Auf dieser Seite werden die Erkennungsrichtlinien beschrieben, die in der Version 1.0 der vordefinierten Sicherheitsvorlage für den PCI-DSS-Standard (Payment Card Industry Data Security Standard) Version 3.2.1 und Version 1.0 enthalten sind. Diese Vorlage enthält einen Richtliniensatz, mit dem die Security Health Analytics-Detektoren für Arbeitslasten definiert werden, die dem PCI-DSS-Standard entsprechen müssen.
Sie können diese Sicherheitsvorlage bereitstellen, ohne Änderungen vorzunehmen.
Security Health Analytics – Detektoren
In der folgenden Tabelle werden die Security Health Analytics-Detektoren beschrieben, die in dieser Posture-Vorlage enthalten sind.
Detektorname | Beschreibung |
---|---|
PUBLIC_DATASET |
Dieser Detektor prüft, ob ein Dataset für den öffentlichen Zugriff konfiguriert ist. Weitere Informationen finden Sie unter Ergebnisse von Sicherheitslücken in Datasets. |
NON_ORG_IAM_MEMBER |
Dieser Detektor prüft, ob ein Nutzer keine Anmeldedaten für die Organisation verwendet. |
KMS_PROJECT_HAS_OWNER |
Dieser Detektor prüft, ob ein Nutzer die Berechtigung Inhaber für ein Projekt hat, das Schlüssel enthält. |
AUDIT_LOGGING_DISABLED |
Dieser Detektor prüft, ob Audit-Logging für eine Ressource deaktiviert ist. |
SSL_NOT_ENFORCED |
Dieser Detektor prüft, ob eine Cloud SQL-Datenbankinstanz nicht für alle eingehenden Verbindungen SSL verwendet. Weitere Informationen finden Sie unter SQL-Sicherheitslückenergebnisse. |
LOCKED_RETENTION_POLICY_NOT_SET |
Dieser Detektor prüft, ob die gesperrte Aufbewahrungsrichtlinie für Logs festgelegt ist. |
KMS_KEY_NOT_ROTATED |
Dieser Detektor prüft, ob die Rotation für die Cloud Key Management Service-Verschlüsselung nicht aktiviert ist. |
OPEN_SMTP_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen SMTP-Port hat, der allgemeinen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse von Firewall-Sicherheitslücken. |
SQL_NO_ROOT_PASSWORD |
Dieser Detektor prüft, ob eine Cloud SQL-Datenbank mit einer öffentlichen IP-Adresse kein Passwort für das Root-Konto hat. |
OPEN_LDAP_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen LDAP-Port hat, der allgemeinen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse von Firewall-Sicherheitslücken. |
OPEN_ORACLEDB_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen Oracle-Datenbankport hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse von Firewall-Sicherheitslücken. |
OPEN_SSH_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen SSH-Port hat, der allgemeinen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse von Firewall-Sicherheitslücken. |
MFA_NOT_ENFORCED |
Dieser Detektor prüft, ob ein Nutzer nicht die Bestätigung in zwei Schritten verwendet. |
COS_NOT_USED |
Dieser Detektor prüft, ob Compute Engine-VMs das Container-Optimized OS nicht verwenden. Weitere Informationen finden Sie unter Ergebnisse von Container-Sicherheitslücken. |
HTTP_LOAD_BALANCER |
Dieser Detektor prüft, ob die Compute Engine-Instanz einen Load-Balancer verwendet, der so konfiguriert ist, dass er einen Ziel-HTTP-Proxy anstelle eines Ziel-HTTPS-Proxys verwendet. Weitere Informationen finden Sie unter Ergebnisse von Sicherheitslücken in Compute-Instanzen. |
EGRESS_DENY_RULE_NOT_SET |
Dieser Detektor prüft, ob für eine Firewall keine Regel zum Ablehnen von ausgehendem Traffic festgelegt ist. Weitere Informationen finden Sie unter Ergebnisse von Firewall-Sicherheitslücken. |
PUBLIC_LOG_BUCKET |
Dieser Detektor prüft, ob ein Bucket mit einer Logsenke öffentlich zugänglich ist. |
OPEN_DIRECTORY_SERVICES_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen Port DIRECTORY_SERVICES hat, der allgemeinen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse von Firewall-Sicherheitslücken. |
