本页介绍了支付卡行业数据安全标准 (PCI DSS) 3.2.1 版和 1.0 版预定义状态模板 v1.0 版中包含的检测政策。此模板包含一组政策集,其中定义了 Security Health Analytics 检测器,这些检测器适用于必须符合 PCI DSS 标准的工作负载。
您无需进行任何更改即可部署此安全状况模板。
Security Health Analytics 检测器
下表介绍了此安全状况模板中包含的 Security Health Analytics 检测器。
| 检测器名称 | 说明 |
|---|---|
PUBLIC_DATASET |
此检测器会检查数据集是否已配置为允许公开访问。如需了解详情,请参阅数据集漏洞发现结果。 |
NON_ORG_IAM_MEMBER |
此检测器会检查用户是否未使用组织凭据。 |
KMS_PROJECT_HAS_OWNER |
此检测器会检查用户是否对包含键的项目具有 Owner 权限。 |
AUDIT_LOGGING_DISABLED |
此检测器会检查是否为资源关闭了审核日志记录功能。 |
SSL_NOT_ENFORCED |
此检测器会检查 Cloud SQL 数据库实例是否未使用 SSL 处理所有传入连接。如需了解详情,请参阅 SQL 漏洞发现结果。 |
LOCKED_RETENTION_POLICY_NOT_SET |
此检测器会检查是否为日志设置了锁定的保留政策。 |
KMS_KEY_NOT_ROTATED |
此检测器会检查是否未为 Cloud Key Management Service 加密开启轮替。 |
OPEN_SMTP_PORT |
此检测器会检查防火墙是否具有允许一般访问的开放 SMTP 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
SQL_NO_ROOT_PASSWORD |
此检测器会检查具有公共 IP 地址的 Cloud SQL 数据库是否没有根账号的密码。 |
OPEN_LDAP_PORT |
此检测器会检查防火墙是否具有允许一般访问的开放 LDAP 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
OPEN_ORACLEDB_PORT |
此检测器会检查防火墙是否具有允许一般访问的开放 Oracle 数据库端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
OPEN_SSH_PORT |
此检测器会检查防火墙是否具有允许一般访问的开放 SSH 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
MFA_NOT_ENFORCED |
此检测器会检查用户是否未使用两步验证。 |
COS_NOT_USED |
此检测器会检查 Compute Engine 虚拟机是否未使用 Container-Optimized OS。如需了解详情,请参阅容器漏洞发现结果。 |
HTTP_LOAD_BALANCER |
此检测器会检查 Compute Engine 实例是否使用了配置为使用目标 HTTP 代理(而非目标 HTTPS 代理)的负载均衡器。如需了解详情,请参阅计算实例漏洞发现结果。 |
EGRESS_DENY_RULE_NOT_SET |
此检测器会检查防火墙上是否未设置出站拒绝规则。如需了解详情,请参阅防火墙漏洞发现结果。 |
PUBLIC_LOG_BUCKET |
此检测器会检查带有日志接收器的存储桶是否可公开访问。 |
OPEN_DIRECTORY_SERVICES_PORT |
此检测器会检查防火墙是否具有允许一般访问的开放 DIRECTORY_SERVICES 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
OPEN_MYSQL_PORT |
此检测器会检查防火墙是否具有允许常规访问的开放 MySQL 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
OPEN_FTP_PORT |
此检测器会检查防火墙是否具有允许一般访问的开放 FTP 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
OPEN_FIREWALL |
此检测器会检查防火墙是否向公众开放。如需了解详情,请参阅防火墙漏洞发现结果。 |
WEAK_SSL_POLICY |
此检测器会检查实例是否具有弱 SSL 政策。 |
OPEN_POP3_PORT |
此检测器会检查防火墙是否具有允许常规访问的开放 POP3 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
OPEN_NETBIOS_PORT |
此检测器会检查防火墙是否具有允许一般访问的开放 NETBIOS 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
FLOW_LOGS_DISABLED |
此检测器会检查 VPC 子网是否启用了流日志。 |
OPEN_MONGODB_PORT |
此检测器会检查防火墙是否具有允许常规访问的开放 Mongo 数据库端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
MASTER_AUTHORIZED_NETWORKS_DISABLED |
此检测器会检查 GKE 集群上是否未启用控制平面授权的网络。如需了解详情,请参阅容器漏洞发现结果。 |
OPEN_REDIS_PORT |
此检测器会检查防火墙是否具有允许常规访问的开放 REDIS 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
OPEN_DNS_PORT |
此检测器会检查防火墙是否具有允许一般访问的开放 DNS 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
OPEN_TELNET_PORT |
此检测器会检查防火墙是否具有允许一般访问的开放 TELNET 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
