Questa pagina descrive i criteri di rilevamento inclusi nella versione v1.0 del modello di postura predefinito per lo standard Payment Card Industry Data Security Standard (PCI DSS) versione 3.2.1 e versione 1.0. Questo modello include un set di criteri che definisce i rilevatori di Security Health Analytics che si applicano ai carichi di lavoro che devono essere conformi allo standard PCI DSS.
Puoi eseguire il deployment di questo modello di postura senza apportare modifiche.
Rilevatori di Security Health Analytics
La tabella seguente descrive i rilevatori di Security Health Analytics inclusi in questo modello di postura.
| Nome rilevatore | Descrizione |
|---|---|
PUBLIC_DATASET |
Questo rilevatore verifica se un set di dati è configurato per essere aperto all'accesso pubblico. Per ulteriori informazioni, consulta la sezione Risultati sulle vulnerabilità dei set di dati. |
NON_ORG_IAM_MEMBER |
Questo rilevatore verifica se un utente non utilizza le credenziali dell'organizzazione. |
KMS_PROJECT_HAS_OWNER |
Questo rilevatore verifica se un utente dispone dell'autorizzazione Proprietario per un progetto che include chiavi. |
AUDIT_LOGGING_DISABLED |
Questo rilevatore verifica se l'audit logging è disattivato per una risorsa. |
SSL_NOT_ENFORCED |
Questo rilevatore verifica se un'istanza di database Cloud SQL non utilizza SSL per tutte le connessioni in entrata. Per saperne di più, consulta Risultati sulle vulnerabilità SQL. |
LOCKED_RETENTION_POLICY_NOT_SET |
Questo rilevatore verifica se il criterio di conservazione bloccato è impostato per i log. |
KMS_KEY_NOT_ROTATED |
Questo rilevatore controlla se la rotazione per la crittografia di Cloud Key Management Service non è attiva. |
OPEN_SMTP_PORT |
Questo rilevatore verifica se un firewall ha una porta SMTP aperta che consente un accesso generico. Per ulteriori informazioni, consulta Risultati di vulnerabilità firewall. |
SQL_NO_ROOT_PASSWORD |
Questo rilevatore verifica se un database Cloud SQL con un indirizzo IP pubblico non ha una password per l'account root. |
OPEN_LDAP_PORT |
Questo rilevatore verifica se un firewall ha una porta LDAP aperta che consente un accesso generico. Per ulteriori informazioni, consulta Risultati di vulnerabilità firewall. |
OPEN_ORACLEDB_PORT |
Questo rilevatore verifica se un firewall ha una porta per database Oracle aperta che consente l'accesso generico. Per ulteriori informazioni, consulta Risultati di vulnerabilità firewall. |
OPEN_SSH_PORT |
Questo rilevatore verifica se un firewall ha una porta SSH aperta che consente un accesso generico. Per ulteriori informazioni, consulta Risultati di vulnerabilità firewall. |
MFA_NOT_ENFORCED |
Questo rilevatore verifica se un utente non utilizza la verifica in due passaggi. |
COS_NOT_USED |
Questo rilevatore verifica se le VM di Compute Engine non utilizzano Container-Optimized OS. Per saperne di più, consulta Risultati sulle vulnerabilità dei container. |
HTTP_LOAD_BALANCER |
Questo rilevatore verifica se l'istanza Compute Engine utilizza un bilanciatore del carico configurato per l'utilizzo di un proxy HTTP di destinazione anziché di un proxy HTTPS di destinazione. Per ulteriori informazioni, consulta Risultati di vulnerabilità delle istanze Compute. |
EGRESS_DENY_RULE_NOT_SET |
Questo rilevatore verifica se su un firewall non è impostata una regola di negazione in uscita. Per ulteriori informazioni, consulta Risultati di vulnerabilità firewall. |
PUBLIC_LOG_BUCKET |
Questo rilevatore verifica se un bucket con un sink di log è accessibile pubblicamente. |
OPEN_DIRECTORY_SERVICES_PORT |
Questo rilevatore verifica se un firewall ha una porta DIRECTORY_SERVICE aperta che consente un accesso generico. Per ulteriori informazioni, consulta Risultati di vulnerabilità firewall. |
OPEN_MYSQL_PORT |
