In questa pagina vengono descritti i criteri di rilevamento inclusi nella versione 1.0 del modello di postura predefinito per lo standard PCI DSS (Payment Card Industry Data Security Standard) versione 3.2.1 e versione 1.0. Questo modello include un set di criteri che definisce i rilevatori di Security Health Analytics applicabili ai carichi di lavoro che devono essere conformi allo standard PCI DSS.
Puoi eseguire il deployment di questo modello di postura senza apportare modifiche.
Rilevatori Security Health Analytics
La tabella seguente descrive i rilevatori di Security Health Analytics inclusi in questo modello di postura.
Nome rilevatore | Descrizione |
---|---|
PUBLIC_DATASET |
Questo rilevatore verifica se un set di dati è configurato per essere accessibile al pubblico. Per maggiori informazioni, consulta Risultati di vulnerabilità del set di dati. |
NON_ORG_IAM_MEMBER |
Questo rilevatore verifica se un utente non utilizza le credenziali dell'organizzazione. |
KMS_PROJECT_HAS_OWNER |
Questo rilevatore controlla se un utente dispone dell'autorizzazione Proprietario su un progetto che include chiavi. |
AUDIT_LOGGING_DISABLED |
Questo rilevatore verifica se l'audit logging è disattivato per una risorsa. |
SSL_NOT_ENFORCED |
Questo rilevatore verifica se un'istanza di database Cloud SQL non utilizza SSL per tutte le connessioni in entrata. Per maggiori informazioni, consulta Risultati relativi alle vulnerabilità SQL. |
LOCKED_RETENTION_POLICY_NOT_SET |
Questo rilevatore controlla se il criterio di conservazione bloccata è impostato per i log. |
KMS_KEY_NOT_ROTATED |
Questo rilevatore controlla se la rotazione per la crittografia di Cloud Key Management Service non è attiva. |
OPEN_SMTP_PORT |
Questo rilevatore verifica se un firewall ha una porta SMTP aperta che consente l'accesso generico. Per saperne di più, consulta Risultati di vulnerabilità del firewall. |
SQL_NO_ROOT_PASSWORD |
Questo rilevatore verifica se un database Cloud SQL con un indirizzo IP pubblico non ha una password per l'account root. |
OPEN_LDAP_PORT |
Questo rilevatore verifica se un firewall ha una porta LDAP aperta che consente l'accesso generico. Per saperne di più, consulta Risultati di vulnerabilità del firewall. |
OPEN_ORACLEDB_PORT |
Questo rilevatore controlla se un firewall ha una porta di database Oracle aperta che consente l'accesso generico. Per saperne di più, consulta Risultati di vulnerabilità del firewall. |
OPEN_SSH_PORT |
Questo rilevatore verifica se un firewall ha una porta SSH aperta che consente l'accesso generico. Per saperne di più, consulta Risultati di vulnerabilità del firewall. |
MFA_NOT_ENFORCED |
Questo rilevatore controlla se un utente non sta utilizzando la verifica in due passaggi. |
COS_NOT_USED |
Questo rilevatore controlla se le VM di Compute Engine non utilizzano Container-Optimized OS. Per saperne di più, consulta Risultati di vulnerabilità dei container. |
HTTP_LOAD_BALANCER |
Questo rilevatore controlla se l'istanza di Compute Engine utilizza un bilanciatore del carico configurato per l'utilizzo di un proxy HTTP di destinazione anziché di un proxy HTTPS di destinazione. Per maggiori informazioni, consulta Risultati di vulnerabilità delle istanze Compute. |
EGRESS_DENY_RULE_NOT_SET |
Questo rilevatore verifica se su un firewall non è impostata una regola di negazione in uscita. Per saperne di più, consulta Risultati di vulnerabilità del firewall. |
PUBLIC_LOG_BUCKET |
Questo rilevatore verifica se un bucket con un sink di log è accessibile pubblicamente. |
OPEN_DIRECTORY_SERVICES_PORT |
Questo rilevatore controlla se un firewall ha una porta DIRECTORY_SERVICE aperta che consente un accesso generico. Per saperne di più, consulta Risultati di vulnerabilità del firewall. |
OPEN_MYSQL_PORT |
