Template postur yang telah ditentukan sebelumnya untuk PCI DSS v3.2.1 dan v1.0

Halaman ini menjelaskan kebijakan detektif yang disertakan dalam versi v1.0 template postur yang telah ditentukan untuk Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) versi 3.2.1 dan versi 1.0. Template ini mencakup kumpulan kebijakan yang menentukan detektor Security Health Analytics yang berlaku untuk workload yang harus mematuhi standar PCI DSS.

Anda dapat men-deploy template postur ini tanpa melakukan perubahan apa pun.

Pendeteksi Security Health Analytics

Tabel berikut menjelaskan detektor Security Health Analytics yang disertakan dalam template postur ini.

Nama pendeteksi Deskripsi
PUBLIC_DATASET

Detektor ini memeriksa apakah set data dikonfigurasi agar terbuka untuk akses publik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan set data.

NON_ORG_IAM_MEMBER

Pendeteksi ini memeriksa apakah pengguna tidak menggunakan kredensial organisasi.

KMS_PROJECT_HAS_OWNER

Pendeteksi ini memeriksa apakah pengguna memiliki izin Pemilik di project yang menyertakan kunci.

AUDIT_LOGGING_DISABLED

Pendeteksi ini memeriksa apakah logging audit dinonaktifkan untuk suatu resource.

SSL_NOT_ENFORCED

Pendeteksi ini memeriksa apakah instance database Cloud SQL tidak menggunakan SSL untuk semua koneksi masuk. Untuk mengetahui informasi selengkapnya, lihat temuan kerentanan SQL.

LOCKED_RETENTION_POLICY_NOT_SET

Pendeteksi ini memeriksa apakah kebijakan retensi yang terkunci disetel untuk log.

KMS_KEY_NOT_ROTATED

Detektor ini memeriksa apakah rotasi untuk enkripsi Cloud Key Management Service tidak diaktifkan.

OPEN_SMTP_PORT

Pendeteksi ini memeriksa apakah firewall memiliki port SMTP terbuka yang mengizinkan akses generik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.

SQL_NO_ROOT_PASSWORD

Pendeteksi ini memeriksa apakah database Cloud SQL dengan alamat IP publik tidak memiliki sandi untuk akun root.

OPEN_LDAP_PORT

Pendeteksi ini memeriksa apakah firewall memiliki port LDAP terbuka yang mengizinkan akses umum. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.

OPEN_ORACLEDB_PORT

Detektor ini memeriksa apakah firewall memiliki port database Oracle terbuka yang memungkinkan akses generik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.

OPEN_SSH_PORT

Pendeteksi ini memeriksa apakah firewall memiliki port SSH terbuka yang memungkinkan akses generik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.

MFA_NOT_ENFORCED

Pendeteksi ini memeriksa apakah pengguna tidak menggunakan verifikasi 2 langkah.

COS_NOT_USED

Pendeteksi ini memeriksa apakah VM Compute Engine tidak menggunakan Container-Optimized OS. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan container.

HTTP_LOAD_BALANCER

Pendeteksi ini memeriksa apakah instance Compute Engine menggunakan load balancer yang dikonfigurasi untuk menggunakan proxy HTTP target, bukan proxy HTTPS target. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan instance komputasi.

EGRESS_DENY_RULE_NOT_SET

Pendeteksi ini memeriksa apakah aturan penolakan keluar tidak disetel pada firewall. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.

PUBLIC_LOG_BUCKET

Pendeteksi ini memeriksa apakah bucket dengan sink log dapat diakses secara publik.

OPEN_DIRECTORY_SERVICES_PORT

Pendeteksi ini memeriksa apakah firewall memiliki port DIRECTORY_SERVICE terbuka atau tidak yang memungkinkan akses generik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.

OPEN_MYSQL_PORT

Pendeteksi ini memeriksa apakah firewall memiliki port MySQL terbuka yang memungkinkan akses generik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.

OPEN_FTP_PORT

Pendeteksi ini memeriksa apakah firewall memiliki port FTP terbuka yang memungkinkan akses generik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.

OPEN_FIREWALL

Pendeteksi ini memeriksa apakah firewall terbuka untuk akses publik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.

WEAK_SSL_POLICY

Pendeteksi ini memeriksa apakah instance memiliki kebijakan SSL yang lemah.

OPEN_POP3_PORT

Pendeteksi ini memeriksa apakah firewall memiliki port POP3 terbuka yang mengizinkan akses generik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.

OPEN_NETBIOS_PORT

Detektor ini memeriksa apakah firewall memiliki port NETBIOS terbuka yang memungkinkan akses generik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.

FLOW_LOGS_DISABLED

Detektor ini memeriksa apakah log aliran diaktifkan di subnetwork VPC.

OPEN_MONGODB_PORT

Pendeteksi ini memeriksa apakah firewall memiliki port database Mongo terbuka yang mengizinkan akses generik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.

MASTER_AUTHORIZED_NETWORKS_DISABLED

Detektor ini memeriksa apakah Control Plane Authorized Networks tidak diaktifkan di cluster GKE. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan container.

