Halaman ini diterjemahkan oleh Cloud Translation API.

Template postur standar untuk PCI DSS v3.2.1 dan v1.0

Halaman ini menjelaskan kebijakan detektif yang disertakan dalam versi v1.0 dari template postur yang telah ditentukan sebelumnya untuk Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) versi 3.2.1 dan versi 1.0. Template ini mencakup set kebijakan yang menentukan detektor Security Health Analytics yang berlaku untuk beban kerja yang harus mematuhi standar PCI DSS.

Anda dapat men-deploy template postur ini tanpa melakukan perubahan apa pun.

Detektor Security Health Analytics

Tabel berikut menjelaskan detektor Analisis Kesehatan Keamanan yang disertakan dalam template postur ini.

Nama pendeteksi	Deskripsi
`PUBLIC_DATASET`	Detektor ini memeriksa apakah set data dikonfigurasi agar terbuka untuk akses publik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan set data.
`NON_ORG_IAM_MEMBER`	Detektor ini memeriksa apakah pengguna tidak menggunakan kredensial organisasi.
`KMS_PROJECT_HAS_OWNER`	Detektor ini memeriksa apakah pengguna memiliki izin Pemilik di project yang menyertakan kunci.
`AUDIT_LOGGING_DISABLED`	Detektor ini memeriksa apakah logging audit dinonaktifkan untuk suatu resource.
`SSL_NOT_ENFORCED`	Detektor ini memeriksa apakah instance database Cloud SQL tidak menggunakan SSL untuk semua koneksi masuk. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan SQL.
`LOCKED_RETENTION_POLICY_NOT_SET`	Detektor ini memeriksa apakah kebijakan retensi yang dikunci ditetapkan untuk log.
`KMS_KEY_NOT_ROTATED`	Detektor ini memeriksa apakah rotasi untuk enkripsi Cloud Key Management Service tidak diaktifkan.
`OPEN_SMTP_PORT`	Detektor ini memeriksa apakah firewall memiliki port SMTP terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.
`SQL_NO_ROOT_PASSWORD`	Detektor ini memeriksa apakah database Cloud SQL dengan alamat IP publik tidak memiliki sandi untuk akun root.
`OPEN_LDAP_PORT`	Detektor ini memeriksa apakah firewall memiliki port LDAP terbuka yang memungkinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.
`OPEN_ORACLEDB_PORT`	Detektor ini memeriksa apakah firewall memiliki port database Oracle yang terbuka yang memungkinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.
`OPEN_SSH_PORT`	Detektor ini memeriksa apakah firewall memiliki port SSH terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.
`MFA_NOT_ENFORCED`	Detektor ini memeriksa apakah pengguna tidak menggunakan verifikasi 2 langkah.
`COS_NOT_USED`	Detektor ini memeriksa apakah VM Compute Engine tidak menggunakan Container-Optimized OS. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan container.
`HTTP_LOAD_BALANCER`	Detektor ini memeriksa apakah instance Compute Engine menggunakan load balancer yang dikonfigurasi untuk menggunakan proxy HTTP target, bukan proxy HTTPS target. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan instance Compute.
`EGRESS_DENY_RULE_NOT_SET`	Detektor ini memeriksa apakah aturan penolakan traffic keluar tidak ditetapkan di firewall. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.
`PUBLIC_LOG_BUCKET`	Detektor ini memeriksa apakah bucket dengan sink log dapat diakses secara publik.
`OPEN_DIRECTORY_SERVICES_PORT`	Detektor ini memeriksa apakah firewall memiliki port DIRECTORY_SERVICES yang terbuka yang memungkinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.
`OPEN_MYSQL_PORT`	Detektor ini memeriksa apakah firewall memiliki port MySQL terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.
`OPEN_FTP_PORT`	Detektor ini memeriksa apakah firewall memiliki port FTP terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.
`OPEN_FIREWALL`	Detektor ini memeriksa apakah firewall terbuka untuk akses publik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.
`WEAK_SSL_POLICY`	Detektor ini memeriksa apakah instance memiliki kebijakan SSL yang lemah.
`OPEN_POP3_PORT`	Detektor ini memeriksa apakah firewall memiliki port POP3 terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.
`OPEN_NETBIOS_PORT`	Detektor ini memeriksa apakah firewall memiliki port NETBIOS terbuka yang memungkinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.
`FLOW_LOGS_DISABLED`	Detektor ini memeriksa apakah log alur diaktifkan di subnetwork VPC.
`OPEN_MONGODB_PORT`	Detektor ini memeriksa apakah firewall memiliki port database Mongo yang terbuka yang memungkinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.
`MASTER_AUTHORIZED_NETWORKS_DISABLED`	Detektor ini memeriksa apakah Jaringan yang Diizinkan Bidang Kontrol tidak diaktifkan di cluster GKE. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan container.
`OPEN_REDIS_PORT`	Detektor ini memeriksa apakah firewall memiliki port REDIS terbuka yang memungkinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.
`OPEN_DNS_PORT`	Detektor ini memeriksa apakah firewall memiliki port DNS terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.
`OPEN_TELNET_PORT`	Detektor ini memeriksa apakah firewall memiliki port TELNET terbuka yang memungkinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.
`OPEN_HTTP_PORT`	Detektor ini memeriksa apakah firewall memiliki port HTTP terbuka yang memungkinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.
`CLUSTER_LOGGING_DISABLED`	Detektor ini memeriksa apakah logging diaktifkan untuk cluster GKE. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan container.
`FULL_API_ACCESS`	Detektor ini memeriksa apakah instance menggunakan akun layanan default dengan akses penuh ke semua Google Cloud API.
`OBJECT_VERSIONING_DISABLED`	Detektor ini memeriksa apakah pembuatan versi objek diaktifkan pada bucket penyimpanan dengan sink.
`PUBLIC_IP_ADDRESS`	Detektor ini memeriksa apakah instance memiliki alamat IP publik.
`AUTO_UPGRADE_DISABLED`	Detektor ini memeriksa apakah fitur upgrade otomatis cluster GKE dinonaktifkan. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan container.
`LEGACY_AUTHORIZATION_ENABLED`	Detektor ini memeriksa apakah Otorisasi Lama diaktifkan di cluster GKE. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan container.
`CLUSTER_MONITORING_DISABLED`	Detektor ini memeriksa apakah pemantauan dinonaktifkan di cluster GKE. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan container.
`OPEN_CISCOSECURE_WEBSM_PORT`	Detektor ini memeriksa apakah firewall memiliki port CISCOSECURE_WEBSM yang terbuka yang memungkinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.
`OPEN_RDP_PORT`	Detektor ini memeriksa apakah firewall memiliki port RDP terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.
`WEB_UI_ENABLED`	Detektor ini memeriksa apakah UI web GKE diaktifkan. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan container.
`FIREWALL_RULE_LOGGING_DISABLED`	Detektor ini memeriksa apakah logging aturan firewall dinonaktifkan. Untuk informasi selengkapnya, lihat Temuan kerentanan firewall.
`OVER_PRIVILEGED_SERVICE_ACCOUNT_USER`	Detektor ini memeriksa apakah pengguna memiliki peran akun layanan di tingkat project, bukan untuk akun layanan tertentu.
`PRIVATE_CLUSTER_DISABLED`	Detektor ini memeriksa apakah cluster GKE telah menonaktifkan cluster pribadi. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan container.
`PRIMITIVE_ROLES_USED`	Detektor ini memeriksa apakah pengguna memiliki peran dasar (Pemilik, Editor, atau Viewer). Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan IAM.
`REDIS_ROLE_USED_ON_ORG`	Detektor ini memeriksa apakah peran IAM Redis ditetapkan ke organisasi atau folder. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan IAM.
`PUBLIC_BUCKET_ACL`	Detektor ini memeriksa apakah bucket dapat diakses secara publik.
`OPEN_MEMCACHED_PORT`	Detektor ini memeriksa apakah firewall memiliki port MEMCACHED terbuka yang memungkinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.
`OVER_PRIVILEGED_ACCOUNT`	Detektor ini memeriksa apakah akun layanan memiliki akses project yang terlalu luas dalam cluster. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan container.
`AUTO_REPAIR_DISABLED`	Detektor ini memeriksa apakah fitur perbaikan otomatis cluster GKE dinonaktifkan. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan container.
`NETWORK_POLICY_DISABLED`	Detektor ini memeriksa apakah kebijakan jaringan dinonaktifkan di cluster. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan container.
`CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED`	Detektor ini memeriksa apakah host cluster tidak dikonfigurasi untuk menggunakan hanya alamat IP internal pribadi untuk mengakses Google API. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan container.
`OPEN_CASSANDRA_PORT`	Detektor ini memeriksa apakah firewall memiliki port Cassandra terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.
`TOO_MANY_KMS_USERS`	Detektor ini memeriksa apakah ada lebih dari tiga pengguna kunci kriptografi. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan KMS.
`OPEN_POSTGRESQL_PORT`	Detektor ini memeriksa apakah firewall memiliki port PostgreSQL terbuka yang memungkinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.
`IP_ALIAS_DISABLED`	Detektor ini memeriksa apakah cluster GKE dibuat dengan rentang alamat IP alias dinonaktifkan. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan container.
`PUBLIC_SQL_INSTANCE`	Detektor ini memeriksa apakah Cloud SQL mengizinkan koneksi dari semua alamat IP.
`OPEN_ELASTICSEARCH_PORT`	Detektor ini memeriksa apakah firewall memiliki port Elasticsearch terbuka yang memungkinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.

