CIS Benchmark v2.0 的預先定義狀態範本

本頁面說明預先定義的姿勢範本第 1.0 版中包含的偵測政策,適用於 Center for Internet Security (CIS) Google Cloud Computing Platform Benchmark v2.0.0。這個預先定義的姿勢可協助您偵測 Google Cloud 環境是否與 CIS 基準不一致。

您可以部署這個姿勢範本,無須進行任何變更。

下表說明姿勢範本中包含的安全性狀態分析偵測工具。如要進一步瞭解這些偵測器,請參閱「安全漏洞發現項目」。

偵測工具名稱 說明
ACCESS_TRANSPARENCY_DISABLED

這項偵測工具會檢查「資料存取透明化控管機制」是否已關閉。
ADMIN_SERVICE_ACCOUNT

這個偵測器會檢查服務帳戶是否具有「管理員」、「擁有者」或「編輯者」權限。
ESSENTIAL_CONTACTS_NOT_CONFIGURED

這項偵測器會檢查您是否至少有一位重要聯絡人
API_KEY_APIS_UNRESTRICTED

這個偵測器會檢查 API 金鑰是否使用範圍過於廣泛。
API_KEY_EXISTS

這個偵測器會檢查專案是否使用 API 金鑰,而非標準驗證。
API_KEY_NOT_ROTATED

這個偵測器會檢查 API 金鑰是否在過去 90 天內輪替。
AUDIT_CONFIG_NOT_MONITORED

這個偵測器會檢查是否正在監控稽核設定變更。
AUDIT_LOGGING_DISABLED

這項偵測器會檢查資源的稽核記錄是否已關閉。
AUTO_BACKUP_DISABLED

這個偵測器會檢查 Cloud SQL 資料庫是否未啟用自動備份功能。
BIGQUERY_TABLE_CMEK_DISABLED

這個偵測器會檢查 BigQuery 資料表是否未設為使用客戶管理的加密金鑰 (CMEK)。詳情請參閱「資料集安全漏洞發現結果」。
BUCKET_IAM_NOT_MONITORED 這個偵測器會檢查 Cloud Storage 中 IAM 權限變更的記錄是否已關閉。
BUCKET_POLICY_ONLY_DISABLED

這個偵測器會檢查是否已設定統一值區層級存取權。
CLOUD_ASSET_API_DISABLED

這項偵測工具會檢查 Cloud Asset Inventory 是否已關閉。
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

這個偵測器會檢查是否使用專案層級的安全殼層金鑰。
COMPUTE_SERIAL_PORTS_ENABLED

這項偵測工具會檢查序列埠是否已啟用。
CONFIDENTIAL_COMPUTING_DISABLED

這項偵測工具會檢查機密運算是否已關閉。
CUSTOM_ROLE_NOT_MONITORED

這個偵測器會檢查自訂角色變更的記錄功能是否已關閉。
DATAPROC_CMEK_DISABLED

這個偵測器會檢查 Dataproc 叢集是否已停用 CMEK 支援。
DATASET_CMEK_DISABLED

這個偵測器會檢查 BigQuery 資料集的 CMEK 支援功能是否已關閉。
DEFAULT_NETWORK

這項偵測器會檢查專案中是否有預設網路。
DEFAULT_SERVICE_ACCOUNT_USED

這個偵測器會檢查是否使用預設服務帳戶。
DISK_CSEK_DISABLED

這個偵測器會檢查 VM 是否已關閉客戶提供的加密金鑰 (CSEK) 支援。
DNS_LOGGING_DISABLED

這個偵測器會檢查虛擬私有雲網路是否已啟用 DNS 記錄功能。
DNSSEC_DISABLED

這個偵測器會檢查 Cloud DNS 區域是否已停用 DNSSEC。
FIREWALL_NOT_MONITORED

這個偵測器會檢查記錄指標和快訊是否未設定為監控虛擬私有雲防火牆規則變更。
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

