Diese Seite wurde von der Cloud Translation API übersetzt.

Vordefinierte Vorlage für den Status für PCI DSS v3.2.1 und v1.0

Auf dieser Seite werden die Erkennungsrichtlinien in Version 1.0 beschrieben. der vordefinierten Statusvorlage für den PCI-DSS (Payment Card Industry Data Security Standard) Version 3.2.1 und Version 1.0 Diese Vorlage enthält einen Richtliniensatz, der definiert, Security Health Analytics-Detektoren für Arbeitslasten, die mit dem PCI-DSS-Standard.

Sie können diese Statusvorlage bereitstellen, ohne Änderungen vorzunehmen.

Security Health Analytics – Detektoren

In der folgenden Tabelle werden die Security Health Analytics-Detektoren beschrieben, die in dieser Vorlage für den Sicherheitsstatus enthalten sind.

Detektorname	Beschreibung
`PUBLIC_DATASET`	Dieser Detektor prüft, ob ein Datensatz für den öffentlichen Zugriff konfiguriert ist. Weitere Informationen finden Sie unter Datensatz Ergebnisse zu Sicherheitslücken.
`NON_ORG_IAM_MEMBER`	Dieser Detektor prüft, ob ein Nutzer keine organisationsgebundenen Anmeldedaten verwendet.
`KMS_PROJECT_HAS_OWNER`	Mit diesem Detector wird geprüft, ob ein Nutzer die Berechtigung Inhaber für ein Projekt mit Schlüsseln hat.
`AUDIT_LOGGING_DISABLED`	Dieser Detektor prüft, ob Audit-Logging für eine Ressource deaktiviert ist.
`SSL_NOT_ENFORCED`	Dieser Prüfmechanismus prüft, ob eine Cloud SQL-Datenbankinstanz nicht für alle eingehenden Verbindungen SSL verwendet. Weitere Informationen finden Sie unter Ergebnisse zu SQL-Sicherheitslücken.
`LOCKED_RETENTION_POLICY_NOT_SET`	Dieser Detektor prüft, ob die gesperrte Aufbewahrungsrichtlinie für Logs festgelegt ist.
`KMS_KEY_NOT_ROTATED`	Dieser Detektor prüft, ob die Rotation für die Cloud Key Management Service-Verschlüsselung nicht aktiviert ist.
`OPEN_SMTP_PORT`	Dieser Detektor prüft, ob eine Firewall einen offenen SMTP-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Firewall Ergebnisse zu Sicherheitslücken.
`SQL_NO_ROOT_PASSWORD`	Dieser Prüfmechanismus prüft, ob für eine Cloud SQL-Datenbank mit einer öffentlichen IP-Adresse kein Passwort für das Root-Konto festgelegt ist.
`OPEN_LDAP_PORT`	Dieser Detektor prüft, ob eine Firewall einen offenen LDAP-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Firewall Ergebnisse zu Sicherheitslücken.
`OPEN_ORACLEDB_PORT`	Dieser Detektor prüft, ob eine Firewall eine offene Oracle-Datenbank hat Port, der generischen Zugriff ermöglicht. Weitere Informationen finden Sie unter Firewall Ergebnisse zu Sicherheitslücken.
`OPEN_SSH_PORT`	Dieser Detector prüft, ob eine Firewall einen offenen SSH-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Firewall Ergebnisse zu Sicherheitslücken.
`MFA_NOT_ENFORCED`	Dieser Detektor prüft, ob ein Nutzer die 2-Faktor-Authentifizierung nicht verwendet.
`COS_NOT_USED`	Dieser Detektor prüft, ob Compute Engine-VMs die Container-Optimized OS Weitere Informationen finden Sie unter Container Ergebnisse zu Sicherheitslücken.
`HTTP_LOAD_BALANCER`	Dieser Detektor prüft, ob die Compute Engine-Instanz eine Last verwendet Balancer, der so konfiguriert ist, dass er einen Ziel-HTTP-Proxy anstelle eines Ziel-Proxys verwendet HTTPS-Proxy. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken bei Compute-Instanzen.
`EGRESS_DENY_RULE_NOT_SET`	Dieser Detektor prüft, ob eine Regel zum Ablehnen von ausgehendem Traffic für einen Firewall. Weitere Informationen finden Sie unter Firewall Ergebnisse zu Sicherheitslücken.
`PUBLIC_LOG_BUCKET`	Dieser Detektor prüft, ob ein Bucket mit einer Logsenke öffentlich zugänglich ist.
`OPEN_DIRECTORY_SERVICES_PORT`	Dieser Detektor prüft, ob eine Firewall einen offenen DIRECTORY_SERVICES-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls.
`OPEN_MYSQL_PORT`	Dieser Detector prüft, ob eine Firewall einen offenen MySQL-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls.
`OPEN_FTP_PORT`	Dieser Detektor prüft, ob eine Firewall einen offenen FTP-Port hat, den generischen Zugriff ermöglicht. Weitere Informationen finden Sie unter Firewall Ergebnisse zu Sicherheitslücken.