OPEN_REDIS_PORT

Pendeteksi ini memeriksa apakah firewall memiliki port REDIS terbuka yang mengizinkan akses generik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.

OPEN_DNS_PORT

Pendeteksi ini memeriksa apakah firewall memiliki port DNS terbuka yang memungkinkan akses generik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.

OPEN_TELNET_PORT

Pendeteksi ini memeriksa apakah firewall memiliki port TELNET terbuka yang mengizinkan akses generik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.

OPEN_HTTP_PORT

Pendeteksi ini memeriksa apakah firewall memiliki port HTTP terbuka yang memungkinkan akses generik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.

CLUSTER_LOGGING_DISABLED

Detektor ini memeriksa apakah logging tidak diaktifkan untuk cluster GKE. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan container.

FULL_API_ACCESS

Pendeteksi ini memeriksa apakah instance menggunakan akun layanan default dengan akses penuh ke semua Google Cloud API.

OBJECT_VERSIONING_DISABLED

Detektor ini memeriksa apakah pembuatan versi objek diaktifkan pada bucket penyimpanan dengan sink.

PUBLIC_IP_ADDRESS

Pendeteksi ini memeriksa apakah instance memiliki alamat IP publik atau tidak.

AUTO_UPGRADE_DISABLED

Detektor ini memeriksa apakah fitur upgrade otomatis cluster GKE dinonaktifkan. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan container.

LEGACY_AUTHORIZATION_ENABLED

Detektor ini memeriksa apakah Otorisasi Lama diaktifkan di cluster GKE. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan container.

CLUSTER_MONITORING_DISABLED

Detektor ini memeriksa apakah pemantauan dinonaktifkan di cluster GKE. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan container.

OPEN_CISCOSECURE_WEBSM_PORT

Pendeteksi ini memeriksa apakah firewall memiliki port CISCOSECURE_WEBSM terbuka yang mengizinkan akses generik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.

OPEN_RDP_PORT

Detektor ini memeriksa apakah firewall memiliki port RDP terbuka yang mengizinkan akses generik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.

WEB_UI_ENABLED

Detektor ini memeriksa apakah UI web GKE diaktifkan atau tidak. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan container.

FIREWALL_RULE_LOGGING_DISABLED

Pendeteksi ini memeriksa apakah logging aturan firewall dinonaktifkan. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.

OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Pendeteksi ini memeriksa apakah pengguna memiliki peran akun layanan di level project, bukan untuk akun layanan tertentu.

PRIVATE_CLUSTER_DISABLED

Detektor ini memeriksa apakah cluster GKE telah menonaktifkan cluster pribadi. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan container.

PRIMITIVE_ROLES_USED

Pendeteksi ini memeriksa apakah pengguna memiliki peran dasar (Pemilik, Editor, atau Pengakses Lihat-Saja). Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan IAM.

REDIS_ROLE_USED_ON_ORG

Pendeteksi ini memeriksa apakah peran Redis IAM ditetapkan ke organisasi atau folder. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan IAM.

PUBLIC_BUCKET_ACL

Pendeteksi ini memeriksa apakah bucket dapat diakses secara publik.

OPEN_MEMCACHED_PORT

Detektor ini memeriksa apakah firewall memiliki port MEMCACHED terbuka yang memungkinkan akses generik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.

OVER_PRIVILEGED_ACCOUNT

Pendeteksi ini memeriksa apakah akun layanan memiliki akses project yang terlalu luas di cluster. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan container.

AUTO_REPAIR_DISABLED

Detektor ini memeriksa apakah fitur perbaikan otomatis cluster GKE dinonaktifkan. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan container.

NETWORK_POLICY_DISABLED

Detektor ini memeriksa apakah kebijakan jaringan dinonaktifkan di cluster. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan container.

CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED

Pendeteksi ini memeriksa apakah host cluster tidak dikonfigurasi untuk hanya menggunakan alamat IP internal pribadi guna mengakses Google API. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan container.

OPEN_CASSANDRA_PORT

Pendeteksi ini memeriksa apakah firewall memiliki port Cassandra terbuka yang memungkinkan akses generik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.

TOO_MANY_KMS_USERS

Pendeteksi ini memeriksa apakah ada lebih dari tiga pengguna kunci kriptografis. Untuk informasi selengkapnya, lihat Temuan kerentanan KMS.

OPEN_POSTGRESQL_PORT

Detektor ini memeriksa apakah firewall memiliki port PostgreSQL terbuka yang mengizinkan akses generik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.

IP_ALIAS_DISABLED

Pendeteksi ini memeriksa apakah cluster GKE dibuat dengan rentang alamat IP alias dinonaktifkan. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan container.

PUBLIC_SQL_INSTANCE

Detektor ini memeriksa apakah Cloud SQL mengizinkan koneksi dari semua alamat IP.

OPEN_ELASTICSEARCH_PORT

Pendeteksi ini memeriksa apakah firewall memiliki port Elasticsearch terbuka yang memungkinkan akses generik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan firewall.

