Diese Seite wurde von der Cloud Translation API übersetzt.

Vordefinierte Vorlage für den CIS Benchmark v2.0

Auf dieser Seite werden die ermittelnden Richtlinien beschrieben, die in der Version 1.0 der vordefinierten Vorlage für die Sicherheitslage für den Center for Internet Security (CIS) Google Cloud Computing Platform Benchmark v2.0.0 enthalten sind. Mit dieser vordefinierten Konfiguration können Sie erkennen, wann Ihre Google Cloud Umgebung nicht dem CIS-Benchmark entspricht.

Sie können diese Vorlage für den Sicherheitsstatus ohne Änderungen bereitstellen.

In der folgenden Tabelle werden die Security Health Analytics-Detektoren beschrieben, die in der Statusvorlage enthalten sind. Weitere Informationen zu diesen Detektoren finden Sie unter Ergebnisse zu Sicherheitslücken.

Detektorname	Beschreibung
`ACCESS_TRANSPARENCY_DISABLED`	Dieser Detektor prüft, ob Access Transparency deaktiviert ist.
`ADMIN_SERVICE_ACCOUNT`	Dieser Detektor prüft, ob ein Dienstkonto die Berechtigungen Administrator, Inhaber oder Bearbeiter hat.
`ESSENTIAL_CONTACTS_NOT_CONFIGURED`	Dieser Detektor prüft, ob Sie mindestens einen wichtigen Kontakt haben.
`API_KEY_APIS_UNRESTRICTED`	Dieser Detektor prüft, ob API-Schlüssel zu umfassend verwendet werden.
`API_KEY_EXISTS`	Dieser Detector prüft, ob in einem Projekt API-Schlüssel anstelle der Standardauthentifizierung verwendet werden.
`API_KEY_NOT_ROTATED`	Dieser Detektor prüft, ob ein API-Schlüssel in den letzten 90 Tagen rotiert wurde.
`AUDIT_CONFIG_NOT_MONITORED`	Dieser Detektor prüft, ob Änderungen an der Audit-Konfiguration überwacht werden.
`AUDIT_LOGGING_DISABLED`	Dieser Detektor prüft, ob das Audit-Logging für eine Ressource deaktiviert ist.
`AUTO_BACKUP_DISABLED`	Dieser Detektor prüft, ob für eine Cloud SQL-Datenbank keine automatischen Sicherungen aktiviert sind.
`BIGQUERY_TABLE_CMEK_DISABLED`	Dieser Detektor prüft, ob eine BigQuery-Tabelle nicht für die Verwendung eines vom Kunden verwalteten Verschlüsselungsschlüssels (Customer-Managed Encryption Key, CMEK) konfiguriert ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Datasets.
`BUCKET_IAM_NOT_MONITORED`	Mit diesem Detector wird geprüft, ob die Protokollierung für Änderungen an IAM-Berechtigungen in Cloud Storage deaktiviert ist.
`BUCKET_POLICY_ONLY_DISABLED`	Dieser Detektor prüft, ob der einheitliche Zugriff auf Bucket-Ebene konfiguriert ist.
`CLOUD_ASSET_API_DISABLED`	Dieser Detektor prüft, ob Cloud Asset Inventory deaktiviert ist.
`COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED`	Dieser Detektor prüft, ob projektweite SSH-Schlüssel verwendet werden.
`COMPUTE_SERIAL_PORTS_ENABLED`	Dieser Detektor prüft, ob serielle Ports aktiviert sind.
`CONFIDENTIAL_COMPUTING_DISABLED`	Dieser Detektor prüft, ob Confidential Computing deaktiviert ist.
`CUSTOM_ROLE_NOT_MONITORED`	Dieser Detektor prüft, ob die Protokollierung für Änderungen an benutzerdefinierten Rollen deaktiviert ist.
`DATAPROC_CMEK_DISABLED`	Dieser Detektor prüft, ob die CMEK-Unterstützung für einen Dataproc-Cluster deaktiviert ist.
`DATASET_CMEK_DISABLED`	Mit diesem Detector wird geprüft, ob die CMEK-Unterstützung für ein BigQuery-Dataset deaktiviert ist.
`DEFAULT_NETWORK`	Dieser Detektor prüft, ob das Standardnetzwerk in einem Projekt vorhanden ist.
`DEFAULT_SERVICE_ACCOUNT_USED`	Mit diesem Detektor wird geprüft, ob das Standarddienstkonto verwendet wird.