OPEN_HTTP_PORT |
此检测器会检查防火墙是否具有允许一般访问的开放 HTTP 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
CLUSTER_LOGGING_DISABLED |
此检测器会检查 GKE 集群未启用日志记录功能。如需了解详情,请参阅容器漏洞发现结果。 |
FULL_API_ACCESS |
此检测器会检查实例是否使用对所有 Google Cloud API 拥有完整访问权限的默认服务帐号。 |
OBJECT_VERSIONING_DISABLED |
此检测器会检查在具有接收器的存储分区中是否启用了对象版本控制。 |
PUBLIC_IP_ADDRESS |
此检测器会检查实例是否具有公共 IP 地址。 |
AUTO_UPGRADE_DISABLED |
此检测器会检查 GKE 集群的自动升级功能是否已停用。如需了解详情,请参阅容器漏洞发现结果。 |
LEGACY_AUTHORIZATION_ENABLED |
此检测器会检查 GKE 集群是否启用了旧版授权。如需了解详情,请参阅容器漏洞发现结果。 |
CLUSTER_MONITORING_DISABLED |
此检测器会检查 GKE 集群是否已停用监控功能。如需了解详情,请参阅容器漏洞发现结果。 |
OPEN_CISCOSECURE_WEBSM_PORT |
此检测器会检查防火墙是否具有允许一般访问的开放 CISCOSECURE_WEBSM 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
OPEN_RDP_PORT |
此检测器会检查防火墙是否具有允许一般访问的开放 RDP 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
WEB_UI_ENABLED |
此检测器会检查 GKE 网页界面是否已启用。如需了解详情,请参阅容器漏洞发现结果。 |
FIREWALL_RULE_LOGGING_DISABLED |
此检测器会检查防火墙规则日志记录是否已停用。如需了解详情,请参阅防火墙漏洞发现结果。 |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
此检测器会检查用户是否具有项目级的服务帐号角色,而不是特定服务帐号的角色。 |
PRIVATE_CLUSTER_DISABLED |
此检测器会检查 GKE 集群是否已停用专用集群。如需了解详情,请参阅容器漏洞发现结果。 |
PRIMITIVE_ROLES_USED |
此检测器会检查用户是否具有基本角色(Owner、Editor 或 Viewer)。如需了解详情,请参阅 IAM 漏洞发现结果。 |
REDIS_ROLE_USED_ON_ORG |
此检测器会检查 Redis IAM 角色是否已分配给组织或文件夹。如需了解详情,请参阅 IAM 漏洞发现结果。 |
PUBLIC_BUCKET_ACL |
此检测器会检查存储桶是否可公开访问。 |
OPEN_MEMCACHED_PORT |
此检测器会检查防火墙是否具有允许常规访问的开放 MEMCACHED 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
OVER_PRIVILEGED_ACCOUNT |
此检测器会检查服务帐号在集群中是否具有过于宽泛的项目访问权限。如需了解详情,请参阅容器漏洞发现结果。 |
AUTO_REPAIR_DISABLED |
此检测器会检查 GKE 集群的自动修复功能是否已停用。如需了解详情,请参阅容器漏洞发现结果。 |
NETWORK_POLICY_DISABLED |
此检测器会检查集群是否已停用网络政策。如需了解详情,请参阅容器漏洞发现结果。 |
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED |
此检测器会检查集群主机是否未配置为仅使用专用内部 IP 地址访问 Google API。如需了解详情,请参阅容器漏洞发现结果。 |
OPEN_CASSANDRA_PORT |
此检测器会检查防火墙是否具有允许常规访问的开放 Cassandra 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
TOO_MANY_KMS_USERS |
此检测器会检查是否超过 3 个使用加密密钥的用户。如需了解详情,请参阅 KMS 漏洞发现结果。 |
OPEN_POSTGRESQL_PORT |
此检测器会检查防火墙是否具有允许常规访问的开放 PostgreSQL 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
IP_ALIAS_DISABLED |
此检测器会检查在创建 GKE 集群时是否停用了别名 IP 地址范围。如需了解详情,请参阅容器漏洞发现结果。 |
PUBLIC_SQL_INSTANCE |
此检测器会检查 Cloud SQL 是否允许来自所有 IP 地址的连接。 |
OPEN_ELASTICSEARCH_PORT |
此检测器会检查防火墙是否具有允许常规访问的开放 Elasticsearch 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
YAML 定义
以下是 PCI DSS 安全状况模板的 YAML 定义。
name: organizations/123/locations/global/postureTemplates/pci_dss_v_3_2_1
description: Posture Template to make your workload PCI-DSS v3.2.1 compliant.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: PCI-DSS v3.2.1 detective policy set
description: 58 SHA modules that new customers can automatically enable.
