En esta página se describen las políticas de detección que se incluyen en la versión 1.0 de la plantilla de postura predefinida para el estándar SP 800-53 del Instituto Nacional de Estándares y Tecnología (NIST). Esta plantilla incluye un conjunto de políticas que define los detectores de Security Health Analytics que se aplican a las cargas de trabajo que deben cumplir el estándar NIST SP 800-53.
Puedes implementar esta plantilla de postura sin hacer ningún cambio.
Detectores de Security Health Analytics
En la siguiente tabla se describen los detectores de Security Health Analytics que se incluyen en esta plantilla de postura.
| Nombre del detector | Descripción |
|---|---|
BIGQUERY_TABLE_CMEK_DISABLED |
Este detector comprueba si una tabla de BigQuery no está configurada para usar una clave de cifrado gestionada por el cliente (CMEK). Para obtener más información, consulta Resultados de vulnerabilidades de conjuntos de datos. |
PUBLIC_DATASET |
Este detector comprueba si un conjunto de datos está configurado para que sea de acceso público. Para obtener más información, consulta Resultados de vulnerabilidades de conjuntos de datos. |
SQL_CROSS_DB_OWNERSHIP_CHAINING |
Este detector comprueba si la marca |
INSTANCE_OS_LOGIN_DISABLED |
Este detector comprueba si el inicio de sesión del SO no está activado. |
SQL_SKIP_SHOW_DATABASE_DISABLED |
Este detector comprueba si la marca |
SQL_EXTERNAL_SCRIPTS_ENABLED |
Este detector comprueba si la marca |
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED |
Este detector comprueba si los registros de flujo de VPC no están activados. |
API_KEY_EXISTS |
Este detector comprueba si un proyecto usa claves de API en lugar de la autenticación estándar. |
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY |
Este detector comprueba si la marca |
COMPUTE_SERIAL_PORTS_ENABLED |
Este detector comprueba si los puertos serie están habilitados. |
SQL_LOG_DISCONNECTIONS_DISABLED |
Este detector comprueba si la marca |
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
Este detector comprueba si se están usando claves SSH de todo el proyecto. |
KMS_PROJECT_HAS_OWNER |
Este detector comprueba si un usuario tiene el permiso Propietario en un proyecto que incluye claves. |
KMS_KEY_NOT_ROTATED |
Este detector comprueba si la rotación del cifrado del servicio de gestión de claves de Cloud no está activada. |
ESSENTIAL_CONTACTS_NOT_CONFIGURED |
Este detector comprueba si tienes al menos un contacto esencial. |
AUDIT_LOGGING_DISABLED |
Este detector comprueba si el registro de auditoría está desactivado en un recurso. |
LOCKED_RETENTION_POLICY_NOT_SET |
Este detector comprueba si se ha definido la política de conservación bloqueada para los registros. |
DNS_LOGGING_DISABLED |
Este detector comprueba si el registro de DNS está habilitado en la red de VPC. |
LOG_NOT_EXPORTED |
Este detector comprueba si un recurso no tiene configurado ningún sumidero de registros. |
KMS_ROLE_SEPARATION |
Este detector comprueba la separación de funciones de las claves de Cloud KMS. |
DISK_CSEK_DISABLED |
Este detector comprueba si la compatibilidad con las claves de cifrado proporcionadas por el cliente (CSEK) está desactivada en una VM. |
SQL_USER_CONNECTIONS_CONFIGURED |
Este detector comprueba si la marca |
API_KEY_APIS_UNRESTRICTED |
Este detector comprueba si las claves de API se están usando de forma demasiado generalizada. |
SQL_LOG_MIN_MESSAGES |
Este detector comprueba si la marca |
SQL_LOCAL_INFILE |
Este detector comprueba si la marca |
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED |
Este detector comprueba si la marca |
DATASET_CMEK_DISABLED |
Este detector comprueba si la compatibilidad con CMEK está desactivada en un conjunto de datos de BigQuery. |
OPEN_SSH_PORT |
Este detector comprueba si un cortafuegos tiene un puerto SSH abierto que permite el acceso genérico. Para obtener más información, consulta Resultados de vulnerabilidades del firewall. |
FIREWALL_NOT_MONITORED |
Este detector comprueba si las métricas de registro y las alertas no están configuradas para monitorizar los cambios en las reglas de cortafuegos de VPC. |
SQL_LOG_STATEMENT |
Este detector comprueba si la marca |
SQL_PUBLIC_IP |
Este detector comprueba si una base de datos de Cloud SQL tiene una dirección IP externa. |
IP_FORWARDING_ENABLED |
Este detector comprueba si el reenvío de IP está activado. |
DATAPROC_CMEK_DISABLED |
Este detector comprueba si la compatibilidad con CMEK está desactivada en un clúster de Dataproc. |
CONFIDENTIAL_COMPUTING_DISABLED |
Este detector comprueba si la función de computación confidencial está desactivada. |
KMS_PUBLIC_KEY |