`DISK_CSEK_DISABLED`	Dieser Detektor prüft, ob die Unterstützung von vom Kunden bereitgestellten Verschlüsselungsschlüsseln (Customer-Supplied Encryption Keys, CSEK) für eine VM deaktiviert ist.
`DNS_LOGGING_DISABLED`	Mit diesem Detektor wird geprüft, ob das DNS-Logging im VPC-Netzwerk aktiviert ist.
`DNSSEC_DISABLED`	Dieser Detector prüft, ob DNSSEC für Cloud DNS-Zonen deaktiviert ist.
`FIREWALL_NOT_MONITORED`	Dieser Detector prüft, ob Logmesswerte und Benachrichtigungen für das Monitoring von Änderungen an VPC-Firewallregeln konfiguriert sind.
`VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED`	Dieser Detektor prüft, ob VPC-Flusslogs nicht aktiviert sind.
`FULL_API_ACCESS`	Dieser Detector prüft, ob eine Instanz ein Standarddienstkonto mit uneingeschränktem Zugriff auf alle Google Cloud APIs verwendet.
`INSTANCE_OS_LOGIN_DISABLED`	Dieser Detektor prüft, ob OS Login nicht aktiviert ist.
`IP_FORWARDING_ENABLED`	Dieser Detektor prüft, ob die IP-Weiterleitung aktiviert ist.
`KMS_KEY_NOT_ROTATED`	Dieser Detektor prüft, ob die Rotation für die Cloud Key Management Service-Verschlüsselung nicht aktiviert ist.
`KMS_PROJECT_HAS_OWNER`	Dieser Detektor prüft, ob ein Nutzer die Berechtigung Inhaber für ein Projekt mit Schlüsseln hat.
`KMS_PUBLIC_KEY`	Dieser Detector prüft, ob ein kryptografischer Cloud Key Management Service-Schlüssel öffentlich zugänglich ist. Weitere Informationen finden Sie unter KMS-Ergebnisse zu Sicherheitslücken.
`KMS_ROLE_SEPARATION`	Dieser Detektor prüft die Aufgabenverteilung für Cloud KMS-Schlüssel.
`LEGACY_NETWORK`	Dieser Detektor prüft, ob ein Legacy-Netzwerk in einem Projekt vorhanden ist.
`LOCKED_RETENTION_POLICY_NOT_SET`	Dieser Detektor prüft, ob die gesperrte Aufbewahrungsrichtlinie für Logs festgelegt ist.
`LOAD_BALANCER_LOGGING_DISABLED`	Dieser Detektor prüft, ob die Protokollierung für den Load-Balancer deaktiviert ist.
`LOG_NOT_EXPORTED`	Dieser Detektor prüft, ob für eine Ressource keine Logsenke konfiguriert ist.
`MFA_NOT_ENFORCED`	Dieser Detektor prüft, ob ein Nutzer die Bestätigung in zwei Schritten nicht verwendet.
`NETWORK_NOT_MONITORED`	Dieser Detektor prüft, ob Logmesswerte und Benachrichtigungen für das Monitoring von Änderungen am VPC-Netzwerk konfiguriert sind.
`NON_ORG_IAM_MEMBER`	Dieser Detektor prüft, ob ein Nutzer keine organisationsgebundenen Anmeldedaten verwendet.
`OPEN_RDP_PORT`	Dieser Detektor prüft, ob eine Firewall einen offenen RDP-Port hat.
`OPEN_SSH_PORT`	Mit diesem Detektor wird geprüft, ob eine Firewall einen offenen SSH-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls.
`OS_LOGIN_DISABLED`	Dieser Detektor prüft, ob OS Login deaktiviert ist.
`OVER_PRIVILEGED_SERVICE_ACCOUNT_USER`	Dieser Detektor prüft, ob ein Nutzer Dienstkontorollen auf Projektebene und nicht für ein bestimmtes Dienstkonto hat.
`OWNER_NOT_MONITORED`	Dieser Detektor prüft, ob die Protokollierung für Zuweisungen und Änderungen der Projektinhaberschaft deaktiviert ist.
`PUBLIC_BUCKET_ACL`	Dieser Detektor prüft, ob ein Bucket öffentlich zugänglich ist.
`PUBLIC_DATASET`	Dieser Detektor prüft, ob ein Dataset für den öffentlichen Zugriff konfiguriert ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Datasets.
`PUBLIC_IP_ADDRESS`	Dieser Detektor prüft, ob eine Instanz eine externe IP-Adresse hat.
`PUBLIC_SQL_INSTANCE`	Dieser Detektor prüft, ob eine Cloud SQL-Instanz Verbindungen von allen IP-Adressen zulässt.
