Questa pagina è stata tradotta dall'API Cloud Translation.

Modello di postura predefinito per PCI DSS v3.2.1 e v1.0

Questa pagina descrive i criteri di rilevamento inclusi nella versione 1.0 del modello di postura predefinito per le versioni 3.2.1 e 1.0 dello standard Payment Card Industry Data Security Standard (PCI DSS). Questo modello include un insieme di norme che definisce i rilevatori di Security Health Analytics che si applicano ai carichi di lavoro che devono essere conformi allo standard PCI DSS.

Puoi implementare questo modello di postura senza apportare modifiche.

Rilevamento di Security Health Analytics

La tabella seguente descrive i rilevatori di Security Health Analytics inclusi in questo modello di stato.

Nome rilevatore	Descrizione
`PUBLIC_DATASET`	Questo rilevatore controlla se un set di dati è configurato per essere aperto all'accesso pubblico. Per ulteriori informazioni, consulta Risultati delle vulnerabilità dei set di dati.
`NON_ORG_IAM_MEMBER`	Questo rilevatore controlla se un utente non utilizza le credenziali dell'organizzazione.
`KMS_PROJECT_HAS_OWNER`	Questo rilevatore verifica se un utente dispone dell'autorizzazione Proprietario per un progetto che include chiavi.
`AUDIT_LOGGING_DISABLED`	Questo rilevatore controlla se la registrazione degli audit è disattivata per una risorsa.
`SSL_NOT_ENFORCED`	Questo rilevatore controlla se un'istanza del database Cloud SQL non utilizza SSL per tutte le connessioni in entrata. Per ulteriori informazioni, consulta Risultati delle vulnerabilità SQL.
`LOCKED_RETENTION_POLICY_NOT_SET`	Questo rilevatore controlla se il criterio di conservazione bloccato è impostato per i log.
`KMS_KEY_NOT_ROTATED`	Questo rilevatore controlla se la rotazione per la crittografia di Cloud Key Management Service non è attivata.
`OPEN_SMTP_PORT`	Questo rilevatore controlla se un firewall ha una porta SMTP aperta che consente l'accesso generico. Per ulteriori informazioni, consulta Risultati delle vulnerabilità del firewall.
`SQL_NO_ROOT_PASSWORD`	Questo rilevatore controlla se un database Cloud SQL con un indirizzo IP pubblico non ha una password per l'account root.
`OPEN_LDAP_PORT`	Questo rilevatore controlla se un firewall ha una porta LDAP aperta che consente l'accesso generico. Per ulteriori informazioni, consulta Risultati delle vulnerabilità del firewall.
`OPEN_ORACLEDB_PORT`	Questo rilevatore controlla se un firewall ha una porta del database Oracle aperta che consente l'accesso generico. Per ulteriori informazioni, consulta Risultati delle vulnerabilità del firewall.
`OPEN_SSH_PORT`	Questo rilevatore controlla se un firewall ha una porta SSH aperta che consente l'accesso generico. Per ulteriori informazioni, consulta Risultati delle vulnerabilità del firewall.
`MFA_NOT_ENFORCED`	Questo rilevatore controlla se un utente non utilizza la verifica in due passaggi.
`COS_NOT_USED`	Questo rilevatore controlla se le VM Compute Engine non utilizzano Container-Optimized OS. Per ulteriori informazioni, consulta Risultati delle vulnerabilità dei container.
`HTTP_LOAD_BALANCER`	Questo rilevatore controlla se l'istanza Compute Engine utilizza un bilanciatore del carico configurato per utilizzare un proxy HTTP di destinazione anziché un proxy HTTPS di destinazione. Per ulteriori informazioni, consulta Risultati delle vulnerabilità delle istanze Compute.
`EGRESS_DENY_RULE_NOT_SET`	Questo rilevatore controlla se una regola di rifiuto in uscita non è impostata su un firewall. Per ulteriori informazioni, consulta Risultati delle vulnerabilità del firewall.
`PUBLIC_LOG_BUCKET`	Questo rilevatore controlla se un bucket con unsink di log è accessibile pubblicamente.
`OPEN_DIRECTORY_SERVICES_PORT`	Questo rilevatore controlla se un firewall ha una porta DIRECTORY_SERVICES aperta che consente l'accesso generico. Per ulteriori informazioni, consulta Risultati delle vulnerabilità del firewall.
`OPEN_MYSQL_PORT`	Questo rilevatore controlla se un firewall ha una porta MySQL aperta che consente l'accesso generico. Per ulteriori informazioni, consulta Risultati delle vulnerabilità del firewall.
`OPEN_FTP_PORT`	Questo rilevatore controlla se un firewall ha una porta FTP aperta che consente l'accesso generico. Per ulteriori informazioni, consulta Risultati delle vulnerabilità del firewall.
