Se usó la API de Cloud Translation para traducir esta página.

Plantilla de postura predefinida para la comparativa de CIS v2.0

En esta página, se describen las políticas de detección que se incluyen en la versión 1.0 de la plantilla de posición predefinida para la comparativa de la plataforma de Google Cloud Computing del Centro para la seguridad en Internet (CIS) v2.0.0. Esta postura predefinida te ayuda a detectar cuándo tu entorno de Google Cloud no se alinea con el CIS Benchmark.

Puedes implementar esta plantilla de postura sin realizar ningún cambio.

En la siguiente tabla, se describen los detectores de estadísticas del estado de seguridad que se incluyen en la plantilla de postura. Para obtener más información sobre estos detectores, consulta Hallazgos de vulnerabilidades.

Nombre del detector	Descripción
`ACCESS_TRANSPARENCY_DISABLED`	Este detector verifica si la Transparencia de acceso está desactivada.
`ADMIN_SERVICE_ACCOUNT`	Este detector verifica si una cuenta de servicio tiene privilegios de administrador, propietario o editor.
`ESSENTIAL_CONTACTS_NOT_CONFIGURED`	Este detector verifica si tienes al menos un contacto esencial.
`API_KEY_APIS_UNRESTRICTED`	Este detector verifica si las claves de API se usan de forma demasiado general.
`API_KEY_EXISTS`	Este detector verifica si un proyecto usa claves de API en lugar de la autenticación estándar.
`API_KEY_NOT_ROTATED`	Este detector verifica si una clave de API se rotó en los últimos 90 días.
`AUDIT_CONFIG_NOT_MONITORED`	Este detector verifica si se supervisan los cambios en la configuración de auditoría.
`AUDIT_LOGGING_DISABLED`	Este detector verifica si el registro de auditoría está desactivado para un recurso.
`AUTO_BACKUP_DISABLED`	Este detector verifica si una base de datos de Cloud SQL no tiene activadas las copias de seguridad automáticas.
`BIGQUERY_TABLE_CMEK_DISABLED`	Este detector verifica si una tabla de BigQuery no está configurada para usar una clave de encriptación administrada por el cliente (CMEK). Para obtener más información, consulta Resultados de vulnerabilidades del conjunto de datos.
`BUCKET_IAM_NOT_MONITORED`	Este detector verifica si el registro está desactivado para los cambios de permiso de IAM en Cloud Storage.
`BUCKET_POLICY_ONLY_DISABLED`	Este detector verifica si el acceso uniforme a nivel del bucket está configurado.
`CLOUD_ASSET_API_DISABLED`	Este detector verifica si Cloud Asset Inventory está desactivado.
`COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED`	Este detector verifica si se usan claves SSH de todo el proyecto.
`COMPUTE_SERIAL_PORTS_ENABLED`	Este detector verifica si los puertos seriales están habilitados.
`CONFIDENTIAL_COMPUTING_DISABLED`	Este detector verifica si el Confidential Computing está desactivado.
`CUSTOM_ROLE_NOT_MONITORED`	Este detector verifica si el registro está desactivado para los cambios en los roles personalizados.
`DATAPROC_CMEK_DISABLED`	Este detector verifica si la compatibilidad con CMEK está desactivada para un clúster de Dataproc.
`DATASET_CMEK_DISABLED`	Este detector verifica si la compatibilidad con CMEK está desactivada para un conjunto de datos de BigQuery.
`DEFAULT_NETWORK`	Este detector verifica si la red predeterminada existe en un proyecto.
`DEFAULT_SERVICE_ACCOUNT_USED`	Este detector verifica si se está usando la cuenta de servicio predeterminada.
`DISK_CSEK_DISABLED`	Este detector verifica si la compatibilidad con la clave de encriptación proporcionada por el cliente (CSEK) está desactivada para una VM.
`DNS_LOGGING_DISABLED`	Este detector verifica si el registro de DNS está habilitado en la red de VPC.
`DNSSEC_DISABLED`	Este detector verifica si DNSSEC está desactivado para las zonas de Cloud DNS.
`FIREWALL_NOT_MONITORED`	Este detector verifica si las métricas y alertas de registros no están configuradas para supervisar los cambios en las reglas del firewall de VPC.
`VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED`	Este detector verifica si los registros de flujo de VPC no están activados.
`FULL_API_ACCESS`	Este detector verifica si una instancia usa una cuenta de servicio predeterminada con acceso completo a todas las APIs de Google Cloud .
`INSTANCE_OS_LOGIN_DISABLED`	Este detector verifica si el Acceso al SO no está activado.
`IP_FORWARDING_ENABLED`	Este detector verifica si el reenvío de IP está activado.
`KMS_KEY_NOT_ROTATED`	Este detector verifica si la rotación para la encriptación de Cloud Key Management Service no está activada.
`KMS_PROJECT_HAS_OWNER`	Este detector verifica si un usuario tiene el permiso de Propietario en un proyecto que incluye claves.
`KMS_PUBLIC_KEY`	Este detector verifica si una clave criptográfica de Cloud Key Management Service es de acceso público. Para obtener más información, consulta Hallazgos de vulnerabilidades de KMS.
`KMS_ROLE_SEPARATION`	Este detector verifica la separación de obligaciones para las claves de Cloud KMS.
`LEGACY_NETWORK`	Este detector verifica si existe una red heredada en un proyecto.
`LOCKED_RETENTION_POLICY_NOT_SET`	Este detector verifica si se estableció la política de retención bloqueada para los registros.
