Esta página descreve as políticas de detecção incluídas na versão v1.0 do modelo de postura predefinido para o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) versão 3.2.1 e 1.0. Esse modelo inclui um conjunto de políticas que define os detectores da Análise de integridade da segurança que se aplicam a cargas de trabalho que precisam estar em conformidade com com o padrão PCI DSS.
É possível implantar esse modelo de postura sem fazer mudanças.
Detectores do Security Health Analytics
A tabela a seguir descreve os detectores da Análise de integridade da segurança incluídos em este modelo de postura.
Nome do detector | Descrição |
---|---|
PUBLIC_DATASET |
Este detector verifica se um conjunto de dados está configurado para ser aberto para acesso público. Para mais informações, consulte Descobertas de vulnerabilidade do conjunto de dados. |
NON_ORG_IAM_MEMBER |
Esse detector verifica se um usuário não está usando credenciais da organização. |
KMS_PROJECT_HAS_OWNER |
Este detector verifica se um usuário tem a permissão Owner em um projeto que inclui chaves. |
AUDIT_LOGGING_DISABLED |
Este detector verifica se o registro de auditoria está desativado para um recurso. |
SSL_NOT_ENFORCED |
Esse detector verifica se uma instância de banco de dados do Cloud SQL não usa SSL para todas as conexões de entrada. Para mais informações, consulte Resultados de vulnerabilidades do SQL. |
LOCKED_RETENTION_POLICY_NOT_SET |
Este detector verifica se a política de retenção bloqueada está definida para registros. |
KMS_KEY_NOT_ROTATED |
Esse detector verifica se a rotação da criptografia do Cloud Key Management Service não está ativada. |
OPEN_SMTP_PORT |
Esse detector verifica se um firewall tem uma porta SMTP aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall. |
SQL_NO_ROOT_PASSWORD |
Esse detector verifica se um banco de dados do Cloud SQL com um endereço IP público não tem uma senha para a conta raiz. |
OPEN_LDAP_PORT |
Esse detector verifica se um firewall tem uma porta LDAP aberta que permite acesso genérico. Para mais informações, consulte Firewall descobertas de vulnerabilidades. |
OPEN_ORACLEDB_PORT |
Este detector verifica se um firewall tem um banco de dados Oracle aberto que permita o acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall. |
OPEN_SSH_PORT |
Esse detector verifica se um firewall tem uma porta SSH aberta que permite o acesso genérico. Para mais informações, consulte Firewall descobertas de vulnerabilidades. |
MFA_NOT_ENFORCED |
Este detector verifica se um usuário não está usando a verificação em duas etapas. |
COS_NOT_USED |
Esse detector verifica se as VMs do Compute Engine não estão usando o Container-Optimized OS. Para mais informações, consulte Contêiner descobertas de vulnerabilidades. |
HTTP_LOAD_BALANCER |
Este detector verifica se a instância do Compute Engine usa uma carga balanceador configurado para usar um proxy HTTP em vez de um proxy de destino. proxy HTTPS. Para mais informações, consulte Descobertas de vulnerabilidade da instância do Compute. |
EGRESS_DENY_RULE_NOT_SET |
Este detector verifica se uma regra de negação de saída não está definida em um firewall. Para mais informações, consulte Descobertas de vulnerabilidade do firewall. |
PUBLIC_LOG_BUCKET |
Esse detector verifica se um bucket com um coletor de registros está acessível publicamente. |
OPEN_DIRECTORY_SERVICES_PORT |
Este detector verifica se um firewall tem uma conexão DIRECTORY_SERVICE que permita o acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall. |
OPEN_MYSQL_PORT |
Esse detector verifica se um firewall tem uma porta MySQL aberta que permite acesso genérico. Para mais informações, consulte Firewall descobertas de vulnerabilidades. |
OPEN_FTP_PORT |
Esse detector verifica se um firewall tem uma porta FTP aberta que permite o acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall. |
OPEN_FIREWALL |
Esse detector verifica se um firewall está aberto para acesso público. Para mais informações, consulte Firewall descobertas de vulnerabilidades. |
WEAK_SSL_POLICY |
Este detector verifica se uma instância tem uma política de SSL fraca. |
OPEN_POP3_PORT |
Esse detector verifica se um firewall tem uma porta POP3 aberta que permite acesso genérico. Para mais informações, consulte Firewall descobertas de vulnerabilidades. |
OPEN_NETBIOS_PORT |
Esse detector verifica se um firewall tem uma porta NETBIOS aberta que permite o acesso genérico. Para mais informações, consulte Firewall descobertas de vulnerabilidades. |
FLOW_LOGS_DISABLED |
Este detector verifica se os registros de fluxo estão ativados na sub-rede VPC. |
OPEN_MONGODB_PORT |
Este detector verifica se um firewall tem uma porta aberta do banco de dados do Mongo que permita o acesso genérico. Para mais informações, consulte Firewall descobertas de vulnerabilidades. |
MASTER_AUTHORIZED_NETWORKS_DISABLED |
Esse detector verifica se as redes autorizadas do plano de controle não estão ativadas nos clusters do GKE. Para mais informações, consulte Descobertas de vulnerabilidade de contêineres. |
OPEN_REDIS_PORT |
Esse detector verifica se um firewall tem uma porta REDIS aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall. |
OPEN_DNS_PORT |
Este detector verifica se um firewall tem uma porta DNS aberta que permite o acesso genérico. Para mais informações, consulte Firewall descobertas de vulnerabilidades. |
OPEN_TELNET_PORT |
Esse detector verifica se um firewall tem uma porta do TELNET aberta que permite o acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall. |
OPEN_HTTP_PORT |
