本页介绍了支付卡行业数据安全标准 (PCI DSS) 版本 3.2.1 和版本 1.0 预定义状况模板 v1.0 版中包含的检测器政策。此模板包含一个政策集,用于定义适用于必须符合 PCI DSS 标准的工作负载的 Security Health Analytics 检测器。
您可以直接部署此状态模板,无需进行任何更改。
Security Health Analytics 检测器
下表介绍了此状态模板中包含的 Security Health Analytics 检测器。
| 检测器名称 | 说明 |
|---|---|
PUBLIC_DATASET |
此检测器会检查数据集是否配置为开放给公众访问。如需了解详情,请参阅数据集漏洞发现结果。 |
NON_ORG_IAM_MEMBER |
此检测器用于检查用户是否未使用组织凭据。 |
KMS_PROJECT_HAS_OWNER |
此检测器会检查用户是否对包含密钥的项目拥有 Owner 权限。 |
AUDIT_LOGGING_DISABLED |
此检测器会检查是否已为资源停用审核日志记录。 |
SSL_NOT_ENFORCED |
此检测器用于检查 Cloud SQL 数据库实例是否未针对所有传入连接使用 SSL。如需了解详情,请参阅 SQL 漏洞发现结果。 |
LOCKED_RETENTION_POLICY_NOT_SET |
此检测器会检查是否为日志设置了已锁定的保留政策。 |
KMS_KEY_NOT_ROTATED |
此检测器会检查 Cloud Key Management Service 加密的轮替是否未启用。 |
OPEN_SMTP_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 SMTP 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
SQL_NO_ROOT_PASSWORD |
此检测器会检查具有公共 IP 地址的 Cloud SQL 数据库是否没有根账号密码。 |
OPEN_LDAP_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 LDAP 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
OPEN_ORACLEDB_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放式 Oracle 数据库端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
OPEN_SSH_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 SSH 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
MFA_NOT_ENFORCED |
此检测器用于检查用户是否未使用两步验证。 |
COS_NOT_USED |
此检测器会检查 Compute Engine 虚拟机是否未使用 Container-Optimized OS。如需了解详情,请参阅容器漏洞发现结果。 |
HTTP_LOAD_BALANCER |
此检测器会检查 Compute Engine 实例使用的负载平衡器是否配置为使用目标 HTTP 代理(而非目标 HTTPS 代理)。如需了解详情,请参阅计算实例漏洞发现结果。 |
EGRESS_DENY_RULE_NOT_SET |
此检测器会检查防火墙上是否未设置出站流量拒绝规则。如需了解详情,请参阅防火墙漏洞发现结果。 |
PUBLIC_LOG_BUCKET |
此检测器会检查包含日志接收器的存储桶是否可公开访问。 |
OPEN_DIRECTORY_SERVICES_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 DIRECTORY_SERVICES 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
OPEN_MYSQL_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 MySQL 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
OPEN_FTP_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 FTP 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
OPEN_FIREWALL |
此检测器会检查防火墙是否向公众开放。如需了解详情,请参阅防火墙漏洞发现结果。 |
WEAK_SSL_POLICY |
此检测器会检查实例的 SSL 政策是否较弱。 |
OPEN_POP3_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 POP3 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
OPEN_NETBIOS_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 NETBIOS 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
FLOW_LOGS_DISABLED |
此检测器会检查 VPC 子网上是否已启用流日志。 |
OPEN_MONGODB_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 Mongo 数据库端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
MASTER_AUTHORIZED_NETWORKS_DISABLED |
此检测器会检查 GKE 集群上是否未启用控制平面授权网络。如需了解详情,请参阅容器漏洞发现结果。 |
OPEN_REDIS_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 REDIS 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
OPEN_DNS_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 DNS 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
