Auf dieser Seite werden die ermittelnden Richtlinien beschrieben, die in der Version 1.0 der vordefinierten Konfigurationsvorlage für den Payment Card Industry Data Security Standard (PCI DSS) Version 3.2.1 und Version 1.0 enthalten sind. Diese Vorlage enthält eine Richtliniengruppe, in der die Security Health Analytics-Detektoren definiert sind, die für Arbeitslasten gelten, die dem PCI DSS-Standard entsprechen müssen.
Sie können diese Vorlage für den Sicherheitsstatus ohne Änderungen bereitstellen.
Security Health Analytics – Detektoren
In der folgenden Tabelle werden die Security Health Analytics-Detektoren beschrieben, die in dieser Konfigurationsvorlage enthalten sind.
| Detektorname | Beschreibung |
|---|---|
PUBLIC_DATASET |
Dieser Detektor prüft, ob ein Dataset für den öffentlichen Zugriff konfiguriert ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Datasets. |
NON_ORG_IAM_MEMBER |
Dieser Detektor prüft, ob ein Nutzer keine organisationsgebundenen Anmeldedaten verwendet. |
KMS_PROJECT_HAS_OWNER |
Dieser Detektor prüft, ob ein Nutzer die Berechtigung Inhaber für ein Projekt mit Schlüsseln hat. |
AUDIT_LOGGING_DISABLED |
Dieser Detektor prüft, ob das Audit-Logging für eine Ressource deaktiviert ist. |
SSL_NOT_ENFORCED |
Dieser Detector prüft, ob eine Cloud SQL-Datenbankinstanz nicht für alle eingehenden Verbindungen SSL verwendet. Weitere Informationen finden Sie unter SQL-Sicherheitslücken. |
LOCKED_RETENTION_POLICY_NOT_SET |
Dieser Detektor prüft, ob die gesperrte Aufbewahrungsrichtlinie für Logs festgelegt ist. |
KMS_KEY_NOT_ROTATED |
Dieser Detektor prüft, ob die Rotation für die Cloud Key Management Service-Verschlüsselung nicht aktiviert ist. |
OPEN_SMTP_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen SMTP-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls. |
SQL_NO_ROOT_PASSWORD |
Dieser Detector prüft, ob für eine Cloud SQL-Datenbank mit einer öffentlichen IP-Adresse kein Passwort für das Root-Konto festgelegt ist. |
OPEN_LDAP_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen LDAP-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls. |
OPEN_ORACLEDB_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen Oracle-Datenbankport hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls. |
OPEN_SSH_PORT |
Mit diesem Detektor wird geprüft, ob eine Firewall einen offenen SSH-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls. |
MFA_NOT_ENFORCED |
Dieser Detektor prüft, ob ein Nutzer die Bestätigung in zwei Schritten nicht verwendet. |
COS_NOT_USED |
Dieser Detektor prüft, ob Compute Engine-VMs nicht das Container-Optimized OS verwenden. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Containern. |
HTTP_LOAD_BALANCER |
Dieser Detektor prüft, ob eine Compute Engine-Instanz einen Load-Balancer verwendet, der so konfiguriert ist, dass er statt eines HTTPS-Zielproxys einen Ziel-HTTP-Proxy verwendet. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken bei Compute-Instanzen. |
EGRESS_DENY_RULE_NOT_SET |
Dieser Detektor prüft, ob für eine Firewall keine Regel für ausgehenden Traffic festgelegt ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls. |
PUBLIC_LOG_BUCKET |
Dieser Detektor prüft, ob ein Bucket mit einer Logsenke öffentlich zugänglich ist. |
OPEN_DIRECTORY_SERVICES_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen DIRECTORY_SERVICES-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls. |
OPEN_MYSQL_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen MySQL-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls. |
OPEN_FTP_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen FTP-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls. |
OPEN_FIREWALL |
Dieser Detektor prüft, ob eine Firewall für den öffentlichen Zugriff geöffnet ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls. |
WEAK_SSL_POLICY |
Dieser Detektor prüft, ob eine Instanz eine schwache SSL-Richtlinie hat. |
OPEN_POP3_PORT |
Mit diesem Detektor wird geprüft, ob eine Firewall einen offenen POP3-Port mit generischem Zugriff hat. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls. |
OPEN_NETBIOS_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen NETBIOS-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls. |
FLOW_LOGS_DISABLED |
Dieser Detektor prüft, ob Flusslogs für das VPC-Subnetzwerk aktiviert sind. |
OPEN_MONGODB_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen Mongo-Datenbankport mit generischem Zugriff hat. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls. |
MASTER_AUTHORIZED_NETWORKS_DISABLED |
Dieser Detektor prüft, ob autorisierte Netzwerke auf Steuerungsebene in GKE-Clustern nicht aktiviert sind. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Containern. |
OPEN_REDIS_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen REDIS-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls. |
OPEN_DNS_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen DNS-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls. |
OPEN_TELNET_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen TELNET-Port hat, über den generischer Zugriff möglich ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls. |
OPEN_HTTP_PORT |