Questo rilevatore verifica se un firewall ha una porta MySQL aperta che consente un accesso generico. Per ulteriori informazioni, consulta Risultati di vulnerabilità firewall. |
OPEN_FTP_PORT |
Questo rilevatore verifica se un firewall ha una porta FTP aperta che consente un accesso generico. Per ulteriori informazioni, consulta Risultati di vulnerabilità firewall. |
OPEN_FIREWALL |
Questo rilevatore verifica se un firewall è aperto all'accesso pubblico. Per ulteriori informazioni, consulta Risultati di vulnerabilità firewall. |
WEAK_SSL_POLICY |
Questo rilevatore verifica se un'istanza ha un criterio SSL debole. |
OPEN_POP3_PORT |
Questo rilevatore verifica se un firewall ha una porta POP3 aperta che consente un accesso generico. Per ulteriori informazioni, consulta Risultati di vulnerabilità firewall. |
OPEN_NETBIOS_PORT |
Questo rilevatore verifica se un firewall ha una porta NETBIOS aperta che consente l'accesso generico. Per ulteriori informazioni, consulta Risultati di vulnerabilità firewall. |
FLOW_LOGS_DISABLED |
Questo rilevatore verifica se i log di flusso sono abilitati nella subnet VPC. |
OPEN_MONGODB_PORT |
Questo rilevatore verifica se un firewall ha una porta del database Mongo aperta che consente l'accesso generico. Per ulteriori informazioni, consulta Risultati di vulnerabilità firewall. |
MASTER_AUTHORIZED_NETWORKS_DISABLED |
Questo rilevatore verifica se le reti autorizzate del piano di controllo non sono abilitate sui cluster GKE. Per saperne di più, consulta Risultati sulle vulnerabilità dei container. |
OPEN_REDIS_PORT |
Questo rilevatore verifica se un firewall ha una porta REDIS aperta che consente un accesso generico. Per ulteriori informazioni, consulta Risultati di vulnerabilità firewall. |
OPEN_DNS_PORT |
Questo rilevatore verifica se un firewall ha una porta DNS aperta che consente un accesso generico. Per ulteriori informazioni, consulta Risultati di vulnerabilità firewall. |
OPEN_TELNET_PORT |
Questo rilevatore verifica se un firewall ha una porta TELNET aperta che consente un accesso generico. Per ulteriori informazioni, consulta Risultati di vulnerabilità firewall. |
OPEN_HTTP_PORT |
Questo rilevatore verifica se un firewall ha una porta HTTP aperta che consente un accesso generico. Per ulteriori informazioni, consulta Risultati di vulnerabilità firewall. |
CLUSTER_LOGGING_DISABLED |
Questo rilevatore controlla il logging non abilitato per un cluster GKE. Per saperne di più, consulta Risultati sulle vulnerabilità dei container. |
FULL_API_ACCESS |
Questo rilevatore verifica se un'istanza utilizza un account di servizio predefinito con accesso completo a tutte le API Google Cloud. |
OBJECT_VERSIONING_DISABLED |
Questo rilevatore verifica se il controllo delle versioni degli oggetti è abilitato nei bucket di archiviazione con sink. |
PUBLIC_IP_ADDRESS |
Questo rilevatore verifica se un'istanza ha un indirizzo IP pubblico. |
AUTO_UPGRADE_DISABLED |
Questo rilevatore verifica se la funzionalità di upgrade automatico di un cluster GKE è disabilitata. Per saperne di più, consulta Risultati sulle vulnerabilità dei container. |
LEGACY_AUTHORIZATION_ENABLED |
Questo rilevatore verifica se l'autorizzazione legacy è abilitata sui cluster GKE. Per saperne di più, consulta Risultati sulle vulnerabilità dei container. |
CLUSTER_MONITORING_DISABLED |
Questo rilevatore verifica se il monitoraggio è disabilitato sui cluster GKE. Per saperne di più, consulta Risultati sulle vulnerabilità dei container. |
OPEN_CISCOSECURE_WEBSM_PORT |
Questo rilevatore verifica se un firewall ha una porta CISCOSECURE_WEBSM aperta che consente un accesso generico. Per ulteriori informazioni, consulta Risultati di vulnerabilità firewall. |
OPEN_RDP_PORT |
Questo rilevatore verifica se un firewall ha una porta RDP aperta che consente un accesso generico. Per ulteriori informazioni, consulta Risultati di vulnerabilità firewall. |
