Modèle de posture prédéfini pour les normes PCI DSS v3.2.1 et v1.0

Cette page décrit les règles de détection incluses dans la version v1.0. du modèle de stratégie prédéfini pour la norme PCI DSS (Payment Card Industry Data Security Standard) 3.2.1 et 1.0. Ce modèle inclut un ensemble de règles qui définit les détecteurs Security Health Analytics qui s'appliquent aux charges de travail qui doivent être conformes à la norme PCI DSS.

Vous pouvez déployer ce modèle de posture sans apporter de modifications.

Détecteurs Security Health Analytics

Le tableau suivant décrit les détecteurs Security Health Analytics inclus dans ce modèle d'état.

Nom du détecteur Description
PUBLIC_DATASET

Ce détecteur vérifie si un ensemble de données est configuré pour être accessible au public. Pour en savoir plus, consultez Ensemble de données et des failles.

NON_ORG_IAM_MEMBER

Ce détecteur vérifie si un utilisateur n'utilise pas les identifiants de l'organisation.

KMS_PROJECT_HAS_OWNER

Ce détecteur vérifie si un utilisateur dispose de l'autorisation Propriétaire sur un projet qui inclut des clés.

AUDIT_LOGGING_DISABLED

Ce détecteur vérifie si la journalisation d'audit est désactivée pour une ressource.

SSL_NOT_ENFORCED

Ce détecteur vérifie si une instance de base de données Cloud SQL n'utilise pas SSL pour toutes les connexions entrantes. Pour en savoir plus, consultez SQL et des failles.

LOCKED_RETENTION_POLICY_NOT_SET

Ce détecteur vérifie si la règle de conservation verrouillée est définie pour les journaux.

KMS_KEY_NOT_ROTATED

Ce détecteur vérifie si la rotation du chiffrement Cloud Key Management Service n'est pas activée.

OPEN_SMTP_PORT

Ce détecteur vérifie si un pare-feu dispose d'un port SMTP ouvert qui autorise l'accès générique. Pour en savoir plus, consultez Pare-feu et des failles.

SQL_NO_ROOT_PASSWORD

Ce détecteur vérifie si une base de données Cloud SQL avec une adresse IP publique n'a pas de mot de passe pour le compte racine.

OPEN_LDAP_PORT

Ce détecteur vérifie si un pare-feu a un port LDAP ouvert qui permet un accès générique. Pour en savoir plus, consultez la page Résultats des failles liées au pare-feu.

OPEN_ORACLEDB_PORT

Ce détecteur vérifie si un pare-feu dispose d'un port de base de données Oracle ouvert qui autorise un accès générique. Pour en savoir plus, consultez Pare-feu et des failles.

OPEN_SSH_PORT

Ce détecteur vérifie si un pare-feu dispose d'un port SSH ouvert qui autorise un accès générique. Pour en savoir plus, consultez Pare-feu et des failles.

MFA_NOT_ENFORCED

Ce détecteur vérifie si un utilisateur n'utilise pas la validation en deux étapes.

COS_NOT_USED

Ce détecteur vérifie si les VM Compute Engine n'utilisent pas Container-Optimized OS. Pour en savoir plus, consultez Conteneur et des failles.

HTTP_LOAD_BALANCER

Ce détecteur vérifie si l'instance Compute Engine utilise un équilibreur de charge configuré pour utiliser un proxy HTTP cible au lieu d'un proxy HTTPS cible. Pour en savoir plus, consultez Calcul les failles détectées sur les instances.

EGRESS_DENY_RULE_NOT_SET

Ce détecteur vérifie si une règle de refus du trafic de sortie n'est pas définie le pare-feu. Pour en savoir plus, consultez Pare-feu et des failles.

PUBLIC_LOG_BUCKET

Ce détecteur vérifie si un bucket doté d'un récepteur de journaux est accessible publiquement.

OPEN_DIRECTORY_SERVICES_PORT

Ce détecteur vérifie si un pare-feu dispose d'un DIRECTORY_SERVICES ouvert qui autorise un accès générique. Pour en savoir plus, consultez la page Résultats des failles liées au pare-feu.

OPEN_MYSQL_PORT

Ce détecteur vérifie si un pare-feu dispose d'un port MySQL ouvert qui autorise l'accès générique. Pour en savoir plus, consultez Pare-feu et des failles.