`LOAD_BALANCER_LOGGING_DISABLED`	Este detector verifica si el registro está desactivado para el balanceador de cargas.
`LOG_NOT_EXPORTED`	Este detector verifica si un recurso no tiene configurado un receptor de registros.
`MFA_NOT_ENFORCED`	Este detector verifica si un usuario no usa la verificación en 2 pasos.
`NETWORK_NOT_MONITORED`	Este detector verifica si las métricas y las alertas de registros no están configuradas para supervisar los cambios de la red de VPC.
`NON_ORG_IAM_MEMBER`	Este detector verifica si un usuario no usa credenciales de organización.
`OPEN_RDP_PORT`	Este detector verifica si un firewall tiene un puerto RDP abierto.
`OPEN_SSH_PORT`	Este detector verifica si un firewall tiene un puerto SSH abierto que permite el acceso genérico. Para obtener más información, consulta Resultados de vulnerabilidades del firewall.
`OS_LOGIN_DISABLED`	Este detector verifica si el Acceso al SO está desactivado.
`OVER_PRIVILEGED_SERVICE_ACCOUNT_USER`	Este detector verifica si un usuario tiene roles de cuenta de servicio a nivel del proyecto, en lugar de una cuenta de servicio específica.
`OWNER_NOT_MONITORED`	Este detector verifica si el registro está desactivado para las asignaciones y los cambios de propiedad del proyecto.
`PUBLIC_BUCKET_ACL`	Este detector verifica si se puede acceder públicamente a un bucket.
`PUBLIC_DATASET`	Este detector verifica si un conjunto de datos está configurado para estar abierto al acceso público. Para obtener más información, consulta Resultados de vulnerabilidades del conjunto de datos.
`PUBLIC_IP_ADDRESS`	Este detector verifica si una instancia tiene una dirección IP externa.
`PUBLIC_SQL_INSTANCE`	Este detector verifica si una instancia de Cloud SQL permite conexiones desde todas las direcciones IP.
`ROUTE_NOT_MONITORED`	Este detector verifica si las métricas y alertas de registros no están configuradas para supervisar los cambios de ruta de la red de VPC.
`RSASHA1_FOR_SIGNING`	Este detector verifica si se usa RSASHA1 para la firma de claves en las zonas de Cloud DNS.
`SERVICE_ACCOUNT_KEY_NOT_ROTATED`	Este detector verifica si se rotó una clave de cuenta de servicio en los últimos 90 días.
`SERVICE_ACCOUNT_ROLE_SEPARATION`	Este detector verifica la separación de tareas para las claves de cuentas de servicio.
`SHIELDED_VM_DISABLED`	Este detector verifica si la VM protegida está desactivada.
`SQL_CONTAINED_DATABASE_AUTHENTICATION`	Este detector verifica si la marca `contained database authentication` en Cloud SQL para SQL Server no está desactivada.
`SQL_CROSS_DB_OWNERSHIP_CHAINING`	Este detector verifica si la marca `cross_db_ownership_chaining` en Cloud SQL para SQL Server no está desactivada.
`SQL_EXTERNAL_SCRIPTS_ENABLED`	Este detector verifica si la marca `external scripts enabled` en Cloud SQL para SQL Server no está desactivada.
`SQL_INSTANCE_NOT_MONITORED`	Este detector verifica si el registro está desactivado para los cambios en la configuración de Cloud SQL.
`SQL_LOCAL_INFILE`	Este detector verifica si la marca `local_infile` en Cloud SQL para MySQL no está desactivada.
`SQL_LOG_CONNECTIONS_DISABLED`	Este detector verifica si la marca `log_connections` en Cloud SQL para PostgreSQL no está activada.
`SQL_LOG_DISCONNECTIONS_DISABLED`	Este detector verifica si la marca `log_disconnections` en Cloud SQL para PostgreSQL no está activada.
`SQL_LOG_ERROR_VERBOSITY`	Este detector verifica si la marca `log_error_verbosity` en Cloud SQL para PostgreSQL no está establecida en `default`.
`SQL_LOG_MIN_DURATION_STATEMENT_ENABLED`	Este detector verifica si la marca `log_min_duration_statement` en Cloud SQL para PostgreSQL no está establecida en `-1`.
`SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY`	Este detector verifica si la marca `log_min_error_statement` en Cloud SQL para PostgreSQL no tiene un nivel de gravedad adecuado.
`SQL_LOG_MIN_MESSAGES`	Este detector verifica si la marca `log_min_messages` en Cloud SQL para PostgreSQL no está establecida en `warning`.
`SQL_LOG_STATEMENT`	Este detector verifica si la marca `log_statement` en el servidor de Cloud SQL para PostgreSQL no está establecida en `ddl`.
`SQL_NO_ROOT_PASSWORD`	Este detector verifica si una base de datos de Cloud SQL con una dirección IP externa no tiene una contraseña para la cuenta raíz.
`SQL_PUBLIC_IP`	Este detector verifica si una base de datos de Cloud SQL tiene una dirección IP externa.
`SQL_REMOTE_ACCESS_ENABLED`	Este detector verifica si la marca `remote_access` en Cloud SQL para SQL Server no está desactivada.
`SQL_SKIP_SHOW_DATABASE_DISABLED`	Este detector verifica si la marca `skip_show_database` en Cloud SQL para MySQL no está activada.
`SQL_TRACE_FLAG_3625`	Este detector verifica si la marca `3625 (trace flag)` en Cloud SQL para SQL Server no está activada.
`SQL_USER_CONNECTIONS_CONFIGURED`	Este detector verifica si está configurada la marca `user connections` en Cloud SQL para SQL Server.
`SQL_USER_OPTIONS_CONFIGURED`	Este detector verifica si está configurada la marca `user options` en Cloud SQL para SQL Server.
`USER_MANAGED_SERVICE_ACCOUNT_KEY`	Este detector verifica si un usuario administra una clave de cuenta de servicio.
`WEAK_SSL_POLICY`	Este detector verifica si una instancia tiene una política de SSL débil.