`OPEN_FIREWALL`	Questo rilevatore controlla se un firewall è aperto all'accesso pubblico. Per ulteriori informazioni, consulta la sezione Risultati delle vulnerabilità del firewall.
`WEAK_SSL_POLICY`	Questo rilevatore verifica se un'istanza ha un criterio SSL debole.
`OPEN_POP3_PORT`	Questo rilevatore controlla se un firewall ha una porta POP3 aperta che consente l'accesso generico. Per ulteriori informazioni, consulta Risultati delle vulnerabilità del firewall.
`OPEN_NETBIOS_PORT`	Questo rilevatore controlla se un firewall ha una porta NETBIOS aperta che consente l'accesso generico. Per ulteriori informazioni, consulta Risultati delle vulnerabilità del firewall.
`FLOW_LOGS_DISABLED`	Questo rilevatore controlla se i log di flusso sono abilitati nella sottorete VPC.
`OPEN_MONGODB_PORT`	Questo rilevatore controlla se un firewall ha una porta del database Mongo aperta che consente l'accesso generico. Per ulteriori informazioni, consulta Risultati delle vulnerabilità del firewall.
`MASTER_AUTHORIZED_NETWORKS_DISABLED`	Questo rilevatore controlla se le reti autorizzate del piano di controllo non sono attivate sui cluster GKE. Per ulteriori informazioni, consulta Risultati delle vulnerabilità dei container.
`OPEN_REDIS_PORT`	Questo rilevatore controlla se un firewall ha una porta REDIS aperta che consente l'accesso generico. Per ulteriori informazioni, consulta Risultati delle vulnerabilità del firewall.
`OPEN_DNS_PORT`	Questo rilevatore controlla se un firewall ha una porta DNS aperta che consente l'accesso generico. Per ulteriori informazioni, consulta Risultati delle vulnerabilità del firewall.
`OPEN_TELNET_PORT`	Questo rilevatore controlla se un firewall ha una porta TELNET aperta che consente l'accesso generico. Per ulteriori informazioni, consulta Risultati delle vulnerabilità del firewall.
`OPEN_HTTP_PORT`	Questo rilevatore controlla se un firewall ha una porta HTTP aperta che consente l'accesso generico. Per ulteriori informazioni, consulta Risultati delle vulnerabilità del firewall.
`CLUSTER_LOGGING_DISABLED`	Questo rilevatore controlla che il logging non sia abilitato per un cluster GKE. Per ulteriori informazioni, consulta Risultati delle vulnerabilità dei container.
`FULL_API_ACCESS`	Questo rilevatore controlla se un'istanza utilizza un account di servizio predefinito con accesso completo a tutte le API Google Cloud.
`OBJECT_VERSIONING_DISABLED`	Questo rilevatore controlla se il controllo delle versioni degli oggetti è abilitato nei bucket di archiviazione con i sink.
`PUBLIC_IP_ADDRESS`	Questo rilevatore controlla se un'istanza ha un indirizzo IP pubblico.
`AUTO_UPGRADE_DISABLED`	Questo rilevatore controlla se la funzionalità di upgrade automatico di un cluster GKE è disabilitata. Per ulteriori informazioni, consulta Risultati delle vulnerabilità dei container.
`LEGACY_AUTHORIZATION_ENABLED`	Questo rilevatore controlla se l'autorizzazione precedente è abilitata nei cluster GKE. Per ulteriori informazioni, consulta Risultati delle vulnerabilità dei container.
`CLUSTER_MONITORING_DISABLED`	Questo rilevatore controlla se il monitoraggio è disabilitato nei cluster GKE. Per ulteriori informazioni, consulta Risultati delle vulnerabilità dei container.
`OPEN_CISCOSECURE_WEBSM_PORT`	Questo rilevatore controlla se un firewall ha una porta CISCOSECURE_WEBSM aperta che consente l'accesso generico. Per ulteriori informazioni, consulta Risultati delle vulnerabilità del firewall.
`OPEN_RDP_PORT`	Questo rilevatore controlla se un firewall ha una porta RDP aperta che consente l'accesso generico. Per ulteriori informazioni, consulta Risultati delle vulnerabilità del firewall.
`WEB_UI_ENABLED`	Questo rilevatore controlla se l'interfaccia utente web di GKE è attivata. Per ulteriori informazioni, consulta Risultati delle vulnerabilità dei container.
`FIREWALL_RULE_LOGGING_DISABLED`	Questo rilevatore controlla se il logging delle regole del firewall è disabilitato. Per maggiori informazioni, consulta la sezione Risultati delle vulnerabilità del firewall.
`OVER_PRIVILEGED_SERVICE_ACCOUNT_USER`	Questo rilevatore controlla se un utente dispone di ruoli di account di servizio a livello di progetto, anziché per un account di servizio specifico.