OPEN_TELNET_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 TELNET 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
OPEN_HTTP_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 HTTP 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
CLUSTER_LOGGING_DISABLED |
此检测器会检查 GKE 集群是否未启用日志记录功能。如需了解详情,请参阅容器漏洞发现结果。 |
FULL_API_ACCESS |
此检测器会检查实例是否使用对所有 Google Cloud API 拥有完整访问权限的默认服务账号。 |
OBJECT_VERSIONING_DISABLED |
此检测器会检查包含接收器的存储分区是否启用了对象版本控制。 |
PUBLIC_IP_ADDRESS |
此检测器用于检查实例是否具有公共 IP 地址。 |
AUTO_UPGRADE_DISABLED |
此检测器会检查 GKE 集群的自动升级功能是否已停用。如需了解详情,请参阅容器漏洞发现结果。 |
LEGACY_AUTHORIZATION_ENABLED |
此检测器会检查 GKE 集群上是否启用了旧版授权。如需了解详情,请参阅容器漏洞发现结果。 |
CLUSTER_MONITORING_DISABLED |
此检测器会检查 GKE 集群上是否已停用监控。如需了解详情,请参阅容器漏洞发现结果。 |
OPEN_CISCOSECURE_WEBSM_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 CISCOSECURE_WEBSM 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
OPEN_RDP_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 RDP 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
WEB_UI_ENABLED |
此检测器会检查 GKE 网页界面是否已启用。如需了解详情,请参阅容器漏洞发现结果。 |
FIREWALL_RULE_LOGGING_DISABLED |
此检测器会检查防火墙规则日志记录是否已停用。如需了解详情,请参阅防火墙漏洞发现结果。 |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
此检测器会检查用户是否在项目级(而不是特定服务账号)拥有服务账号角色。 |
PRIVATE_CLUSTER_DISABLED |
此检测器会检查 GKE 集群是否已停用专用集群。如需了解详情,请参阅容器漏洞发现结果。 |
PRIMITIVE_ROLES_USED |
此检测器用于检查用户是否具有基本角色(Owner、Editor 或 Viewer)。如需了解详情,请参阅 IAM 漏洞发现结果。 |
REDIS_ROLE_USED_ON_ORG |
此检测器会检查 Redis IAM 角色是否分配给组织或文件夹。如需了解详情,请参阅 IAM 漏洞发现结果。 |
PUBLIC_BUCKET_ACL |
此检测器会检查存储桶是否可公开访问。 |
OPEN_MEMCACHED_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 MEMCACHED 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
OVER_PRIVILEGED_ACCOUNT |
此检测器会检查服务账号在集群中的项目访问权限是否过于宽泛。如需了解详情,请参阅容器漏洞发现结果。 |
AUTO_REPAIR_DISABLED |
此检测器会检查 GKE 集群的自动修复功能是否已停用。如需了解详情,请参阅容器漏洞发现结果。 |
NETWORK_POLICY_DISABLED |
此检测器会检查集群上是否停用了网络政策。如需了解详情,请参阅容器漏洞发现结果。 |
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED |
此检测器会检查集群主机是否未配置为仅使用内部专用 IP 地址来访问 Google API。如需了解详情,请参阅容器漏洞发现结果。 |
OPEN_CASSANDRA_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 Cassandra 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
TOO_MANY_KMS_USERS |
此检测器会检查是否有超过 3 个用户使用加密密钥。如需了解详情,请参阅 KMS 漏洞发现结果。 |
OPEN_POSTGRESQL_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 PostgreSQL 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
IP_ALIAS_DISABLED |
此检测器会检查创建 GKE 集群时是否停用了别名 IP 地址范围。如需了解详情,请参阅容器漏洞发现结果。 |
PUBLIC_SQL_INSTANCE |
此检测器会检查 Cloud SQL 是否允许来自所有 IP 地址的连接。 |
OPEN_ELASTICSEARCH_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 Elasticsearch 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
查看安全状况模板
如需查看 PCI DSS 的态势模板,请执行以下操作:
gcloud
在使用下面的命令数据之前,请先进行以下替换:
-
ORGANIZATION_ID:组织的数字 ID
执行 gcloud scc posture-templates
describe 命令:
Linux、macOS 或 Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
响应包含配置状态模板。
REST
在使用任何请求数据之前,请先进行以下替换:
-
ORGANIZATION_ID:组织的数字 ID
HTTP 方法和网址:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
如需发送您的请求,请展开以下选项之一:
响应包含配置状态模板。