Questa pagina descrive i criteri di rilevamento inclusi nella versione 1.0 del modello di postura predefinito per le versioni 3.2.1 e 1.0 dello standard Payment Card Industry Data Security Standard (PCI DSS). Questo modello include un insieme di criteri che definisce i rilevatori di Security Health Analytics che si applicano ai carichi di lavoro che devono essere conformi standard PCI DSS.
Puoi eseguire il deployment di questo modello di postura senza apportare modifiche.
Rilevamento di Security Health Analytics
La tabella seguente descrive i rilevatori di Security Health Analytics inclusi in questo modello di stato.
| Nome rilevatore | Descrizione |
|---|---|
PUBLIC_DATASET |
Questo rilevatore controlla se un set di dati è configurato per essere aperto all'accesso pubblico. Per ulteriori informazioni, vedi Set di dati vulnerabilità. |
NON_ORG_IAM_MEMBER |
Questo rilevatore verifica se un utente non utilizza le credenziali dell'organizzazione. |
KMS_PROJECT_HAS_OWNER |
Questo rilevatore verifica se un utente dispone dell'autorizzazione Proprietario per un progetto che include chiavi. |
AUDIT_LOGGING_DISABLED |
Questo rilevatore verifica se l'audit logging è disattivato per una risorsa. |
SSL_NOT_ENFORCED |
Questo rilevatore verifica se un'istanza di database Cloud SQL non esegue usa SSL per tutte le connessioni in entrata. Per ulteriori informazioni, vedi SQL vulnerabilità. |
LOCKED_RETENTION_POLICY_NOT_SET |
Questo rilevatore controlla se il criterio di conservazione bloccato è impostato per i log. |
KMS_KEY_NOT_ROTATED |
Questo rilevatore controlla se la rotazione per la crittografia di Cloud Key Management Service non è attivata. |
OPEN_SMTP_PORT |
Questo rilevatore verifica se un firewall ha una porta SMTP aperta che consente l'accesso generico. Per ulteriori informazioni, consulta Risultati delle vulnerabilità del firewall. |
SQL_NO_ROOT_PASSWORD |
Questo rilevatore verifica se un database Cloud SQL con un indirizzo IP pubblico non ha una password per l'account root. |
OPEN_LDAP_PORT |
Questo rilevatore controlla se un firewall ha una porta LDAP aperta che consente l'accesso generico. Per ulteriori informazioni, consulta Risultati delle vulnerabilità del firewall. |
OPEN_ORACLEDB_PORT |
Questo rilevatore verifica se un firewall ha un database Oracle aperto che consente l'accesso generico. Per ulteriori informazioni, consulta Risultati delle vulnerabilità del firewall. |
OPEN_SSH_PORT |
Questo rilevatore controlla se un firewall ha una porta SSH aperta che consente l'accesso generico. Per ulteriori informazioni, consulta Risultati delle vulnerabilità del firewall. |
MFA_NOT_ENFORCED |
Questo rilevatore controlla se un utente non sta utilizzando la verifica in due passaggi. |
COS_NOT_USED |
Questo rilevatore controlla se le VM di Compute Engine non utilizzano Container-Optimized OS. Per ulteriori informazioni, consulta Risultati delle vulnerabilità dei container. |
HTTP_LOAD_BALANCER |
Questo rilevatore controlla se l'istanza Compute Engine utilizza un bilanciatore del carico configurato per utilizzare un proxy HTTP di destinazione anziché un proxy HTTPS di destinazione. Per ulteriori informazioni, consulta Risultati delle vulnerabilità delle istanze di calcolo. |
EGRESS_DENY_RULE_NOT_SET |
Questo rilevatore verifica se non è impostata una regola di negazione in uscita su un firewall. Per ulteriori informazioni, vedi Firewall vulnerabilità. |
PUBLIC_LOG_BUCKET |
Questo rilevatore controlla se un bucket con un sink di log è accessibile pubblicamente. |
OPEN_DIRECTORY_SERVICES_PORT |
Questo rilevatore controlla se un firewall ha una porta DIRECTORY_SERVICES aperta che consente l'accesso generico. Per ulteriori informazioni, consulta Risultati delle vulnerabilità del firewall. |
OPEN_MYSQL_PORT |
Questo rilevatore controlla se un firewall ha una porta MySQL aperta che consente l'accesso generico. Per ulteriori informazioni, vedi Firewall vulnerabilità. |
