Esta página descreve as políticas de detecção incluídas na versão v1.0 do modelo de postura predefinido para o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) versão 3.2.1 e 1.0. Esse modelo inclui um conjunto de políticas que define os detectores do Security Health Analytics que se aplicam a cargas de trabalho que precisam estar em conformidade com o padrão PCI DSS.
É possível implantar esse modelo de postura sem fazer mudanças.
Detectores do Security Health Analytics
A tabela a seguir descreve os detectores do Security Health Analytics incluídos neste modelo de postura.
Nome do detector | Descrição |
---|---|
PUBLIC_DATASET |
Esse detector verifica se um conjunto de dados está configurado para ser aberto ao acesso público. Para mais informações, consulte Descobertas de vulnerabilidade do conjunto de dados. |
NON_ORG_IAM_MEMBER |
Esse detector verifica se um usuário não está usando credenciais organizacionais. |
KMS_PROJECT_HAS_OWNER |
Esse detector verifica se um usuário tem a permissão de proprietário em um projeto que inclui chaves. |
AUDIT_LOGGING_DISABLED |
Esse detector verifica se a geração de registros de auditoria está desativada para um recurso. |
SSL_NOT_ENFORCED |
Esse detector verifica se uma instância de banco de dados do Cloud SQL não usa SSL para todas as conexões de entrada. Para mais informações, consulte Resultados de vulnerabilidades do SQL. |
LOCKED_RETENTION_POLICY_NOT_SET |
Esse detector verifica se a política de retenção bloqueada está definida para os registros. |
KMS_KEY_NOT_ROTATED |
Esse detector verifica se a rotação da criptografia do Cloud Key Management Service não está ativada. |
OPEN_SMTP_PORT |
Esse detector verifica se um firewall tem uma porta SMTP aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall. |
SQL_NO_ROOT_PASSWORD |
Esse detector verifica se um banco de dados do Cloud SQL com um endereço IP público não tem uma senha para a conta raiz. |
OPEN_LDAP_PORT |
Esse detector verifica se um firewall tem uma porta LDAP aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall. |
OPEN_ORACLEDB_PORT |
Esse detector verifica se um firewall tem uma porta de banco de dados Oracle aberta que permite o acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall. |
OPEN_SSH_PORT |
Esse detector verifica se um firewall tem uma porta SSH aberta que permite o acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall. |
MFA_NOT_ENFORCED |
Esse detector verifica se um usuário não está usando a verificação em duas etapas. |
COS_NOT_USED |
Esse detector verifica se as VMs do Compute Engine não estão usando o Container-Optimized OS. Para mais informações, consulte Descobertas de vulnerabilidade de contêineres. |
HTTP_LOAD_BALANCER |
Esse detector verifica se a instância do Compute Engine usa um balanceador de carga configurado para usar um proxy HTTP de destino em vez de um proxy HTTPS de destino. Para mais informações, consulte Descobertas de vulnerabilidade da instância do Compute. |
EGRESS_DENY_RULE_NOT_SET |
Esse detector verifica se uma regra de negação de saída não está definida em um firewall. Para mais informações, consulte Descobertas de vulnerabilidade do firewall. |
PUBLIC_LOG_BUCKET |
Esse detector verifica se um bucket com um coletor de registros está acessível publicamente. |
OPEN_DIRECTORY_SERVICES_PORT |
Esse detector verifica se um firewall tem uma porta DIRECTORY_SERVICES aberta que permite o acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall. |
OPEN_MYSQL_PORT |
Esse detector verifica se um firewall tem uma porta MySQL aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall. |
OPEN_FTP_PORT |
Esse detector verifica se um firewall tem uma porta FTP aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall. |
OPEN_FIREWALL |
Esse detector verifica se um firewall está aberto para acesso público. Para mais informações, consulte Descobertas de vulnerabilidade do firewall. |
WEAK_SSL_POLICY |
Esse detector verifica se uma instância tem uma política de SSL fraca. |
OPEN_POP3_PORT |
Esse detector verifica se um firewall tem uma porta POP3 aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall. |
OPEN_NETBIOS_PORT |
Esse detector verifica se um firewall tem uma porta NETBIOS aberta que permite o acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall. |
FLOW_LOGS_DISABLED |
Esse detector verifica se os registros de fluxo estão ativados na sub-rede da VPC. |
OPEN_MONGODB_PORT |
Esse detector verifica se um firewall tem uma porta de banco de dados Mongo aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall. |
MASTER_AUTHORIZED_NETWORKS_DISABLED |
Esse detector verifica se as redes autorizadas do plano de controle não estão ativadas nos clusters do GKE. Para mais informações, consulte Descobertas de vulnerabilidade de contêineres. |
OPEN_REDIS_PORT |
Esse detector verifica se um firewall tem uma porta REDIS aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall. |
OPEN_DNS_PORT |
Esse detector verifica se um firewall tem uma porta DNS aberta que permite o acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall. |
OPEN_TELNET_PORT |
Esse detector verifica se um firewall tem uma porta TELNET aberta que permite o acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall. |
OPEN_HTTP_PORT |
Esse detector verifica se um firewall tem uma porta HTTP aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall. |
