Esta página foi traduzida pela API Cloud Translation.

Modelo de postura predefinido para PCI DSS v3.2.1 e v1.0

Esta página descreve as políticas de detecção incluídas na versão v1.0 do modelo de postura predefinida do Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) versões 3.2.1 e 1.0. Esse modelo inclui um conjunto de políticas que define os detectores da Análise de integridade da segurança que se aplicam a cargas de trabalho que precisam estar em conformidade com com o padrão PCI DSS.

É possível implantar esse modelo de postura sem fazer alterações.

Detectores do Security Health Analytics

A tabela a seguir descreve os detectores da Análise de integridade da segurança incluídos em este modelo de postura.

Nome do detector	Descrição
`PUBLIC_DATASET`	Este detector verifica se um conjunto de dados está configurado para ser aberto para acesso público. Para mais informações, consulte Descobertas de vulnerabilidade do conjunto de dados.
`NON_ORG_IAM_MEMBER`	Este detector verifica se um usuário não está usando as credenciais da organização.
`KMS_PROJECT_HAS_OWNER`	Este detector verifica se um usuário tem a permissão Owner em um projeto que inclui chaves.
`AUDIT_LOGGING_DISABLED`	Esse detector verifica se o registro de auditoria está desativado para um recurso.
`SSL_NOT_ENFORCED`	Esse detector verifica se uma instância de banco de dados do Cloud SQL não usa SSL para todas as conexões de entrada. Para mais informações, consulte SQL descobertas de vulnerabilidades.
`LOCKED_RETENTION_POLICY_NOT_SET`	Este detector verifica se a política de retenção bloqueada está definida para registros.
`KMS_KEY_NOT_ROTATED`	Este detector verifica se a rotação para a criptografia do Cloud Key Management Service não está ativada.
`OPEN_SMTP_PORT`	Esse detector verifica se um firewall tem uma porta SMTP aberta que permite o acesso genérico. Para mais informações, consulte Firewall descobertas de vulnerabilidades.
`SQL_NO_ROOT_PASSWORD`	Esse detector verifica se um banco de dados do Cloud SQL com um endereço IP público não tem uma senha para a conta raiz.
`OPEN_LDAP_PORT`	Este detector verifica se um firewall tem uma porta LDAP aberta que permite o acesso genérico. Para mais informações, consulte Firewall descobertas de vulnerabilidades.
`OPEN_ORACLEDB_PORT`	Este detector verifica se um firewall tem um banco de dados Oracle aberto que permita o acesso genérico. Para mais informações, consulte Firewall descobertas de vulnerabilidades.
`OPEN_SSH_PORT`	Esse detector verifica se um firewall tem uma porta SSH aberta que permite o acesso genérico. Para mais informações, consulte Firewall descobertas de vulnerabilidades.
`MFA_NOT_ENFORCED`	Este detector verifica se um usuário não está usando a verificação em duas etapas.
`COS_NOT_USED`	Este detector verifica se as VMs do Compute Engine não estão usando o Container-Optimized OS. Para mais informações, consulte Descobertas de vulnerabilidade de contêineres.
`HTTP_LOAD_BALANCER`	Este detector verifica se a instância do Compute Engine usa uma carga balanceador configurado para usar um proxy HTTP em vez de um proxy de destino. proxy HTTPS. Para mais informações, consulte Descobertas de vulnerabilidade da instância do Compute.
`EGRESS_DENY_RULE_NOT_SET`	Este detector verifica se uma regra de negação de saída não está definida em um firewall. Para mais informações, consulte Firewall descobertas de vulnerabilidades.
`PUBLIC_LOG_BUCKET`	Esse detector verifica se um bucket com um coletor de registros está acessível publicamente.
`OPEN_DIRECTORY_SERVICES_PORT`	Este detector verifica se um firewall tem um DIRECTORY_SERVICE aberto que permita o acesso genérico. Para mais informações, consulte Firewall descobertas de vulnerabilidades.
`OPEN_MYSQL_PORT`	Esse detector verifica se um firewall tem uma porta MySQL aberta que permite acesso genérico. Para mais informações, consulte Firewall descobertas de vulnerabilidades.
`OPEN_FTP_PORT`	Esse detector verifica se um firewall tem uma porta FTP aberta que permite o acesso genérico. Para mais informações, consulte Firewall descobertas de vulnerabilidades.
