Modèle de posture prédéfini pour le benchmark CIS v2.0

Cette page décrit les règles de détection incluses dans la version 1.0 du modèle de posture prédéfini pour le benchmark v2.0.0 de la plate-forme de calcul Google Cloud du Center for Internet Security (CIS). Cette posture prédéfinie vous aide à détecter quand votre environnement Google Cloud ne correspond pas au benchmark CIS.

Vous pouvez déployer ce modèle de posture sans apporter de modifications.

Le tableau suivant décrit les détecteurs Security Health Analytics inclus dans le modèle d'état. Pour en savoir plus sur ces détecteurs, consultez la page Résultats concernant les failles.

Nom du détecteur Description
ACCESS_TRANSPARENCY_DISABLED

Ce détecteur vérifie si Access Transparency est désactivé.

ADMIN_SERVICE_ACCOUNT

Ce détecteur vérifie si un compte de service dispose des droits d'administrateur, de propriétaire ou d'éditeur.

ESSENTIAL_CONTACTS_NOT_CONFIGURED

Ce détecteur vérifie si vous avez au moins un contact essentiel.

API_KEY_APIS_UNRESTRICTED

Ce détecteur vérifie si les clés API sont utilisées de manière trop large.

API_KEY_EXISTS

Ce détecteur vérifie si un projet utilise des clés API au lieu de l'authentification standard.

API_KEY_NOT_ROTATED

Ce détecteur vérifie si une clé API a été modifiée au cours des 90 derniers jours.

AUDIT_CONFIG_NOT_MONITORED

Ce détecteur vérifie si les modifications de la configuration d'audit sont surveillées.

AUDIT_LOGGING_DISABLED

Ce détecteur vérifie si la journalisation d'audit est désactivée pour une ressource.

AUTO_BACKUP_DISABLED

Ce détecteur vérifie si les sauvegardes automatiques ne sont pas activées pour une base de données Cloud SQL.

BIGQUERY_TABLE_CMEK_DISABLED

Ce détecteur vérifie si une table BigQuery n'est pas configurée pour utiliser une clé de chiffrement gérée par le client (CMEK). Pour en savoir plus, consultez la page Résultats des failles liées aux ensembles de données.

BUCKET_IAM_NOT_MONITORED Ce détecteur vérifie si la journalisation est désactivée pour les modifications des autorisations IAM dans Cloud Storage.
BUCKET_POLICY_ONLY_DISABLED

Ce détecteur vérifie si l'accès uniforme au niveau du bucket est configuré.

CLOUD_ASSET_API_DISABLED

Ce détecteur vérifie si l'inventaire des éléments Cloud est désactivé.

COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

Ce détecteur vérifie si des clés SSH à l'échelle du projet sont utilisées.

COMPUTE_SERIAL_PORTS_ENABLED

Ce détecteur vérifie si les ports série sont activés.

CONFIDENTIAL_COMPUTING_DISABLED

Ce détecteur vérifie si l'informatique confidentielle est désactivée.

CUSTOM_ROLE_NOT_MONITORED

Ce détecteur vérifie si la journalisation est désactivée pour les modifications de rôles personnalisés.

DATAPROC_CMEK_DISABLED

Ce détecteur vérifie si la compatibilité CMEK est désactivée pour un cluster Dataproc.

DATASET_CMEK_DISABLED

Ce détecteur vérifie si la prise en charge de CMEK est désactivée pour un ensemble de données BigQuery.

DEFAULT_NETWORK

Ce détecteur vérifie si le réseau par défaut existe dans un projet.

DEFAULT_SERVICE_ACCOUNT_USED

Ce détecteur vérifie si le compte de service par défaut est utilisé.

DISK_CSEK_DISABLED

Ce détecteur vérifie si la prise en charge des clés de chiffrement fournies par le client (CSEK) est désactivée pour une VM.

DNS_LOGGING_DISABLED

Ce détecteur vérifie si la journalisation DNS est activée sur le réseau VPC.

DNSSEC_DISABLED

Ce détecteur vérifie si DNSSEC est désactivé pour les zones Cloud DNS.