Esse detector verifica se um firewall tem uma porta HTTP aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall. |
CLUSTER_LOGGING_DISABLED |
Esse detector verifica se a geração de registros não está ativada para um cluster do GKE. Para mais informações, consulte Descobertas de vulnerabilidade de contêineres. |
FULL_API_ACCESS |
Esse detector verifica se uma instância está usando uma conta de serviço padrão com acesso total a todas as APIs do Google Cloud. |
OBJECT_VERSIONING_DISABLED |
Esse detector verifica se o controle de versão de objeto está ativado em buckets de armazenamento com coletores. |
PUBLIC_IP_ADDRESS |
Esse detector verifica se uma instância tem um endereço IP público. |
AUTO_UPGRADE_DISABLED |
Este detector verifica se o estado de um cluster do GKE está desativado. Para mais informações, consulte Contêiner descobertas de vulnerabilidades. |
LEGACY_AUTHORIZATION_ENABLED |
Este detector verifica se a autorização legada está ativada em clusters do GKE. Para mais informações, consulte Contêiner descobertas de vulnerabilidades. |
CLUSTER_MONITORING_DISABLED |
Esse detector verifica se o monitoramento está desativado nos clusters do GKE. Para mais informações, consulte Contêiner descobertas de vulnerabilidades. |
OPEN_CISCOSECURE_WEBSM_PORT |
Esse detector verifica se um firewall tem uma porta CISCOSECURE_WEBSM aberta que permita o acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall. |
OPEN_RDP_PORT |
Esse detector verifica se um firewall tem uma porta RDP aberta que permite o acesso genérico. Para mais informações, consulte Firewall descobertas de vulnerabilidades. |
WEB_UI_ENABLED |
Esse detector verifica se a IU da Web do GKE está ativada. Para mais informações, consulte Descobertas de vulnerabilidade de contêineres. |
FIREWALL_RULE_LOGGING_DISABLED |
Este detector verifica se a geração de registros das regras de firewall está desativada. Para mais informações, consulte Firewall descobertas de vulnerabilidades. |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
Esse detector verifica se um usuário tem funções de conta de serviço no nível do projeto, em vez de uma conta de serviço específica. |
PRIVATE_CLUSTER_DISABLED |
Este detector verifica se um cluster do GKE cluster particular desativado. Para mais informações, consulte Contêiner descobertas de vulnerabilidades. |
PRIMITIVE_ROLES_USED |
Esse detector verifica se um usuário tem um papel básico (proprietário, editor ou leitor). Para mais informações, consulte IAM descobertas de vulnerabilidades. |
REDIS_ROLE_USED_ON_ORG |
Este detector verifica se o papel do IAM do Redis foi atribuído a um organização ou pasta. Para mais informações, consulte Descobertas de vulnerabilidade do IAM. |
PUBLIC_BUCKET_ACL |
Este detector verifica se um bucket está acessível publicamente. |
OPEN_MEMCACHED_PORT |
Esse detector verifica se um firewall tem uma porta MEMCACHED aberta que permite o acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall. |
OVER_PRIVILEGED_ACCOUNT |
Este detector verifica se uma conta de serviço tem projetos muito amplos acesso em um cluster. Para mais informações, consulte Contêiner descobertas de vulnerabilidades. |
AUTO_REPAIR_DISABLED |
Este detector verifica se o estado de um cluster do GKE o recurso de reparo esteja desativado. Para mais informações, consulte Descobertas de vulnerabilidade de contêineres. |
NETWORK_POLICY_DISABLED |
Esse detector verifica se a política de rede está desativada em um cluster. Para mais informações, consulte Descobertas de vulnerabilidade de contêineres. |
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED |
Este detector verifica se os hosts de cluster não estão configurados para usar apenas endereços IP internos particulares para acessar as APIs do Google. Para mais informações, consulte Descobertas de vulnerabilidade de contêineres. |
OPEN_CASSANDRA_PORT |
Esse detector verifica se um firewall tem uma porta aberta do Cassandra que permite o acesso genérico. Para mais informações, consulte Firewall descobertas de vulnerabilidades. |
TOO_MANY_KMS_USERS |
Este detector verifica se há mais de três usuários chaves criptográficas. Para mais informações, consulte KMS descobertas de vulnerabilidades. |
OPEN_POSTGRESQL_PORT |
Esse detector verifica se um firewall tem uma porta PostgreSQL aberta que permite acesso genérico. Para mais informações, consulte Descobertas de vulnerabilidade do firewall. |
IP_ALIAS_DISABLED |
Esse detector verifica se um cluster do GKE foi criado com o intervalo de endereço IP de alias desativado. Para mais informações, consulte Descobertas de vulnerabilidade de contêineres. |
PUBLIC_SQL_INSTANCE |
Esse detector verifica se o Cloud SQL permite conexões de todos os endereços IP. |
OPEN_ELASTICSEARCH_PORT |
Esse detector verifica se um firewall tem uma porta Elasticsearch aberta que permite o acesso genérico. Para mais informações, consulte Firewall descobertas de vulnerabilidades. |
Conferir o modelo de postura
Para visualizar o modelo de postura do PCI DSS, faça o seguinte:
gcloud
Antes de usar os dados do comando abaixo, faça estas substituições:
-
ORGANIZATION_ID
: o ID numérico da organização
Execute o
gcloud scc posture-templates
describe
comando:
Linux, macOS ou Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
A resposta contém o modelo de postura.
REST
Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:
-
ORGANIZATION_ID
: o ID numérico da organização
Método HTTP e URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
Para enviar a solicitação, expanda uma destas opções:
A resposta contém o modelo de postura.