Auf dieser Seite werden die Richtlinien zur Erkennung von Sicherheitslücken beschrieben, die in der Version 1.0 der vordefinierten Posture-Vorlage für den Payment Card Industry Data Security Standard (PCI-DSS) Version 3.2.1 und Version 1.0 enthalten sind. Diese Vorlage enthält eine Richtliniengruppe, in der die Security Health Analytics-Detektoren definiert sind, die für Arbeitslasten gelten, die dem PCI DSS-Standard entsprechen müssen.
Sie können diese Vorlage für den Sicherheitsstatus bereitstellen, ohne Änderungen vorzunehmen.
Security Health Analytics – Detektoren
In der folgenden Tabelle werden die Security Health Analytics-Detektoren beschrieben, die in dieser Vorlage enthalten sind.
Detektorname | Beschreibung |
---|---|
PUBLIC_DATASET |
Dieser Detektor prüft, ob ein Datensatz für den öffentlichen Zugriff konfiguriert ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Datasets. |
NON_ORG_IAM_MEMBER |
Dieser Detektor prüft, ob ein Nutzer keine organisationsgebundenen Anmeldedaten verwendet. |
KMS_PROJECT_HAS_OWNER |
Mit diesem Detector wird geprüft, ob ein Nutzer die Berechtigung Inhaber für ein Projekt mit Schlüsseln hat. |
AUDIT_LOGGING_DISABLED |
Dieser Detektor prüft, ob das Audit-Logging für eine Ressource deaktiviert ist. |
SSL_NOT_ENFORCED |
Dieser Prüfmechanismus prüft, ob eine Cloud SQL-Datenbankinstanz nicht für alle eingehenden Verbindungen SSL verwendet. Weitere Informationen finden Sie unter Ergebnisse zu SQL-Sicherheitslücken. |
LOCKED_RETENTION_POLICY_NOT_SET |
Dieser Detektor prüft, ob die gesperrte Aufbewahrungsrichtlinie für Protokolle festgelegt ist. |
KMS_KEY_NOT_ROTATED |
Dieser Detektor prüft, ob die Rotation für die Cloud Key Management Service-Verschlüsselung nicht aktiviert ist. |
OPEN_SMTP_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen SMTP-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls. |
SQL_NO_ROOT_PASSWORD |
Dieser Prüfmechanismus prüft, ob für eine Cloud SQL-Datenbank mit einer öffentlichen IP-Adresse kein Passwort für das Root-Konto festgelegt ist. |
OPEN_LDAP_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen LDAP-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls. |
OPEN_ORACLEDB_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen Oracle-Datenbank-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls. |
OPEN_SSH_PORT |
Dieser Detector prüft, ob eine Firewall einen offenen SSH-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls. |
MFA_NOT_ENFORCED |
Dieser Detektor prüft, ob ein Nutzer die Bestätigung in zwei Schritten nicht verwendet. |
COS_NOT_USED |
Dieser Prüfmechanismus prüft, ob Compute Engine-VMs nicht Container-Optimized OS verwenden. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Containern. |
HTTP_LOAD_BALANCER |
Dieser Detektor prüft, ob die Compute Engine-Instanz einen Load Balancer verwendet, der so konfiguriert ist, dass er statt eines HTTPS-Zielproxys einen Ziel-HTTP-Proxy verwendet. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken bei Compute-Instanzen. |
EGRESS_DENY_RULE_NOT_SET |
Dieser Detektor prüft, ob für eine Firewall keine Regel für ausgehenden Traffic festgelegt ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls. |
PUBLIC_LOG_BUCKET |
Dieser Detektor prüft, ob ein Bucket mit einer Logsenke öffentlich zugänglich ist. |
OPEN_DIRECTORY_SERVICES_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen DIRECTORY_SERVICES-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls. |
OPEN_MYSQL_PORT |
Dieser Detector prüft, ob eine Firewall einen offenen MySQL-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls. |
OPEN_FTP_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen FTP-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls. |
OPEN_FIREWALL |
Dieser Detektor prüft, ob eine Firewall für den öffentlichen Zugriff geöffnet ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls. |
WEAK_SSL_POLICY |
Dieser Detektor prüft, ob eine Instanz eine schwache SSL-Richtlinie hat. |
OPEN_POP3_PORT |
Dieser Detector prüft, ob eine Firewall einen offenen POP3-Port hat, der allgemeinen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls. |
OPEN_NETBIOS_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen NETBIOS-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls. |
FLOW_LOGS_DISABLED |
Dieser Detektor prüft, ob Flusslogs im VPC-Subnetz aktiviert sind. |
OPEN_MONGODB_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen Mongo-Datenbank-Port mit generischem Zugriff hat. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls. |
MASTER_AUTHORIZED_NETWORKS_DISABLED |
Dieser Detektor prüft, ob autorisierte Netzwerke auf Steuerungsebene in GKE-Clustern nicht aktiviert sind. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Containern. |
OPEN_REDIS_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen REDIS-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls. |
OPEN_DNS_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen DNS-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls. |
OPEN_TELNET_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen TELNET-Port hat, über den generischer Zugriff möglich ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls. |