`OPEN_FIREWALL`	Dieser Detektor prüft, ob eine Firewall öffentlich zugänglich ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls.
`WEAK_SSL_POLICY`	Dieser Detektor prüft, ob eine Instanz eine schwache SSL-Richtlinie hat.
`OPEN_POP3_PORT`	Dieser Detektor prüft, ob eine Firewall einen offenen POP3-Port hat, der den generischen Zugriff ermöglicht. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls.
`OPEN_NETBIOS_PORT`	Dieser Detektor prüft, ob eine Firewall einen offenen NETBIOS-Port hat, den generischen Zugriff ermöglicht. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls.
`FLOW_LOGS_DISABLED`	Dieser Detektor prüft, ob Flusslogs im VPC-Subnetzwerk aktiviert sind.
`OPEN_MONGODB_PORT`	Dieser Detektor prüft, ob eine Firewall einen offenen Mongo-Datenbank-Port mit generischem Zugriff hat. Weitere Informationen finden Sie unter Firewall Ergebnisse zu Sicherheitslücken.
`MASTER_AUTHORIZED_NETWORKS_DISABLED`	Dieser Detektor prüft, ob für autorisierte Netzwerke der Steuerungsebene keine in GKE-Clustern aktiviert. Weitere Informationen finden Sie unter Container Ergebnisse zu Sicherheitslücken.
`OPEN_REDIS_PORT`	Dieser Detektor prüft, ob eine Firewall einen offenen REDIS-Port hat, den generischen Zugriff ermöglicht. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls.
`OPEN_DNS_PORT`	Dieser Detektor prüft, ob eine Firewall einen offenen DNS-Port hat, den generischen Zugriff ermöglicht. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls.
`OPEN_TELNET_PORT`	Dieser Detektor prüft, ob eine Firewall einen offenen TELNET-Port hat, den generischen Zugriff ermöglicht. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls.
`OPEN_HTTP_PORT`	Dieser Detektor prüft, ob eine Firewall einen offenen HTTP-Port hat, den generischen Zugriff ermöglicht. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls.
`CLUSTER_LOGGING_DISABLED`	Dieser Detektor prüft, ob das Logging für GKE-Cluster. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Containern.
`FULL_API_ACCESS`	Dieser Prüfmechanismus prüft, ob für eine Instanz ein Standarddienstkonto mit uneingeschränktem Zugriff auf alle Google Cloud APIs verwendet wird.
`OBJECT_VERSIONING_DISABLED`	Dieser Detektor prüft, ob die Objektversionsverwaltung für Storage-Buckets mit Senken aktiviert ist.
`PUBLIC_IP_ADDRESS`	Dieser Detektor prüft, ob eine Instanz eine öffentliche IP-Adresse hat.
`AUTO_UPGRADE_DISABLED`	Dieser Detektor prüft, ob die automatische Upgradefunktion ist deaktiviert. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Containern.
`LEGACY_AUTHORIZATION_ENABLED`	Dieser Detektor prüft, ob die Legacy-Autorisierung auf GKE-Cluster. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Containern.
`CLUSTER_MONITORING_DISABLED`	Dieser Detektor prüft, ob das Monitoring auf GKE-Cluster. Weitere Informationen finden Sie unter Container Ergebnisse zu Sicherheitslücken.
`OPEN_CISCOSECURE_WEBSM_PORT`	Dieser Detector prüft, ob eine Firewall einen offenen CISCOSECURE_WEBSM-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Firewall Ergebnisse zu Sicherheitslücken.
`OPEN_RDP_PORT`	Dieser Detektor prüft, ob eine Firewall einen offenen RDP-Port hat, den generischen Zugriff ermöglicht. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls.
`WEB_UI_ENABLED`	Dieser Detektor prüft, ob die GKE-Web-UI aktiviert ist. Weitere Informationen finden Sie unter Container Ergebnisse zu Sicherheitslücken.
`FIREWALL_RULE_LOGGING_DISABLED`	Dieser Detektor prüft, ob das Logging von Firewallregeln deaktiviert ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls.
`OVER_PRIVILEGED_SERVICE_ACCOUNT_USER`	Dieser Detektor prüft, ob ein Nutzer Dienstkontorollen auf Projektebene und nicht für ein bestimmtes Dienstkonto hat.
`PRIVATE_CLUSTER_DISABLED`	Dieser Detektor prüft, ob für einen GKE-Cluster ein privater Cluster deaktiviert ist. Weitere Informationen finden Sie unter Container Ergebnisse zu Sicherheitslücken.
