Halaman ini menjelaskan kebijakan detektif yang disertakan dalam versi v1.0 template postur yang telah ditentukan untuk Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) versi 3.2.1 dan versi 1.0. Template ini mencakup kumpulan kebijakan yang menentukan detektor Security Health Analytics yang berlaku untuk workload yang harus mematuhi standar PCI DSS.
Anda dapat men-deploy template postur ini tanpa melakukan perubahan apa pun.
Pendeteksi Security Health Analytics
Tabel berikut menjelaskan detektor Security Health Analytics yang disertakan dalam template postur ini.
| Nama pendeteksi | Deskripsi |
|---|---|
PUBLIC_DATASET |
Detektor ini memeriksa apakah set data dikonfigurasi agar terbuka untuk akses publik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan set data. |
NON_ORG_IAM_MEMBER |
Pendeteksi ini memeriksa apakah pengguna tidak menggunakan kredensial organisasi. |
KMS_PROJECT_HAS_OWNER |
Pendeteksi ini memeriksa apakah pengguna memiliki izin Pemilik di project yang menyertakan kunci. |
AUDIT_LOGGING_DISABLED |
Pendeteksi ini memeriksa apakah logging audit dinonaktifkan untuk suatu resource. |
SSL_NOT_ENFORCED |
Pendeteksi ini memeriksa apakah instance database Cloud SQL tidak menggunakan SSL untuk semua koneksi masuk. Untuk mengetahui informasi selengkapnya, lihat temuan kerentanan SQL. |
LOCKED_RETENTION_POLICY_NOT_SET |
Pendeteksi ini memeriksa apakah kebijakan retensi yang terkunci disetel untuk log. |
KMS_KEY_NOT_ROTATED |
Detektor ini memeriksa apakah rotasi untuk enkripsi Cloud Key Management Service tidak diaktifkan. |
OPEN_SMTP_PORT |
Pendeteksi ini memeriksa apakah firewall memiliki port SMTP terbuka yang mengizinkan akses generik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall. |
SQL_NO_ROOT_PASSWORD |
Pendeteksi ini memeriksa apakah database Cloud SQL dengan alamat IP publik tidak memiliki sandi untuk akun root. |
OPEN_LDAP_PORT |
Pendeteksi ini memeriksa apakah firewall memiliki port LDAP terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall. |
OPEN_ORACLEDB_PORT |
Detektor ini memeriksa apakah firewall memiliki port database Oracle terbuka yang memungkinkan akses generik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall. |
OPEN_SSH_PORT |
Pendeteksi ini memeriksa apakah firewall memiliki port SSH terbuka yang memungkinkan akses generik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall. |
MFA_NOT_ENFORCED |
Pendeteksi ini memeriksa apakah pengguna tidak menggunakan verifikasi 2 langkah. |
COS_NOT_USED |
Pendeteksi ini memeriksa apakah VM Compute Engine tidak menggunakan Container-Optimized OS. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan container. |
HTTP_LOAD_BALANCER |
Pendeteksi ini memeriksa apakah instance Compute Engine menggunakan load balancer yang dikonfigurasi untuk menggunakan proxy HTTP target, bukan proxy HTTPS target. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan instance komputasi. |
EGRESS_DENY_RULE_NOT_SET |
Pendeteksi ini memeriksa apakah aturan penolakan keluar tidak disetel pada firewall. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall. |
PUBLIC_LOG_BUCKET |
Pendeteksi ini memeriksa apakah bucket dengan sink log dapat diakses secara publik. |
OPEN_DIRECTORY_SERVICES_PORT |
Pendeteksi ini memeriksa apakah firewall memiliki port DIRECTORY_SERVICE terbuka atau tidak yang memungkinkan akses generik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall. |
OPEN_MYSQL_PORT |
Pendeteksi ini memeriksa apakah firewall memiliki port MySQL terbuka yang memungkinkan akses generik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall. |
OPEN_FTP_PORT |
Pendeteksi ini memeriksa apakah firewall memiliki port FTP terbuka yang memungkinkan akses generik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall. |
OPEN_FIREWALL |
Pendeteksi ini memeriksa apakah firewall terbuka untuk akses publik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall. |
WEAK_SSL_POLICY |
Pendeteksi ini memeriksa apakah instance memiliki kebijakan SSL yang lemah. |
OPEN_POP3_PORT |
Pendeteksi ini memeriksa apakah firewall memiliki port POP3 terbuka yang mengizinkan akses generik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall. |
OPEN_NETBIOS_PORT |
Detektor ini memeriksa apakah firewall memiliki port NETBIOS terbuka yang memungkinkan akses generik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall. |
FLOW_LOGS_DISABLED |
Detektor ini memeriksa apakah log aliran diaktifkan di subnetwork VPC. |
OPEN_MONGODB_PORT |
Pendeteksi ini memeriksa apakah firewall memiliki port database Mongo terbuka yang mengizinkan akses generik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall. |
MASTER_AUTHORIZED_NETWORKS_DISABLED |
Detektor ini memeriksa apakah Control Plane Authorized Networks tidak diaktifkan di cluster GKE. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan container. |
OPEN_REDIS_PORT |
Pendeteksi ini memeriksa apakah firewall memiliki port REDIS terbuka yang mengizinkan akses generik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall. |
OPEN_DNS_PORT |
