Se usó la API de Cloud Translation para traducir esta página.

Plantilla de postura predefinida para PCI DSS v3.2.1 y v1.0

En esta página, se describen las políticas de detección que se incluyen en la versión 1.0 de la plantilla de postura predefinida para las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) versión 3.2.1 y 1.0. Esta plantilla incluye un conjunto de políticas que definen los detectores de Security Health Analytics que se aplican a las cargas de trabajo que deben cumplir con el estándar PCI DSS.

Puedes implementar esta plantilla de postura sin hacer ningún cambio.

Detectores de estadísticas de estado de seguridad

En la siguiente tabla, se describen los detectores de las estadísticas del estado de la seguridad que se incluyen en esta plantilla de postura.

Nombre del detector	Descripción
`PUBLIC_DATASET`	Este detector verifica si un conjunto de datos está configurado para estar abierto al acceso público. Para obtener más información, consulta Resultados de vulnerabilidades de conjuntos de datos.
`NON_ORG_IAM_MEMBER`	Este detector verifica si un usuario no usa credenciales de organización.
`KMS_PROJECT_HAS_OWNER`	Este detector verifica si un usuario tiene el permiso de Propietario en un proyecto que incluye claves.
`AUDIT_LOGGING_DISABLED`	Este detector verifica si el registro de auditoría está desactivado para un recurso.
`SSL_NOT_ENFORCED`	Este detector verifica si una instancia de base de datos de Cloud SQL no usa SSL para todas las conexiones entrantes. Para obtener más información, consulta los hallazgos de vulnerabilidades de SQL.
`LOCKED_RETENTION_POLICY_NOT_SET`	Este detector verifica si la política de retención bloqueada está configurada para los registros.
`KMS_KEY_NOT_ROTATED`	Este detector verifica si la rotación de la encriptación de Cloud Key Management Service no está activada.
`OPEN_SMTP_PORT`	Este detector verifica si un firewall tiene un puerto SMTP abierto que permita el acceso genérico. Para obtener más información, consulta Resultados de vulnerabilidades de firewall.
`SQL_NO_ROOT_PASSWORD`	Este detector verifica si una base de datos de Cloud SQL con una dirección IP pública no tiene una contraseña para la cuenta raíz.
`OPEN_LDAP_PORT`	Este detector verifica si un firewall tiene un puerto LDAP abierto que permita el acceso genérico. Para obtener más información, consulta Resultados de vulnerabilidades de firewall.
`OPEN_ORACLEDB_PORT`	Este detector verifica si un firewall tiene un puerto de base de datos de Oracle abierto que permita el acceso genérico. Para obtener más información, consulta Resultados de vulnerabilidades de firewall.
`OPEN_SSH_PORT`	Este detector verifica si un firewall tiene un puerto SSH abierto que permita el acceso genérico. Para obtener más información, consulta Resultados de vulnerabilidades de firewall.
`MFA_NOT_ENFORCED`	Este detector verifica si un usuario no usa la verificación en 2 pasos.
`COS_NOT_USED`	Este detector verifica si las VMs de Compute Engine no usan el Container-Optimized OS. Para obtener más información, consulta Resultados de vulnerabilidades de contenedores.
`HTTP_LOAD_BALANCER`	Este detector verifica si la instancia de Compute Engine usa un balanceador de cargas configurado para usar un proxy HTTP de destino en lugar de un proxy HTTPS de destino. Para obtener más información, consulta Resultados de las vulnerabilidades de las instancias de Compute.
`EGRESS_DENY_RULE_NOT_SET`	Este detector verifica si no se configuró una regla de denegación de salida en un firewall. Para obtener más información, consulta Resultados de vulnerabilidades de firewall.
`PUBLIC_LOG_BUCKET`	Este detector verifica si se puede acceder públicamente a un bucket con un receptor de registros.
`OPEN_DIRECTORY_SERVICES_PORT`	Este detector verifica si un firewall tiene un puerto DIRECTORY_SERVICES abierto que permita el acceso genérico. Para obtener más información, consulta Resultados de vulnerabilidades de firewall.
`OPEN_MYSQL_PORT`	Este detector verifica si un firewall tiene un puerto MySQL abierto que permita el acceso genérico. Para obtener más información, consulta Resultados de vulnerabilidades de firewall.
`OPEN_FTP_PORT`	Este detector verifica si un firewall tiene un puerto FTP abierto que permite el acceso genérico. Para obtener más información, consulta Resultados de vulnerabilidades de firewall.