Melihat template postur

Untuk melihat template postur untuk PCI DSS, lakukan tindakan berikut:

gcloud

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

ORGANIZATION_ID: ID numerik organisasi

Jalankan perintah gcloud scc posture-templates describe:

Linux, macOS, atau Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

Respons berisi template postur.

REST

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

ORGANIZATION_ID: ID numerik organisasi

Metode HTTP dan URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

Untuk mengirim permintaan, perluas salah satu opsi berikut:

curl (Linux, macOS, atau Cloud Shell)

Catatan: Perintah berikut mengasumsikan bahwa Anda telah login ke gcloud CLI menggunakan akun pengguna Anda dengan menjalankan gcloud init atau gcloud auth login , atau dengan menggunakan Cloud Shell, yang secara otomatis membuat Anda login ke gcloud CLI . Anda dapat memeriksa akun yang saat ini aktif dengan menjalankan gcloud auth list.

Jalankan perintah berikut:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1"

PowerShell (Windows)

Catatan: Perintah berikut mengasumsikan bahwa Anda telah login ke gcloud CLI menggunakan akun pengguna Anda dengan menjalankan gcloud init atau gcloud auth login . Anda dapat memeriksa akun yang saat ini aktif dengan menjalankan gcloud auth list.

Jalankan perintah berikut:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1" | Select-Object -Expand Content

Respons berisi template postur.

Langkah berikutnya

Buat postur keamanan menggunakan template postur ini.

Template postur standar untuk PCI DSS v3.2.1 dan v1.0 Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.

Detektor Security Health Analytics

Melihat template postur

gcloud

Linux, macOS, atau Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS, atau Cloud Shell)

PowerShell (Windows)

Langkah berikutnya

Template postur standar untuk PCI DSS v3.2.1 dan v1.0