這個偵測器會檢查虛擬私有雲流量記錄是否未開啟。
FULL_API_ACCESS

這個偵測器會檢查執行個體是否使用具備所有 API 完整存取權的預設服務帳戶。 Google Cloud

INSTANCE_OS_LOGIN_DISABLED

這項偵測工具會檢查 OS Login 是否未開啟。
IP_FORWARDING_ENABLED

這項偵測工具會檢查 IP 轉送是否已開啟。
KMS_KEY_NOT_ROTATED

這項偵測器會檢查 Cloud Key Management Service 加密功能是否未開啟輪替功能。
KMS_PROJECT_HAS_OWNER

這個偵測器會檢查使用者是否對含有金鑰的專案具備「擁有者」權限。
KMS_PUBLIC_KEY

這個偵測器會檢查 Cloud Key Management Service 加密金鑰是否可公開存取。詳情請參閱 KMS 安全漏洞發現項目
KMS_ROLE_SEPARATION

這個偵測器會檢查 Cloud KMS 金鑰的職責區隔。
LEGACY_NETWORK

這項偵測器會檢查專案中是否有舊版網路。
LOCKED_RETENTION_POLICY_NOT_SET

這個偵測器會檢查是否已為記錄檔設定鎖定的保留政策。
LOAD_BALANCER_LOGGING_DISABLED

這項偵測器會檢查負載平衡器的記錄功能是否已關閉。
LOG_NOT_EXPORTED

這個偵測器會檢查資源是否未設定記錄檔接收器。
MFA_NOT_ENFORCED

這個偵測器會檢查使用者是否未使用兩步驟驗證。
NETWORK_NOT_MONITORED

這個偵測器會檢查記錄指標和快訊是否未設定為監控虛擬私有雲網路變更。
NON_ORG_IAM_MEMBER

這個偵測器會檢查使用者是否未使用機構憑證。
OPEN_RDP_PORT

這個偵測器會檢查防火牆是否開啟 RDP 連接埠。
OPEN_SSH_PORT

這個偵測器會檢查防火牆是否開放 SSH 通訊埠,允許一般存取。詳情請參閱「防火牆安全漏洞發現結果」。
OS_LOGIN_DISABLED

這項偵測工具會檢查 OS Login 是否已關閉。
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

這個偵測器會檢查使用者是否在專案層級擁有服務帳戶角色,而非特定服務帳戶。
OWNER_NOT_MONITORED

這個偵測器會檢查專案擁有權指派和變更是否已關閉記錄功能。
PUBLIC_BUCKET_ACL

這項偵測工具會檢查 bucket 是否可公開存取。
PUBLIC_DATASET

這個偵測器會檢查資料集是否設為開放公用存取。詳情請參閱「資料集安全漏洞發現結果」。
PUBLIC_IP_ADDRESS

這個偵測器會檢查執行個體是否具有外部 IP 位址。
PUBLIC_SQL_INSTANCE

這個偵測器會檢查 Cloud SQL 是否允許來自所有 IP 位址的連線。
ROUTE_NOT_MONITORED

這個偵測器會檢查記錄指標和快訊是否未設定為監控虛擬私有雲網路路徑變更。
RSASHA1_FOR_SIGNING

這個偵測器會檢查 RSASHA1 是否用於 Cloud DNS 區域的金鑰簽署。
SERVICE_ACCOUNT_KEY_NOT_ROTATED

這項偵測器會檢查服務帳戶金鑰是否在過去 90 天內輪替過。
SERVICE_ACCOUNT_ROLE_SEPARATION

這個偵測器會檢查服務帳戶金鑰的職責分離情況。
SHIELDED_VM_DISABLED

這項偵測工具會檢查受防護的 VM 是否已關閉。
SQL_CONTAINED_DATABASE_AUTHENTICATION

這個偵測器會檢查 Cloud SQL for SQL Server 中的 contained database authentication 旗標是否未設為「off」。
SQL_CROSS_DB_OWNERSHIP_CHAINING