Mit diesem Detektor wird geprüft, ob eine Firewall einen offenen HTTP-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls. |
CLUSTER_LOGGING_DISABLED |
Dieser Detektor prüft, ob das Logging für einen GKE-Cluster aktiviert ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Containern. |
FULL_API_ACCESS |
Dieser Detector prüft, ob eine Instanz ein Standarddienstkonto mit uneingeschränktem Zugriff auf alle Google Cloud APIs verwendet. |
OBJECT_VERSIONING_DISABLED |
Dieser Detektor prüft, ob die Objektversionsverwaltung für Storage-Buckets mit Senken aktiviert ist. |
PUBLIC_IP_ADDRESS |
Dieser Detektor prüft, ob eine Instanz eine öffentliche IP-Adresse hat. |
AUTO_UPGRADE_DISABLED |
Dieser Detektor prüft, ob das Feature für automatische Upgrades eines GKE-Cluster deaktiviert ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Containern. |
LEGACY_AUTHORIZATION_ENABLED |
Dieser Detektor prüft, ob die Legacy-Autorisierung für GKE-Cluster aktiviert ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Containern. |
CLUSTER_MONITORING_DISABLED |
Dieser Detektor prüft, ob das Monitoring in GKE-Clustern deaktiviert ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Containern. |
OPEN_CISCOSECURE_WEBSM_PORT |
Dieser Detector prüft, ob eine Firewall einen offenen CISCOSECURE_WEBSM-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls. |
OPEN_RDP_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen RDP-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls. |
WEB_UI_ENABLED |
Dieser Detektor prüft, ob die GKE-Web-UI aktiviert ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Containern. |
FIREWALL_RULE_LOGGING_DISABLED |
Dieser Detektor prüft, ob das Logging von Firewallregeln deaktiviert ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls. |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
Dieser Detektor prüft, ob ein Nutzer Dienstkontorollen auf Projektebene und nicht für ein bestimmtes Dienstkonto hat. |
PRIVATE_CLUSTER_DISABLED |
Dieser Detektor prüft, ob für einen GKE-Cluster ein privater Cluster deaktiviert ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Containern. |
PRIMITIVE_ROLES_USED |
Mit diesem Detektor wird geprüft, ob ein Nutzer eine einfache Rolle (Inhaber, Bearbeiter oder Betrachter) hat. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in IAM. |
REDIS_ROLE_USED_ON_ORG |
Dieser Detektor prüft, ob eine Redis-IAM-Rolle einer Organisation oder einem Ordner zugewiesen ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in IAM. |
PUBLIC_BUCKET_ACL |
Dieser Detektor prüft, ob ein Bucket öffentlich zugänglich ist. |
OPEN_MEMCACHED_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen MEMCACHED-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls. |
OVER_PRIVILEGED_ACCOUNT |
Dieser Detektor prüft, ob ein Dienstkonto in einem Cluster übermäßigen Projektzugriff hat. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Containern. |
AUTO_REPAIR_DISABLED |
Dieser Detektor prüft, ob das Feature für die automatische Reparatur eines GKE-Cluster deaktiviert ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Containern. |
NETWORK_POLICY_DISABLED |
Dieser Detektor prüft, ob die Netzwerkrichtlinie für einen Cluster deaktiviert ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Containern. |
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED |
Dieser Detector prüft, ob Clusterhosts so konfiguriert sind, dass sie nur private, interne IP-Adressen für den Zugriff auf Google APIs verwenden. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Containern. |
OPEN_CASSANDRA_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen Cassandra-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls. |
TOO_MANY_KMS_USERS |
Dieser Detektor prüft, ob es mehr als drei Nutzer kryptografischer Schlüssel gibt. Weitere Informationen finden Sie unter KMS-Ergebnisse zu Sicherheitslücken. |
OPEN_POSTGRESQL_PORT |
Mit diesem Detector wird geprüft, ob eine Firewall einen offenen PostgreSQL-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls. |
IP_ALIAS_DISABLED |
Dieser Detektor prüft, ob ein GKE-Cluster mit deaktiviertem Alias-IP-Adressbereich erstellt wurde. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Containern. |
PUBLIC_SQL_INSTANCE |
Dieser Detektor prüft, ob eine Cloud SQL-Instanz Verbindungen von allen IP-Adressen zulässt. |
OPEN_ELASTICSEARCH_PORT |
Dieser Detektor prüft, ob eine Firewall einen offenen Elasticsearch-Port hat, der generischen Zugriff zulässt. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Firewalls. |
Statusvorlage ansehen
So rufen Sie die Vorlage für die Sicherheitskonfiguration für PCI DSS auf:
gcloud
Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
-
ORGANIZATION_ID: die numerische ID der Organisation
Führen Sie den Befehl gcloud scc posture-templates
describe aus:
Linux, macOS oder Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
Die Antwort enthält die Vorlage für die Haltung.
REST
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
-
ORGANIZATION_ID: die numerische ID der Organisation
HTTP-Methode und URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Die Antwort enthält die Vorlage für die Haltung.