policies:
- policy_id: Public dataset
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_DATASET
- policy_id: Non org IAM member
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: NON_ORG_IAM_MEMBER
- policy_id: KMS project has owner
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_PROJECT_HAS_OWNER
- policy_id: Audit logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUDIT_LOGGING_DISABLED
- policy_id: SSL not enforced
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SSL_NOT_ENFORCED
- policy_id: Locked retention policy not set
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LOCKED_RETENTION_POLICY_NOT_SET
- policy_id: KMS key not rotated
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_KEY_NOT_ROTATED
- policy_id: Open SMTP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_SMTP_PORT
- policy_id: SQL no root password
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_NO_ROOT_PASSWORD
- policy_id: Open LDAP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_LDAP_PORT
- policy_id: Open oracle db port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_ORACLEDB_PORT
- policy_id: Open SSH port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_SSH_PORT
- policy_id: MFA not enforced
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: MFA_NOT_ENFORCED
- policy_id: COS not used
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: COS_NOT_USED
- policy_id: HTTP load balancer
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: HTTP_LOAD_BALANCER
- policy_id: Egress deny rule not set
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: EGRESS_DENY_RULE_NOT_SET
- policy_id: Public log bucket
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_LOG_BUCKET
- policy_id: Open directory services port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_DIRECTORY_SERVICES_PORT
- policy_id: Open mysql port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_MYSQL_PORT
- policy_id: Open FTP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_FTP_PORT
- policy_id: Open firewall
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_FIREWALL
- policy_id: Weak SSL policy
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: WEAK_SSL_POLICY
- policy_id: Open POP3 port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_POP3_PORT
- policy_id: Open netbios port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_NETBIOS_PORT
- policy_id: Flow logs disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FLOW_LOGS_DISABLED
- policy_id: Open mongo db port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_MONGODB_PORT
- policy_id: Master authorized networks disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: MASTER_AUTHORIZED_NETWORKS_DISABLED
- policy_id: Open redis port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_REDIS_PORT
- policy_id: Open dns port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_DNS_PORT
- policy_id: Open telnet port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_TELNET_PORT
- policy_id: Open HTTP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_HTTP_PORT
- policy_id: Cluster logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CLUSTER_LOGGING_DISABLED
- policy_id: Full API access
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FULL_API_ACCESS
- policy_id: Object versioning disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OBJECT_VERSIONING_DISABLED
- policy_id: Public IP address
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_IP_ADDRESS
- policy_id: Auto upgrade disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUTO_UPGRADE_DISABLED
- policy_id: Legacy authorization enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LEGACY_AUTHORIZATION_ENABLED
- policy_id: Cluster monitoring disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CLUSTER_MONITORING_DISABLED
- policy_id: Open ciscosecure websm port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_CISCOSECURE_WEBSM_PORT
- policy_id: Open RDP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_RDP_PORT
- policy_id: Web UI enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: WEB_UI_ENABLED
- policy_id: Firewall rule logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FIREWALL_RULE_LOGGING_DISABLED
- policy_id: Over privileged service account user
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OVER_PRIVILEGED_SERVICE_ACCOUNT_USER
- policy_id: Private cluster disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PRIVATE_CLUSTER_DISABLED
- policy_id: Primitive roles used
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PRIMITIVE_ROLES_USED
- policy_id: Redis role used on org
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: REDIS_ROLE_USED_ON_ORG
- policy_id: Public bucket ACL
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_BUCKET_ACL
- policy_id: Open memcached port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_MEMCACHED_PORT
- policy_id: Over privileged account
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OVER_PRIVILEGED_ACCOUNT
- policy_id: Auto repair disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUTO_REPAIR_DISABLED
- policy_id: Network policy disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: NETWORK_POLICY_DISABLED
- policy_id: Cluster private google access disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED
- policy_id: Open cassandra port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_CASSANDRA_PORT
- policy_id: Too many KMS users
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: TOO_MANY_KMS_USERS
- policy_id: Open postgresql port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_POSTGRESQL_PORT
- policy_id: IP alias disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: IP_ALIAS_DISABLED
- policy_id: Public SQL instance
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_SQL_INSTANCE
- policy_id: Open elasticsearch port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_ELASTICSEARCH_PORT