`PRIVATE_CLUSTER_DISABLED`	Questo rilevatore controlla se un cluster GKE ha il cluster privato disabilitato. Per ulteriori informazioni, consulta Risultati delle vulnerabilità dei container.
`PRIMITIVE_ROLES_USED`	Questo rilevatore verifica se un utente ha un ruolo di base (Proprietario, Editor o visualizzatore). Per ulteriori informazioni, consulta Risultati delle vulnerabilità IAM.
`REDIS_ROLE_USED_ON_ORG`	Questo rilevatore controlla se il ruolo IAM Redis è assegnato a un'organizzazione o a una cartella. Per ulteriori informazioni, consulta Risultati delle vulnerabilità IAM.
`PUBLIC_BUCKET_ACL`	Questo rilevatore controlla se un bucket è accessibile pubblicamente.
`OPEN_MEMCACHED_PORT`	Questo rilevatore controlla se un firewall ha una porta MEMCACHED aperta che consente l'accesso generico. Per ulteriori informazioni, consulta Risultati delle vulnerabilità del firewall.
`OVER_PRIVILEGED_ACCOUNT`	Questo rilevatore controlla se un account di servizio ha accesso al progetto eccessivamente ampio in un cluster. Per ulteriori informazioni, consulta Risultati delle vulnerabilità dei container.
`AUTO_REPAIR_DISABLED`	Questo rilevatore controlla se la funzionalità di riparazione automatica di un cluster GKE è disabilitata. Per ulteriori informazioni, consulta Risultati delle vulnerabilità dei container.
`NETWORK_POLICY_DISABLED`	Questo rilevatore controlla se i criteri di rete sono disabilitati su un cluster. Per ulteriori informazioni, consulta Risultati delle vulnerabilità dei container.
`CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED`	Questo rilevatore controlla se gli host del cluster non sono configurati per utilizzare solo indirizzi IP interni privati per accedere alle API di Google. Per ulteriori informazioni, consulta Risultati delle vulnerabilità dei container.
`OPEN_CASSANDRA_PORT`	Questo rilevatore controlla se un firewall ha una porta Cassandra aperta che consente l'accesso generico. Per ulteriori informazioni, consulta Risultati delle vulnerabilità del firewall.
`TOO_MANY_KMS_USERS`	Questo rilevatore controlla se sono presenti più di tre utenti di chiavi crittografiche. Per ulteriori informazioni, consulta Risultati delle vulnerabilità di KMS.
`OPEN_POSTGRESQL_PORT`	Questo rilevatore controlla se un firewall ha una porta PostgreSQL aperta che consente l'accesso generico. Per ulteriori informazioni, consulta Risultati delle vulnerabilità del firewall.
`IP_ALIAS_DISABLED`	Questo rilevatore controlla se è stato creato un cluster GKE con l'intervallo di indirizzi IP alias disattivato. Per ulteriori informazioni, consulta Risultati delle vulnerabilità dei container.
`PUBLIC_SQL_INSTANCE`	Questo rilevatore controlla se Cloud SQL consente connessioni da tutti gli indirizzi IP.
`OPEN_ELASTICSEARCH_PORT`	Questo rilevatore controlla se un firewall ha una porta Elasticsearch aperta che consente l'accesso generico. Per ulteriori informazioni, consulta Risultati delle vulnerabilità del firewall.

Visualizza il modello di postura

Per visualizzare il modello di conformità per PCI DSS:

gcloud

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

ORGANIZATION_ID: l'ID numerico dell'organizzazione

Esegui il comando gcloud scc posture-templates describe:

Linux, macOS o Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

La risposta contiene il modello di postura.

REST

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

ORGANIZATION_ID: l'ID numerico dell'organizzazione

Metodo HTTP e URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

Per inviare la richiesta, espandi una di queste opzioni:

curl (Linux, macOS o Cloud Shell)

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che ti consente di accedere automaticamente all'interfaccia a riga di comando gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Esegui questo comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1"

PowerShell (Windows)

Nota: il comando seguente presuppone che tu abbia eseguito l'accesso alla CLI gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login . Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1" | Select-Object -Expand Content

La risposta contiene il modello di postura.

Passaggi successivi

Crea una postura di sicurezza utilizzando questo modello di postura.