本頁面由 Cloud Translation API 翻譯而成。

PCI DSS v3.2.1 和 v1.0 的預先定義狀態範本

本頁面說明預先定義的姿態範本 (適用於付款卡產業資料安全標準 (PCI DSS) 3.2.1 版和 1.0 版) 1.0 版中包含的偵測政策。這個範本包含一組政策，可定義適用於工作負載的安全性狀態分析偵測器，這些工作負載必須符合 PCI DSS 標準。

您可以直接部署這個姿勢範本，不必進行任何變更。

安全狀態分析偵測工具

下表說明這個安全狀態範本包含的安全性狀態分析偵測工具。

偵測工具名稱	說明
`PUBLIC_DATASET`	這個偵測器會檢查資料集是否已設為開放公開存取。詳情請參閱「資料集安全漏洞發現結果」。
`NON_ORG_IAM_MEMBER`	這個偵測器會檢查使用者是否未使用機構憑證。
`KMS_PROJECT_HAS_OWNER`	這個偵測器會檢查使用者是否對含有金鑰的專案具備「擁有者」權限。
`AUDIT_LOGGING_DISABLED`	這項偵測器會檢查資源的稽核記錄是否已關閉。
`SSL_NOT_ENFORCED`	這個偵測器會檢查 Cloud SQL 資料庫執行個體是否未對所有連入連線使用 SSL。詳情請參閱 SQL 漏洞發現。
`LOCKED_RETENTION_POLICY_NOT_SET`	這個偵測器會檢查是否已為記錄檔設定鎖定的保留政策。
`KMS_KEY_NOT_ROTATED`	這項偵測器會檢查 Cloud Key Management Service 加密功能是否未開啟輪替功能。
`OPEN_SMTP_PORT`	這個偵測器會檢查防火牆是否開啟 SMTP 通訊埠，允許一般存取。詳情請參閱「防火牆安全漏洞發現結果」。
`SQL_NO_ROOT_PASSWORD`	這個偵測器會檢查具有公開 IP 位址的 Cloud SQL 資料庫是否沒有根帳戶的密碼。
`OPEN_LDAP_PORT`	這個偵測器會檢查防火牆是否開啟 LDAP 通訊埠，允許一般存取。詳情請參閱「防火牆安全漏洞發現結果」。
`OPEN_ORACLEDB_PORT`	這個偵測器會檢查防火牆是否開啟 Oracle 資料庫通訊埠，允許一般存取。詳情請參閱「防火牆安全漏洞發現結果」。
`OPEN_SSH_PORT`	這個偵測器會檢查防火牆是否開啟 SSH 通訊埠，允許一般存取。詳情請參閱「防火牆安全漏洞發現結果」。
`MFA_NOT_ENFORCED`	這個偵測器會檢查使用者是否未使用兩步驟驗證。
`COS_NOT_USED`	這項偵測器會檢查 Compute Engine VM 是否未使用 Container-Optimized OS。詳情請參閱「容器安全漏洞發現」。
`HTTP_LOAD_BALANCER`	這個偵測器會檢查 Compute Engine 執行個體是否使用負載平衡器，而該負載平衡器設定為使用目標 HTTP Proxy，而非目標 HTTPS Proxy。詳情請參閱「Compute 執行個體安全漏洞發現項目」。
`EGRESS_DENY_RULE_NOT_SET`	這項偵測器會檢查防火牆是否未設定輸出拒絕規則。詳情請參閱「防火牆安全漏洞發現結果」。
`PUBLIC_LOG_BUCKET`	這個偵測器會檢查具有記錄接收器的值區是否可公開存取。
`OPEN_DIRECTORY_SERVICES_PORT`	這個偵測器會檢查防火牆是否開啟 DIRECTORY_SERVICES 通訊埠，允許一般存取。詳情請參閱「防火牆安全漏洞發現結果」。
`OPEN_MYSQL_PORT`	這個偵測器會檢查防火牆是否開啟 MySQL 通訊埠，允許一般存取。詳情請參閱「防火牆安全漏洞發現結果」。
`OPEN_FTP_PORT`	這個偵測器會檢查防火牆是否開啟 FTP 通訊埠，允許一般存取。詳情請參閱「防火牆安全漏洞發現結果」。
`OPEN_FIREWALL`	這個偵測器會檢查防火牆是否開放公開存取。詳情請參閱「防火牆安全漏洞發現結果」。
`WEAK_SSL_POLICY`	這個偵測器會檢查執行個體是否具有低強度 SSL 政策。