Pendeteksi ini memeriksa apakah firewall memiliki port DNS terbuka yang memungkinkan akses generik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall. |
OPEN_TELNET_PORT |
Pendeteksi ini memeriksa apakah firewall memiliki port TELNET terbuka yang mengizinkan akses generik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall. |
OPEN_HTTP_PORT |
Pendeteksi ini memeriksa apakah firewall memiliki port HTTP terbuka yang memungkinkan akses generik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall. |
CLUSTER_LOGGING_DISABLED |
Detektor ini memeriksa apakah logging tidak diaktifkan untuk cluster GKE. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan container. |
FULL_API_ACCESS |
Pendeteksi ini memeriksa apakah instance menggunakan akun layanan default dengan akses penuh ke semua Google Cloud API. |
OBJECT_VERSIONING_DISABLED |
Detektor ini memeriksa apakah pembuatan versi objek diaktifkan pada bucket penyimpanan dengan sink. |
PUBLIC_IP_ADDRESS |
Pendeteksi ini memeriksa apakah instance memiliki alamat IP publik atau tidak. |
AUTO_UPGRADE_DISABLED |
Detektor ini memeriksa apakah fitur upgrade otomatis cluster GKE dinonaktifkan. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan container. |
LEGACY_AUTHORIZATION_ENABLED |
Detektor ini memeriksa apakah Otorisasi Lama diaktifkan di cluster GKE. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan container. |
CLUSTER_MONITORING_DISABLED |
Detektor ini memeriksa apakah pemantauan dinonaktifkan di cluster GKE. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan container. |
OPEN_CISCOSECURE_WEBSM_PORT |
Pendeteksi ini memeriksa apakah firewall memiliki port CISCOSECURE_WEBSM terbuka yang mengizinkan akses generik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall. |
OPEN_RDP_PORT |
Detektor ini memeriksa apakah firewall memiliki port RDP terbuka yang mengizinkan akses generik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall. |
WEB_UI_ENABLED |
Detektor ini memeriksa apakah UI web GKE diaktifkan atau tidak. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan container. |
FIREWALL_RULE_LOGGING_DISABLED |
Pendeteksi ini memeriksa apakah logging aturan firewall dinonaktifkan. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall. |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
Pendeteksi ini memeriksa apakah pengguna memiliki peran akun layanan di level project, bukan untuk akun layanan tertentu. |
PRIVATE_CLUSTER_DISABLED |
Detektor ini memeriksa apakah cluster GKE telah menonaktifkan cluster pribadi. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan container. |
PRIMITIVE_ROLES_USED |
Pendeteksi ini memeriksa apakah pengguna memiliki peran dasar (Pemilik, Editor, atau Pengakses Lihat-Saja). Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan IAM. |
REDIS_ROLE_USED_ON_ORG |
Pendeteksi ini memeriksa apakah peran Redis IAM ditetapkan ke organisasi atau folder. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan IAM. |
PUBLIC_BUCKET_ACL |
Pendeteksi ini memeriksa apakah bucket dapat diakses secara publik. |
OPEN_MEMCACHED_PORT |
Detektor ini memeriksa apakah firewall memiliki port MEMCACHED terbuka yang memungkinkan akses generik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall. |
OVER_PRIVILEGED_ACCOUNT |
Pendeteksi ini memeriksa apakah akun layanan memiliki akses project yang terlalu luas di cluster. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan container. |
AUTO_REPAIR_DISABLED |
Detektor ini memeriksa apakah fitur perbaikan otomatis cluster GKE dinonaktifkan. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan container. |
NETWORK_POLICY_DISABLED |
Detektor ini memeriksa apakah kebijakan jaringan dinonaktifkan di cluster. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan container. |
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED |
Pendeteksi ini memeriksa apakah host cluster tidak dikonfigurasi untuk hanya menggunakan alamat IP internal pribadi guna mengakses Google API. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan container. |
OPEN_CASSANDRA_PORT |
Pendeteksi ini memeriksa apakah firewall memiliki port Cassandra terbuka yang memungkinkan akses generik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall. |
TOO_MANY_KMS_USERS |
Pendeteksi ini memeriksa apakah ada lebih dari tiga pengguna kunci kriptografis. Untuk informasi selengkapnya, lihat Temuan kerentanan KMS. |
OPEN_POSTGRESQL_PORT |
Detektor ini memeriksa apakah firewall memiliki port PostgreSQL terbuka yang mengizinkan akses generik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall. |
IP_ALIAS_DISABLED |
Pendeteksi ini memeriksa apakah cluster GKE dibuat dengan rentang alamat IP alias dinonaktifkan. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan container. |
PUBLIC_SQL_INSTANCE |
Detektor ini memeriksa apakah Cloud SQL mengizinkan koneksi dari semua alamat IP. |
OPEN_ELASTICSEARCH_PORT |
Pendeteksi ini memeriksa apakah firewall memiliki port Elasticsearch terbuka yang memungkinkan akses generik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall. |
Definisi YAML
Berikut adalah definisi YAML untuk template postur PCI DSS.