WEB_UI_ENABLED |
Questo rilevatore verifica se la UI web di GKE è abilitata. Per saperne di più, consulta Risultati sulle vulnerabilità dei container. |
FIREWALL_RULE_LOGGING_DISABLED |
Questo rilevatore verifica se il logging delle regole firewall è disabilitato. Per ulteriori informazioni, consulta Risultati di vulnerabilità firewall. |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
Questo rilevatore verifica se un utente dispone di ruoli per l'account di servizio a livello di progetto, anziché per un account di servizio specifico. |
PRIVATE_CLUSTER_DISABLED |
Questo rilevatore verifica se in un cluster GKE è disabilitato il cluster privato. Per saperne di più, consulta Risultati sulle vulnerabilità dei container. |
PRIMITIVE_ROLES_USED |
Questo rilevatore verifica se un utente ha un ruolo di base (Proprietario, Editor o Visualizzatore). Per saperne di più, consulta Risultati sulle vulnerabilità IAM. |
REDIS_ROLE_USED_ON_ORG |
Questo rilevatore verifica se il ruolo IAM Redis è assegnato a un'organizzazione o a una cartella. Per saperne di più, consulta Risultati sulle vulnerabilità IAM. |
PUBLIC_BUCKET_ACL |
Questo rilevatore verifica se un bucket è accessibile pubblicamente. |
OPEN_MEMCACHED_PORT |
Questo rilevatore verifica se un firewall ha una porta MEMCACHED aperta che consente un accesso generico. Per ulteriori informazioni, consulta Risultati di vulnerabilità firewall. |
OVER_PRIVILEGED_ACCOUNT |
Questo rilevatore verifica se un account di servizio ha un accesso a progetto troppo ampio in un cluster. Per saperne di più, consulta Risultati sulle vulnerabilità dei container. |
AUTO_REPAIR_DISABLED |
Questo rilevatore verifica se la funzionalità di riparazione automatica di un cluster GKE è disabilitata. Per saperne di più, consulta Risultati sulle vulnerabilità dei container. |
NETWORK_POLICY_DISABLED |
Questo rilevatore verifica se il criterio di rete è disabilitato su un cluster. Per saperne di più, consulta Risultati sulle vulnerabilità dei container. |
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED |
Questo rilevatore controlla se gli host del cluster non sono configurati per utilizzare solo indirizzi IP interni privati per accedere alle API di Google. Per saperne di più, consulta Risultati sulle vulnerabilità dei container. |
OPEN_CASSANDRA_PORT |
Questo rilevatore verifica se un firewall ha una porta Cassandra aperta che consente un accesso generico. Per ulteriori informazioni, consulta Risultati di vulnerabilità firewall. |
TOO_MANY_KMS_USERS |
Questo rilevatore controlla se esistono più di tre utenti di chiavi di crittografia. Per saperne di più, consulta la sezione Risultati di vulnerabilità KMS. |
OPEN_POSTGRESQL_PORT |
Questo rilevatore verifica se un firewall ha una porta PostgreSQL aperta che consente un accesso generico. Per ulteriori informazioni, consulta Risultati di vulnerabilità firewall. |
IP_ALIAS_DISABLED |
Questo rilevatore verifica se è stato creato un cluster GKE con l'intervallo di indirizzi IP alias disabilitato. Per saperne di più, consulta Risultati sulle vulnerabilità dei container. |
PUBLIC_SQL_INSTANCE |
Questo rilevatore verifica se Cloud SQL consente le connessioni da tutti gli indirizzi IP. |
OPEN_ELASTICSEARCH_PORT |
Questo rilevatore verifica se un firewall ha una porta Elasticsearch aperta che consente un accesso generico. Per ulteriori informazioni, consulta Risultati di vulnerabilità firewall. |
Definizione YAML
Di seguito è riportata la definizione YAML per il modello di posture per PCI DSS.
name: organizations/123/locations/global/postureTemplates/pci_dss_v_3_2_1
description: Posture Template to make your workload PCI-DSS v3.2.1 compliant.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: PCI-DSS v3.2.1 detective policy set
description: 58 SHA modules that new customers can automatically enable.