`OPEN_POP3_PORT`	這個偵測器會檢查防火牆是否開啟 POP3 通訊埠，允許一般存取。詳情請參閱「防火牆安全漏洞發現結果」。
`OPEN_NETBIOS_PORT`	這個偵測器會檢查防火牆是否開啟 NETBIOS 通訊埠，允許一般存取。詳情請參閱「防火牆安全漏洞發現結果」。
`FLOW_LOGS_DISABLED`	這個偵測器會檢查虛擬私有雲子網路是否已啟用流量記錄。
`OPEN_MONGODB_PORT`	這個偵測器會檢查防火牆是否開啟 Mongo 資料庫通訊埠，允許一般存取。詳情請參閱「防火牆安全漏洞發現結果」。
`MASTER_AUTHORIZED_NETWORKS_DISABLED`	這個偵測器會檢查 GKE 叢集是否未啟用控制層授權網路。詳情請參閱「容器安全漏洞發現」。
`OPEN_REDIS_PORT`	這個偵測器會檢查防火牆是否開啟 REDIS 通訊埠，允許一般存取。詳情請參閱「防火牆安全漏洞發現結果」。
`OPEN_DNS_PORT`	這個偵測器會檢查防火牆是否開啟 DNS 通訊埠，允許一般存取。詳情請參閱「防火牆安全漏洞發現結果」。
`OPEN_TELNET_PORT`	這個偵測器會檢查防火牆是否開啟 TELNET 通訊埠，允許一般存取。詳情請參閱「防火牆安全漏洞發現結果」。
`OPEN_HTTP_PORT`	這個偵測器會檢查防火牆是否開放 HTTP 通訊埠，允許一般存取。詳情請參閱「防火牆安全漏洞發現結果」。
`CLUSTER_LOGGING_DISABLED`	這項偵測工具會檢查 GKE 叢集是否未啟用記錄功能。詳情請參閱「容器安全漏洞發現」。
`FULL_API_ACCESS`	這個偵測器會檢查執行個體是否使用具備所有 API 完整存取權的預設服務帳戶。 Google Cloud
`OBJECT_VERSIONING_DISABLED`	這個偵測器會檢查具有接收器的儲存空間值區是否已啟用物件版本管理功能。
`PUBLIC_IP_ADDRESS`	這個偵測器會檢查執行個體是否具有公開 IP 位址。
`AUTO_UPGRADE_DISABLED`	這項偵測器會檢查 GKE 叢集的自動升級功能是否已停用。詳情請參閱「容器安全漏洞發現」。
`LEGACY_AUTHORIZATION_ENABLED`	這個偵測器會檢查 GKE 叢集是否已啟用舊版授權。詳情請參閱「容器安全漏洞發現」。
`CLUSTER_MONITORING_DISABLED`	這項偵測工具會檢查 GKE 叢集是否已停用監控功能。詳情請參閱「容器安全漏洞發現」。
`OPEN_CISCOSECURE_WEBSM_PORT`	這個偵測器會檢查防火牆是否開啟 CISCOSECURE_WEBSM 通訊埠，允許一般存取。詳情請參閱「防火牆安全漏洞發現結果」。
`OPEN_RDP_PORT`	這個偵測器會檢查防火牆是否開啟 RDP 通訊埠，允許一般存取。詳情請參閱「防火牆安全漏洞發現結果」。
`WEB_UI_ENABLED`	這項偵測工具會檢查 GKE 網頁版 UI 是否已啟用。詳情請參閱「容器安全漏洞發現」。
`FIREWALL_RULE_LOGGING_DISABLED`	這項偵測工具會檢查防火牆規則記錄功能是否已停用。詳情請參閱「防火牆安全漏洞發現結果」。
`OVER_PRIVILEGED_SERVICE_ACCOUNT_USER`	這個偵測器會檢查使用者是否在專案層級擁有服務帳戶角色，而非特定服務帳戶。
`PRIVATE_CLUSTER_DISABLED`	這個偵測器會檢查 GKE 叢集是否已停用私人叢集。詳情請參閱「容器安全漏洞發現」。
`PRIMITIVE_ROLES_USED`	這個偵測器會檢查使用者是否具備基本角色 (擁有者、編輯者或檢視者)。詳情請參閱「身分與存取權管理 (IAM) 安全性弱點發現結果」。
`REDIS_ROLE_USED_ON_ORG`	這個偵測器會檢查 Redis IAM 角色是否指派給機構或資料夾。詳情請參閱「身分與存取權管理 (IAM) 安全性弱點發現結果」。