Questo rilevatore controlla se un firewall ha una porta MySQL aperta che consente l'accesso generico. Per saperne di più, consulta Risultati di vulnerabilità del firewall. |
OPEN_FTP_PORT |
Questo rilevatore controlla se un firewall ha una porta FTP aperta che consente l'accesso generico. Per saperne di più, consulta Risultati di vulnerabilità del firewall. |
OPEN_FIREWALL |
Questo rilevatore verifica se un firewall è aperto all'accesso pubblico. Per saperne di più, consulta Risultati di vulnerabilità del firewall. |
WEAK_SSL_POLICY |
Questo rilevatore controlla se un'istanza ha un criterio SSL debole. |
OPEN_POP3_PORT |
Questo rilevatore verifica se un firewall ha una porta POP3 aperta che consente l'accesso generico. Per saperne di più, consulta Risultati di vulnerabilità del firewall. |
OPEN_NETBIOS_PORT |
Questo rilevatore verifica se un firewall ha una porta NETBIOS aperta che consente l'accesso generico. Per saperne di più, consulta Risultati di vulnerabilità del firewall. |
FLOW_LOGS_DISABLED |
Questo rilevatore verifica se i log di flusso sono abilitati nella subnet VPC. |
OPEN_MONGODB_PORT |
Questo rilevatore controlla se un firewall ha una porta di database Mongo aperta che consente l'accesso generico. Per saperne di più, consulta Risultati di vulnerabilità del firewall. |
MASTER_AUTHORIZED_NETWORKS_DISABLED |
Questo rilevatore verifica se le reti autorizzate del piano di controllo non sono abilitate sui cluster GKE. Per saperne di più, consulta Risultati di vulnerabilità dei container. |
OPEN_REDIS_PORT |
Questo rilevatore verifica se un firewall ha una porta REDIS aperta che consente l'accesso generico. Per saperne di più, consulta Risultati di vulnerabilità del firewall. |
OPEN_DNS_PORT |
Questo rilevatore controlla se un firewall ha una porta DNS aperta che consente l'accesso generico. Per saperne di più, consulta Risultati di vulnerabilità del firewall. |
OPEN_TELNET_PORT |
Questo rilevatore verifica se un firewall ha una porta TELNET aperta che consente l'accesso generico. Per saperne di più, consulta Risultati di vulnerabilità del firewall. |
OPEN_HTTP_PORT |
Questo rilevatore controlla se un firewall ha una porta HTTP aperta che consente l'accesso generico. Per saperne di più, consulta Risultati di vulnerabilità del firewall. |
CLUSTER_LOGGING_DISABLED |
Il logging dei controlli di questo rilevatore non è abilitato per un cluster GKE. Per saperne di più, consulta Risultati di vulnerabilità dei container. |
FULL_API_ACCESS |
Questo rilevatore verifica se un'istanza utilizza un account di servizio predefinito con accesso completo a tutte le API Google Cloud. |
OBJECT_VERSIONING_DISABLED |
Questo rilevatore verifica se il controllo delle versioni degli oggetti è abilitato sui bucket di archiviazione con sink. |
PUBLIC_IP_ADDRESS |
Questo rilevatore controlla se un'istanza ha un indirizzo IP pubblico. |
AUTO_UPGRADE_DISABLED |
Questo rilevatore verifica se la funzionalità di upgrade automatico di un cluster GKE è disabilitata. Per saperne di più, consulta Risultati di vulnerabilità dei container. |
LEGACY_AUTHORIZATION_ENABLED |
Questo rilevatore verifica se l'autorizzazione precedente è abilitata sui cluster GKE. Per saperne di più, consulta Risultati di vulnerabilità dei container. |
CLUSTER_MONITORING_DISABLED |
Questo rilevatore controlla se il monitoraggio è disabilitato sui cluster GKE. Per saperne di più, consulta Risultati di vulnerabilità dei container. |
OPEN_CISCOSECURE_WEBSM_PORT |
Questo rilevatore controlla se un firewall ha una porta CISCOSECURE_WEBSM aperta che consente l'accesso generico. Per saperne di più, consulta Risultati di vulnerabilità del firewall. |
OPEN_RDP_PORT |
Questo rilevatore verifica se un firewall ha una porta RDP aperta che consente l'accesso generico. Per saperne di più, consulta Risultati di vulnerabilità del firewall. |