這個偵測器會檢查 Cloud SQL for SQL Server 中的 cross_db_ownership_chaining 旗標是否未設為「off」。
SQL_EXTERNAL_SCRIPTS_ENABLED

這個偵測器會檢查 Cloud SQL for SQL Server 中的 external scripts enabled 旗標是否未設為「off」。
SQL_INSTANCE_NOT_MONITORED

這個偵測器會檢查 Cloud SQL 設定變更是否已關閉記錄功能。
SQL_LOCAL_INFILE

這個偵測器會檢查 MySQL 適用的 Cloud SQL 中的 local_infile 旗標是否未設為「off」。
SQL_LOG_CONNECTIONS_DISABLED

這個偵測器會檢查 PostgreSQL 適用的 Cloud SQL 中的 log_connections 旗標是否未開啟。
SQL_LOG_DISCONNECTIONS_DISABLED

這個偵測器會檢查 PostgreSQL 適用的 Cloud SQL 中的 log_disconnections 旗標是否未開啟。
SQL_LOG_ERROR_VERBOSITY

這個偵測器會檢查 Cloud SQL for PostgreSQL 中的 log_error_verbosity 旗標是否未設為 default
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

這個偵測器會檢查 Cloud SQL for PostgreSQL 中的 log_min_duration_statement 旗標是否未設為 -1
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

這個偵測器會檢查 PostgreSQL 適用的 Cloud SQL 中的 log_min_error_statement 旗標是否沒有適當的嚴重程度。
SQL_LOG_MIN_MESSAGES

這個偵測器會檢查 Cloud SQL for PostgreSQL 中的 log_min_messages 旗標是否未設為 warning
SQL_LOG_STATEMENT

這個偵測器會檢查 Cloud SQL for PostgreSQL Server 中的 log_statement 旗標是否未設為 ddl
SQL_NO_ROOT_PASSWORD

這個偵測器會檢查具有外部 IP 位址的 Cloud SQL 資料庫,是否沒有根帳戶的密碼。
SQL_PUBLIC_IP

這個偵測器會檢查 Cloud SQL 資料庫是否有外部 IP 位址。
SQL_REMOTE_ACCESS_ENABLED

這個偵測器會檢查 Cloud SQL for SQL Server 中的 remote_access 旗標是否未設為「off」。
SQL_SKIP_SHOW_DATABASE_DISABLED

這個偵測器會檢查 MySQL 適用的 Cloud SQL 中的 skip_show_database 旗標是否未開啟。
SQL_TRACE_FLAG_3625

這個偵測器會檢查 Cloud SQL for SQL Server 中的 3625 (trace flag) 旗標是否未開啟。
SQL_USER_CONNECTIONS_CONFIGURED

這個偵測器會檢查 Cloud SQL for SQL Server 中的 user connections 旗標是否已設定。
SQL_USER_OPTIONS_CONFIGURED

這個偵測器會檢查 Cloud SQL for SQL Server 中的 user options 旗標是否已設定。
USER_MANAGED_SERVICE_ACCOUNT_KEY

這個偵測器會檢查使用者是否管理服務帳戶金鑰。
WEAK_SSL_POLICY

這個偵測器會檢查執行個體是否具有低強度 SSL 政策。

查看防護機制範本

如要查看 CIS 基準 v2.0 的安全狀態範本,請按照下列步驟操作:

gcloud

使用下方的任何指令資料之前,請先替換以下項目:

  • ORGANIZATION_ID:機構的數值 ID

執行 gcloud scc posture-templates describe 指令:

Linux、macOS 或 Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

回覆會包含姿勢範本。

REST

使用任何要求資料之前,請先替換以下項目:

  • ORGANIZATION_ID:機構的數值 ID

HTTP 方法和網址:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

如要傳送要求,請展開以下其中一個選項:

回覆會包含姿勢範本。

後續步驟