OPEN_MYSQL_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen MySQL-Port hat, der allgemeinen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse von Firewall-Sicherheitslücken. |
OPEN_FTP_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen FTP-Port hat, der allgemeinen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse von Firewall-Sicherheitslücken. |
OPEN_FIREWALL |
Dieser Detektor prüft, ob eine Firewall für den öffentlichen Zugriff zugänglich ist. Weitere Informationen finden Sie unter Ergebnisse von Firewall-Sicherheitslücken. |
WEAK_SSL_POLICY |
Dieser Detektor prüft, ob eine Instanz eine schwache SSL-Richtlinie hat. |
OPEN_POP3_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen POP3-Port hat, der allgemeinen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse von Firewall-Sicherheitslücken. |
OPEN_NETBIOS_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen NETBIOS-Port hat, der allgemeinen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse von Firewall-Sicherheitslücken. |
FLOW_LOGS_DISABLED |
Dieser Detektor prüft, ob Flusslogs im VPC-Subnetzwerk aktiviert sind. |
OPEN_MONGODB_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen Mongo-Datenbankport hat, der allgemeinen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse von Firewall-Sicherheitslücken. |
MASTER_AUTHORIZED_NETWORKS_DISABLED |
Dieser Detektor prüft, ob autorisierte Netzwerke der Steuerungsebene in GKE-Clustern aktiviert sind. Weitere Informationen finden Sie unter Ergebnisse von Container-Sicherheitslücken. |
OPEN_REDIS_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen REDIS-Port hat, der allgemeinen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse von Firewall-Sicherheitslücken. |
OPEN_DNS_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen DNS-Port hat, der allgemeinen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse von Firewall-Sicherheitslücken. |
OPEN_TELNET_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen TELNET-Port hat, der allgemeinen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse von Firewall-Sicherheitslücken. |
OPEN_HTTP_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen HTTP-Port hat, der allgemeinen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse von Firewall-Sicherheitslücken. |
CLUSTER_LOGGING_DISABLED |
Dieser Detektor prüft, ob Logging für einen GKE-Cluster nicht aktiviert ist. Weitere Informationen finden Sie unter Ergebnisse von Container-Sicherheitslücken. |
FULL_API_ACCESS |
Dieser Detektor prüft, ob eine Instanz ein Standarddienstkonto mit uneingeschränktem Zugriff auf alle Google Cloud APIs verwendet. |
OBJECT_VERSIONING_DISABLED |
Dieser Detektor prüft, ob die Objektversionsverwaltung für Storage-Buckets mit Senken aktiviert ist. |
PUBLIC_IP_ADDRESS |
Dieser Detektor prüft, ob eine Instanz eine öffentliche IP-Adresse hat. |
AUTO_UPGRADE_DISABLED |
Dieser Detektor prüft, ob das Feature für automatische Upgrades eines GKE-Cluster deaktiviert ist. Weitere Informationen finden Sie unter Ergebnisse von Container-Sicherheitslücken. |
LEGACY_AUTHORIZATION_ENABLED |
Dieser Detektor prüft, ob die Legacy-Autorisierung für GKE-Cluster aktiviert ist. Weitere Informationen finden Sie unter Ergebnisse von Container-Sicherheitslücken. |
CLUSTER_MONITORING_DISABLED |
Dieser Detektor prüft, ob das Monitoring für GKE-Cluster deaktiviert ist. Weitere Informationen finden Sie unter Ergebnisse von Container-Sicherheitslücken. |
OPEN_CISCOSECURE_WEBSM_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen CISCOSECURE_WEBSM-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse von Firewall-Sicherheitslücken. |
OPEN_RDP_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen RDP-Port hat, der allgemeinen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse von Firewall-Sicherheitslücken. |
WEB_UI_ENABLED |