`ROUTE_NOT_MONITORED`	Dieser Detector prüft, ob Logmesswerte und Benachrichtigungen nicht für das Monitoring von Änderungen an der VPC-Netzwerkroute konfiguriert sind.
`RSASHA1_FOR_SIGNING`	Dieser Detektor prüft, ob RSASHA1 für die Schlüsselsignierung in Cloud DNS-Zonen verwendet wird.
`SERVICE_ACCOUNT_KEY_NOT_ROTATED`	Mit diesem Detector wird geprüft, ob ein Dienstkontoschlüssel in den letzten 90 Tagen rotiert wurde.
`SERVICE_ACCOUNT_ROLE_SEPARATION`	Dieser Detektor prüft die Funktionstrennung für Dienstkontoschlüssel.
`SHIELDED_VM_DISABLED`	Dieser Detektor prüft, ob Shielded VM deaktiviert ist.
`SQL_CONTAINED_DATABASE_AUTHENTICATION`	Mit diesem Detektor wird geprüft, ob das Flag `contained database authentication` in Cloud SQL for SQL Server deaktiviert ist.
`SQL_CROSS_DB_OWNERSHIP_CHAINING`	Mit diesem Detektor wird geprüft, ob das Flag `cross_db_ownership_chaining` in Cloud SQL for SQL Server deaktiviert ist.
`SQL_EXTERNAL_SCRIPTS_ENABLED`	Mit diesem Detektor wird geprüft, ob das Flag `external scripts enabled` in Cloud SQL for SQL Server deaktiviert ist.
`SQL_INSTANCE_NOT_MONITORED`	Mit diesem Detektor wird geprüft, ob das Logging für Änderungen an der Cloud SQL-Konfiguration deaktiviert ist.
`SQL_LOCAL_INFILE`	Dieser Detektor prüft, ob das Flag `local_infile` in Cloud SQL for MySQL nicht deaktiviert ist.
`SQL_LOG_CONNECTIONS_DISABLED`	Dieser Detector prüft, ob das Flag `log_connections` in Cloud SQL for PostgreSQL aktiviert ist.
`SQL_LOG_DISCONNECTIONS_DISABLED`	Dieser Detector prüft, ob das Flag `log_disconnections` in Cloud SQL for PostgreSQL aktiviert ist.
`SQL_LOG_ERROR_VERBOSITY`	Dieser Detector prüft, ob das Flag `log_error_verbosity` in Cloud SQL for PostgreSQL nicht auf `default` gesetzt ist.
`SQL_LOG_MIN_DURATION_STATEMENT_ENABLED`	Dieser Detector prüft, ob das Flag `log_min_duration_statement` in Cloud SQL for PostgreSQL nicht auf `-1` gesetzt ist.
`SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY`	Dieser Detector prüft, ob das Flag `log_min_error_statement` in Cloud SQL for PostgreSQL keinen geeigneten Schweregrad hat.
`SQL_LOG_MIN_MESSAGES`	Dieser Detector prüft, ob das Flag `log_min_messages` in Cloud SQL for PostgreSQL nicht auf `warning` gesetzt ist.
`SQL_LOG_STATEMENT`	Dieser Detector prüft, ob das Flag `log_statement` in Cloud SQL for PostgreSQL Server nicht auf `ddl` gesetzt ist.
`SQL_NO_ROOT_PASSWORD`	Dieser Detector prüft, ob für eine Cloud SQL-Datenbank mit einer externen IP-Adresse kein Passwort für das Root-Konto festgelegt ist.
`SQL_PUBLIC_IP`	Dieser Detector prüft, ob eine Cloud SQL-Datenbank eine externe IP-Adresse hat.
`SQL_REMOTE_ACCESS_ENABLED`	Mit diesem Detektor wird geprüft, ob das Flag `remote_access` in Cloud SQL for SQL Server deaktiviert ist.
`SQL_SKIP_SHOW_DATABASE_DISABLED`	Dieser Detektor prüft, ob das Flag `skip_show_database` in Cloud SQL for MySQL deaktiviert ist.
`SQL_TRACE_FLAG_3625`	Mit diesem Detector wird geprüft, ob das Flag `3625 (trace flag)` in Cloud SQL for SQL Server deaktiviert ist.
`SQL_USER_CONNECTIONS_CONFIGURED`	Dieser Detector prüft, ob das Flag `user connections` in Cloud SQL for SQL Server konfiguriert ist.
`SQL_USER_OPTIONS_CONFIGURED`	Dieser Detector prüft, ob das Flag `user options` in Cloud SQL for SQL Server konfiguriert ist.
`USER_MANAGED_SERVICE_ACCOUNT_KEY`	Dieser Detektor prüft, ob ein Nutzer einen Dienstkontoschlüssel verwaltet.
`WEAK_SSL_POLICY`	Dieser Detektor prüft, ob eine Instanz eine schwache SSL-Richtlinie hat.