FIREWALL_NOT_MONITORED

Ce détecteur vérifie si les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées aux règles de pare-feu de réseau VPC.

VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Ce détecteur vérifie si les journaux de flux VPC ne sont pas activés.

FULL_API_ACCESS

Ce détecteur vérifie si une instance utilise un compte de service par défaut avec un accès complet à toutes les API Google Cloud.

INSTANCE_OS_LOGIN_DISABLED

Ce détecteur vérifie si la OS Login;exploitation n'est pas activée.

IP_FORWARDING_ENABLED

Ce détecteur vérifie si le transfert IP est activé.

KMS_KEY_NOT_ROTATED

Ce détecteur vérifie si la rotation du chiffrement Cloud Key Management Service n'est pas activée.

KMS_PROJECT_HAS_OWNER

Ce détecteur vérifie si un utilisateur dispose de l'autorisation Propriétaire sur un projet qui inclut des clés.

KMS_PUBLIC_KEY

Ce détecteur vérifie si une clé cryptographique Cloud Key Management Service est accessible au public. Pour en savoir plus, consultez la page Résultats des failles liées à KMS.

KMS_ROLE_SEPARATION

Ce détecteur vérifie la séparation des tâches pour les clés Cloud KMS.

LEGACY_NETWORK

Ce détecteur vérifie si un ancien réseau existe dans un projet.

LOCKED_RETENTION_POLICY_NOT_SET

Ce détecteur vérifie si la règle de conservation verrouillée est définie pour les journaux.

LOAD_BALANCER_LOGGING_DISABLED

Ce détecteur vérifie si la journalisation est désactivée pour l'équilibreur de charge.

LOG_NOT_EXPORTED

Ce détecteur vérifie si aucun récepteur de journaux n'est configuré pour une ressource.

MFA_NOT_ENFORCED

Ce détecteur vérifie si un utilisateur n'utilise pas la validation en deux étapes.

NETWORK_NOT_MONITORED

Ce détecteur vérifie si les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées au réseau VPC.

NON_ORG_IAM_MEMBER

Ce détecteur vérifie si un utilisateur n'utilise pas d'identifiants d'organisation.

OPEN_RDP_PORT

Ce détecteur vérifie si un pare-feu dispose d'un port RDP ouvert.

OPEN_SSH_PORT

Ce détecteur vérifie si un pare-feu dispose d'un port SSH ouvert qui autorise un accès générique. Pour en savoir plus, consultez la page Résultats des failles liées au pare-feu.

OS_LOGIN_DISABLED

Ce détecteur vérifie si OS Login est désactivé.

OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Ce détecteur vérifie si un utilisateur dispose de rôles de compte de service au niveau du projet, plutôt qu'au niveau d'un compte de service spécifique.

OWNER_NOT_MONITORED

Ce détecteur vérifie si la journalisation est désactivée pour les attributions et les modifications de propriétaire de projet.

PUBLIC_BUCKET_ACL

Ce détecteur vérifie si un bucket est accessible au public.

PUBLIC_DATASET

Ce détecteur vérifie si un ensemble de données est configuré pour être accessible au public. Pour en savoir plus, consultez la page Résultats des failles liées aux ensembles de données.

PUBLIC_IP_ADDRESS

Ce détecteur vérifie si une instance dispose d'une adresse IP externe.

PUBLIC_SQL_INSTANCE

Ce détecteur vérifie si une instance Cloud SQL autorise les connexions de toutes les adresses IP.

ROUTE_NOT_MONITORED

Ce détecteur vérifie si les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées à la route de réseau VPC.

RSASHA1_FOR_SIGNING

Ce détecteur vérifie si RSASHA1 est utilisé pour la signature de clé dans les zones Cloud DNS.

SERVICE_ACCOUNT_KEY_NOT_ROTATED

Ce détecteur vérifie si une clé de compte de service a été remplacée au cours des 90 derniers jours.

SERVICE_ACCOUNT_ROLE_SEPARATION

Ce détecteur vérifie la séparation des tâches pour les clés de compte de service.

SHIELDED_VM_DISABLED

Ce détecteur vérifie si la VM protégée est désactivée.

