Modelo de postura predefinido para PCI DSS v3.2.1 e v1.0

Esta página descreve as políticas de detecção incluídas na versão v1.0 do modelo de postura predefinido para o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) versão 3.2.1 e 1.0. Esse modelo inclui um conjunto de políticas que define os detectores da Análise de integridade da segurança que se aplicam a cargas de trabalho que precisam estar em conformidade com com o padrão PCI DSS.

É possível implantar esse modelo de postura sem fazer mudanças.

Detectores do Security Health Analytics

A tabela a seguir descreve os detectores da Análise de integridade da segurança incluídos em este modelo de postura.

Nome do detector Descrição
PUBLIC_DATASET

Este detector verifica se um conjunto de dados está configurado para ser aberto para acesso público. Para mais informações, consulte Descobertas de vulnerabilidade do conjunto de dados.

NON_ORG_IAM_MEMBER

Esse detector verifica se um usuário não está usando credenciais da organização.

KMS_PROJECT_HAS_OWNER

Este detector verifica se um usuário tem a permissão Owner em um projeto que inclui chaves.

AUDIT_LOGGING_DISABLED

Este detector verifica se o registro de auditoria está desativado para um recurso.

SSL_NOT_ENFORCED

Esse detector verifica se uma instância de banco de dados do Cloud SQL não usa SSL para todas as conexões de entrada. Para mais informações, consulte Resultados de vulnerabilidades do SQL.

LOCKED_RETENTION_POLICY_NOT_SET

Este detector verifica se a política de retenção bloqueada está definida para registros.

KMS_KEY_NOT_ROTATED

Esse detector verifica se a rotação da criptografia do Cloud Key Management Service não está ativada.

OPEN_SMTP_PORT

Esse detector verifica se um firewall tem uma porta SMTP aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall.

SQL_NO_ROOT_PASSWORD

Esse detector verifica se um banco de dados do Cloud SQL com um endereço IP público não tem uma senha para a conta raiz.

OPEN_LDAP_PORT

Esse detector verifica se um firewall tem uma porta LDAP aberta que permite acesso genérico. Para mais informações, consulte Firewall descobertas de vulnerabilidades.

OPEN_ORACLEDB_PORT

Este detector verifica se um firewall tem um banco de dados Oracle aberto que permita o acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall.

OPEN_SSH_PORT

Esse detector verifica se um firewall tem uma porta SSH aberta que permite o acesso genérico. Para mais informações, consulte Firewall descobertas de vulnerabilidades.

MFA_NOT_ENFORCED

Este detector verifica se um usuário não está usando a verificação em duas etapas.

COS_NOT_USED

Esse detector verifica se as VMs do Compute Engine não estão usando o Container-Optimized OS. Para mais informações, consulte Contêiner descobertas de vulnerabilidades.

HTTP_LOAD_BALANCER

Este detector verifica se a instância do Compute Engine usa uma carga balanceador configurado para usar um proxy HTTP em vez de um proxy de destino. proxy HTTPS. Para mais informações, consulte Descobertas de vulnerabilidade da instância do Compute.

EGRESS_DENY_RULE_NOT_SET

Este detector verifica se uma regra de negação de saída não está definida em um firewall. Para mais informações, consulte Descobertas de vulnerabilidade do firewall.

PUBLIC_LOG_BUCKET

Esse detector verifica se um bucket com um coletor de registros está acessível publicamente.

OPEN_DIRECTORY_SERVICES_PORT

Este detector verifica se um firewall tem uma conexão DIRECTORY_SERVICE que permita o acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall.

OPEN_MYSQL_PORT

Esse detector verifica se um firewall tem uma porta MySQL aberta que permite acesso genérico. Para mais informações, consulte Firewall descobertas de vulnerabilidades.

OPEN_FTP_PORT

Esse detector verifica se um firewall tem uma porta FTP aberta que permite o acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall.

OPEN_FIREWALL

Esse detector verifica se um firewall está aberto para acesso público. Para mais informações, consulte Firewall descobertas de vulnerabilidades.

WEAK_SSL_POLICY

Este detector verifica se uma instância tem uma política de SSL fraca.

OPEN_POP3_PORT

Esse detector verifica se um firewall tem uma porta POP3 aberta que permite acesso genérico. Para mais informações, consulte Firewall descobertas de vulnerabilidades.

OPEN_NETBIOS_PORT

Esse detector verifica se um firewall tem uma porta NETBIOS aberta que permite o acesso genérico. Para mais informações, consulte Firewall descobertas de vulnerabilidades.

FLOW_LOGS_DISABLED

Este detector verifica se os registros de fluxo estão ativados na sub-rede VPC.

OPEN_MONGODB_PORT

Este detector verifica se um firewall tem uma porta aberta do banco de dados do Mongo que permita o acesso genérico. Para mais informações, consulte Firewall descobertas de vulnerabilidades.

MASTER_AUTHORIZED_NETWORKS_DISABLED

Esse detector verifica se as redes autorizadas do plano de controle não estão ativadas nos clusters do GKE. Para mais informações, consulte Descobertas de vulnerabilidade de contêineres.

OPEN_REDIS_PORT

Esse detector verifica se um firewall tem uma porta REDIS aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall.

OPEN_DNS_PORT

Este detector verifica se um firewall tem uma porta DNS aberta que permite o acesso genérico. Para mais informações, consulte Firewall descobertas de vulnerabilidades.

OPEN_TELNET_PORT

Esse detector verifica se um firewall tem uma porta do TELNET aberta que permite o acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall.