WEB_UI_ENABLED |
Questo rilevatore verifica se la UI web di GKE è abilitata. Per saperne di più, consulta Risultati di vulnerabilità dei container. |
FIREWALL_RULE_LOGGING_DISABLED |
Questo rilevatore verifica se il logging delle regole firewall è disabilitato. Per saperne di più, consulta Risultati di vulnerabilità del firewall. |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
Questo rilevatore controlla se un utente dispone di ruoli dell'account di servizio a livello di progetto, anziché per un account di servizio specifico. |
PRIVATE_CLUSTER_DISABLED |
Questo rilevatore controlla se in un cluster GKE è disabilitato il cluster privato. Per saperne di più, consulta Risultati di vulnerabilità dei container. |
PRIMITIVE_ROLES_USED |
Questo rilevatore controlla se un utente ha un ruolo di base (Proprietario, Editor o Visualizzatore). Per saperne di più, consulta Risultati di vulnerabilità IAM. |
REDIS_ROLE_USED_ON_ORG |
Questo rilevatore verifica se il ruolo IAM Redis è assegnato a un'organizzazione o a una cartella. Per saperne di più, consulta Risultati di vulnerabilità IAM. |
PUBLIC_BUCKET_ACL |
Questo rilevatore verifica se un bucket è accessibile pubblicamente. |
OPEN_MEMCACHED_PORT |
Questo rilevatore controlla se un firewall ha una porta MEMCACHED aperta che consente l'accesso generico. Per saperne di più, consulta Risultati di vulnerabilità del firewall. |
OVER_PRIVILEGED_ACCOUNT |
Questo rilevatore controlla se un account di servizio ha un accesso troppo ampio ai progetti in un cluster. Per saperne di più, consulta Risultati di vulnerabilità dei container. |
AUTO_REPAIR_DISABLED |
Questo rilevatore controlla se la funzionalità di riparazione automatica di un cluster GKE è disabilitata. Per saperne di più, consulta Risultati di vulnerabilità dei container. |
NETWORK_POLICY_DISABLED |
Questo rilevatore controlla se il criterio di rete è disabilitato su un cluster. Per saperne di più, consulta Risultati di vulnerabilità dei container. |
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED |
Questo rilevatore controlla se gli host del cluster non sono configurati per utilizzare solo indirizzi IP interni privati per accedere alle API di Google. Per saperne di più, consulta Risultati di vulnerabilità dei container. |
OPEN_CASSANDRA_PORT |
Questo rilevatore controlla se un firewall ha una porta Cassandra aperta che consente l'accesso generico. Per saperne di più, consulta Risultati di vulnerabilità del firewall. |
TOO_MANY_KMS_USERS |
Questo rilevatore verifica se ci sono più di tre utenti di chiavi di crittografia. Per maggiori informazioni, consulta Risultati di vulnerabilità di KMS. |
OPEN_POSTGRESQL_PORT |
Questo rilevatore controlla se un firewall ha una porta PostgreSQL aperta che consente l'accesso generico. Per saperne di più, consulta Risultati di vulnerabilità del firewall. |
IP_ALIAS_DISABLED |
Questo rilevatore verifica se è stato creato un cluster GKE con l'intervallo di indirizzi IP alias disabilitato. Per saperne di più, consulta Risultati di vulnerabilità dei container. |
PUBLIC_SQL_INSTANCE |
Questo rilevatore verifica se Cloud SQL consente le connessioni da tutti gli indirizzi IP. |
OPEN_ELASTICSEARCH_PORT |
Questo rilevatore controlla se un firewall ha una porta Elasticsearch aperta che consente l'accesso generico. Per saperne di più, consulta Risultati di vulnerabilità del firewall. |
Definizione YAML
Di seguito è riportata la definizione YAML per il modello di postura per PCI DSS.
name: organizations/123/locations/global/postureTemplates/pci_dss_v_3_2_1
description: Posture Template to make your workload PCI-DSS v3.2.1 compliant.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: PCI-DSS v3.2.1 detective policy set
description: 58 SHA modules that new customers can automatically enable.