Dieser Detektor prüft, ob die GKE-Web-UI aktiviert ist. Weitere Informationen finden Sie unter Ergebnisse von Container-Sicherheitslücken. |
FIREWALL_RULE_LOGGING_DISABLED |
Dieser Detektor prüft, ob Firewallregel-Logging deaktiviert ist. Weitere Informationen finden Sie unter Ergebnisse von Firewall-Sicherheitslücken. |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
Dieser Detektor prüft, ob ein Nutzer Dienstkontorollen auf Projektebene und nicht für ein bestimmtes Dienstkonto hat. |
PRIVATE_CLUSTER_DISABLED |
Dieser Detektor prüft, ob ein privater Cluster bei einem GKE-Cluster deaktiviert ist. Weitere Informationen finden Sie unter Ergebnisse von Container-Sicherheitslücken. |
PRIMITIVE_ROLES_USED |
Dieser Detektor prüft, ob ein Nutzer eine einfache Rolle hat (Inhaber, Bearbeiter oder Betrachter). Weitere Informationen finden Sie in den Ergebnissen zu IAM-Sicherheitslücken. |
REDIS_ROLE_USED_ON_ORG |
Dieser Detektor prüft, ob einer Organisation oder einem Ordner die Redis-IAM-Rolle zugewiesen ist. Weitere Informationen finden Sie in den Ergebnissen zu IAM-Sicherheitslücken. |
PUBLIC_BUCKET_ACL |
Dieser Detektor prüft, ob ein Bucket öffentlich zugänglich ist. |
OPEN_MEMCACHED_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen MEMCACHED-Port hat, der allgemeinen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse von Firewall-Sicherheitslücken. |
OVER_PRIVILEGED_ACCOUNT |
Dieser Detektor prüft, ob ein Dienstkonto einen zu umfangreichen Projektzugriff in einem Cluster hat. Weitere Informationen finden Sie unter Ergebnisse von Container-Sicherheitslücken. |
AUTO_REPAIR_DISABLED |
Dieser Detektor prüft, ob die Funktion zur automatischen Reparatur eines GKE-Cluster deaktiviert ist. Weitere Informationen finden Sie unter Ergebnisse von Container-Sicherheitslücken. |
NETWORK_POLICY_DISABLED |
Dieser Detektor prüft, ob die Netzwerkrichtlinie in einem Cluster deaktiviert ist. Weitere Informationen finden Sie unter Ergebnisse von Container-Sicherheitslücken. |
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED |
Dieser Detektor prüft, ob Clusterhosts so konfiguriert sind, dass nur private, interne IP-Adressen für den Zugriff auf Google APIs verwendet werden. Weitere Informationen finden Sie unter Ergebnisse von Container-Sicherheitslücken. |
OPEN_CASSANDRA_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen Cassandra-Port hat, der allgemeinen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse von Firewall-Sicherheitslücken. |
TOO_MANY_KMS_USERS |
Dieser Detektor prüft, ob mehr als drei Nutzer kryptografischer Schlüssel verwendet werden. Weitere Informationen finden Sie unter Ergebnisse von KMS-Sicherheitslücken. |
OPEN_POSTGRESQL_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen PostgreSQL-Port hat, der allgemeinen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse von Firewall-Sicherheitslücken. |
IP_ALIAS_DISABLED |
Dieser Detektor prüft, ob ein GKE-Cluster mit deaktiviertem Alias-IP-Adressbereich erstellt wurde. Weitere Informationen finden Sie unter Ergebnisse von Container-Sicherheitslücken. |
PUBLIC_SQL_INSTANCE |
Dieser Detektor prüft, ob Cloud SQL Verbindungen von allen IP-Adressen zulässt. |
OPEN_ELASTICSEARCH_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen Elasticsearch-Port hat, der allgemeinen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse von Firewall-Sicherheitslücken. |
YAML-Definition
Im Folgenden finden Sie die YAML-Definition für die Sicherheitsvorlage für PCI DSS.
name: organizations/123/locations/global/postureTemplates/pci_dss_v_3_2_1
description: Posture Template to make your workload PCI-DSS v3.2.1 compliant.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: PCI-DSS v3.2.1 detective policy set
description: 58 SHA modules that new customers can automatically enable.