Definisi YAML

Berikut adalah definisi YAML untuk template postur PCI DSS.

name: organizations/123/locations/global/postureTemplates/pci_dss_v_3_2_1
description: Posture Template to make your workload PCI-DSS v3.2.1 compliant.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: PCI-DSS v3.2.1 detective policy set
  description: 58 SHA modules that new customers can automatically enable.
  policies:
  - policy_id: Public dataset
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: PUBLIC_DATASET
  - policy_id: Non org IAM member
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: NON_ORG_IAM_MEMBER
  - policy_id: KMS project has owner
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: KMS_PROJECT_HAS_OWNER
  - policy_id: Audit logging disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: AUDIT_LOGGING_DISABLED
  - policy_id: SSL not enforced
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SSL_NOT_ENFORCED
  - policy_id: Locked retention policy not set
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: LOCKED_RETENTION_POLICY_NOT_SET
  - policy_id: KMS key not rotated
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: KMS_KEY_NOT_ROTATED
  - policy_id: Open SMTP port
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: OPEN_SMTP_PORT
  - policy_id: SQL no root password
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_NO_ROOT_PASSWORD
  - policy_id: Open LDAP port
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: OPEN_LDAP_PORT
  - policy_id: Open oracle db port
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: OPEN_ORACLEDB_PORT
  - policy_id: Open SSH port
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: OPEN_SSH_PORT
  - policy_id: MFA not enforced
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: MFA_NOT_ENFORCED
  - policy_id: COS not used
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: COS_NOT_USED
  - policy_id: HTTP load balancer
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: HTTP_LOAD_BALANCER
  - policy_id: Egress deny rule not set
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: EGRESS_DENY_RULE_NOT_SET
  - policy_id: Public log bucket
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: PUBLIC_LOG_BUCKET
  - policy_id: Open directory services port
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: OPEN_DIRECTORY_SERVICES_PORT
  - policy_id: Open mysql port
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: OPEN_MYSQL_PORT
  - policy_id: Open FTP port
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: OPEN_FTP_PORT
  - policy_id: Open firewall
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: OPEN_FIREWALL
  - policy_id: Weak SSL policy
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: WEAK_SSL_POLICY
  - policy_id: Open POP3 port
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: OPEN_POP3_PORT
  - policy_id: Open netbios port
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: OPEN_NETBIOS_PORT
  - policy_id: Flow logs disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: FLOW_LOGS_DISABLED
  - policy_id: Open mongo db port
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: OPEN_MONGODB_PORT
  - policy_id: Master authorized networks disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: MASTER_AUTHORIZED_NETWORKS_DISABLED
  - policy_id: Open redis port
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: OPEN_REDIS_PORT
  - policy_id: Open dns port
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: OPEN_DNS_PORT
  - policy_id: Open telnet port
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: OPEN_TELNET_PORT
  - policy_id: Open HTTP port
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: OPEN_HTTP_PORT
  - policy_id: Cluster logging disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: CLUSTER_LOGGING_DISABLED
  - policy_id: Full API access
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: FULL_API_ACCESS
  - policy_id: Object versioning disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: OBJECT_VERSIONING_DISABLED
  - policy_id: Public IP address
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: PUBLIC_IP_ADDRESS
  - policy_id: Auto upgrade disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: AUTO_UPGRADE_DISABLED
  - policy_id: Legacy authorization enabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: LEGACY_AUTHORIZATION_ENABLED
  - policy_id: Cluster monitoring disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: CLUSTER_MONITORING_DISABLED
  - policy_id: Open ciscosecure websm port
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: OPEN_CISCOSECURE_WEBSM_PORT
  - policy_id: Open RDP port
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: OPEN_RDP_PORT
  - policy_id: Web UI enabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: WEB_UI_ENABLED
  - policy_id: Firewall rule logging disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: FIREWALL_RULE_LOGGING_DISABLED
  - policy_id: Over privileged service account user
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: OVER_PRIVILEGED_SERVICE_ACCOUNT_USER
  - policy_id: Private cluster disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: PRIVATE_CLUSTER_DISABLED
  - policy_id: Primitive roles used
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: PRIMITIVE_ROLES_USED
  - policy_id: Redis role used on org
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: REDIS_ROLE_USED_ON_ORG
  - policy_id: Public bucket ACL
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: PUBLIC_BUCKET_ACL
  - policy_id: Open memcached port
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: OPEN_MEMCACHED_PORT
  - policy_id: Over privileged account
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: OVER_PRIVILEGED_ACCOUNT
  - policy_id: Auto repair disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: AUTO_REPAIR_DISABLED
  - policy_id: Network policy disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: NETWORK_POLICY_DISABLED
  - policy_id: Cluster private google access disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED
  - policy_id: Open cassandra port
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: OPEN_CASSANDRA_PORT
  - policy_id: Too many KMS users
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: TOO_MANY_KMS_USERS
  - policy_id: Open postgresql port
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: OPEN_POSTGRESQL_PORT
  - policy_id: IP alias disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: IP_ALIAS_DISABLED
  - policy_id: Public SQL instance
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: PUBLIC_SQL_INSTANCE
  - policy_id: Open elasticsearch port
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: OPEN_ELASTICSEARCH_PORT

Langkah selanjutnya