CIS Benchmark v2.0 的预定义状态模板

本页介绍了 Center for Internet Security (CIS) Google Cloud Computing Platform Benchmark v2.0.0 预定义状况模板 v1.0 版本中包含的检测器政策。此预定义状态有助于您检测 Google Cloud 环境是否与 CIS Benchmark 不符。

您无需进行任何更改即可部署此状态模板。

下表介绍了状态模板中包含的 Security Health Analytics 检测器。如需详细了解这些检测器,请参阅漏洞发现结果

检测器名称 说明
ACCESS_TRANSPARENCY_DISABLED

此检测器会检查 Access Transparency 是否已关闭。

ADMIN_SERVICE_ACCOUNT

此检测器会检查服务账号是否具有 AdminOwnerEditor 权限。

ESSENTIAL_CONTACTS_NOT_CONFIGURED

此检测器会检查您是否至少有一位重要联系人

API_KEY_APIS_UNRESTRICTED

此检测器会检查 API 密钥是否使用的过于广泛。

API_KEY_EXISTS

此检测器用于检查项目是否使用 API 密钥,而不是标准身份验证。

API_KEY_NOT_ROTATED

此检测器会检查 API 密钥在过去 90 天内是否已轮替。

AUDIT_CONFIG_NOT_MONITORED

此检测器会检查是否正在监控审核配置更改。

AUDIT_LOGGING_DISABLED

此检测器会检查是否已为资源停用审核日志记录。

AUTO_BACKUP_DISABLED

此检测器会检查 Cloud SQL 数据库是否未启用自动备份。

BIGQUERY_TABLE_CMEK_DISABLED

此检测器会检查 BigQuery 表是否未配置为使用客户管理的加密密钥 (CMEK)。如需了解详情,请参阅数据集漏洞发现结果

BUCKET_IAM_NOT_MONITORED 此检测器会检查是否已为 Cloud Storage 中的 IAM 权限更改关闭了日志记录。
BUCKET_POLICY_ONLY_DISABLED

