En esta página se describen las políticas de detección que se incluyen en la versión 1.0 de la plantilla de postura predefinida para la versión 3.2.1 y la versión 1.0 de la normativa de seguridad de datos del sector de las tarjetas de pago (PCI DSS). Esta plantilla incluye un conjunto de políticas que define los detectores de Security Health Analytics que se aplican a las cargas de trabajo que deben cumplir el estándar PCI DSS.
Puedes implementar esta plantilla de postura sin hacer ningún cambio.
Detectores de Security Health Analytics
En la siguiente tabla se describen los detectores de Security Health Analytics que se incluyen en esta plantilla de postura.
| Nombre del detector | Descripción |
|---|---|
PUBLIC_DATASET |
Este detector comprueba si un conjunto de datos está configurado para que sea de acceso público. Para obtener más información, consulta Resultados de vulnerabilidades de conjuntos de datos. |
NON_ORG_IAM_MEMBER |
Este detector comprueba si un usuario no está usando las credenciales de la organización. |
KMS_PROJECT_HAS_OWNER |
Este detector comprueba si un usuario tiene el permiso Propietario en un proyecto que incluye claves. |
AUDIT_LOGGING_DISABLED |
Este detector comprueba si el registro de auditoría está desactivado en un recurso. |
SSL_NOT_ENFORCED |
Este detector comprueba si una instancia de base de datos de Cloud SQL no usa SSL para todas las conexiones entrantes. Para obtener más información, consulta Resultados de vulnerabilidades de SQL. |
LOCKED_RETENTION_POLICY_NOT_SET |
Este detector comprueba si se ha definido la política de conservación bloqueada para los registros. |
KMS_KEY_NOT_ROTATED |
Este detector comprueba si la rotación del cifrado del servicio de gestión de claves de Cloud no está activada. |
OPEN_SMTP_PORT |
Este detector comprueba si un cortafuegos tiene un puerto SMTP abierto que permite el acceso genérico. Para obtener más información, consulta Resultados de vulnerabilidades del firewall. |
SQL_NO_ROOT_PASSWORD |
Este detector comprueba si una base de datos de Cloud SQL con una dirección IP pública no tiene una contraseña para la cuenta raíz. |
OPEN_LDAP_PORT |
Este detector comprueba si un cortafuegos tiene un puerto LDAP abierto que permite el acceso genérico. Para obtener más información, consulta Resultados de vulnerabilidades del firewall. |
OPEN_ORACLEDB_PORT |
Este detector comprueba si un cortafuegos tiene un puerto de base de datos Oracle abierto que permite el acceso genérico. Para obtener más información, consulta Resultados de vulnerabilidades del firewall. |
OPEN_SSH_PORT |
Este detector comprueba si un cortafuegos tiene un puerto SSH abierto que permite el acceso genérico. Para obtener más información, consulta Resultados de vulnerabilidades del firewall. |
MFA_NOT_ENFORCED |
Este detector comprueba si un usuario no está usando la verificación en dos pasos. |
COS_NOT_USED |
Este detector comprueba si las VMs de Compute Engine no usan Container-Optimized OS. Para obtener más información, consulta Resultados de vulnerabilidades de contenedores. |
HTTP_LOAD_BALANCER |
Este detector comprueba si la instancia de Compute Engine usa un balanceador de carga configurado para usar un proxy HTTP de destino en lugar de un proxy HTTPS de destino. Para obtener más información, consulta Resultados de vulnerabilidades de instancias de Compute. |
EGRESS_DENY_RULE_NOT_SET |
Este detector comprueba si no se ha definido una regla de denegación de salida en un cortafuegos. Para obtener más información, consulta Resultados de vulnerabilidades del firewall. |
PUBLIC_LOG_BUCKET |
Este detector comprueba si se puede acceder públicamente a un bucket con un receptor de registro. |
OPEN_DIRECTORY_SERVICES_PORT |
Este detector comprueba si un cortafuegos tiene un puerto DIRECTORY_SERVICES abierto que permite el acceso genérico. Para obtener más información, consulta Resultados de vulnerabilidades del firewall. |
OPEN_MYSQL_PORT |
Este detector comprueba si un cortafuegos tiene un puerto MySQL abierto que permite el acceso genérico. Para obtener más información, consulta Resultados de vulnerabilidades del firewall. |
OPEN_FTP_PORT |