Statusvorlage ansehen

So rufen Sie die Vorlage für die Sicherheitskonfiguration für CIS Benchmark v2.0 auf:

gcloud

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

ORGANIZATION_ID: die numerische ID der Organisation

Führen Sie den Befehl gcloud scc posture-templates describe aus:

Linux, macOS oder Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

Die Antwort enthält die Vorlage für die Haltung.

REST

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

ORGANIZATION_ID: die numerische ID der Organisation

HTTP-Methode und URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto bei der gcloud-Befehlszeile angemeldet haben. Dazu haben Sie gcloud init oder gcloud auth login ausgeführt oder die Cloud Shell genutzt, die Sie automatisch bei der gcloud-Befehlszeile anmeldet. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Führen Sie folgenden Befehl aus:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0"

PowerShell (Windows)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto bei der gcloud-Befehlszeile angemeldet haben. Dazu führen Sie gcloud init oder gcloud auth login aus. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Führen Sie folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0" | Select-Object -Expand Content

Die Antwort enthält die Vorlage für die Haltung.

Nächste Schritte

Sicherheitsstatus mit diesem vordefinierten Status erstellen

Vordefinierte Vorlage für den CIS Benchmark v2.0 Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Statusvorlage ansehen

gcloud

Linux, macOS oder Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS oder Cloud Shell)

PowerShell (Windows)

Nächste Schritte

Vordefinierte Vorlage für den CIS Benchmark v2.0