policies:
- policy_id: Public dataset
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_DATASET
- policy_id: Non org IAM member
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: NON_ORG_IAM_MEMBER
- policy_id: KMS project has owner
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_PROJECT_HAS_OWNER
- policy_id: Audit logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUDIT_LOGGING_DISABLED
- policy_id: SSL not enforced
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SSL_NOT_ENFORCED
- policy_id: Locked retention policy not set
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LOCKED_RETENTION_POLICY_NOT_SET
- policy_id: KMS key not rotated
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_KEY_NOT_ROTATED
- policy_id: Open SMTP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_SMTP_PORT
- policy_id: SQL no root password
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_NO_ROOT_PASSWORD
- policy_id: Open LDAP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_LDAP_PORT
- policy_id: Open oracle db port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_ORACLEDB_PORT
- policy_id: Open SSH port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_SSH_PORT
- policy_id: MFA not enforced
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: MFA_NOT_ENFORCED
- policy_id: COS not used
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: COS_NOT_USED
- policy_id: HTTP load balancer
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: HTTP_LOAD_BALANCER
- policy_id: Egress deny rule not set
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: EGRESS_DENY_RULE_NOT_SET
- policy_id: Public log bucket
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_LOG_BUCKET
- policy_id: Open directory services port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_DIRECTORY_SERVICES_PORT
- policy_id: Open mysql port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_MYSQL_PORT
- policy_id: Open FTP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_FTP_PORT
- policy_id: Open firewall
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_FIREWALL
- policy_id: Weak SSL policy
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: WEAK_SSL_POLICY
- policy_id: Open POP3 port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_POP3_PORT
- policy_id: Open netbios port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_NETBIOS_PORT
- policy_id: Flow logs disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FLOW_LOGS_DISABLED
- policy_id: Open mongo db port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_MONGODB_PORT
- policy_id: Master authorized networks disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: MASTER_AUTHORIZED_NETWORKS_DISABLED
- policy_id: Open redis port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_REDIS_PORT
- policy_id: Open dns port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_DNS_PORT
- policy_id: Open telnet port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_TELNET_PORT
- policy_id: Open HTTP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_HTTP_PORT
- policy_id: Cluster logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CLUSTER_LOGGING_DISABLED
- policy_id: Full API access
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FULL_API_ACCESS
- policy_id: Object versioning disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OBJECT_VERSIONING_DISABLED
- policy_id: Public IP address
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_IP_ADDRESS
- policy_id: Auto upgrade disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUTO_UPGRADE_DISABLED
- policy_id: Legacy authorization enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LEGACY_AUTHORIZATION_ENABLED
- policy_id: Cluster monitoring disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CLUSTER_MONITORING_DISABLED
- policy_id: Open ciscosecure websm port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_CISCOSECURE_WEBSM_PORT
- policy_id: Open RDP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_RDP_PORT
- policy_id: Web UI enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: WEB_UI_ENABLED
- policy_id: Firewall rule logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FIREWALL_RULE_LOGGING_DISABLED
- policy_id: Over privileged service account user
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OVER_PRIVILEGED_SERVICE_ACCOUNT_USER
- policy_id: Private cluster disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PRIVATE_CLUSTER_DISABLED
- policy_id: Primitive roles used
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PRIMITIVE_ROLES_USED
- policy_id: Redis role used on org
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: REDIS_ROLE_USED_ON_ORG
- policy_id: Public bucket ACL
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_BUCKET_ACL
- policy_id: Open memcached port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_MEMCACHED_PORT
- policy_id: Over privileged account
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OVER_PRIVILEGED_ACCOUNT
- policy_id: Auto repair disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUTO_REPAIR_DISABLED
- policy_id: Network policy disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: NETWORK_POLICY_DISABLED
- policy_id: Cluster private google access disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED
- policy_id: Open cassandra port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_CASSANDRA_PORT
- policy_id: Too many KMS users
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: TOO_MANY_KMS_USERS
- policy_id: Open postgresql port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_POSTGRESQL_PORT
- policy_id: IP alias disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: IP_ALIAS_DISABLED
- policy_id: Public SQL instance
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_SQL_INSTANCE
- policy_id: Open elasticsearch port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_ELASTICSEARCH_PORT