Questa pagina descrive i criteri investigativi inclusi nella versione 1.0 del modello di postura predefinito per il benchmark Center for Internet Security (CIS) Google Cloud Computing Platform v2.0.0. Questa postura predefinita ti aiuta a rilevare quando il tuo Google Cloud ambiente non è in linea con il benchmark CIS.
Puoi eseguire il deployment di questo modello di postura senza apportare modifiche.
La tabella seguente descrive i rilevatori di Security Health Analytics inclusi nel modello di postura. Per ulteriori informazioni su questi rilevatori, consulta Risultati delle vulnerabilità.
| Nome rilevatore | Descrizione |
|---|---|
ACCESS_TRANSPARENCY_DISABLED |
Questo rilevatore verifica se Access Transparency è disattivato. |
ADMIN_SERVICE_ACCOUNT |
Questo rilevatore controlla se un account di servizio dispone dei privilegi Amministratore, Proprietario o Editor. |
ESSENTIAL_CONTACTS_NOT_CONFIGURED |
Questo controllo rileva se hai almeno un contatto necessario. |
API_KEY_APIS_UNRESTRICTED |
Questo rilevatore verifica se le chiavi API vengono utilizzate in modo troppo ampio. |
API_KEY_EXISTS |
Questo rilevatore verifica se un progetto utilizza chiavi API anziché l'autenticazione standard. |
API_KEY_NOT_ROTATED |
Questo rilevatore controlla se una chiave API è stata ruotata negli ultimi 90 giorni. |
AUDIT_CONFIG_NOT_MONITORED |
Questo rilevatore verifica se le modifiche alla configurazione di controllo vengono monitorate. |
AUDIT_LOGGING_DISABLED |
Questo rilevatore verifica se l'audit logging è disattivato per una risorsa. |
AUTO_BACKUP_DISABLED |
Questo rilevatore controlla se i backup automatici non sono attivati per un database Cloud SQL. |
BIGQUERY_TABLE_CMEK_DISABLED |
Questo rilevatore controlla se una tabella BigQuery non è configurata per utilizzare una chiave di crittografia gestita dal cliente (CMEK). Per ulteriori informazioni, consulta Risultati delle vulnerabilità dei set di dati. |
BUCKET_IAM_NOT_MONITORED |
Questo rilevatore verifica se la registrazione è disattivata per le modifiche alle autorizzazioni IAM in Cloud Storage. |
BUCKET_POLICY_ONLY_DISABLED |
Questo rilevatore controlla se è configurato l'accesso uniforme a livello di bucket. |
CLOUD_ASSET_API_DISABLED |
Questo rilevatore verifica se Cloud Asset Inventory è disattivato. |
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
Questo rilevatore verifica se vengono utilizzate chiavi SSH a livello di progetto. |
COMPUTE_SERIAL_PORTS_ENABLED |
Questo rilevatore controlla se le porte seriali sono attive. |
CONFIDENTIAL_COMPUTING_DISABLED |
Questo rilevatore verifica se Confidential Computing è disattivato. |
CUSTOM_ROLE_NOT_MONITORED |
Questo rilevatore verifica se la registrazione è disattivata per le modifiche ai ruoli personalizzati. |
DATAPROC_CMEK_DISABLED |
Questo rilevatore verifica se il supporto di CMEK è disattivato per un cluster Dataproc. |
DATASET_CMEK_DISABLED |
Questo rilevatore verifica se il supporto di CMEK è disattivato per un set di dati BigQuery. |
DEFAULT_NETWORK |
Questo rilevatore verifica se la rete predefinita esiste in un progetto. |
DEFAULT_SERVICE_ACCOUNT_USED |
Questo rilevatore verifica se viene utilizzato il account di servizio predefinito. |
DISK_CSEK_DISABLED |
Questo rilevatore controlla se il supporto della chiave di crittografia fornita dal cliente (CSEK) è disattivato per una VM. |
DNS_LOGGING_DISABLED |
Questo rilevatore controlla se il logging DNS è abilitato sulla rete VPC. |
DNSSEC_DISABLED |
Questo rilevatore verifica se DNSSEC è disattivato per le zone Cloud DNS. |
FIREWALL_NOT_MONITORED |
Questo rilevatore verifica se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alle regole firewall VPC. |
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED |
Questo rilevatore controlla se i log di flusso VPC non sono attivi. |
FULL_API_ACCESS |
Questo rilevatore verifica se un'istanza utilizza un account di servizio predefinito con accesso completo a tutte le API Google Cloud . |
INSTANCE_OS_LOGIN_DISABLED |
Questo rilevatore controlla se l'OS Login non è attivo. |
IP_FORWARDING_ENABLED |
Questo rilevatore controlla se l'inoltro IP è attivo. |
KMS_KEY_NOT_ROTATED |
Questo rilevatore controlla se la rotazione per la crittografia di Cloud Key Management Service non è attivata. |
KMS_PROJECT_HAS_OWNER |
Questo rilevatore verifica se un utente dispone dell'autorizzazione Proprietario per un progetto che include chiavi. |
KMS_PUBLIC_KEY |
Questo rilevatore controlla se una chiave crittografica Cloud Key Management Service è accessibile pubblicamente. Per ulteriori informazioni, consulta Risultati delle vulnerabilità di KMS. |
KMS_ROLE_SEPARATION |
Questo rilevatore verifica la separazione dei compiti per le chiavi Cloud KMS. |
LEGACY_NETWORK |
Questo rilevatore controlla se esiste una rete legacy in un progetto. |
LOCKED_RETENTION_POLICY_NOT_SET |
Questo rilevatore controlla se il criterio di conservazione bloccato è impostato per i log. |