OPEN_FTP_PORT |
Questo rilevatore controlla se un firewall ha una porta FTP aperta che consente l'accesso generico. Per ulteriori informazioni, consulta Risultati delle vulnerabilità del firewall. |
OPEN_FIREWALL |
Questo rilevatore controlla se un firewall è aperto all'accesso pubblico. Per ulteriori informazioni, consulta la sezione Risultati delle vulnerabilità del firewall. |
WEAK_SSL_POLICY |
Questo rilevatore controlla se un'istanza ha un criterio SSL debole. |
OPEN_POP3_PORT |
Questo rilevatore verifica se un firewall ha una porta POP3 aperta che consente l'accesso generico. Per ulteriori informazioni, consulta Risultati delle vulnerabilità del firewall. |
OPEN_NETBIOS_PORT |
Questo rilevatore controlla se un firewall ha una porta NETBIOS aperta che consente l'accesso generico. Per ulteriori informazioni, vedi Firewall vulnerabilità. |
FLOW_LOGS_DISABLED |
Questo rilevatore verifica se i log di flusso sono abilitati nella subnet VPC. |
OPEN_MONGODB_PORT |
Questo rilevatore verifica se un firewall ha una porta di database Mongo aperta che consente l'accesso generico. Per ulteriori informazioni, vedi Firewall vulnerabilità. |
MASTER_AUTHORIZED_NETWORKS_DISABLED |
Questo rilevatore verifica se le reti autorizzate del piano di controllo non sono è abilitata sui cluster GKE. Per ulteriori informazioni, vedi Contenitore vulnerabilità. |
OPEN_REDIS_PORT |
Questo rilevatore verifica se un firewall ha una porta REDIS aperta che consente l'accesso generico. Per ulteriori informazioni, consulta Risultati delle vulnerabilità del firewall. |
OPEN_DNS_PORT |
Questo rilevatore controlla se un firewall ha una porta DNS aperta che consente l'accesso generico. Per ulteriori informazioni, consulta Risultati delle vulnerabilità del firewall. |
OPEN_TELNET_PORT |
Questo rilevatore verifica se un firewall ha una porta TELNET aperta che consente l'accesso generico. Per ulteriori informazioni, consulta Risultati delle vulnerabilità del firewall. |
OPEN_HTTP_PORT |
Questo rilevatore controlla se un firewall ha una porta HTTP aperta che consente l'accesso generico. Per ulteriori informazioni, vedi Firewall vulnerabilità. |
CLUSTER_LOGGING_DISABLED |
Questo rilevatore controlla che il logging non sia abilitato per un cluster GKE. Per ulteriori informazioni, consulta Risultati delle vulnerabilità dei container. |
FULL_API_ACCESS |
Questo rilevatore controlla se un'istanza utilizza un account di servizio predefinito con accesso completo a tutte le API Google Cloud. |
OBJECT_VERSIONING_DISABLED |
Questo rilevatore verifica se il controllo delle versioni degli oggetti è abilitato sui bucket di archiviazione con sink. |
PUBLIC_IP_ADDRESS |
Questo rilevatore controlla se un'istanza ha un indirizzo IP pubblico. |
AUTO_UPGRADE_DISABLED |
Questo rilevatore verifica se la scalabilità automatica di un cluster GKE è disabilitata. Per ulteriori informazioni, vedi Contenitore vulnerabilità. |
LEGACY_AUTHORIZATION_ENABLED |
Questo rilevatore controlla se l'autorizzazione precedente è abilitata nei cluster GKE. Per ulteriori informazioni, consulta Risultati delle vulnerabilità dei container. |
CLUSTER_MONITORING_DISABLED |
Questo rilevatore verifica se il monitoraggio è disabilitato cluster GKE. Per ulteriori informazioni, vedi Contenitore vulnerabilità. |
OPEN_CISCOSECURE_WEBSM_PORT |
Questo rilevatore controlla se un firewall ha un CISCOSECURE_WEBSM aperto che consente l'accesso generico. Per ulteriori informazioni, consulta Risultati delle vulnerabilità del firewall. |
OPEN_RDP_PORT |
Questo rilevatore controlla se un firewall ha una porta RDP aperta che consente l'accesso generico. Per ulteriori informazioni, consulta Risultati delle vulnerabilità del firewall. |
WEB_UI_ENABLED |
Questo rilevatore controlla se l'interfaccia utente web di GKE è attivata. Per ulteriori informazioni, consulta Risultati delle vulnerabilità dei container. |