Este detector comprueba si un cortafuegos tiene un puerto FTP abierto que permita el acceso genérico. Para obtener más información, consulta Resultados de vulnerabilidades del firewall. |
OPEN_FIREWALL |
Este detector comprueba si un cortafuegos está abierto al acceso público. Para obtener más información, consulta Resultados de vulnerabilidades del firewall. |
WEAK_SSL_POLICY |
Este detector comprueba si una instancia tiene una política de SSL débil. |
OPEN_POP3_PORT |
Este detector comprueba si un cortafuegos tiene un puerto POP3 abierto que permita el acceso genérico. Para obtener más información, consulta Resultados de vulnerabilidades del firewall. |
OPEN_NETBIOS_PORT |
Este detector comprueba si un cortafuegos tiene un puerto NETBIOS abierto que permite el acceso genérico. Para obtener más información, consulta Resultados de vulnerabilidades del firewall. |
FLOW_LOGS_DISABLED |
Este detector comprueba si los registros de flujo están habilitados en la subred de la VPC. |
OPEN_MONGODB_PORT |
Este detector comprueba si un cortafuegos tiene un puerto de base de datos de Mongo abierto que permite el acceso genérico. Para obtener más información, consulta Resultados de vulnerabilidades del firewall. |
MASTER_AUTHORIZED_NETWORKS_DISABLED |
Este detector comprueba si las redes autorizadas del plano de control no están habilitadas en los clústeres de GKE. Para obtener más información, consulta Resultados de vulnerabilidades de contenedores. |
OPEN_REDIS_PORT |
Este detector comprueba si un cortafuegos tiene un puerto REDIS abierto que permita el acceso genérico. Para obtener más información, consulta Resultados de vulnerabilidades del firewall. |
OPEN_DNS_PORT |
Este detector comprueba si un cortafuegos tiene un puerto DNS abierto que permite el acceso genérico. Para obtener más información, consulta Resultados de vulnerabilidades del firewall. |
OPEN_TELNET_PORT |
Este detector comprueba si un cortafuegos tiene un puerto TELNET abierto que permite el acceso genérico. Para obtener más información, consulta Resultados de vulnerabilidades del firewall. |
OPEN_HTTP_PORT |
Este detector comprueba si un cortafuegos tiene un puerto HTTP abierto que permite el acceso genérico. Para obtener más información, consulta Resultados de vulnerabilidades del firewall. |
CLUSTER_LOGGING_DISABLED |
Este detector comprueba que el registro no esté habilitado en un clúster de GKE. Para obtener más información, consulta Resultados de vulnerabilidades de contenedores. |
FULL_API_ACCESS |
Este detector comprueba si una instancia está usando una cuenta de servicio predeterminada con acceso completo a todas las APIs. Google Cloud |
OBJECT_VERSIONING_DISABLED |
Este detector comprueba si la gestión de versiones de objetos está habilitada en los segmentos de almacenamiento con receptores. |
PUBLIC_IP_ADDRESS |
Este detector comprueba si una instancia tiene una dirección IP pública. |
AUTO_UPGRADE_DISABLED |
Este detector comprueba si la función de actualización automática de un clúster de GKE está inhabilitada. Para obtener más información, consulta Resultados de vulnerabilidades de contenedores. |
LEGACY_AUTHORIZATION_ENABLED |
Este detector comprueba si la autorización antigua está habilitada en los clústeres de GKE. Para obtener más información, consulta Resultados de vulnerabilidades de contenedores. |
CLUSTER_MONITORING_DISABLED |
Este detector comprueba si la monitorización está inhabilitada en los clústeres de GKE. Para obtener más información, consulta Resultados de vulnerabilidades de contenedores. |
OPEN_CISCOSECURE_WEBSM_PORT |
Este detector comprueba si un cortafuegos tiene un puerto CISCOSECURE_WEBSM abierto que permite el acceso genérico. Para obtener más información, consulta Resultados de vulnerabilidades del firewall. |
OPEN_RDP_PORT |
Este detector comprueba si un cortafuegos tiene un puerto RDP abierto que permite el acceso genérico. Para obtener más información, consulta Resultados de vulnerabilidades del firewall. |
WEB_UI_ENABLED |
Este detector comprueba si la interfaz web de GKE está habilitada. Para obtener más información, consulta Resultados de vulnerabilidades de contenedores. |
FIREWALL_RULE_LOGGING_DISABLED |