此检测器会检查是否配置了统一存储桶级访问权限。

CLOUD_ASSET_API_DISABLED

此检测器会检查 Cloud Asset Inventory 是否已关闭。

COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

此检测器会检查是否使用了项目级 SSH 密钥。

COMPUTE_SERIAL_PORTS_ENABLED

此检测器会检查串行端口是否已启用。

CONFIDENTIAL_COMPUTING_DISABLED

此检测器会检查机密计算是否已关闭。

CUSTOM_ROLE_NOT_MONITORED

此检测器会检查是否已为自定义角色更改关闭日志记录。

DATAPROC_CMEK_DISABLED

此检测器会检查是否已为 Dataproc 集群停用 CMEK 支持。

DATASET_CMEK_DISABLED

此检测器会检查是否已为 BigQuery 数据集停用 CMEK 支持。

DEFAULT_NETWORK

此检测器会检查项目中是否存在默认网络。

DEFAULT_SERVICE_ACCOUNT_USED

此检测器用于检查是否正在使用默认服务账号。

DISK_CSEK_DISABLED

此检测器会检查是否已为虚拟机关闭客户提供的加密密钥 (CSEK) 支持。

DNS_LOGGING_DISABLED

此检测器会检查 VPC 网络上是否已启用 DNS 日志记录。

DNSSEC_DISABLED

此检测器会检查 Cloud DNS 区域是否已停用 DNSSEC。

FIREWALL_NOT_MONITORED

此检测器用于检查日志指标和提醒是否未配置为监控 VPC 防火墙规则更改。

VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

此检测器会检查 VPC 流日志是否未开启。

FULL_API_ACCESS

此检测器会检查实例是否使用对所有 Google Cloud API 拥有完整访问权限的默认服务账号。

INSTANCE_OS_LOGIN_DISABLED

此检测器会检查 OS Login 是否未开启。

IP_FORWARDING_ENABLED

此检测器会检查 IP 转发是否已开启。

KMS_KEY_NOT_ROTATED

此检测器会检查 Cloud Key Management Service 加密的轮替是否未启用。

KMS_PROJECT_HAS_OWNER

此检测器会检查用户是否对包含密钥的项目拥有 Owner 权限。

KMS_PUBLIC_KEY

此检测器会检查 Cloud Key Management Service 加密密钥是否可公开访问。如需了解详情,请参阅 KMS 漏洞发现结果

KMS_ROLE_SEPARATION

此检测器会检查 Cloud KMS 密钥的职责分离情况。

LEGACY_NETWORK

此检测器会检查项目中是否存在旧版网络。

LOCKED_RETENTION_POLICY_NOT_SET

此检测器会检查是否为日志设置了已锁定的保留政策。

LOAD_BALANCER_LOGGING_DISABLED

此检测器会检查是否已为负载均衡器关闭日志记录。

LOG_NOT_EXPORTED

此检测器会检查资源是否未配置日志接收器。

MFA_NOT_ENFORCED

此检测器用于检查用户是否未使用两步验证。

NETWORK_NOT_MONITORED

此检测器用于检查日志指标和提醒是否未配置为监控 VPC 网络更改。

NON_ORG_IAM_MEMBER

此检测器用于检查用户是否未使用组织凭据。

OPEN_RDP_PORT

此检测器会检查防火墙是否有开放的 RDP 端口。

OPEN_SSH_PORT

此检测器会检查防火墙是否具有允许通用访问的开放 SSH 端口。如需了解详情,请参阅防火墙漏洞发现结果

OS_LOGIN_DISABLED

此检测器会检查 OS Login 是否已关闭。

OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

此检测器会检查用户是否在项目级(而不是特定服务账号)拥有服务账号角色。

OWNER_NOT_MONITORED

此检测器会检查是否已为项目所有权分配和更改关闭了日志记录。

PUBLIC_BUCKET_ACL

此检测器会检查存储桶是否可公开访问。

PUBLIC_DATASET

此检测器会检查数据集是否配置为开放给公众访问。如需了解详情,请参阅数据集漏洞发现结果

PUBLIC_IP_ADDRESS

此检测器会检查实例是否具有外部 IP 地址。

PUBLIC_SQL_INSTANCE

此检测器会检查 Cloud SQL 是否允许来自所有 IP 地址的连接。

ROUTE_NOT_MONITORED

此检测器用于检查日志指标和提醒是否未配置为监控 VPC 网络路由更改。

RSASHA1_FOR_SIGNING

此检测器用于检查 Cloud DNS 区域中是否使用 RSASHA1 进行密钥签名。

SERVICE_ACCOUNT_KEY_NOT_ROTATED

此检测器会检查服务账号密钥在过去 90 天内是否已轮替。

SERVICE_ACCOUNT_ROLE_SEPARATION

此检测器会检查服务账号密钥是否分离了职责。

SHIELDED_VM_DISABLED

此检测器会检查安全强化型虚拟机是否处于停用状态。

SQL_CONTAINED_DATABASE_AUTHENTICATION

此检测器会检查 Cloud SQL for SQL Server 中的 contained database authentication 标志是否未处于关闭状态。

SQL_CROSS_DB_OWNERSHIP_CHAINING

此检测器会检查 Cloud SQL for SQL Server 中的 cross_db_ownership_chaining 标志是否未处于关闭状态。

SQL_EXTERNAL_SCRIPTS_ENABLED

此检测器会检查 Cloud SQL for SQL Server 中的 external scripts enabled 标志是否未处于关闭状态。

SQL_INSTANCE_NOT_MONITORED

此检测器会检查是否已针对 Cloud SQL 配置更改关闭日志记录。

SQL_LOCAL_INFILE

此检测器会检查 Cloud SQL for MySQL 中的 local_infile 标志是否未关闭。

SQL_LOG_CONNECTIONS_DISABLED

此检测器会检查 Cloud SQL for PostgreSQL 中的 log_connections 标志是否未处于启用状态。

SQL_LOG_DISCONNECTIONS_DISABLED

此检测器会检查 Cloud SQL for PostgreSQL 中的 log_disconnections 标志是否未处于启用状态。

SQL_LOG_ERROR_VERBOSITY

此检测器会检查 Cloud SQL for PostgreSQL 中的 log_error_verbosity 标志是否未设置为 default

SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

此检测器会检查 Cloud SQL for PostgreSQL 中的 log_min_duration_statement 标志是否未设置为 -1

SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

此检测器会检查 Cloud SQL for PostgreSQL 中的 log_min_error_statement 标志是否没有适当的严重级别。

SQL_LOG_MIN_MESSAGES

此检测器会检查 Cloud SQL for PostgreSQL 中的 log_min_messages 标志是否未设置为 warning

SQL_LOG_STATEMENT

此检测器会检查 Cloud SQL for PostgreSQL Server 中的 log_statement 标志是否未设置为 ddl

SQL_NO_ROOT_PASSWORD

此检测器会检查具有外部 IP 地址的 Cloud SQL 数据库是否没有根账号密码。

SQL_PUBLIC_IP

此检测器会检查 Cloud SQL 数据库是否具有外部 IP 地址。

SQL_REMOTE_ACCESS_ENABLED

此检测器会检查 Cloud SQL for SQL Server 中的 remote_access 标志是否未处于关闭状态。

SQL_SKIP_SHOW_DATABASE_DISABLED

此检测器会检查 Cloud SQL for MySQL 中的 skip_show_database 标志是否未处于启用状态。

SQL_TRACE_FLAG_3625

此检测器会检查 Cloud SQL for SQL Server 中的 3625 (trace flag) 标志是否未处于开启状态。

SQL_USER_CONNECTIONS_CONFIGURED

此检测器会检查 Cloud SQL for SQL Server 中的 user connections 标志是否已配置。

SQL_USER_OPTIONS_CONFIGURED

此检测器会检查 Cloud SQL for SQL Server 中的 user options 标志是否已配置。

USER_MANAGED_SERVICE_ACCOUNT_KEY

此检测器会检查用户是否管理服务账号密钥。

WEAK_SSL_POLICY

此检测器会检查实例的 SSL 政策是否较弱。

查看安全状况模板

如需查看 CIS Benchmark v2.0 的状态模板,请执行以下操作:

gcloud

在使用下面的命令数据之前,请先进行以下替换:

  • ORGANIZATION_ID:组织的数字 ID

执行 gcloud scc posture-templates describe 命令:

Linux、macOS 或 Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

响应包含配置状态模板。

REST

在使用任何请求数据之前,请先进行以下替换:

  • ORGANIZATION_ID:组织的数字 ID

HTTP 方法和网址:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

如需发送您的请求,请展开以下选项之一:

响应包含配置状态模板。

后续步骤