Vordefinierte Vorlage für den Status für PCI DSS v3.2.1 und v1.0

Auf dieser Seite werden die Richtlinien zur Erkennung von Sicherheitslücken beschrieben, die in der Version 1.0 der vordefinierten Posture-Vorlage für den Payment Card Industry Data Security Standard (PCI-DSS) Version 3.2.1 und Version 1.0 enthalten sind. Diese Vorlage enthält eine Richtliniengruppe, in der die Security Health Analytics-Detektoren definiert sind, die für Arbeitslasten gelten, die dem PCI DSS-Standard entsprechen müssen.

Sie können diese Vorlage für den Sicherheitsstatus bereitstellen, ohne Änderungen vorzunehmen.

Security Health Analytics – Detektoren

In der folgenden Tabelle werden die Security Health Analytics-Detektoren beschrieben, die in dieser Vorlage enthalten sind.

Detektorname Beschreibung
PUBLIC_DATASET

Dieser Detektor prüft, ob ein Datensatz für den öffentlichen Zugriff konfiguriert ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Datasets.

NON_ORG_IAM_MEMBER

Dieser Detektor prüft, ob ein Nutzer keine organisationsgebundenen Anmeldedaten verwendet.

KMS_PROJECT_HAS_OWNER

Mit diesem Detector wird geprüft, ob ein Nutzer die Berechtigung Inhaber für ein Projekt mit Schlüsseln hat.

AUDIT_LOGGING_DISABLED

Dieser Detektor prüft, ob das Audit-Logging für eine Ressource deaktiviert ist.

SSL_NOT_ENFORCED

Dieser Prüfmechanismus prüft, ob eine Cloud SQL-Datenbankinstanz nicht für alle eingehenden Verbindungen SSL verwendet. Weitere Informationen finden Sie unter Ergebnisse zu SQL-Sicherheitslücken.

LOCKED_RETENTION_POLICY_NOT_SET

Dieser Detektor prüft, ob die gesperrte Aufbewahrungsrichtlinie für Protokolle festgelegt ist.

KMS_KEY_NOT_ROTATED

Dieser Detektor prüft, ob die Rotation für die Cloud Key Management Service-Verschlüsselung nicht aktiviert ist.

OPEN_SMTP_PORT

Dieser Detektor prüft, ob eine Firewall einen offenen SMTP-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls.

SQL_NO_ROOT_PASSWORD

Dieser Prüfmechanismus prüft, ob für eine Cloud SQL-Datenbank mit einer öffentlichen IP-Adresse kein Passwort für das Root-Konto festgelegt ist.

OPEN_LDAP_PORT

Dieser Detektor prüft, ob eine Firewall einen offenen LDAP-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls.

OPEN_ORACLEDB_PORT

Dieser Detektor prüft, ob eine Firewall einen offenen Oracle-Datenbank-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls.

OPEN_SSH_PORT

Dieser Detector prüft, ob eine Firewall einen offenen SSH-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls.

MFA_NOT_ENFORCED

Dieser Detektor prüft, ob ein Nutzer die Bestätigung in zwei Schritten nicht verwendet.

COS_NOT_USED

Dieser Prüfmechanismus prüft, ob Compute Engine-VMs nicht Container-Optimized OS verwenden. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Containern.

HTTP_LOAD_BALANCER

Dieser Detektor prüft, ob die Compute Engine-Instanz einen Load Balancer verwendet, der so konfiguriert ist, dass er statt eines HTTPS-Zielproxys einen Ziel-HTTP-Proxy verwendet. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken bei Compute-Instanzen.

EGRESS_DENY_RULE_NOT_SET

Dieser Detektor prüft, ob für eine Firewall keine Regel für ausgehenden Traffic festgelegt ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls.

PUBLIC_LOG_BUCKET

Dieser Detektor prüft, ob ein Bucket mit einer Logsenke öffentlich zugänglich ist.

OPEN_DIRECTORY_SERVICES_PORT

Dieser Detektor prüft, ob eine Firewall einen offenen DIRECTORY_SERVICES-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls.

OPEN_MYSQL_PORT

Dieser Detector prüft, ob eine Firewall einen offenen MySQL-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls.

OPEN_FTP_PORT

Dieser Detektor prüft, ob eine Firewall einen offenen FTP-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls.

OPEN_FIREWALL

Dieser Detektor prüft, ob eine Firewall für den öffentlichen Zugriff geöffnet ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls.

WEAK_SSL_POLICY

Dieser Detektor prüft, ob eine Instanz eine schwache SSL-Richtlinie hat.

OPEN_POP3_PORT

Dieser Detector prüft, ob eine Firewall einen offenen POP3-Port hat, der allgemeinen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls.

OPEN_NETBIOS_PORT

Dieser Detektor prüft, ob eine Firewall einen offenen NETBIOS-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls.

FLOW_LOGS_DISABLED

Dieser Detektor prüft, ob Flusslogs im VPC-Subnetz aktiviert sind.

OPEN_MONGODB_PORT

Dieser Detektor prüft, ob eine Firewall einen offenen Mongo-Datenbank-Port mit generischem Zugriff hat. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls.

MASTER_AUTHORIZED_NETWORKS_DISABLED

Dieser Detektor prüft, ob autorisierte Netzwerke auf Steuerungsebene in GKE-Clustern nicht aktiviert sind. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Containern.

OPEN_REDIS_PORT

Dieser Detektor prüft, ob eine Firewall einen offenen REDIS-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls.