Este detector comprueba si el registro de reglas de cortafuegos está inhabilitado. Para obtener más información, consulta Resultados de vulnerabilidades del firewall. |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
Este detector comprueba si un usuario tiene roles de cuenta de servicio a nivel de proyecto, en lugar de para una cuenta de servicio específica. |
PRIVATE_CLUSTER_DISABLED |
Este detector comprueba si un clúster de GKE tiene inhabilitado el clúster privado. Para obtener más información, consulta Resultados de vulnerabilidades de contenedores. |
PRIMITIVE_ROLES_USED |
Este detector comprueba si un usuario tiene un rol básico (Propietario, Editor o Lector). Para obtener más información, consulta las vulnerabilidades de gestión de identidades y accesos. |
REDIS_ROLE_USED_ON_ORG |
Este detector comprueba si el rol de gestión de identidades y accesos de Redis se ha asignado a una organización o a una carpeta. Para obtener más información, consulta las vulnerabilidades de gestión de identidades y accesos. |
PUBLIC_BUCKET_ACL |
Este detector comprueba si se puede acceder públicamente a un segmento. |
OPEN_MEMCACHED_PORT |
Este detector comprueba si un cortafuegos tiene un puerto MEMCACHED abierto que permita el acceso genérico. Para obtener más información, consulta Resultados de vulnerabilidades del firewall. |
OVER_PRIVILEGED_ACCOUNT |
Este detector comprueba si una cuenta de servicio tiene un acceso al proyecto demasiado amplio en un clúster. Para obtener más información, consulta Resultados de vulnerabilidades de contenedores. |
AUTO_REPAIR_DISABLED |
Este detector comprueba si la función de reparación automática de un clúster de GKE está inhabilitada. Para obtener más información, consulta Resultados de vulnerabilidades de contenedores. |
NETWORK_POLICY_DISABLED |
Este detector comprueba si la política de red está inhabilitada en un clúster. Para obtener más información, consulta Resultados de vulnerabilidades de contenedores. |
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED |
Este detector comprueba si los hosts del clúster no están configurados para usar solo direcciones IP internas privadas para acceder a las APIs de Google. Para obtener más información, consulta Resultados de vulnerabilidades de contenedores. |
OPEN_CASSANDRA_PORT |
Este detector comprueba si un cortafuegos tiene un puerto de Cassandra abierto que permita el acceso genérico. Para obtener más información, consulta Resultados de vulnerabilidades del firewall. |
TOO_MANY_KMS_USERS |
Este detector comprueba si hay más de tres usuarios de claves criptográficas. Para obtener más información, consulta Resultados de vulnerabilidades de KMS. |
OPEN_POSTGRESQL_PORT |
Este detector comprueba si un cortafuegos tiene un puerto PostgreSQL abierto que permite el acceso genérico. Para obtener más información, consulta Resultados de vulnerabilidades del firewall. |
IP_ALIAS_DISABLED |
Este detector comprueba si se ha creado un clúster de GKE con el intervalo de direcciones IP de alias inhabilitado. Para obtener más información, consulta Resultados de vulnerabilidades de contenedores. |
PUBLIC_SQL_INSTANCE |
Este detector comprueba si una instancia de Cloud SQL permite conexiones desde todas las direcciones IP. |
OPEN_ELASTICSEARCH_PORT |
Este detector comprueba si un cortafuegos tiene un puerto de Elasticsearch abierto que permite el acceso genérico. Para obtener más información, consulta Resultados de vulnerabilidades del firewall. |
Ver la plantilla de postura
Para ver la plantilla de postura de PCI DSS, siga estos pasos:
gcloud
Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:
-
ORGANIZATION_ID: el ID numérico de la organización
Ejecuta el comando
gcloud scc posture-templates
describe:
Linux, macOS o Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
La respuesta contiene la plantilla de postura.
REST
Antes de usar los datos de la solicitud, haz las siguientes sustituciones:
-
ORGANIZATION_ID: el ID numérico de la organización
Método HTTP y URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
Para enviar tu solicitud, despliega una de estas opciones:
La respuesta contiene la plantilla de postura.