Esta página se ha traducido con Cloud Translation API.

Plantilla de postura predefinida para CIS Benchmark v2.0

En esta página se describen las políticas de detección que se incluyen en la versión 1.0 de la plantilla de postura predefinida para Center for Internet Security (CIS) Google Cloud Computing Platform Benchmark v2.0.0. Esta postura predefinida te ayuda a detectar cuándo tu Google Cloud entorno no se ajusta a la comparativa del CIS.

Puedes implementar esta plantilla de postura sin hacer ningún cambio.

En la siguiente tabla se describen los detectores de Security Health Analytics que se incluyen en la plantilla de postura. Para obtener más información sobre estos detectores, consulta Resultados de vulnerabilidades.

Nombre del detector	Descripción
`ACCESS_TRANSPARENCY_DISABLED`	Este detector comprueba si Transparencia de acceso está desactivada.
`ADMIN_SERVICE_ACCOUNT`	Este detector comprueba si una cuenta de servicio tiene privilegios de administrador, propietario o editor.
`ESSENTIAL_CONTACTS_NOT_CONFIGURED`	Este detector comprueba si tienes al menos un contacto esencial.
`API_KEY_APIS_UNRESTRICTED`	Este detector comprueba si las claves de API se están usando de forma demasiado generalizada.
`API_KEY_EXISTS`	Este detector comprueba si un proyecto usa claves de API en lugar de la autenticación estándar.
`API_KEY_NOT_ROTATED`	Este detector comprueba si una clave de API se ha rotado en los últimos 90 días.
`AUDIT_CONFIG_NOT_MONITORED`	Este detector comprueba si se están monitorizando los cambios en la configuración de auditoría.
`AUDIT_LOGGING_DISABLED`	Este detector comprueba si el registro de auditoría está desactivado en un recurso.
`AUTO_BACKUP_DISABLED`	Este detector comprueba si una base de datos de Cloud SQL no tiene activadas las copias de seguridad automáticas.
`BIGQUERY_TABLE_CMEK_DISABLED`	Este detector comprueba si una tabla de BigQuery no está configurada para usar una clave de cifrado gestionada por el cliente (CMEK). Para obtener más información, consulta Resultados de vulnerabilidades de conjuntos de datos.
`BUCKET_IAM_NOT_MONITORED`	Este detector comprueba si el registro está desactivado para los cambios en los permisos de gestión de identidades y accesos de Cloud Storage.
`BUCKET_POLICY_ONLY_DISABLED`	Este detector comprueba si se ha configurado el acceso uniforme a nivel de segmento.
`CLOUD_ASSET_API_DISABLED`	Este detector comprueba si Inventario de Recursos de Cloud está desactivado.
`COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED`	Este detector comprueba si se están usando claves SSH de todo el proyecto.
`COMPUTE_SERIAL_PORTS_ENABLED`	Este detector comprueba si los puertos serie están habilitados.
`CONFIDENTIAL_COMPUTING_DISABLED`	Este detector comprueba si la función de computación confidencial está desactivada.
`CUSTOM_ROLE_NOT_MONITORED`	Este detector comprueba si el registro está desactivado para los cambios en los roles personalizados.
`DATAPROC_CMEK_DISABLED`	Este detector comprueba si la compatibilidad con CMEK está desactivada en un clúster de Dataproc.
`DATASET_CMEK_DISABLED`	Este detector comprueba si la compatibilidad con CMEK está desactivada en un conjunto de datos de BigQuery.
`DEFAULT_NETWORK`	Este detector comprueba si la red predeterminada existe en un proyecto.
`DEFAULT_SERVICE_ACCOUNT_USED`	Este detector comprueba si se está usando la cuenta de servicio predeterminada.
`DISK_CSEK_DISABLED`	Este detector comprueba si la compatibilidad con las claves de cifrado proporcionadas por el cliente (CSEK) está desactivada en una VM.
`DNS_LOGGING_DISABLED`	Este detector comprueba si el registro de DNS está habilitado en la red de VPC.
`DNSSEC_DISABLED`	Este detector comprueba si DNSSEC está desactivado en las zonas de Cloud DNS.
`FIREWALL_NOT_MONITORED`	Este detector comprueba si las métricas de registro y las alertas no están configuradas para monitorizar los cambios en las reglas de cortafuegos de VPC.
`VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED`	Este detector comprueba si los registros de flujo de VPC no están activados.
`FULL_API_ACCESS`	Este detector comprueba si una instancia está usando una cuenta de servicio predeterminada con acceso completo a todas las APIs. Google Cloud
`INSTANCE_OS_LOGIN_DISABLED`	Este detector comprueba si el inicio de sesión del SO no está activado.
`IP_FORWARDING_ENABLED`	Este detector comprueba si el reenvío de IP está activado.
`KMS_KEY_NOT_ROTATED`	Este detector comprueba si la rotación del cifrado del servicio de gestión de claves de Cloud no está activada.
`KMS_PROJECT_HAS_OWNER`	Este detector comprueba si un usuario tiene el permiso Propietario en un proyecto que incluye claves.
`KMS_PUBLIC_KEY`	Este detector comprueba si una clave criptográfica de Cloud Key Management Service es de acceso público. Para obtener más información, consulta Resultados de vulnerabilidades de KMS.
`KMS_ROLE_SEPARATION`	Este detector comprueba la separación de funciones de las claves de Cloud KMS.
`LEGACY_NETWORK`	Este detector comprueba si hay una red antigua en un proyecto.
`LOCKED_RETENTION_POLICY_NOT_SET`	Este detector comprueba si se ha definido la política de conservación bloqueada para los registros.
`LOAD_BALANCER_LOGGING_DISABLED`	Este detector comprueba si el registro está desactivado en el balanceador de carga.