`PRIMITIVE_ROLES_USED`	Dieser Detektor prüft, ob ein Nutzer eine einfache Rolle (Inhaber, Bearbeiter oder Betrachter). Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in IAM.
`REDIS_ROLE_USED_ON_ORG`	Dieser Detektor prüft, ob einer Organisation oder einem Ordner eine Redis-IAM-Rolle zugewiesen ist. Weitere Informationen finden Sie unter IAM Ergebnisse zu Sicherheitslücken.
`PUBLIC_BUCKET_ACL`	Dieser Detektor prüft, ob ein Bucket öffentlich zugänglich ist.
`OPEN_MEMCACHED_PORT`	Dieser Detektor prüft, ob eine Firewall einen offenen MEMCACHED-Port hat, den generischen Zugriff ermöglicht. Weitere Informationen finden Sie unter Firewall Ergebnisse zu Sicherheitslücken.
`OVER_PRIVILEGED_ACCOUNT`	Dieser Detector prüft, ob ein Dienstkonto in einem Cluster übermäßig Zugriff auf das Projekt hat. Weitere Informationen finden Sie unter Container Ergebnisse zu Sicherheitslücken.
`AUTO_REPAIR_DISABLED`	Dieser Detektor prüft, ob die automatische Reparaturfunktion eines GKE-Clusters deaktiviert ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Containern.
`NETWORK_POLICY_DISABLED`	Dieser Detektor prüft, ob die Netzwerkrichtlinie in einem Cluster deaktiviert ist. Weitere Informationen finden Sie unter Container Ergebnisse zu Sicherheitslücken.
`CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED`	Dieser Detektor prüft, ob Clusterhosts nicht für die Verwendung konfiguriert sind nur private, interne IP-Adressen für den Zugriff auf Google APIs verwenden. Weitere Informationen finden Sie unter Container Ergebnisse zu Sicherheitslücken.
`OPEN_CASSANDRA_PORT`	Dieser Detektor prüft, ob eine Firewall einen offenen Cassandra-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls.
`TOO_MANY_KMS_USERS`	Dieser Detektor prüft, ob mehr als drei Nutzer kryptografischer Schlüssel zu verwenden. Weitere Informationen finden Sie unter KMS Ergebnisse zu Sicherheitslücken.
`OPEN_POSTGRESQL_PORT`	Dieser Prüfmechanismus prüft, ob eine Firewall einen offenen PostgreSQL-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls.
`IP_ALIAS_DISABLED`	Dieser Detektor prüft, ob ein GKE-Cluster mit deaktiviertem Alias-IP-Adressbereich erstellt wurde. Weitere Informationen finden Sie unter Container Ergebnisse zu Sicherheitslücken.
`PUBLIC_SQL_INSTANCE`	Mit diesem Detektor wird geprüft, ob eine Cloud SQL-Instanz Verbindungen von allen IP-Adressen zulässt.
`OPEN_ELASTICSEARCH_PORT`	Dieser Detektor prüft, ob eine Firewall einen offenen Elasticsearch-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Firewall Ergebnisse zu Sicherheitslücken.

Vorlage für den Sicherheitsstatus ansehen

So rufen Sie die Statusvorlage für PCI DSS auf:

gcloud

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

ORGANIZATION_ID: die numerische ID der Organisation

Führen Sie den Befehl gcloud scc posture-templates describe aus:

Linux, macOS oder Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

Die Antwort enthält die Vorlage für die Bewertung.

REST

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

ORGANIZATION_ID: die numerische ID der Organisation

HTTP-Methode und URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto bei der gcloud-Befehlszeile angemeldet haben. Dazu haben Sie gcloud init oder gcloud auth login ausgeführt oder die Cloud Shell genutzt, die Sie automatisch bei der gcloud-Befehlszeile anmeldet. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Führen Sie folgenden Befehl aus:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1"

PowerShell (Windows)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto bei der gcloud-Befehlszeile angemeldet haben. Dazu führen Sie gcloud init oder gcloud auth login aus. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Führen Sie folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1" | Select-Object -Expand Content

Die Antwort enthält die Vorlage für die Bewertung.

Nächste Schritte

Erstellen Sie mit dieser Vorlage einen Sicherheitsstatus.