Questa pagina descrive i criteri di rilevamento inclusi nella versione 1.0 del modello di postura predefinito per il Payment Card Industry Data Security Standard (PCI DSS) versione 3.2.1 e versione 1.0. Questo modello include un insieme di norme che definisce i rilevatori di Security Health Analytics che si applicano ai carichi di lavoro che devono essere conformi allo standard PCI DSS.
Puoi eseguire il deployment di questo modello di postura senza apportare modifiche.
Rilevatori di Security Health Analytics
La tabella seguente descrive i rilevatori di Security Health Analytics inclusi in questo modello di postura.
| Nome rilevatore | Descrizione |
|---|---|
PUBLIC_DATASET |
Questo rilevatore controlla se un set di dati è configurato per essere aperto all'accesso pubblico. Per ulteriori informazioni, consulta Risultati delle vulnerabilità dei set di dati. |
NON_ORG_IAM_MEMBER |
Questo rilevatore controlla se un utente non utilizza le credenziali dell'organizzazione. |
KMS_PROJECT_HAS_OWNER |
Questo rilevatore verifica se un utente dispone dell'autorizzazione Proprietario per un progetto che include chiavi. |
AUDIT_LOGGING_DISABLED |
Questo rilevatore verifica se l'audit logging è disattivato per una risorsa. |
SSL_NOT_ENFORCED |
Questo rilevatore controlla se un'istanza del database Cloud SQL non utilizza SSL per tutte le connessioni in entrata. Per ulteriori informazioni, consulta Risultati delle vulnerabilità SQL. |
LOCKED_RETENTION_POLICY_NOT_SET |
Questo rilevatore controlla se il criterio di conservazione bloccato è impostato per i log. |
KMS_KEY_NOT_ROTATED |
Questo rilevatore controlla se la rotazione per la crittografia di Cloud Key Management Service non è attivata. |
OPEN_SMTP_PORT |
Questo rilevatore controlla se un firewall ha una porta SMTP aperta che consente l'accesso generico. Per saperne di più, consulta Risultati delle vulnerabilità del firewall. |
SQL_NO_ROOT_PASSWORD |
Questo rilevatore controlla se un database Cloud SQL con un indirizzo IP pubblico non ha una password per l'account root. |
OPEN_LDAP_PORT |
Questo rilevatore controlla se un firewall ha una porta LDAP aperta che consente l'accesso generico. Per saperne di più, consulta Risultati delle vulnerabilità del firewall. |
OPEN_ORACLEDB_PORT |
Questo rilevatore controlla se un firewall ha una porta del database Oracle aperta che consente l'accesso generico. Per saperne di più, consulta Risultati delle vulnerabilità del firewall. |
OPEN_SSH_PORT |
Questo rilevatore controlla se un firewall ha una porta SSH aperta che consente l'accesso generico. Per saperne di più, consulta Risultati delle vulnerabilità del firewall. |
MFA_NOT_ENFORCED |
Questo rilevatore verifica se un utente non utilizza la verifica in due passaggi. |
COS_NOT_USED |
Questo rilevatore verifica se le VM Compute Engine non utilizzano Container-Optimized OS. Per ulteriori informazioni, vedi Risultati delle vulnerabilità dei container. |
HTTP_LOAD_BALANCER |
Questo rilevatore verifica se l'istanza Compute Engine utilizza un bilanciatore del carico configurato per utilizzare un proxy HTTP di destinazione anziché un proxy HTTPS di destinazione. Per saperne di più, consulta Risultati delle vulnerabilità delle istanze di Compute. |
EGRESS_DENY_RULE_NOT_SET |
Questo rilevatore verifica se una regola di negazione del traffico in uscita non è impostata su un firewall. Per saperne di più, consulta Risultati delle vulnerabilità del firewall. |
PUBLIC_LOG_BUCKET |
Questo rilevatore controlla se un bucket con un sink di log è accessibile pubblicamente. |
OPEN_DIRECTORY_SERVICES_PORT |
Questo rilevatore controlla se un firewall ha una porta DIRECTORY_SERVICES aperta che consente l'accesso generico. Per saperne di più, consulta Risultati delle vulnerabilità del firewall. |
OPEN_MYSQL_PORT |
Questo rilevatore controlla se un firewall ha una porta MySQL aperta che consente l'accesso generico. Per saperne di più, consulta Risultati delle vulnerabilità del firewall. |