OPEN_FTP_PORT

Ce détecteur vérifie si un pare-feu dispose d'un port FTP ouvert qui autorise l'accès générique. Pour en savoir plus, consultez Pare-feu et des failles.

OPEN_FIREWALL

Ce détecteur vérifie si un pare-feu est accessible au public. Pour plus pour en savoir plus, consultez Pare-feu et des failles.

WEAK_SSL_POLICY

Ce détecteur vérifie si une instance a une règle SSL faible.

OPEN_POP3_PORT

Ce détecteur vérifie si un pare-feu dispose d'un port POP3 ouvert qui autorise l'accès générique. Pour en savoir plus, consultez la page Résultats des failles liées au pare-feu.

OPEN_NETBIOS_PORT

Ce détecteur vérifie si un pare-feu dispose d'un port NETBIOS ouvert qui autorise un accès générique. Pour en savoir plus, consultez la page Résultats des failles liées au pare-feu.

FLOW_LOGS_DISABLED

Ce détecteur vérifie si les journaux de flux sont activés sur le sous-réseau VPC.

OPEN_MONGODB_PORT

Ce détecteur vérifie si un pare-feu dispose d'un port de base de données Mongo ouvert qui autorise l'accès générique. Pour en savoir plus, consultez la page Résultats des failles liées au pare-feu.

MASTER_AUTHORIZED_NETWORKS_DISABLED

Ce détecteur vérifie si les réseaux autorisés du plan de contrôle ne sont pas sur les clusters GKE. Pour en savoir plus, consultez Conteneur et des failles.

OPEN_REDIS_PORT

Ce détecteur vérifie si un pare-feu dispose d'un port REDIS ouvert qui autorise l'accès générique. Pour en savoir plus, consultez Pare-feu et des failles.

OPEN_DNS_PORT

Ce détecteur vérifie si un pare-feu dispose d'un port DNS ouvert qui autorise l'accès générique. Pour en savoir plus, consultez la page Résultats des failles liées au pare-feu.

OPEN_TELNET_PORT

Ce détecteur vérifie si un pare-feu dispose d'un port TELNET ouvert qui autorise l'accès générique. Pour en savoir plus, consultez Pare-feu et des failles.

OPEN_HTTP_PORT

Ce détecteur vérifie si un pare-feu dispose d'un port HTTP ouvert qui autorise l'accès générique. Pour en savoir plus, consultez Pare-feu et des failles.

CLUSTER_LOGGING_DISABLED

Ce détecteur vérifie que la journalisation n'est pas activée pour un cluster GKE. Pour en savoir plus, consultez la page Résultats des failles liées aux conteneurs.

FULL_API_ACCESS

Ce détecteur vérifie si une instance utilise un compte de service par défaut avec un accès complet à toutes les API Google Cloud.

OBJECT_VERSIONING_DISABLED

Ce détecteur vérifie si la gestion des versions des objets est activée sur les buckets de stockage dotés de récepteurs.

PUBLIC_IP_ADDRESS

Ce détecteur vérifie si une instance possède une adresse IP publique.

AUTO_UPGRADE_DISABLED

Ce détecteur vérifie si le trafic automatique d'un cluster GKE la fonctionnalité de mise à niveau est désactivée. Pour en savoir plus, consultez Conteneur et des failles.

LEGACY_AUTHORIZATION_ENABLED

Ce détecteur vérifie si l'ancienne autorisation est activée sur les clusters GKE. Pour en savoir plus, consultez la page Résultats des failles liées aux conteneurs.

CLUSTER_MONITORING_DISABLED

Ce détecteur vérifie si la surveillance est désactivée sur les clusters GKE. Pour en savoir plus, consultez Conteneur et des failles.

OPEN_CISCOSECURE_WEBSM_PORT

Ce détecteur vérifie si un pare-feu dispose d'un port CISCOSECURE_WEBSM ouvert qui autorise l'accès générique. Pour en savoir plus, consultez la page Résultats des failles liées au pare-feu.

OPEN_RDP_PORT

Ce détecteur vérifie si un pare-feu a un port RDP ouvert qui permet un accès générique. Pour en savoir plus, consultez la page Résultats des failles liées au pare-feu.

