご覧ください。 |
OVER_PRIVILEGED_ACCOUNT |
この検出機能は、サービス アカウントがクラスタ内で過度に広い範囲のプロジェクトへのアクセス権を持っているかどうかを確認します。詳細については、コンテナの脆弱性の検出をご覧ください。 |
AUTO_REPAIR_DISABLED |
この検出機能は、GKE クラスタの自動修復機能が無効になっているかどうかを確認します。詳細については、コンテナの脆弱性の検出をご覧ください。 |
NETWORK_POLICY_DISABLED |
この検出機能は、クラスタでネットワーク ポリシーが無効になっているかどうかを確認します。詳細については、コンテナの脆弱性の検出をご覧ください。 |
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED |
この検出機能は、Google API へのアクセスにプライベート内部 IP アドレスのみを使用するようにクラスタホストが構成されていないかどうかを確認します。詳細については、コンテナの脆弱性の検出をご覧ください。 |
OPEN_CASSANDRA_PORT |
この検出機能は、一般的なアクセスを許可するオープン Cassandra ポートがファイアウォールにあるかどうかを確認します。詳しくは、ファイアウォールの脆弱性の検出をご覧ください。 |
TOO_MANY_KMS_USERS |
この検出機能は、暗号鍵のユーザーが 3 人を超えているかどうかを確認します。詳細については、KMS の脆弱性の検出をご覧ください。 |
OPEN_POSTGRESQL_PORT |
この検出機能は、一般的なアクセスを許可するオープン PostgreSQL ポートがファイアウォールにあるかどうかを確認します。詳しくは、ファイアウォールの脆弱性の検出をご覧ください。 |
IP_ALIAS_DISABLED |
この検出機能は、GKE クラスタがエイリアス IP アドレス範囲を無効にして作成されたかどうかを確認します。詳細については、コンテナの脆弱性の検出をご覧ください。 |
PUBLIC_SQL_INSTANCE |
この検出機能は、Cloud SQL ですべての IP アドレスからの接続が許可されているかどうかを確認します。 |
OPEN_ELASTICSEARCH_PORT |
この検出機能は、一般的なアクセスを許可するオープン Elasticsearch ポートがファイアウォールにあるかどうかを確認します。詳しくは、ファイアウォールの脆弱性の検出をご覧ください。 |
YAML の定義
以下は、PCI DSS 用のポスチャー テンプレートの YAML 定義です。
name: organizations/123/locations/global/postureTemplates/pci_dss_v_3_2_1
description: Posture Template to make your workload PCI-DSS v3.2.1 compliant.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: PCI-DSS v3.2.1 detective policy set
description: 58 SHA modules that new customers can automatically enable.
policies:
- policy_id: Public dataset
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_DATASET
- policy_id: Non org IAM member
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: NON_ORG_IAM_MEMBER
- policy_id: KMS project has owner
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_PROJECT_HAS_OWNER
- policy_id: Audit logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUDIT_LOGGING_DISABLED
- policy_id: SSL not enforced
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SSL_NOT_ENFORCED
- policy_id: Locked retention policy not set
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LOCKED_RETENTION_POLICY_NOT_SET
- policy_id: KMS key not rotated
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_KEY_NOT_ROTATED
- policy_id: Open SMTP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_SMTP_PORT
- policy_id: SQL no root password
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_NO_ROOT_PASSWORD
- policy_id: Open LDAP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_LDAP_PORT
- policy_id: Open oracle db port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_ORACLEDB_PORT
- policy_id: Open SSH port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_SSH_PORT
- policy_id: MFA not enforced
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: MFA_NOT_ENFORCED
- policy_id: COS not used
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: COS_NOT_USED
- policy_id: HTTP load balancer
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: HTTP_LOAD_BALANCER
- policy_id: Egress deny rule not set
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: EGRESS_DENY_RULE_NOT_SET
- policy_id: Public log bucket
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_LOG_BUCKET
- policy_id: Open directory services port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_DIRECTORY_SERVICES_PORT
- policy_id: Open mysql port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_MYSQL_PORT
- policy_id: Open FTP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_FTP_PORT
- policy_id: Open firewall
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_FIREWALL
- policy_id: Weak SSL policy
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: WEAK_SSL_POLICY
- policy_id: Open POP3 port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_POP3_PORT
- policy_id: Open netbios port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_NETBIOS_PORT
- policy_id: Flow logs disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FLOW_LOGS_DISABLED
- policy_id: Open mongo db port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_MONGODB_PORT
- policy_id: Master authorized networks disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: MASTER_AUTHORIZED_NETWORKS_DISABLED
- policy_id: Open redis port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_REDIS_PORT
- policy_id: Open dns port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_DNS_PORT
- policy_id: Open telnet port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_TELNET_PORT
- policy_id: Open HTTP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_HTTP_PORT
- policy_id: Cluster logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CLUSTER_LOGGING_DISABLED
- policy_id: Full API access
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FULL_API_ACCESS
- policy_id: Object versioning disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OBJECT_VERSIONING_DISABLED
- policy_id: Public IP address
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_IP_ADDRESS
- policy_id: Auto upgrade disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUTO_UPGRADE_DISABLED
- policy_id: Legacy authorization enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LEGACY_AUTHORIZATION_ENABLED
- policy_id: Cluster monitoring disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CLUSTER_MONITORING_DISABLED
- policy_id: Open ciscosecure websm port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_CISCOSECURE_WEBSM_PORT
- policy_id: Open RDP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_RDP_PORT
- policy_id: Web UI enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: WEB_UI_ENABLED
- policy_id: Firewall rule logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FIREWALL_RULE_LOGGING_DISABLED
- policy_id: Over privileged service account user
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OVER_PRIVILEGED_SERVICE_ACCOUNT_USER
- policy_id: Private cluster disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PRIVATE_CLUSTER_DISABLED
- policy_id: Primitive roles used
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PRIMITIVE_ROLES_USED
- policy_id: Redis role used on org
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: REDIS_ROLE_USED_ON_ORG
- policy_id: Public bucket ACL
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_BUCKET_ACL
- policy_id: Open memcached port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_MEMCACHED_PORT
- policy_id: Over privileged account
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OVER_PRIVILEGED_ACCOUNT
- policy_id: Auto repair disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUTO_REPAIR_DISABLED
- policy_id: Network policy disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: NETWORK_POLICY_DISABLED
- policy_id: Cluster private google access disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED
- policy_id: Open cassandra port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_CASSANDRA_PORT
- policy_id: Too many KMS users
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: TOO_MANY_KMS_USERS
- policy_id: Open postgresql port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_POSTGRESQL_PORT
- policy_id: IP alias disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: IP_ALIAS_DISABLED
- policy_id: Public SQL instance
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_SQL_INSTANCE
- policy_id: Open elasticsearch port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_ELASTICSEARCH_PORT