`OPEN_FIREWALL`	Este detector verifica se um firewall está aberto ao acesso público. Para mais informações, consulte Descobertas de vulnerabilidade do firewall.
`WEAK_SSL_POLICY`	Este detector verifica se uma instância tem uma política de SSL fraca.
`OPEN_POP3_PORT`	Esse detector verifica se um firewall tem uma porta POP3 aberta que permite o acesso genérico. Para mais informações, consulte Firewall descobertas de vulnerabilidades.
`OPEN_NETBIOS_PORT`	Esse detector verifica se um firewall tem uma porta NETBIOS aberta que permite o acesso genérico. Para mais informações, consulte Firewall descobertas de vulnerabilidades.
`FLOW_LOGS_DISABLED`	Esse detector verifica se os registros de fluxo estão ativados na sub-rede da VPC.
`OPEN_MONGODB_PORT`	Este detector verifica se um firewall tem uma porta aberta do banco de dados do Mongo que permita o acesso genérico. Para mais informações, consulte Firewall descobertas de vulnerabilidades.
`MASTER_AUTHORIZED_NETWORKS_DISABLED`	Este detector verifica se as redes autorizadas do plano de controle não estão nos clusters do GKE. Para mais informações, consulte Contêiner descobertas de vulnerabilidades.
`OPEN_REDIS_PORT`	Este detector verifica se um firewall tem uma porta REDIS aberta que permite o acesso genérico. Para mais informações, consulte Firewall descobertas de vulnerabilidades.
`OPEN_DNS_PORT`	Este detector verifica se um firewall tem uma porta DNS aberta que permite o acesso genérico. Para mais informações, consulte Firewall descobertas de vulnerabilidades.
`OPEN_TELNET_PORT`	Esse detector verifica se um firewall tem uma porta do TELNET aberta que permite o acesso genérico. Para mais informações, consulte Firewall descobertas de vulnerabilidades.
`OPEN_HTTP_PORT`	Este detector verifica se um firewall tem uma porta HTTP aberta que permite o acesso genérico. Para mais informações, consulte Firewall descobertas de vulnerabilidades.
`CLUSTER_LOGGING_DISABLED`	A geração de registros de verificações deste detector não está ativada para um do cluster do GKE. Para mais informações, consulte Descobertas de vulnerabilidade de contêineres.
`FULL_API_ACCESS`	Esse detector verifica se uma instância está usando uma conta de serviço padrão com acesso total às APIs do Google Cloud.
`OBJECT_VERSIONING_DISABLED`	Este detector verifica se o controle de versões de objetos está ativado em buckets de armazenamento com coletores.
`PUBLIC_IP_ADDRESS`	Este detector verifica se uma instância tem um endereço IP público.
`AUTO_UPGRADE_DISABLED`	Este detector verifica se o estado de um cluster do GKE está desativado. Para mais informações, consulte Contêiner descobertas de vulnerabilidades.
`LEGACY_AUTHORIZATION_ENABLED`	Este detector verifica se a autorização legada está ativada em clusters do GKE. Para mais informações, consulte Contêiner descobertas de vulnerabilidades.
`CLUSTER_MONITORING_DISABLED`	Esse detector verifica se o monitoramento está desativado nos clusters do GKE. Para mais informações, consulte Contêiner descobertas de vulnerabilidades.
`OPEN_CISCOSECURE_WEBSM_PORT`	Este detector verifica se um firewall tem uma conexão CISCOSECURE_WEBSM aberta que permita o acesso genérico. Para mais informações, consulte Firewall descobertas de vulnerabilidades.
`OPEN_RDP_PORT`	Esse detector verifica se um firewall tem uma porta RDP aberta que permite o acesso genérico. Para mais informações, consulte Firewall descobertas de vulnerabilidades.
`WEB_UI_ENABLED`	Esse detector verifica se a IU da Web do GKE está ativada. Para mais informações, consulte Contêiner descobertas de vulnerabilidades.
`FIREWALL_RULE_LOGGING_DISABLED`	Esse detector verifica se a geração de registros de regras de firewall está desativada. Para mais informações, consulte Descobertas de vulnerabilidade do firewall.
`OVER_PRIVILEGED_SERVICE_ACCOUNT_USER`	Esse detector verifica se um usuário tem funções de conta de serviço no nível do projeto, em vez de uma conta de serviço específica.