WEB_UI_ENABLED

Ce détecteur vérifie si l'interface utilisateur Web de GKE est activée. Pour en savoir plus, consultez Conteneur et des failles.

FIREWALL_RULE_LOGGING_DISABLED

Ce détecteur vérifie si la journalisation des règles de pare-feu est désactivée. Pour Pour en savoir plus, consultez Pare-feu et des failles.

OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Ce détecteur vérifie si un utilisateur dispose de rôles de compte de service au niveau du projet, plutôt que pour un compte de service spécifique.

PRIVATE_CLUSTER_DISABLED

Ce détecteur vérifie si un cluster GKE dispose le cluster privé est désactivé. Pour en savoir plus, consultez Conteneur et des failles.

PRIMITIVE_ROLES_USED

Ce détecteur vérifie si un utilisateur dispose d'un rôle de base (propriétaire, éditeur ou lecteur). Pour en savoir plus, consultez la page Résultats des failles liées à IAM.

REDIS_ROLE_USED_ON_ORG

Ce détecteur vérifie si un rôle IAM Redis est attribué à une organisation ou à un dossier. Pour en savoir plus, consultez IAM et des failles.

PUBLIC_BUCKET_ACL

Ce détecteur vérifie si un bucket est accessible publiquement.

OPEN_MEMCACHED_PORT

Ce détecteur vérifie si un pare-feu a un port MEMCACHED ouvert qui permet un accès générique. Pour en savoir plus, consultez Pare-feu et des failles.

OVER_PRIVILEGED_ACCOUNT

Ce détecteur vérifie si un compte de service bénéficie d'un accès aux projets trop étendu dans un cluster. Pour en savoir plus, consultez la page Résultats des failles liées aux conteneurs.

AUTO_REPAIR_DISABLED

Ce détecteur vérifie si la fonctionnalité de réparation automatique d'un cluster GKE est désactivée. Pour en savoir plus, consultez la page Résultats des failles liées aux conteneurs.

NETWORK_POLICY_DISABLED

Ce détecteur vérifie si la stratégie de réseau est désactivée sur un cluster. Pour en savoir plus, consultez Conteneur et des failles.

CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED

Ce détecteur vérifie si les hôtes de cluster ne sont pas configurés pour utiliser uniquement des adresses IP internes privées pour accéder aux API Google. Pour en savoir plus, consultez la page Résultats des failles liées aux conteneurs.

OPEN_CASSANDRA_PORT

Ce détecteur vérifie si un pare-feu a un port Cassandra ouvert qui permet un accès générique. Pour en savoir plus, consultez Pare-feu et des failles.

TOO_MANY_KMS_USERS

Ce détecteur vérifie s'il y a plus de trois utilisateurs de les clés cryptographiques. Pour en savoir plus, consultez la page Résultats des failles liées à KMS.

OPEN_POSTGRESQL_PORT

Ce détecteur vérifie si un pare-feu dispose d'un port PostgreSQL ouvert qui autorise l'accès générique. Pour en savoir plus, consultez la page Résultats des failles liées au pare-feu.

IP_ALIAS_DISABLED

Ce détecteur vérifie si un cluster GKE a été créé avec la plage d'adresses IP d'alias désactivée. Pour en savoir plus, consultez Conteneur et des failles.

PUBLIC_SQL_INSTANCE

Ce détecteur vérifie si une instance Cloud SQL autorise les connexions de toutes les adresses IP.

OPEN_ELASTICSEARCH_PORT

Ce détecteur vérifie si un pare-feu dispose d'un port Elasticsearch ouvert qui autorise un accès générique. Pour en savoir plus, consultez la page Résultats des failles liées au pare-feu.

Afficher le modèle de stratégie

Pour afficher le modèle d'évaluation de la conformité au PCI DSS, procédez comme suit :

gcloud

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

  • ORGANIZATION_ID: ID numérique de l'organisation

Exécutez la commande gcloud scc posture-templates describe :

Linux, macOS ou Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

La réponse contient le modèle de posture.

REST

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

  • ORGANIZATION_ID: ID numérique de l'organisation

Méthode HTTP et URL :

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

Pour envoyer votre requête, développez l'une des options suivantes :

La réponse contient le modèle de posture.

Étape suivante