FIREWALL_RULE_LOGGING_DISABLED |
Questo rilevatore controlla se il logging delle regole del firewall è disabilitato. Per ulteriori informazioni, vedi Firewall vulnerabilità. |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
Questo rilevatore controlla se un utente dispone di ruoli di account di servizio a livello di progetto, anziché per un account di servizio specifico. |
PRIVATE_CLUSTER_DISABLED |
Questo rilevatore controlla se un cluster GKE ha il cluster privato disabilitato. Per ulteriori informazioni, consulta Risultati delle vulnerabilità dei container. |
PRIMITIVE_ROLES_USED |
Questo rilevatore controlla se un utente ha un ruolo di base (Proprietario, Editor o Visualizzatore). Per ulteriori informazioni, consulta Risultati delle vulnerabilità IAM. |
REDIS_ROLE_USED_ON_ORG |
Questo rilevatore controlla se il ruolo IAM Redis è assegnato a un'organizzazione o a una cartella. Per ulteriori informazioni, consulta Risultati delle vulnerabilità IAM. |
PUBLIC_BUCKET_ACL |
Questo rilevatore controlla se un bucket è accessibile pubblicamente. |
OPEN_MEMCACHED_PORT |
Questo rilevatore controlla se un firewall ha una porta MEMCACHED aperta che consente l'accesso generico. Per ulteriori informazioni, vedi Firewall vulnerabilità. |
OVER_PRIVILEGED_ACCOUNT |
Questo rilevatore controlla se un account di servizio ha accesso al progetto eccessivamente ampio in un cluster. Per ulteriori informazioni, vedi Contenitore vulnerabilità. |
AUTO_REPAIR_DISABLED |
Questo rilevatore controlla se la funzionalità di riparazione automatica di un cluster GKE è disabilitata. Per ulteriori informazioni, vedi Contenitore vulnerabilità. |
NETWORK_POLICY_DISABLED |
Questo rilevatore controlla se il criterio di rete è disattivato su una in un cluster Kubernetes. Per ulteriori informazioni, consulta Risultati delle vulnerabilità dei container. |
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED |
Questo rilevatore controlla se gli host del cluster non sono configurati per utilizzare solo indirizzi IP interni privati per accedere alle API di Google. Per maggiori informazioni le informazioni, vedi Contenitore vulnerabilità. |
OPEN_CASSANDRA_PORT |
Questo rilevatore controlla se un firewall ha una porta Cassandra aperta che consente l'accesso generico. Per ulteriori informazioni, vedi Firewall vulnerabilità. |
TOO_MANY_KMS_USERS |
Questo rilevatore controlla se sono presenti più di tre utenti di chiavi crittografiche. Per ulteriori informazioni, consulta i risultati delle vulnerabilità di KMS. |
OPEN_POSTGRESQL_PORT |
Questo rilevatore controlla se un firewall ha una porta PostgreSQL aperta che consente l'accesso generico. Per ulteriori informazioni, consulta Risultati delle vulnerabilità del firewall. |
IP_ALIAS_DISABLED |
Questo rilevatore verifica se un cluster GKE è stato creato con l'intervallo di indirizzi IP alias disabilitato. Per ulteriori informazioni, consulta Risultati delle vulnerabilità dei container. |
PUBLIC_SQL_INSTANCE |
Questo rilevatore controlla se Cloud SQL consente connessioni da tutti gli indirizzi IP. |
OPEN_ELASTICSEARCH_PORT |
Questo rilevatore controlla se un firewall ha una porta Elasticsearch aperta che consente l'accesso generico. Per ulteriori informazioni, vedi Firewall vulnerabilità. |
Visualizza il modello di postura
Per visualizzare il modello di conformità per PCI DSS:
gcloud
Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
-
ORGANIZATION_ID: l'ID numerico dell'organizzazione
Esegui il comando
gcloud scc posture-templates
describe
:
Linux, macOS o Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
La risposta contiene il modello di postura.
REST
Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
-
ORGANIZATION_ID: l'ID numerico dell'organizzazione
Metodo HTTP e URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
Per inviare la richiesta, espandi una delle seguenti opzioni:
La risposta contiene il modello di postura.