OPEN_FTP_PORT |
Questo rilevatore controlla se un firewall ha una porta FTP aperta che consente l'accesso generico. Per saperne di più, consulta Risultati delle vulnerabilità del firewall. |
OPEN_FIREWALL |
Questo rilevatore controlla se un firewall è aperto all'accesso pubblico. Per ulteriori informazioni, consulta Risultati delle vulnerabilità del firewall. |
WEAK_SSL_POLICY |
Questo rilevatore verifica se un'istanza ha una policy SSL debole. |
OPEN_POP3_PORT |
Questo rilevatore controlla se un firewall ha una porta POP3 aperta che consente l'accesso generico. Per saperne di più, consulta Risultati delle vulnerabilità del firewall. |
OPEN_NETBIOS_PORT |
Questo rilevatore controlla se un firewall ha una porta NETBIOS aperta che consente l'accesso generico. Per saperne di più, consulta Risultati delle vulnerabilità del firewall. |
FLOW_LOGS_DISABLED |
Questo rilevatore controlla se i log di flusso sono abilitati nella subnet VPC. |
OPEN_MONGODB_PORT |
Questo rilevatore controlla se un firewall ha una porta del database Mongo aperta che consente l'accesso generico. Per saperne di più, consulta Risultati delle vulnerabilità del firewall. |
MASTER_AUTHORIZED_NETWORKS_DISABLED |
Questo rilevatore verifica se le reti autorizzate del control plane non sono abilitate sui cluster GKE. Per ulteriori informazioni, vedi Risultati delle vulnerabilità dei container. |
OPEN_REDIS_PORT |
Questo rilevatore controlla se un firewall ha una porta REDIS aperta che consente l'accesso generico. Per saperne di più, consulta Risultati delle vulnerabilità del firewall. |
OPEN_DNS_PORT |
Questo rilevatore controlla se un firewall ha una porta DNS aperta che consente l'accesso generico. Per saperne di più, consulta Risultati delle vulnerabilità del firewall. |
OPEN_TELNET_PORT |
Questo rilevatore controlla se un firewall ha una porta TELNET aperta che consente l'accesso generico. Per saperne di più, consulta Risultati delle vulnerabilità del firewall. |
OPEN_HTTP_PORT |
Questo rilevatore controlla se un firewall ha una porta HTTP aperta che consente l'accesso generico. Per saperne di più, consulta Risultati delle vulnerabilità del firewall. |
CLUSTER_LOGGING_DISABLED |
Questo rilevatore verifica che la registrazione non sia abilitata per un cluster GKE. Per ulteriori informazioni, vedi Risultati delle vulnerabilità dei container. |
FULL_API_ACCESS |
Questo rilevatore verifica se un'istanza utilizza un account di servizio predefinito con accesso completo a tutte le API Google Cloud . |
OBJECT_VERSIONING_DISABLED |
Questo rilevatore verifica se il controllo delle versioni degli oggetti è abilitato sui bucket di archiviazione con sink. |
PUBLIC_IP_ADDRESS |
Questo rilevatore controlla se un'istanza ha un indirizzo IP pubblico. |
AUTO_UPGRADE_DISABLED |
Questo rilevatore controlla se la funzionalità di upgrade automatico di un cluster GKE è disabilitata. Per ulteriori informazioni, vedi Risultati delle vulnerabilità dei container. |
LEGACY_AUTHORIZATION_ENABLED |
Questo rilevatore verifica se l'autorizzazione legacy è abilitata sui cluster GKE. Per ulteriori informazioni, vedi Risultati delle vulnerabilità dei container. |
CLUSTER_MONITORING_DISABLED |
Questo rilevatore verifica se il monitoraggio è disabilitato sui cluster GKE. Per ulteriori informazioni, vedi Risultati delle vulnerabilità dei container. |
OPEN_CISCOSECURE_WEBSM_PORT |
Questo rilevatore controlla se un firewall ha una porta CISCOSECURE_WEBSM aperta che consente l'accesso generico. Per saperne di più, consulta Risultati delle vulnerabilità del firewall. |
OPEN_RDP_PORT |
Questo rilevatore controlla se un firewall ha una porta RDP aperta che consente l'accesso generico. Per saperne di più, consulta Risultati delle vulnerabilità del firewall. |
WEB_UI_ENABLED |
Questo rilevatore verifica se l'interfaccia utente web GKE è abilitata. Per ulteriori informazioni, vedi Risultati delle vulnerabilità dei container. |
FIREWALL_RULE_LOGGING_DISABLED |