`LOG_NOT_EXPORTED`	Este detector comprueba si un recurso no tiene configurado ningún sumidero de registros.
`MFA_NOT_ENFORCED`	Este detector comprueba si un usuario no está usando la verificación en dos pasos.
`NETWORK_NOT_MONITORED`	Este detector comprueba si las métricas de registro y las alertas no están configuradas para monitorizar los cambios en la red de VPC.
`NON_ORG_IAM_MEMBER`	Este detector comprueba si un usuario no está usando las credenciales de la organización.
`OPEN_RDP_PORT`	Este detector comprueba si un cortafuegos tiene un puerto RDP abierto.
`OPEN_SSH_PORT`	Este detector comprueba si un cortafuegos tiene un puerto SSH abierto que permite el acceso genérico. Para obtener más información, consulta Resultados de vulnerabilidades de firewall.
`OS_LOGIN_DISABLED`	Este detector comprueba si el inicio de sesión del SO está desactivado.
`OVER_PRIVILEGED_SERVICE_ACCOUNT_USER`	Este detector comprueba si un usuario tiene roles de cuenta de servicio a nivel de proyecto, en lugar de para una cuenta de servicio específica.
`OWNER_NOT_MONITORED`	Este detector comprueba si el registro está desactivado para las asignaciones y los cambios de propiedad del proyecto.
`PUBLIC_BUCKET_ACL`	Este detector comprueba si se puede acceder públicamente a un segmento.
`PUBLIC_DATASET`	Este detector comprueba si un conjunto de datos está configurado para que sea de acceso público. Para obtener más información, consulta Resultados de vulnerabilidades de conjuntos de datos.
`PUBLIC_IP_ADDRESS`	Este detector comprueba si una instancia tiene una dirección IP externa.
`PUBLIC_SQL_INSTANCE`	Este detector comprueba si una instancia de Cloud SQL permite conexiones desde todas las direcciones IP.
`ROUTE_NOT_MONITORED`	Este detector comprueba si las métricas de registro y las alertas no están configuradas para monitorizar los cambios en las rutas de la red de VPC.
`RSASHA1_FOR_SIGNING`	Este detector comprueba si se usa RSASHA1 para la firma de claves en las zonas de Cloud DNS.
`SERVICE_ACCOUNT_KEY_NOT_ROTATED`	Este detector comprueba si una clave de cuenta de servicio se ha rotado en los últimos 90 días.
`SERVICE_ACCOUNT_ROLE_SEPARATION`	Este detector comprueba la separación de funciones de las claves de cuentas de servicio.
`SHIELDED_VM_DISABLED`	Este detector comprueba si la VM blindada está desactivada.
`SQL_CONTAINED_DATABASE_AUTHENTICATION`	Este detector comprueba si la marca `contained database authentication` de Cloud SQL para SQL Server no está desactivada.
`SQL_CROSS_DB_OWNERSHIP_CHAINING`	Este detector comprueba si la marca `cross_db_ownership_chaining` de Cloud SQL para SQL Server no está desactivada.
`SQL_EXTERNAL_SCRIPTS_ENABLED`	Este detector comprueba si la marca `external scripts enabled` de Cloud SQL para SQL Server no está desactivada.
`SQL_INSTANCE_NOT_MONITORED`	Este detector comprueba si el registro está desactivado para los cambios en la configuración de Cloud SQL.
`SQL_LOCAL_INFILE`	Este detector comprueba si la marca `local_infile` de Cloud SQL para MySQL no está desactivada.
`SQL_LOG_CONNECTIONS_DISABLED`	Este detector comprueba si la marca `log_connections` de Cloud SQL para PostgreSQL no está activada.
`SQL_LOG_DISCONNECTIONS_DISABLED`	Este detector comprueba si la marca `log_disconnections` de Cloud SQL para PostgreSQL no está activada.
`SQL_LOG_ERROR_VERBOSITY`	Este detector comprueba si la marca `log_error_verbosity` de Cloud SQL para PostgreSQL no tiene el valor `default`.
`SQL_LOG_MIN_DURATION_STATEMENT_ENABLED`	Este detector comprueba si la marca `log_min_duration_statement` de Cloud SQL para PostgreSQL no tiene el valor `-1`.
`SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY`	Este detector comprueba si la marca `log_min_error_statement` de Cloud SQL para PostgreSQL no tiene un nivel de gravedad adecuado.
`SQL_LOG_MIN_MESSAGES`	Este detector comprueba si la marca `log_min_messages` de Cloud SQL para PostgreSQL no tiene el valor `warning`.
`SQL_LOG_STATEMENT`	Este detector comprueba si la marca `log_statement` del servidor de Cloud SQL para PostgreSQL no tiene el valor `ddl`.
`SQL_NO_ROOT_PASSWORD`	Este detector comprueba si una base de datos de Cloud SQL con una dirección IP externa no tiene una contraseña para la cuenta raíz.
`SQL_PUBLIC_IP`	Este detector comprueba si una base de datos de Cloud SQL tiene una dirección IP externa.
`SQL_REMOTE_ACCESS_ENABLED`	Este detector comprueba si la marca `remote_access` de Cloud SQL para SQL Server no está desactivada.
`SQL_SKIP_SHOW_DATABASE_DISABLED`	Este detector comprueba si la marca `skip_show_database` de Cloud SQL para MySQL no está activada.
`SQL_TRACE_FLAG_3625`	Este detector comprueba si la marca `3625 (trace flag)` de Cloud SQL para SQL Server no está activada.
`SQL_USER_CONNECTIONS_CONFIGURED`	Este detector comprueba si la marca `user connections` está configurada en Cloud SQL para SQL Server.
`SQL_USER_OPTIONS_CONFIGURED`	Este detector comprueba si la marca `user options` está configurada en Cloud SQL para SQL Server.
`USER_MANAGED_SERVICE_ACCOUNT_KEY`	Este detector comprueba si un usuario gestiona una clave de cuenta de servicio.
`WEAK_SSL_POLICY`	Este detector comprueba si una instancia tiene una política de SSL débil.