LOAD_BALANCER_LOGGING_DISABLED |
Questo rilevatore verifica se il logging è disattivato per il bilanciatore del carico. |
LOG_NOT_EXPORTED |
Questo rilevatore controlla se per una risorsa non è configurato un sink di log. |
MFA_NOT_ENFORCED |
Questo rilevatore verifica se un utente non utilizza la verifica in due passaggi. |
NETWORK_NOT_MONITORED |
Questo rilevatore verifica se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alla rete VPC. |
NON_ORG_IAM_MEMBER |
Questo rilevatore controlla se un utente non utilizza le credenziali dell'organizzazione. |
OPEN_RDP_PORT |
Questo rilevatore verifica se un firewall ha una porta RDP aperta. |
OPEN_SSH_PORT |
Questo rilevatore controlla se un firewall ha una porta SSH aperta che consente l'accesso generico. Per saperne di più, consulta Risultati delle vulnerabilità del firewall. |
OS_LOGIN_DISABLED |
Questo controllo verifica se l'OS Login è disattivato. |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
Questo rilevatore controlla se un utente dispone di ruoli account di servizio a livello di progetto, anziché per un account di servizio specifico. |
OWNER_NOT_MONITORED |
Questo rilevatore verifica se la registrazione è disattivata per le assegnazioni e le modifiche alla proprietà del progetto. |
PUBLIC_BUCKET_ACL |
Questo rilevatore controlla se un bucket è accessibile pubblicamente. |
PUBLIC_DATASET |
Questo rilevatore controlla se un set di dati è configurato per essere aperto all'accesso pubblico. Per ulteriori informazioni, consulta Risultati delle vulnerabilità dei set di dati. |
PUBLIC_IP_ADDRESS |
Questo rilevatore controlla se un'istanza ha un indirizzo IP esterno. |
PUBLIC_SQL_INSTANCE |
Questo rilevatore verifica se un'istanza Cloud SQL consente connessioni da tutti gli indirizzi IP. |
ROUTE_NOT_MONITORED |
Questo rilevatore verifica se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alle route di rete VPC. |
RSASHA1_FOR_SIGNING |
Questo rilevatore verifica se RSASHA1 viene utilizzato per la firma della chiave nelle zone Cloud DNS. |
SERVICE_ACCOUNT_KEY_NOT_ROTATED |
Questo rilevatore controlla se una chiave del account di servizio è stata ruotata negli ultimi 90 giorni. |
SERVICE_ACCOUNT_ROLE_SEPARATION |
Questo rilevatore verifica la separazione dei compiti per le chiavi del account di servizio. |
SHIELDED_VM_DISABLED |
Questo rilevatore controlla se Shielded VM è disattivata. |
SQL_CONTAINED_DATABASE_AUTHENTICATION |
Questo rilevatore verifica che il flag |
SQL_CROSS_DB_OWNERSHIP_CHAINING |
Questo rilevatore verifica che il flag |
SQL_EXTERNAL_SCRIPTS_ENABLED |
Questo rilevatore verifica che il flag |
SQL_INSTANCE_NOT_MONITORED |
Questo rilevatore verifica se la registrazione è disattivata per le modifiche alla configurazione di Cloud SQL. |
SQL_LOCAL_INFILE |
Questo rilevatore verifica che il flag |
SQL_LOG_CONNECTIONS_DISABLED |
Questo rilevatore controlla se il flag |
SQL_LOG_DISCONNECTIONS_DISABLED |
Questo rilevatore controlla se il flag |
SQL_LOG_ERROR_VERBOSITY |
Questo rilevatore controlla se il flag |
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED |
Questo rilevatore controlla se il flag |
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY |
Questo rilevatore controlla se il flag |
SQL_LOG_MIN_MESSAGES |
Questo rilevatore controlla se il flag |
SQL_LOG_STATEMENT |
Questo rilevatore controlla se il flag |
SQL_NO_ROOT_PASSWORD |
Questo rilevatore controlla se un database Cloud SQL con un indirizzo IP esterno non ha una password per l'account root. |
SQL_PUBLIC_IP |
Questo rilevatore verifica se un database Cloud SQL ha un indirizzo IP esterno. |
SQL_REMOTE_ACCESS_ENABLED |
Questo rilevatore verifica che il flag |
SQL_SKIP_SHOW_DATABASE_DISABLED |
Questo rilevatore verifica che il flag |
SQL_TRACE_FLAG_3625 |
Questo rilevatore verifica che il flag |
SQL_USER_CONNECTIONS_CONFIGURED |
Questo rilevatore verifica se il flag |
SQL_USER_OPTIONS_CONFIGURED |
Questo rilevatore verifica se il flag |
USER_MANAGED_SERVICE_ACCOUNT_KEY |
Questo rilevatore verifica se un utente gestisce una chiave del account di servizio. |
WEAK_SSL_POLICY |
Questo rilevatore verifica se un'istanza ha una policy SSL debole. |
Visualizza il modello di postura
Per visualizzare il modello di postura per CIS Benchmark v2.0:
gcloud
Prima di utilizzare i dati dei comandi riportati di seguito, apporta le seguenti sostituzioni:
-
ORGANIZATION_ID: l'ID numerico dell'organizzazione
Esegui il comando
gcloud scc posture-templates
describe:
Linux, macOS o Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0
La risposta contiene il modello di postura.
REST
Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
-
ORGANIZATION_ID: l'ID numerico dell'organizzazione
Metodo HTTP e URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0
Per inviare la richiesta, espandi una di queste opzioni:
La risposta contiene il modello di postura.