CLUSTER_LOGGING_DISABLED |
Esse detector verifica se a geração de registros não está ativada para um cluster do GKE. Para mais informações, consulte Descobertas de vulnerabilidade de contêineres. |
FULL_API_ACCESS |
Esse detector verifica se uma instância está usando uma conta de serviço padrão com acesso total a todas as APIs do Google Cloud . |
OBJECT_VERSIONING_DISABLED |
Esse detector verifica se o controle de versão de objeto está ativado em buckets de armazenamento com coletores. |
PUBLIC_IP_ADDRESS |
Esse detector verifica se uma instância tem um endereço IP público. |
AUTO_UPGRADE_DISABLED |
Esse detector verifica se o recurso de upgrade automático de um cluster do GKE está desativado. Para mais informações, consulte Descobertas de vulnerabilidade de contêineres. |
LEGACY_AUTHORIZATION_ENABLED |
Esse detector verifica se a autorização legada está ativada em clusters do GKE. Para mais informações, consulte Descobertas de vulnerabilidade de contêineres. |
CLUSTER_MONITORING_DISABLED |
Esse detector verifica se o monitoramento está desativado nos clusters do GKE. Para mais informações, consulte Descobertas de vulnerabilidade de contêineres. |
OPEN_CISCOSECURE_WEBSM_PORT |
Esse detector verifica se um firewall tem uma porta CISCOSECURE_WEBSM aberta que permita o acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall. |
OPEN_RDP_PORT |
Esse detector verifica se um firewall tem uma porta RDP aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall. |
WEB_UI_ENABLED |
Esse detector verifica se a UI da Web do GKE está ativada. Para mais informações, consulte Descobertas de vulnerabilidade de contêineres. |
FIREWALL_RULE_LOGGING_DISABLED |
Esse detector verifica se a geração de registros de regras de firewall está desativada. Para mais informações, consulte Descobertas de vulnerabilidade do firewall. |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
Esse detector verifica se um usuário tem funções de conta de serviço no nível do projeto, em vez de uma conta de serviço específica. |
PRIVATE_CLUSTER_DISABLED |
Esse detector verifica se um cluster do GKE tem um cluster particular desativado. Para mais informações, consulte Descobertas de vulnerabilidade de contêineres. |
PRIMITIVE_ROLES_USED |
Esse detector verifica se um usuário tem um papel básico (proprietário, editor ou leitor). Para mais informações, consulte Descobertas de vulnerabilidade do IAM. |
REDIS_ROLE_USED_ON_ORG |
Esse detector verifica se o papel do IAM do Redis é atribuído a uma organização ou pasta. Para mais informações, consulte Descobertas de vulnerabilidade do IAM. |
PUBLIC_BUCKET_ACL |
Esse detector verifica se um bucket está acessível ao público. |
OPEN_MEMCACHED_PORT |
Esse detector verifica se um firewall tem uma porta MEMCACHED aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall. |
OVER_PRIVILEGED_ACCOUNT |
Esse detector verifica se uma conta de serviço tem acesso excessivamente amplo ao projeto em um cluster. Para mais informações, consulte Descobertas de vulnerabilidade de contêineres. |
AUTO_REPAIR_DISABLED |
Esse detector verifica se o recurso de reparo automático de um cluster do GKE está desativado. Para mais informações, consulte Descobertas de vulnerabilidade de contêineres. |
NETWORK_POLICY_DISABLED |
Esse detector verifica se a política de rede está desativada em um cluster. Para mais informações, consulte Descobertas de vulnerabilidade de contêineres. |
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED |
Esse detector verifica se os hosts de cluster não estão configurados para usar apenas endereços IP internos particulares para acessar as APIs do Google. Para mais informações, consulte Descobertas de vulnerabilidade de contêineres. |
OPEN_CASSANDRA_PORT |
Esse detector verifica se um firewall tem uma porta Cassandra aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall. |
TOO_MANY_KMS_USERS |
Esse detector verifica se há mais de três usuários de chaves criptográficas. Para mais informações, consulte Descobertas de vulnerabilidades do KMS. |
OPEN_POSTGRESQL_PORT |
Esse detector verifica se um firewall tem uma porta PostgreSQL aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall. |
IP_ALIAS_DISABLED |
Esse detector verifica se um cluster do GKE foi criado com o intervalo de endereço IP de alias desativado. Para mais informações, consulte Descobertas de vulnerabilidade de contêineres. |
PUBLIC_SQL_INSTANCE |
Esse detector verifica se o Cloud SQL permite conexões de todos os endereços IP. |
OPEN_ELASTICSEARCH_PORT |
Esse detector verifica se um firewall tem uma porta Elasticsearch aberta que permite o acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall. |
Conferir o modelo de postura
Para conferir o modelo de postura do PCI DSS, faça o seguinte:
gcloud
Antes de usar os dados do comando abaixo, faça estas substituições:
-
ORGANIZATION_ID
: o ID numérico da organização
Execute o
comando gcloud scc posture-templates
describe
:
Linux, macOS ou Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
A resposta contém o modelo de postura.
REST
Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:
-
ORGANIZATION_ID
: o ID numérico da organização
Método HTTP e URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
Para enviar a solicitação, expanda uma destas opções:
A resposta contém o modelo de postura.