`OPEN_FIREWALL`	Este detector verifica si hay un firewall abierto al acceso público. Para obtener más información, consulta Resultados de vulnerabilidades de firewall.
`WEAK_SSL_POLICY`	Este detector verifica si una instancia tiene una política de SSL débil.
`OPEN_POP3_PORT`	Este detector verifica si un firewall tiene un puerto POP3 abierto que permita el acceso genérico. Para obtener más información, consulta Resultados de vulnerabilidades de firewall.
`OPEN_NETBIOS_PORT`	Este detector verifica si un firewall tiene un puerto NETBIOS abierto que permita el acceso genérico. Para obtener más información, consulta Resultados de vulnerabilidades de firewall.
`FLOW_LOGS_DISABLED`	Este detector verifica si los registros de flujo están habilitados en la subred de la VPC.
`OPEN_MONGODB_PORT`	Este detector verifica si un firewall tiene un puerto de base de datos de Mongo abierto que permita el acceso genérico. Para obtener más información, consulta Resultados de vulnerabilidades de firewall.
`MASTER_AUTHORIZED_NETWORKS_DISABLED`	Este detector verifica si las redes autorizadas del plano de control no están habilitadas en los clústeres de GKE. Para obtener más información, consulta Resultados de vulnerabilidades de contenedores.
`OPEN_REDIS_PORT`	Este detector verifica si un firewall tiene un puerto REDIS abierto que permita el acceso genérico. Para obtener más información, consulta Resultados de vulnerabilidades de firewall.
`OPEN_DNS_PORT`	Este detector verifica si un firewall tiene un puerto DNS abierto que permita el acceso genérico. Para obtener más información, consulta Resultados de vulnerabilidades de firewall.
`OPEN_TELNET_PORT`	Este detector verifica si un firewall tiene un puerto TELNET abierto que permita el acceso genérico. Para obtener más información, consulta Resultados de vulnerabilidades de firewall.
`OPEN_HTTP_PORT`	Este detector verifica si un firewall tiene un puerto HTTP abierto que permita el acceso genérico. Para obtener más información, consulta Resultados de vulnerabilidades de firewall.
`CLUSTER_LOGGING_DISABLED`	Este detector verifica que el registro no esté habilitado para un clúster de GKE. Para obtener más información, consulta Resultados de vulnerabilidades de contenedores.
`FULL_API_ACCESS`	Este detector verifica si una instancia usa una cuenta de servicio predeterminada con acceso completo a todas las APIs de Google Cloud.
`OBJECT_VERSIONING_DISABLED`	Este detector verifica si el control de versiones de objetos está habilitado en los buckets de almacenamiento con receptores.
`PUBLIC_IP_ADDRESS`	Este detector verifica si una instancia tiene una dirección IP pública.
`AUTO_UPGRADE_DISABLED`	Este detector verifica si la función de actualización automática de un clúster de GKE está inhabilitada. Para obtener más información, consulta Resultados de vulnerabilidades de contenedores.
`LEGACY_AUTHORIZATION_ENABLED`	Este detector verifica si la autorización heredada está habilitada en los clústeres de GKE. Para obtener más información, consulta Resultados de vulnerabilidades de contenedores.
`CLUSTER_MONITORING_DISABLED`	Este detector verifica si la supervisión está inhabilitada en los clústeres de GKE. Para obtener más información, consulta Resultados de vulnerabilidades de contenedores.
`OPEN_CISCOSECURE_WEBSM_PORT`	Este detector verifica si un firewall tiene un puerto CISCOSECURE_WEBSM abierto que permita el acceso genérico. Para obtener más información, consulta Resultados de vulnerabilidades de firewall.
`OPEN_RDP_PORT`	Este detector verifica si un firewall tiene un puerto RDP abierto que permita el acceso genérico. Para obtener más información, consulta Resultados de vulnerabilidades de firewall.
`WEB_UI_ENABLED`	Este detector verifica si la IU web de GKE está habilitada. Para obtener más información, consulta Resultados de vulnerabilidades de contenedores.
`FIREWALL_RULE_LOGGING_DISABLED`	Este detector verifica si el registro de reglas de firewall está inhabilitado. Para obtener más información, consulta Resultados de vulnerabilidades de firewall.
`OVER_PRIVILEGED_SERVICE_ACCOUNT_USER`	Este detector verifica si un usuario tiene roles de cuenta de servicio a nivel del proyecto, en lugar de una cuenta de servicio específica.