policies:
- policy_id: Public dataset
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_DATASET
- policy_id: Non org IAM member
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: NON_ORG_IAM_MEMBER
- policy_id: KMS project has owner
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_PROJECT_HAS_OWNER
- policy_id: Audit logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUDIT_LOGGING_DISABLED
- policy_id: SSL not enforced
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SSL_NOT_ENFORCED
- policy_id: Locked retention policy not set
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LOCKED_RETENTION_POLICY_NOT_SET
- policy_id: KMS key not rotated
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_KEY_NOT_ROTATED
- policy_id: Open SMTP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_SMTP_PORT
- policy_id: SQL no root password
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_NO_ROOT_PASSWORD
- policy_id: Open LDAP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_LDAP_PORT
- policy_id: Open oracle db port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_ORACLEDB_PORT
- policy_id: Open SSH port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_SSH_PORT
- policy_id: MFA not enforced
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: MFA_NOT_ENFORCED
- policy_id: COS not used
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: COS_NOT_USED
- policy_id: HTTP load balancer
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: HTTP_LOAD_BALANCER
- policy_id: Egress deny rule not set
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: EGRESS_DENY_RULE_NOT_SET
- policy_id: Public log bucket
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_LOG_BUCKET
- policy_id: Open directory services port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_DIRECTORY_SERVICES_PORT
- policy_id: Open mysql port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_MYSQL_PORT
- policy_id: Open FTP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_FTP_PORT
- policy_id: Open firewall
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_FIREWALL
- policy_id: Weak SSL policy
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: WEAK_SSL_POLICY
- policy_id: Open POP3 port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_POP3_PORT
- policy_id: Open netbios port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_NETBIOS_PORT
- policy_id: Flow logs disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FLOW_LOGS_DISABLED
- policy_id: Open mongo db port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_MONGODB_PORT
- policy_id: Master authorized networks disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: MASTER_AUTHORIZED_NETWORKS_DISABLED
- policy_id: Open redis port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_REDIS_PORT
- policy_id: Open dns port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_DNS_PORT
- policy_id: Open telnet port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_TELNET_PORT
- policy_id: Open HTTP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_HTTP_PORT
- policy_id: Cluster logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CLUSTER_LOGGING_DISABLED
- policy_id: Full API access
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FULL_API_ACCESS
- policy_id: Object versioning disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OBJECT_VERSIONING_DISABLED
- policy_id: Public IP address
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_IP_ADDRESS
- policy_id: Auto upgrade disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUTO_UPGRADE_DISABLED
- policy_id: Legacy authorization enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LEGACY_AUTHORIZATION_ENABLED
- policy_id: Cluster monitoring disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CLUSTER_MONITORING_DISABLED
- policy_id: Open ciscosecure websm port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_CISCOSECURE_WEBSM_PORT
- policy_id: Open RDP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_RDP_PORT
- policy_id: Web UI enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: WEB_UI_ENABLED
- policy_id: Firewall rule logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FIREWALL_RULE_LOGGING_DISABLED
- policy_id: Over privileged service account user
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OVER_PRIVILEGED_SERVICE_ACCOUNT_USER
- policy_id: Private cluster disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PRIVATE_CLUSTER_DISABLED
- policy_id: Primitive roles used
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PRIMITIVE_ROLES_USED
- policy_id: Redis role used on org
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: REDIS_ROLE_USED_ON_ORG
- policy_id: Public bucket ACL
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_BUCKET_ACL
- policy_id: Open memcached port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_MEMCACHED_PORT
- policy_id: Over privileged account
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OVER_PRIVILEGED_ACCOUNT
- policy_id: Auto repair disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUTO_REPAIR_DISABLED
- policy_id: Network policy disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: NETWORK_POLICY_DISABLED
- policy_id: Cluster private google access disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED
- policy_id: Open cassandra port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_CASSANDRA_PORT
- policy_id: Too many KMS users
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: TOO_MANY_KMS_USERS
- policy_id: Open postgresql port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_POSTGRESQL_PORT
- policy_id: IP alias disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: IP_ALIAS_DISABLED
- policy_id: Public SQL instance
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_SQL_INSTANCE
- policy_id: Open elasticsearch port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_ELASTICSEARCH_PORT