Questo rilevatore controlla se il logging delle regole firewall è disabilitato. Per maggiori informazioni, consulta Risultati delle vulnerabilità del firewall. |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
Questo rilevatore controlla se un utente dispone di ruoli account di servizio a livello di progetto, anziché per un account di servizio specifico. |
PRIVATE_CLUSTER_DISABLED |
Questo rilevatore controlla se un cluster GKE ha il cluster privato disabilitato. Per ulteriori informazioni, vedi Risultati delle vulnerabilità dei container. |
PRIMITIVE_ROLES_USED |
Questo rilevatore verifica se un utente ha un ruolo di base (Proprietario, Editor o Visualizzatore). Per ulteriori informazioni, consulta Risultati delle vulnerabilità di IAM. |
REDIS_ROLE_USED_ON_ORG |
Questo rilevatore verifica se il ruolo IAM Redis è assegnato a un'organizzazione o a una cartella. Per ulteriori informazioni, consulta Risultati delle vulnerabilità di IAM. |
PUBLIC_BUCKET_ACL |
Questo rilevatore controlla se un bucket è accessibile pubblicamente. |
OPEN_MEMCACHED_PORT |
Questo rilevatore controlla se un firewall ha una porta MEMCACHED aperta che consente l'accesso generico. Per saperne di più, consulta Risultati delle vulnerabilità del firewall. |
OVER_PRIVILEGED_ACCOUNT |
Questo rilevatore controlla se un account di servizio dispone di un accesso al progetto eccessivamente ampio in un cluster. Per ulteriori informazioni, vedi Risultati delle vulnerabilità dei container. |
AUTO_REPAIR_DISABLED |
Questo rilevatore controlla se la funzionalità di riparazione automatica di un cluster GKE è disabilitata. Per ulteriori informazioni, vedi Risultati delle vulnerabilità dei container. |
NETWORK_POLICY_DISABLED |
Questo rilevatore verifica se i criteri di rete sono disabilitati in un cluster. Per ulteriori informazioni, vedi Risultati delle vulnerabilità dei container. |
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED |
Questo rilevatore verifica se gli host del cluster non sono configurati per utilizzare solo indirizzi IP privati e interni per accedere alle API di Google. Per ulteriori informazioni, consulta Risultati delle vulnerabilità dei container. |
OPEN_CASSANDRA_PORT |
Questo rilevatore controlla se un firewall ha una porta Cassandra aperta che consente l'accesso generico. Per saperne di più, consulta Risultati delle vulnerabilità del firewall. |
TOO_MANY_KMS_USERS |
Questo rilevatore controlla se ci sono più di tre utenti di chiavi crittografiche. Per ulteriori informazioni, consulta Risultati delle vulnerabilità di KMS. |
OPEN_POSTGRESQL_PORT |
Questo rilevatore controlla se un firewall ha una porta PostgreSQL aperta che consente l'accesso generico. Per saperne di più, consulta Risultati delle vulnerabilità del firewall. |
IP_ALIAS_DISABLED |
Questo rilevatore verifica se un cluster GKE è stato creato con l'intervallo di indirizzi IP alias disattivato. Per ulteriori informazioni, vedi Risultati delle vulnerabilità dei container. |
PUBLIC_SQL_INSTANCE |
Questo rilevatore verifica se un'istanza Cloud SQL consente connessioni da tutti gli indirizzi IP. |
OPEN_ELASTICSEARCH_PORT |
Questo rilevatore controlla se un firewall ha una porta Elasticsearch aperta che consente l'accesso generico. Per saperne di più, consulta Risultati delle vulnerabilità del firewall. |
Visualizza il modello di postura
Per visualizzare il modello di postura per PCI DSS:
gcloud
Prima di utilizzare i dati dei comandi riportati di seguito, apporta le seguenti sostituzioni:
-
ORGANIZATION_ID: l'ID numerico dell'organizzazione
Esegui il comando
gcloud scc posture-templates
describe:
Linux, macOS o Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
La risposta contiene il modello di postura.
REST
Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
-
ORGANIZATION_ID: l'ID numerico dell'organizzazione
Metodo HTTP e URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
Per inviare la richiesta, espandi una di queste opzioni:
La risposta contiene il modello di postura.