OPEN_DNS_PORT

Dieser Detektor prüft, ob eine Firewall einen offenen DNS-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls.

OPEN_TELNET_PORT

Dieser Detektor prüft, ob eine Firewall einen offenen TELNET-Port hat, über den generischer Zugriff möglich ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls.

OPEN_HTTP_PORT

Dieser Detector prüft, ob eine Firewall einen offenen HTTP-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls.

CLUSTER_LOGGING_DISABLED

Dieser Detektor prüft, ob das Logging für einen GKE-Cluster nicht aktiviert ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Containern.

FULL_API_ACCESS

Dieser Prüfmechanismus prüft, ob für eine Instanz ein Standarddienstkonto mit uneingeschränktem Zugriff auf alle Google Cloud APIs verwendet wird.

OBJECT_VERSIONING_DISABLED

Dieser Detektor prüft, ob die Objektversionsverwaltung für Storage-Buckets mit Senken aktiviert ist.

PUBLIC_IP_ADDRESS

Dieser Detektor prüft, ob eine Instanz eine öffentliche IP-Adresse hat.

AUTO_UPGRADE_DISABLED

Dieser Detektor prüft, ob die Funktion für automatische Upgrades eines GKE-Cluster deaktiviert ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Containern.

LEGACY_AUTHORIZATION_ENABLED

Dieser Detektor prüft, ob die Legacy-Autorisierung für GKE-Cluster aktiviert ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Containern.

CLUSTER_MONITORING_DISABLED

Dieser Detektor prüft, ob das Monitoring in GKE-Clustern deaktiviert ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Containern.

OPEN_CISCOSECURE_WEBSM_PORT

Dieser Detector prüft, ob eine Firewall einen offenen CISCOSECURE_WEBSM-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls.

OPEN_RDP_PORT

Dieser Detektor prüft, ob eine Firewall einen offenen RDP-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls.

WEB_UI_ENABLED

Dieser Detektor prüft, ob die GKE-Web-UI aktiviert ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Containern.

FIREWALL_RULE_LOGGING_DISABLED

Dieser Detektor prüft, ob das Logging von Firewallregeln deaktiviert ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls.

OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Dieser Prüfmechanismus prüft, ob ein Nutzer Dienstkontorollen auf Projektebene und nicht für ein bestimmtes Dienstkonto hat.

PRIVATE_CLUSTER_DISABLED

Dieser Detektor prüft, ob für einen GKE-Cluster ein privater Cluster deaktiviert ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Containern.

PRIMITIVE_ROLES_USED

Mit diesem Detector wird geprüft, ob ein Nutzer eine einfache Rolle (Inhaber, Bearbeiter oder Betrachter) hat. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in IAM.

REDIS_ROLE_USED_ON_ORG

Dieser Detektor prüft, ob einer Organisation oder einem Ordner eine Redis-IAM-Rolle zugewiesen ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in IAM.

PUBLIC_BUCKET_ACL

Dieser Detektor prüft, ob ein Bucket öffentlich zugänglich ist.

OPEN_MEMCACHED_PORT

Dieser Detektor prüft, ob eine Firewall einen offenen MEMCACHED-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls.

OVER_PRIVILEGED_ACCOUNT

Dieser Detector prüft, ob ein Dienstkonto in einem Cluster übermäßig Zugriff auf das Projekt hat. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Containern.

AUTO_REPAIR_DISABLED

Dieser Detektor prüft, ob die automatische Reparaturfunktion eines GKE-Cluster deaktiviert ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Containern.

NETWORK_POLICY_DISABLED

Dieser Detektor prüft, ob die Netzwerkrichtlinie in einem Cluster deaktiviert ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Containern.

CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED

Mit diesem Prüfelement wird geprüft, ob Clusterhosts nicht so konfiguriert sind, dass sie nur private, interne IP-Adressen für den Zugriff auf Google APIs verwenden. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Containern.

OPEN_CASSANDRA_PORT

Dieser Detektor prüft, ob eine Firewall einen offenen Cassandra-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls.

TOO_MANY_KMS_USERS

Dieser Detektor prüft, ob es mehr als drei Nutzer kryptografischer Schlüssel gibt. Weitere Informationen finden Sie unter Ergebnisse zu KMS-Sicherheitslücken.

OPEN_POSTGRESQL_PORT

Dieser Detector prüft, ob eine Firewall einen offenen PostgreSQL-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls.

IP_ALIAS_DISABLED

Dieser Detektor prüft, ob ein GKE-Cluster mit deaktiviertem Alias-IP-Adressbereich erstellt wurde. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Containern.

PUBLIC_SQL_INSTANCE

Mit diesem Detektor wird geprüft, ob eine Cloud SQL-Instanz Verbindungen von allen IP-Adressen zulässt.

OPEN_ELASTICSEARCH_PORT

Dieser Detektor prüft, ob eine Firewall einen offenen Elasticsearch-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls.

Vorlage für den Sicherheitsstatus ansehen

So rufen Sie die Risikoanalysevorlage für PCI DSS auf:

gcloud

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • ORGANIZATION_ID: die numerische ID der Organisation

Führen Sie den Befehl gcloud scc posture-templates describe aus:

Linux, macOS oder Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

Die Antwort enthält die Vorlage für die Bewertung.

REST

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • ORGANIZATION_ID: die numerische ID der Organisation

HTTP-Methode und URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort enthält die Vorlage für die Bewertung.

Nächste Schritte