SQL_CONTAINED_DATABASE_AUTHENTICATION

Ce détecteur vérifie si l'indicateur contained database authentication de Cloud SQL pour SQL Server n'est pas désactivé.

SQL_CROSS_DB_OWNERSHIP_CHAINING

Ce détecteur vérifie si l'indicateur cross_db_ownership_chaining de Cloud SQL pour SQL Server n'est pas désactivé.

SQL_EXTERNAL_SCRIPTS_ENABLED

Ce détecteur vérifie si l'indicateur external scripts enabled de Cloud SQL pour SQL Server n'est pas désactivé.

SQL_INSTANCE_NOT_MONITORED

Ce détecteur vérifie si la journalisation est désactivée pour les modifications de configuration Cloud SQL.

SQL_LOCAL_INFILE

Ce détecteur vérifie si l'indicateur local_infile dans Cloud SQL pour MySQL n'est pas désactivé.

SQL_LOG_CONNECTIONS_DISABLED

Ce détecteur vérifie si l'indicateur log_connections dans Cloud SQL pour PostgreSQL n'est pas activé.

SQL_LOG_DISCONNECTIONS_DISABLED

Ce détecteur vérifie si l'indicateur log_disconnections dans Cloud SQL pour PostgreSQL n'est pas activé.

SQL_LOG_ERROR_VERBOSITY

Ce détecteur vérifie si l'indicateur log_error_verbosity de Cloud SQL pour PostgreSQL n'est pas défini sur default.

SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

Ce détecteur vérifie si l'indicateur log_min_duration_statement de Cloud SQL pour PostgreSQL n'est pas défini sur -1.

SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

Ce détecteur vérifie si l'indicateur log_min_error_statement dans Cloud SQL pour PostgreSQL ne possède pas le niveau de gravité approprié.

SQL_LOG_MIN_MESSAGES

Ce détecteur vérifie si l'indicateur log_min_messages de Cloud SQL pour PostgreSQL n'est pas défini sur warning.

SQL_LOG_STATEMENT

Ce détecteur vérifie si l'indicateur log_statement de Cloud SQL pour PostgreSQL Server n'est pas défini sur ddl.

SQL_NO_ROOT_PASSWORD

Ce détecteur vérifie si une base de données Cloud SQL avec une adresse IP externe ne possède pas de mot de passe pour le compte racine.

SQL_PUBLIC_IP

Ce détecteur vérifie si une base de données Cloud SQL dispose d'une adresse IP externe.

SQL_REMOTE_ACCESS_ENABLED

Ce détecteur vérifie si l'indicateur remote_access de Cloud SQL pour SQL Server n'est pas désactivé.

SQL_SKIP_SHOW_DATABASE_DISABLED

Ce détecteur vérifie si l'indicateur skip_show_database dans Cloud SQL pour MySQL n'est pas activé.

SQL_TRACE_FLAG_3625

Ce détecteur vérifie si l'indicateur 3625 (trace flag) dans Cloud SQL pour SQL Server n'est pas activé.

SQL_USER_CONNECTIONS_CONFIGURED

Ce détecteur vérifie si l'indicateur user connections de Cloud SQL pour SQL Server est configuré.

SQL_USER_OPTIONS_CONFIGURED

Ce détecteur vérifie si l'indicateur user options de Cloud SQL pour SQL Server est configuré.

USER_MANAGED_SERVICE_ACCOUNT_KEY

Ce détecteur vérifie si un utilisateur gère une clé de compte de service.

WEAK_SSL_POLICY

Ce détecteur vérifie si une instance a une stratégie SSL faible.

Afficher le modèle de posture

Pour afficher le modèle d'état pour le benchmark CIS v2.0, procédez comme suit:

gcloud

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

  • ORGANIZATION_ID: ID numérique de l'organisation

Exécutez la commande gcloud scc posture-templates describe:

Linux, macOS ou Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

La réponse contient le modèle de posture.

REST

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

  • ORGANIZATION_ID: ID numérique de l'organisation

Méthode HTTP et URL :

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

Pour envoyer votre requête, développez l'une des options suivantes :

La réponse contient le modèle de posture.

Étape suivante