`PRIVATE_CLUSTER_DISABLED`	Este detector verifica se um cluster do GKE cluster particular desativado. Para mais informações, consulte Contêiner descobertas de vulnerabilidades.
`PRIMITIVE_ROLES_USED`	Este detector verifica se um usuário tem um papel básico (Proprietário, Editor ou Leitor). Para mais informações, consulte IAM descobertas de vulnerabilidades.
`REDIS_ROLE_USED_ON_ORG`	Este detector verifica se o papel do IAM do Redis está atribuído a um organização ou pasta. Para mais informações, consulte IAM descobertas de vulnerabilidades.
`PUBLIC_BUCKET_ACL`	Este detector verifica se um bucket está acessível publicamente.
`OPEN_MEMCACHED_PORT`	Esse detector verifica se um firewall tem uma porta MEMCACHED aberta que permite o acesso genérico. Para mais informações, consulte Firewall descobertas de vulnerabilidades.
`OVER_PRIVILEGED_ACCOUNT`	Este detector verifica se uma conta de serviço tem projetos muito amplos acesso em um cluster. Para mais informações, consulte Contêiner descobertas de vulnerabilidades.
`AUTO_REPAIR_DISABLED`	Este detector verifica se o estado de um cluster do GKE o recurso de reparo esteja desativado. Para mais informações, consulte Contêiner descobertas de vulnerabilidades.
`NETWORK_POLICY_DISABLED`	Este detector verifica se a política de rede está desativada em um aglomerado. Para mais informações, consulte Descobertas de vulnerabilidade de contêineres.
`CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED`	Este detector verifica se os hosts de cluster não estão configurados para usar apenas endereços IP internos particulares para acessar as APIs do Google. Para mais informações, consulte Descobertas de vulnerabilidade de contêineres.
`OPEN_CASSANDRA_PORT`	Esse detector verifica se um firewall tem uma porta aberta do Cassandra que permite o acesso genérico. Para mais informações, consulte Firewall descobertas de vulnerabilidades.
`TOO_MANY_KMS_USERS`	Esse detector verifica se há mais de três usuários chaves criptográficas. Para mais informações, consulte KMS descobertas de vulnerabilidades.
`OPEN_POSTGRESQL_PORT`	Este detector verifica se um firewall tem uma porta aberta do PostgreSQL que permita o acesso genérico. Para mais informações, consulte Firewall descobertas de vulnerabilidades.
`IP_ALIAS_DISABLED`	Este detector verifica se um cluster do GKE foi criada com o intervalo de endereços IP do alias desativado. Para mais informações, consulte Contêiner descobertas de vulnerabilidades.
`PUBLIC_SQL_INSTANCE`	Este detector verifica se um Cloud SQL permite conexões de todos os endereços IP.
`OPEN_ELASTICSEARCH_PORT`	Esse detector verifica se um firewall tem uma porta Elasticsearch aberta que permite o acesso genérico. Para mais informações, consulte Firewall descobertas de vulnerabilidades.

Conferir o modelo de postura

Para visualizar o modelo de postura do PCI DSS, faça o seguinte:

gcloud

Antes de usar os dados do comando abaixo, faça estas substituições:

ORGANIZATION_ID: o ID numérico da organização

Execute o gcloud scc posture-templates describe comando:

Linux, macOS ou Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

A resposta contém o modelo de postura.

REST

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

ORGANIZATION_ID: o ID numérico da organização

Método HTTP e URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Observação: o comando a seguir pressupõe que você fez login na CLI gcloud com sua conta de usuário executando gcloud init ou gcloud auth login, ou usando o Cloud Shell, que faz login automaticamente na CLI gcloud. . É possível verificar a conta ativa atual executando gcloud auth list.

execute o seguinte comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1"

PowerShell (Windows)

Observação: o comando a seguir pressupõe que você fez login na CLI gcloud com sua conta de usuário executando gcloud init ou gcloud auth login . É possível verificar a conta ativa atual executando gcloud auth list.

execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1" | Select-Object -Expand Content

A resposta contém o modelo de postura.

A seguir

Crie uma postura de segurança usando este modelo.