Este detector comprueba si una clave criptográfica de Cloud Key Management Service es de acceso público. Para obtener más información, consulta Resultados de vulnerabilidades de KMS. |
SQL_INSTANCE_NOT_MONITORED |
Este detector comprueba si el registro está desactivado para los cambios en la configuración de Cloud SQL. |
SQL_TRACE_FLAG_3625 |
Este detector comprueba si la marca |
DEFAULT_NETWORK |
Este detector comprueba si la red predeterminada existe en un proyecto. |
DNSSEC_DISABLED |
Este detector comprueba si la seguridad de DNS (DNSSEC) está desactivada en Cloud DNS. Para obtener más información, consulta Resultados de vulnerabilidades de DNS. |
API_KEY_NOT_ROTATED |
Este detector comprueba si una clave de API se ha rotado en los últimos 90 días. |
SQL_LOG_CONNECTIONS_DISABLED |
Este detector comprueba si la marca |
LEGACY_NETWORK |
Este detector comprueba si hay una red antigua en un proyecto. |
IAM_ROOT_ACCESS_KEY_CHECK |
Este detector comprueba si se puede acceder a la clave de acceso raíz de gestión de identidades y acceso. |
PUBLIC_IP_ADDRESS |
Este detector comprueba si una instancia tiene una dirección IP externa. |
OPEN_RDP_PORT |
Este detector comprueba si un cortafuegos tiene un puerto RDP abierto. |
INSTANCE_OS_LOGIN_DISABLED |
Este detector comprueba si el inicio de sesión del SO no está activado. |
ADMIN_SERVICE_ACCOUNT |
Este detector comprueba si una cuenta de servicio tiene privilegios de administrador, propietario o editor. |
SQL_USER_OPTIONS_CONFIGURED |
Este detector comprueba si la marca |
FULL_API_ACCESS |
Este detector comprueba si una instancia está usando una cuenta de servicio predeterminada con acceso completo a todas las APIs. Google Cloud |
DEFAULT_SERVICE_ACCOUNT_USED |
Este detector comprueba si se está usando la cuenta de servicio predeterminada. |
NETWORK_NOT_MONITORED |
Este detector comprueba si las métricas de registro y las alertas no están configuradas para monitorizar los cambios en la red de VPC. |
SQL_CONTAINED_DATABASE_AUTHENTICATION |
Este detector comprueba si la marca |
PUBLIC_BUCKET_ACL |
Este detector comprueba si se puede acceder públicamente a un segmento. |
LOAD_BALANCER_LOGGING_DISABLED |
Este detector comprueba si el registro está desactivado en el balanceador de carga. |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
Este detector comprueba si un usuario tiene roles de cuenta de servicio a nivel de proyecto, en lugar de para una cuenta de servicio específica. |
SQL_REMOTE_ACCESS_ENABLED |
Este detector comprueba si la marca |
CUSTOM_ROLE_NOT_MONITORED |
Este detector comprueba si el registro está desactivado para los cambios en los roles personalizados. |
AUTO_BACKUP_DISABLED |
Este detector comprueba si una base de datos de Cloud SQL no tiene activadas las copias de seguridad automáticas. |
RSASHA1_FOR_SIGNING |
Este detector comprueba si se usa RSASHA1 para la firma de claves en las zonas de Cloud DNS. |
CLOUD_ASSET_API_DISABLED |
Este detector comprueba si Inventario de Recursos de Cloud está desactivado. |
SQL_LOG_ERROR_VERBOSITY |
Este detector comprueba si la marca |
ROUTE_NOT_MONITORED |
Este detector comprueba si las métricas de registro y las alertas no están configuradas para monitorizar los cambios en las rutas de la red de VPC. |
BUCKET_POLICY_ONLY_DISABLED |
Este detector comprueba si se ha configurado el acceso uniforme a nivel de segmento. |
BUCKET_IAM_NOT_MONITORED |
Este detector comprueba si el registro está desactivado para los cambios en los permisos de gestión de identidades y accesos de Cloud Storage. |
PUBLIC_SQL_INSTANCE |
Este detector comprueba si una instancia de Cloud SQL permite conexiones desde todas las direcciones IP. |
SERVICE_ACCOUNT_ROLE_SEPARATION |
Este detector comprueba la separación de funciones de las claves de cuentas de servicio. |
AUDIT_CONFIG_NOT_MONITORED |
Este detector comprueba si se están monitorizando los cambios en la configuración de auditoría. |
OWNER_NOT_MONITORED |
Este detector comprueba si el registro está desactivado para las asignaciones y los cambios de propiedad del proyecto. |
Ver la plantilla de postura
Para ver la plantilla de postura de NIST 800-53, haga lo siguiente:
gcloud
Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:
-
ORGANIZATION_ID: el ID numérico de la organización
Ejecuta el comando
gcloud scc posture-templates
describe:
Linux, macOS o Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53
La respuesta contiene la plantilla de postura.
REST
Antes de usar los datos de la solicitud, haz las siguientes sustituciones:
-
ORGANIZATION_ID: el ID numérico de la organización
Método HTTP y URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53
Para enviar tu solicitud, despliega una de estas opciones:
La respuesta contiene la plantilla de postura.