`PRIVATE_CLUSTER_DISABLED`	Este detector verifica si un clúster de GKE tiene inhabilitado el clúster privado. Para obtener más información, consulta Resultados de vulnerabilidades de contenedores.
`PRIMITIVE_ROLES_USED`	Este detector verifica si un usuario tiene un rol básico (propietario, editor o visualizador). Para obtener más información, consulta los resultados de vulnerabilidades de IAM.
`REDIS_ROLE_USED_ON_ORG`	Este detector verifica si el rol de IAM de Redis se asignó a una organización o carpeta. Para obtener más información, consulta los resultados de vulnerabilidades de IAM.
`PUBLIC_BUCKET_ACL`	Este detector verifica si se puede acceder públicamente a un bucket.
`OPEN_MEMCACHED_PORT`	Este detector verifica si un firewall tiene un puerto MEMCACHED abierto que permita el acceso genérico. Para obtener más información, consulta Resultados de vulnerabilidades de firewall.
`OVER_PRIVILEGED_ACCOUNT`	Este detector verifica si una cuenta de servicio tiene acceso a proyectos demasiado amplio en un clúster. Para obtener más información, consulta Resultados de vulnerabilidades de contenedores.
`AUTO_REPAIR_DISABLED`	Este detector verifica si la función de reparación automática de un clúster de GKE está inhabilitada. Para obtener más información, consulta Resultados de vulnerabilidades de contenedores.
`NETWORK_POLICY_DISABLED`	Este detector verifica si la política de red está inhabilitada en un clúster. Para obtener más información, consulta Resultados de vulnerabilidades de contenedores.
`CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED`	Este detector verifica si los hosts de clústeres no están configurados para usar solo direcciones IP internas privadas para acceder a las APIs de Google. Para obtener más información, consulta Resultados de vulnerabilidades de contenedores.
`OPEN_CASSANDRA_PORT`	Este detector verifica si un firewall tiene un puerto Cassandra abierto que permita el acceso genérico. Para obtener más información, consulta Resultados de vulnerabilidades de firewall.
`TOO_MANY_KMS_USERS`	Este detector verifica si hay más de tres usuarios de claves criptográficas. Para obtener más información, consulta Hallazgos de vulnerabilidades de KMS.
`OPEN_POSTGRESQL_PORT`	Este detector verifica si un firewall tiene un puerto PostgreSQL abierto que permite el acceso genérico. Para obtener más información, consulta Resultados de vulnerabilidades de firewall.
`IP_ALIAS_DISABLED`	Este detector verifica si se creó un clúster de GKE con el rango de direcciones IP de alias inhabilitado. Para obtener más información, consulta Resultados de vulnerabilidades de contenedores.
`PUBLIC_SQL_INSTANCE`	Este detector verifica si un Cloud SQL permite conexiones de todas las direcciones IP.
`OPEN_ELASTICSEARCH_PORT`	Este detector verifica si un firewall tiene un puerto Elasticsearch abierto que permita el acceso genérico. Para obtener más información, consulta Resultados de vulnerabilidades de firewall.

Cómo ver la plantilla de postura

Para ver la plantilla de postura del PCI DSS, haz lo siguiente:

gcloud

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

ORGANIZATION_ID: El ID numérico de la organización

Ejecuta el comando gcloud scc posture-templates describe: :

Linux, macOS o Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

La respuesta contiene la plantilla de postura.

REST

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

ORGANIZATION_ID: El ID numérico de la organización

Método HTTP y URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

Para enviar tu solicitud, expande una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Nota: Con el siguiente comando, se supone que accediste a la CLI de gcloud con tu cuenta de usuario a través de la ejecución de gcloud init o gcloud auth login, o a través del uso de Cloud Shell, que accede de forma automática a la CLI de gcloud. Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Ejecuta el siguiente comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1"

PowerShell (Windows)

Nota: El siguiente comando supone que accediste a la CLI de gcloud con tu cuenta de usuario mediante la ejecución de gcloud init o gcloud auth login. Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1" | Select-Object -Expand Content

La respuesta contiene la plantilla de postura.

¿Qué sigue?

Crea una postura de seguridad con esta plantilla.