policies:
- policy_id: Public dataset
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_DATASET
- policy_id: Non org IAM member
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: NON_ORG_IAM_MEMBER
- policy_id: KMS project has owner
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_PROJECT_HAS_OWNER
- policy_id: Audit logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUDIT_LOGGING_DISABLED
- policy_id: SSL not enforced
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SSL_NOT_ENFORCED
- policy_id: Locked retention policy not set
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LOCKED_RETENTION_POLICY_NOT_SET
- policy_id: KMS key not rotated
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_KEY_NOT_ROTATED
- policy_id: Open SMTP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_SMTP_PORT
- policy_id: SQL no root password
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_NO_ROOT_PASSWORD
- policy_id: Open LDAP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_LDAP_PORT
- policy_id: Open oracle db port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_ORACLEDB_PORT
- policy_id: Open SSH port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_SSH_PORT
- policy_id: MFA not enforced
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: MFA_NOT_ENFORCED
- policy_id: COS not used
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: COS_NOT_USED
- policy_id: HTTP load balancer
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: HTTP_LOAD_BALANCER
- policy_id: Egress deny rule not set
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: EGRESS_DENY_RULE_NOT_SET
- policy_id: Public log bucket
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_LOG_BUCKET
- policy_id: Open directory services port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_DIRECTORY_SERVICES_PORT
- policy_id: Open mysql port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_MYSQL_PORT
- policy_id: Open FTP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_FTP_PORT
- policy_id: Open firewall
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_FIREWALL
- policy_id: Weak SSL policy
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: WEAK_SSL_POLICY
- policy_id: Open POP3 port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_POP3_PORT
- policy_id: Open netbios port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_NETBIOS_PORT
- policy_id: Flow logs disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FLOW_LOGS_DISABLED
- policy_id: Open mongo db port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_MONGODB_PORT
- policy_id: Master authorized networks disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: MASTER_AUTHORIZED_NETWORKS_DISABLED
- policy_id: Open redis port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_REDIS_PORT
- policy_id: Open dns port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_DNS_PORT
- policy_id: Open telnet port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_TELNET_PORT
- policy_id: Open HTTP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_HTTP_PORT
- policy_id: Cluster logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CLUSTER_LOGGING_DISABLED
- policy_id: Full API access
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FULL_API_ACCESS
- policy_id: Object versioning disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OBJECT_VERSIONING_DISABLED
- policy_id: Public IP address
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_IP_ADDRESS
- policy_id: Auto upgrade disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUTO_UPGRADE_DISABLED
- policy_id: Legacy authorization enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LEGACY_AUTHORIZATION_ENABLED
- policy_id: Cluster monitoring disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CLUSTER_MONITORING_DISABLED
- policy_id: Open ciscosecure websm port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_CISCOSECURE_WEBSM_PORT
- policy_id: Open RDP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_RDP_PORT
- policy_id: Web UI enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: WEB_UI_ENABLED
- policy_id: Firewall rule logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FIREWALL_RULE_LOGGING_DISABLED
- policy_id: Over privileged service account user
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OVER_PRIVILEGED_SERVICE_ACCOUNT_USER
- policy_id: Private cluster disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PRIVATE_CLUSTER_DISABLED
- policy_id: Primitive roles used
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PRIMITIVE_ROLES_USED
- policy_id: Redis role used on org
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: REDIS_ROLE_USED_ON_ORG
- policy_id: Public bucket ACL
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_BUCKET_ACL
- policy_id: Open memcached port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_MEMCACHED_PORT
- policy_id: Over privileged account
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OVER_PRIVILEGED_ACCOUNT
- policy_id: Auto repair disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUTO_REPAIR_DISABLED
- policy_id: Network policy disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: NETWORK_POLICY_DISABLED
- policy_id: Cluster private google access disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED
- policy_id: Open cassandra port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_CASSANDRA_PORT
- policy_id: Too many KMS users
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: TOO_MANY_KMS_USERS
- policy_id: Open postgresql port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_POSTGRESQL_PORT
- policy_id: IP alias disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: IP_ALIAS_DISABLED
- policy_id: Public SQL instance
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_SQL_INSTANCE
- policy_id: Open elasticsearch port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_ELASTICSEARCH_PORT