OPEN_HTTP_PORT |
Dieser Detector prüft, ob eine Firewall einen offenen HTTP-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls. |
CLUSTER_LOGGING_DISABLED |
Dieser Detektor prüft, ob das Logging für einen GKE-Cluster nicht aktiviert ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Containern. |
FULL_API_ACCESS |
Dieser Prüfmechanismus prüft, ob für eine Instanz ein Standarddienstkonto mit uneingeschränktem Zugriff auf alle Google Cloud APIs verwendet wird. |
OBJECT_VERSIONING_DISABLED |
Dieser Detektor prüft, ob die Objektversionsverwaltung für Storage-Buckets mit Senken aktiviert ist. |
PUBLIC_IP_ADDRESS |
Dieser Detektor prüft, ob eine Instanz eine öffentliche IP-Adresse hat. |
AUTO_UPGRADE_DISABLED |
Dieser Detektor prüft, ob die Funktion für automatische Upgrades eines GKE-Cluster deaktiviert ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Containern. |
LEGACY_AUTHORIZATION_ENABLED |
Dieser Detektor prüft, ob die Legacy-Autorisierung für GKE-Cluster aktiviert ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Containern. |
CLUSTER_MONITORING_DISABLED |
Dieser Detektor prüft, ob das Monitoring in GKE-Clustern deaktiviert ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Containern. |
OPEN_CISCOSECURE_WEBSM_PORT |
Dieser Detector prüft, ob eine Firewall einen offenen CISCOSECURE_WEBSM-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls. |
OPEN_RDP_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen RDP-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls. |
WEB_UI_ENABLED |
Dieser Detektor prüft, ob die GKE-Web-UI aktiviert ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Containern. |
FIREWALL_RULE_LOGGING_DISABLED |
Dieser Detektor prüft, ob das Logging von Firewallregeln deaktiviert ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls. |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
Dieser Prüfmechanismus prüft, ob ein Nutzer Dienstkontorollen auf Projektebene und nicht für ein bestimmtes Dienstkonto hat. |
PRIVATE_CLUSTER_DISABLED |
Dieser Detektor prüft, ob für einen GKE-Cluster ein privater Cluster deaktiviert ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Containern. |
PRIMITIVE_ROLES_USED |
Mit diesem Detector wird geprüft, ob ein Nutzer eine einfache Rolle (Inhaber, Bearbeiter oder Betrachter) hat. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in IAM. |
REDIS_ROLE_USED_ON_ORG |
Dieser Detektor prüft, ob einer Organisation oder einem Ordner eine Redis-IAM-Rolle zugewiesen ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in IAM. |
PUBLIC_BUCKET_ACL |
Dieser Detektor prüft, ob ein Bucket öffentlich zugänglich ist. |
OPEN_MEMCACHED_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen MEMCACHED-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls. |
OVER_PRIVILEGED_ACCOUNT |
Dieser Detector prüft, ob ein Dienstkonto in einem Cluster übermäßig Zugriff auf das Projekt hat. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Containern. |
AUTO_REPAIR_DISABLED |
Dieser Detektor prüft, ob die automatische Reparaturfunktion eines GKE-Cluster deaktiviert ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Containern. |
NETWORK_POLICY_DISABLED |
Dieser Detektor prüft, ob die Netzwerkrichtlinie in einem Cluster deaktiviert ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Containern. |
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED |
Mit diesem Prüfelement wird geprüft, ob Clusterhosts nicht so konfiguriert sind, dass sie nur private, interne IP-Adressen für den Zugriff auf Google APIs verwenden. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Containern. |
OPEN_CASSANDRA_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen Cassandra-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls. |
TOO_MANY_KMS_USERS |
Dieser Detektor prüft, ob es mehr als drei Nutzer kryptografischer Schlüssel gibt. Weitere Informationen finden Sie unter Ergebnisse zu KMS-Sicherheitslücken. |
OPEN_POSTGRESQL_PORT |
Dieser Detector prüft, ob eine Firewall einen offenen PostgreSQL-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls. |
IP_ALIAS_DISABLED |
Dieser Detektor prüft, ob ein GKE-Cluster mit deaktiviertem Alias-IP-Adressbereich erstellt wurde. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Containern. |
PUBLIC_SQL_INSTANCE |
Mit diesem Detektor wird geprüft, ob eine Cloud SQL-Instanz Verbindungen von allen IP-Adressen zulässt. |
OPEN_ELASTICSEARCH_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen Elasticsearch-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls. |
Vorlage für den Sicherheitsstatus ansehen
So rufen Sie die Risikoanalysevorlage für PCI DSS auf:
gcloud
Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
-
ORGANIZATION_ID
: die numerische ID der Organisation
Führen Sie den Befehl gcloud scc posture-templates
describe
aus:
Linux, macOS oder Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
Die Antwort enthält die Vorlage für die Bewertung.
REST
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
-
ORGANIZATION_ID
: die numerische ID der Organisation
HTTP-Methode und URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Die Antwort enthält die Vorlage für die Bewertung.