name: organizations/123/locations/global/postureTemplates/pci_dss_v_3_2_1
description: Posture Template to make your workload PCI-DSS v3.2.1 compliant.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: PCI-DSS v3.2.1 detective policy set
description: 58 SHA modules that new customers can automatically enable.
policies:
- policy_id: Public dataset
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_DATASET
- policy_id: Non org IAM member
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: NON_ORG_IAM_MEMBER
- policy_id: KMS project has owner
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_PROJECT_HAS_OWNER
- policy_id: Audit logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUDIT_LOGGING_DISABLED
- policy_id: SSL not enforced
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SSL_NOT_ENFORCED
- policy_id: Locked retention policy not set
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LOCKED_RETENTION_POLICY_NOT_SET
- policy_id: KMS key not rotated
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_KEY_NOT_ROTATED
- policy_id: Open SMTP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_SMTP_PORT
- policy_id: SQL no root password
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_NO_ROOT_PASSWORD
- policy_id: Open LDAP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_LDAP_PORT
- policy_id: Open oracle db port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_ORACLEDB_PORT
- policy_id: Open SSH port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_SSH_PORT
- policy_id: MFA not enforced
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: MFA_NOT_ENFORCED
- policy_id: COS not used
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: COS_NOT_USED
- policy_id: HTTP load balancer
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: HTTP_LOAD_BALANCER
- policy_id: Egress deny rule not set
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: EGRESS_DENY_RULE_NOT_SET
- policy_id: Public log bucket
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_LOG_BUCKET
- policy_id: Open directory services port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_DIRECTORY_SERVICES_PORT
- policy_id: Open mysql port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_MYSQL_PORT
- policy_id: Open FTP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_FTP_PORT
- policy_id: Open firewall
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_FIREWALL
- policy_id: Weak SSL policy
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: WEAK_SSL_POLICY
- policy_id: Open POP3 port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_POP3_PORT
- policy_id: Open netbios port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_NETBIOS_PORT
- policy_id: Flow logs disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FLOW_LOGS_DISABLED
- policy_id: Open mongo db port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_MONGODB_PORT
- policy_id: Master authorized networks disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: MASTER_AUTHORIZED_NETWORKS_DISABLED
- policy_id: Open redis port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_REDIS_PORT
- policy_id: Open dns port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_DNS_PORT
- policy_id: Open telnet port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_TELNET_PORT
- policy_id: Open HTTP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_HTTP_PORT
- policy_id: Cluster logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CLUSTER_LOGGING_DISABLED
- policy_id: Full API access
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FULL_API_ACCESS
- policy_id: Object versioning disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OBJECT_VERSIONING_DISABLED
- policy_id: Public IP address
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_IP_ADDRESS
- policy_id: Auto upgrade disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUTO_UPGRADE_DISABLED
- policy_id: Legacy authorization enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LEGACY_AUTHORIZATION_ENABLED
- policy_id: Cluster monitoring disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CLUSTER_MONITORING_DISABLED
- policy_id: Open ciscosecure websm port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_CISCOSECURE_WEBSM_PORT
- policy_id: Open RDP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_RDP_PORT
- policy_id: Web UI enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: WEB_UI_ENABLED
- policy_id: Firewall rule logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FIREWALL_RULE_LOGGING_DISABLED
- policy_id: Over privileged service account user
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OVER_PRIVILEGED_SERVICE_ACCOUNT_USER
- policy_id: Private cluster disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PRIVATE_CLUSTER_DISABLED
- policy_id: Primitive roles used
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PRIMITIVE_ROLES_USED
- policy_id: Redis role used on org
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: REDIS_ROLE_USED_ON_ORG
- policy_id: Public bucket ACL
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_BUCKET_ACL
- policy_id: Open memcached port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_MEMCACHED_PORT
- policy_id: Over privileged account
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OVER_PRIVILEGED_ACCOUNT
- policy_id: Auto repair disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUTO_REPAIR_DISABLED
- policy_id: Network policy disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: NETWORK_POLICY_DISABLED
- policy_id: Cluster private google access disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED
- policy_id: Open cassandra port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_CASSANDRA_PORT
- policy_id: Too many KMS users
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: TOO_MANY_KMS_USERS
- policy_id: Open postgresql port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_POSTGRESQL_PORT
- policy_id: IP alias disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: IP_ALIAS_DISABLED
- policy_id: Public SQL instance
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_SQL_INSTANCE
- policy_id: Open elasticsearch port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_ELASTICSEARCH_PORT