Ver la plantilla de postura

Para ver la plantilla de postura de CIS Benchmark v2.0, haga lo siguiente:

gcloud

Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:

ORGANIZATION_ID: el ID numérico de la organización

Ejecuta el comando gcloud scc posture-templates describe:

Linux, macOS o Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

La respuesta contiene la plantilla de postura.

REST

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

ORGANIZATION_ID: el ID numérico de la organización

Método HTTP y URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

Para enviar tu solicitud, despliega una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Nota: En el siguiente comando se presupone que has iniciado sesión en la CLI de gcloud con tu cuenta de usuario ejecutando gcloud init o gcloud auth login , o bien usando Cloud Shell, que inicia sesión automáticamente en la CLI de gcloud . Para comprobar qué cuenta está activa, ejecuta gcloud auth list.

Ejecuta el comando siguiente:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0"

PowerShell (Windows)

Nota: El siguiente comando presupone que has iniciado sesión en la CLI de gcloud con tu cuenta de usuario ejecutando gcloud init o gcloud auth login . Para comprobar qué cuenta está activa, ejecuta gcloud auth list.

Ejecuta el comando siguiente:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0" | Select-Object -Expand Content

La respuesta contiene la plantilla de postura.

Siguientes pasos

Crea una postura de seguridad con esta postura predefinida.

Plantilla de postura predefinida para CIS Benchmark v2.0 Organízate con las colecciones Guarda y clasifica el contenido según tus preferencias.

Ver la plantilla de postura

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Siguientes pasos

Plantilla de postura predefinida para CIS Benchmark v2.0