`PUBLIC_BUCKET_ACL`	這項偵測工具會檢查 bucket 是否可公開存取。
`OPEN_MEMCACHED_PORT`	這個偵測器會檢查防火牆是否開啟 MEMCACHED 通訊埠，允許一般存取。詳情請參閱「防火牆安全漏洞發現結果」。
`OVER_PRIVILEGED_ACCOUNT`	這個偵測器會檢查服務帳戶在叢集中是否具有過於廣泛的專案存取權。詳情請參閱「容器安全漏洞發現」。
`AUTO_REPAIR_DISABLED`	這項偵測工具會檢查 GKE 叢集的自動修復功能是否已停用。詳情請參閱「容器安全漏洞發現」。
`NETWORK_POLICY_DISABLED`	這項偵測工具會檢查叢集是否已停用網路政策。詳情請參閱「容器安全漏洞發現」。
`CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED`	這項偵測器會檢查叢集主機是否未設定為僅使用私人內部 IP 位址存取 Google API。詳情請參閱「容器安全漏洞發現結果」。
`OPEN_CASSANDRA_PORT`	這個偵測器會檢查防火牆是否開放 Cassandra 通訊埠，允許一般存取。詳情請參閱「防火牆安全漏洞發現結果」。
`TOO_MANY_KMS_USERS`	這個偵測器會檢查加密金鑰的使用者是否超過三位。詳情請參閱 KMS 安全漏洞發現項目。
`OPEN_POSTGRESQL_PORT`	這個偵測器會檢查防火牆是否開啟 PostgreSQL 通訊埠，允許一般存取。詳情請參閱「防火牆安全漏洞發現結果」。
`IP_ALIAS_DISABLED`	這個偵測器會檢查建立 GKE 叢集時，是否停用了別名 IP 位址範圍。詳情請參閱「容器安全漏洞發現」。
`PUBLIC_SQL_INSTANCE`	這個偵測器會檢查 Cloud SQL 是否允許來自所有 IP 位址的連線。
`OPEN_ELASTICSEARCH_PORT`	這個偵測器會檢查防火牆是否開放 Elasticsearch 通訊埠，允許一般存取。詳情請參閱「防火牆安全漏洞發現結果」。

查看防護機制範本

如要查看 PCI DSS 的安全狀態範本，請按照下列步驟操作：

gcloud

使用下方的任何指令資料之前，請先替換以下項目：

ORGANIZATION_ID：機構的數值 ID

執行 gcloud scc posture-templates describe 指令：

Linux、macOS 或 Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

回覆會包含姿勢範本。

REST

使用任何要求資料之前，請先替換以下項目：

ORGANIZATION_ID：機構的數值 ID

HTTP 方法和網址：

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

如要傳送要求，請展開以下其中一個選項：

curl (Linux、macOS 或 Cloud Shell)

注意： 下列指令假設您已執行 gcloud init 或 gcloud auth login，透過使用者帳戶登入 gcloud CLI，或使用 Cloud Shell，自動登入 gcloud CLI。您可以執行 gcloud auth list 查看目前有效的帳戶。

執行下列指令：

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1"

PowerShell (Windows)

注意： 下列指令假設您已執行 gcloud init 或 gcloud auth login，透過使用者帳戶登入 gcloud CLI。您可以執行 gcloud auth list 查看目前有效的帳戶。

執行下列指令：

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1" | Select-Object -Expand Content

回覆會包含姿勢範本。

後續步驟

使用這個安全防護機制範本建立安全防護機制。