OPEN_HTTP_PORT

Esse detector verifica se um firewall tem uma porta HTTP aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall.

CLUSTER_LOGGING_DISABLED

Esse detector verifica se a geração de registros não está ativada para um cluster do GKE. Para mais informações, consulte Descobertas de vulnerabilidade de contêineres.

FULL_API_ACCESS

Esse detector verifica se uma instância está usando uma conta de serviço padrão com acesso total a todas as APIs do Google Cloud.

OBJECT_VERSIONING_DISABLED

Esse detector verifica se o controle de versão de objeto está ativado em buckets de armazenamento com coletores.

PUBLIC_IP_ADDRESS

Esse detector verifica se uma instância tem um endereço IP público.

AUTO_UPGRADE_DISABLED

Este detector verifica se o estado de um cluster do GKE está desativado. Para mais informações, consulte Contêiner descobertas de vulnerabilidades.

LEGACY_AUTHORIZATION_ENABLED

Este detector verifica se a autorização legada está ativada em clusters do GKE. Para mais informações, consulte Contêiner descobertas de vulnerabilidades.

CLUSTER_MONITORING_DISABLED

Esse detector verifica se o monitoramento está desativado nos clusters do GKE. Para mais informações, consulte Contêiner descobertas de vulnerabilidades.

OPEN_CISCOSECURE_WEBSM_PORT

Esse detector verifica se um firewall tem uma porta CISCOSECURE_WEBSM aberta que permita o acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall.

OPEN_RDP_PORT

Esse detector verifica se um firewall tem uma porta RDP aberta que permite o acesso genérico. Para mais informações, consulte Firewall descobertas de vulnerabilidades.

WEB_UI_ENABLED

Esse detector verifica se a IU da Web do GKE está ativada. Para mais informações, consulte Descobertas de vulnerabilidade de contêineres.

FIREWALL_RULE_LOGGING_DISABLED

Este detector verifica se a geração de registros das regras de firewall está desativada. Para mais informações, consulte Firewall descobertas de vulnerabilidades.

OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Esse detector verifica se um usuário tem funções de conta de serviço no nível do projeto, em vez de uma conta de serviço específica.

PRIVATE_CLUSTER_DISABLED

Este detector verifica se um cluster do GKE cluster particular desativado. Para mais informações, consulte Contêiner descobertas de vulnerabilidades.

PRIMITIVE_ROLES_USED

Esse detector verifica se um usuário tem um papel básico (proprietário, editor ou leitor). Para mais informações, consulte IAM descobertas de vulnerabilidades.

REDIS_ROLE_USED_ON_ORG

Este detector verifica se o papel do IAM do Redis foi atribuído a um organização ou pasta. Para mais informações, consulte Descobertas de vulnerabilidade do IAM.

PUBLIC_BUCKET_ACL

Este detector verifica se um bucket está acessível publicamente.

OPEN_MEMCACHED_PORT

Esse detector verifica se um firewall tem uma porta MEMCACHED aberta que permite o acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall.

OVER_PRIVILEGED_ACCOUNT

Este detector verifica se uma conta de serviço tem projetos muito amplos acesso em um cluster. Para mais informações, consulte Contêiner descobertas de vulnerabilidades.

AUTO_REPAIR_DISABLED

Este detector verifica se o estado de um cluster do GKE o recurso de reparo esteja desativado. Para mais informações, consulte Descobertas de vulnerabilidade de contêineres.

NETWORK_POLICY_DISABLED

Esse detector verifica se a política de rede está desativada em um cluster. Para mais informações, consulte Descobertas de vulnerabilidade de contêineres.

CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED

Este detector verifica se os hosts de cluster não estão configurados para usar apenas endereços IP internos particulares para acessar as APIs do Google. Para mais informações, consulte Descobertas de vulnerabilidade de contêineres.

OPEN_CASSANDRA_PORT

Esse detector verifica se um firewall tem uma porta aberta do Cassandra que permite o acesso genérico. Para mais informações, consulte Firewall descobertas de vulnerabilidades.

TOO_MANY_KMS_USERS

Este detector verifica se há mais de três usuários chaves criptográficas. Para mais informações, consulte KMS descobertas de vulnerabilidades.

OPEN_POSTGRESQL_PORT

Esse detector verifica se um firewall tem uma porta PostgreSQL aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall.

IP_ALIAS_DISABLED

Esse detector verifica se um cluster do GKE foi criado com o intervalo de endereço IP de alias desativado. Para mais informações, consulte Descobertas de vulnerabilidade de contêineres.

PUBLIC_SQL_INSTANCE

Esse detector verifica se o Cloud SQL permite conexões de todos os endereços IP.

OPEN_ELASTICSEARCH_PORT

Esse detector verifica se um firewall tem uma porta Elasticsearch aberta que permite o acesso genérico. Para mais informações, consulte Firewall descobertas de vulnerabilidades.

Conferir o modelo de postura

Para visualizar o modelo de postura do PCI DSS, faça o seguinte:

gcloud

Antes de usar os dados do comando abaixo, faça estas substituições:

  • ORGANIZATION_ID: o ID numérico da organização

Execute o gcloud scc posture-templates describe comando:

Linux, macOS ou Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

A resposta contém o modelo de postura.

REST

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • ORGANIZATION_ID: o ID numérico da organização

Método HTTP e URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

Para enviar a solicitação, expanda uma destas opções:

A resposta contém o modelo de postura.

A seguir