Cómo ver la plantilla de postura

Para ver la plantilla de postura de la versión 2.0 de CIS Benchmark, haz lo siguiente:

gcloud

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

ORGANIZATION_ID: ID numérico de la organización

Ejecuta el comando gcloud scc posture-templates describe:

Linux, macOS o Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

La respuesta contiene la plantilla de postura.

REST

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

ORGANIZATION_ID: ID numérico de la organización

Método HTTP y URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

Para enviar tu solicitud, expande una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Nota: Con el siguiente comando, se supone que accediste a la CLI de gcloud con tu cuenta de usuario a través de la ejecución de gcloud init o gcloud auth login, o a través del uso de Cloud Shell, que accede de forma automática a la CLI de gcloud. Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Ejecuta el siguiente comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0"

PowerShell (Windows)

Nota: El siguiente comando supone que accediste a la CLI de gcloud con tu cuenta de usuario mediante la ejecución de gcloud init o gcloud auth login. Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0" | Select-Object -Expand Content

La respuesta contiene la plantilla de postura.

¿Qué sigue?

Crea una postura de seguridad con esta postura predefinida.

Plantilla de postura predefinida para la comparativa de CIS v2.0 Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Cómo ver la plantilla de postura

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

¿Qué sigue?

Plantilla de postura predefinida para la comparativa de CIS v2.0