本页介绍了预定义姿态模板(适用于支付卡行业数据安全标准 (PCI DSS) 3.2.1 版和 1.0 版)的 v1.0 版本中包含的检测性政策。此模板包含一个政策集,用于定义适用于必须符合 PCI DSS 标准的工作负载的 Security Health Analytics 检测器。
您可以部署此安全状况模板而不做任何更改。
Security Health Analytics 检测器
下表介绍了此状况模板中包含的 Security Health Analytics 检测器。
| 检测器名称 | 说明 |
|---|---|
PUBLIC_DATASET |
此检测器会检查数据集是否配置为开放给公众访问。如需了解详情,请参阅数据集漏洞发现结果。 |
NON_ORG_IAM_MEMBER |
此检测器会检查用户是否未使用组织凭据。 |
KMS_PROJECT_HAS_OWNER |
此检测器用于检查用户是否对包含密钥的项目具有 Owner 权限。 |
AUDIT_LOGGING_DISABLED |
此检测器会检查资源的审核日志记录是否已关闭。 |
SSL_NOT_ENFORCED |
此检测器用于检查 Cloud SQL 数据库实例是否未针对所有传入连接使用 SSL。如需了解详情,请参阅 SQL 漏洞发现结果。 |
LOCKED_RETENTION_POLICY_NOT_SET |
此检测器会检查是否已为日志设置锁定的保留政策。 |
KMS_KEY_NOT_ROTATED |
此检测器会检查是否未开启 Cloud Key Management Service 加密密钥轮替。 |
OPEN_SMTP_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 SMTP 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
SQL_NO_ROOT_PASSWORD |
此检测器会检查具有公共 IP 地址的 Cloud SQL 数据库是否没有为根账号设置密码。 |
OPEN_LDAP_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 LDAP 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
OPEN_ORACLEDB_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 Oracle 数据库端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
OPEN_SSH_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 SSH 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
MFA_NOT_ENFORCED |
此检测器用于检查用户是否未使用两步验证。 |
COS_NOT_USED |
此检测器会检查 Compute Engine 虚拟机是否未使用 Container-Optimized OS。如需了解详情,请参阅容器漏洞发现结果。 |
HTTP_LOAD_BALANCER |
此检测器会检查 Compute Engine 实例是否使用了配置为使用目标 HTTP 代理(而非目标 HTTPS 代理)的负载平衡器。如需了解详情,请参阅计算实例漏洞发现结果。 |
EGRESS_DENY_RULE_NOT_SET |
此检测器会检查防火墙上是否未设置出站流量拒绝规则。如需了解详情,请参阅防火墙漏洞发现结果。 |
PUBLIC_LOG_BUCKET |
此检测器会检查具有日志接收器的存储桶是否可公开访问。 |
OPEN_DIRECTORY_SERVICES_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 DIRECTORY_SERVICES 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
OPEN_MYSQL_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 MySQL 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
OPEN_FTP_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 FTP 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
OPEN_FIREWALL |
此检测器会检查防火墙是否向公众开放。如需了解详情,请参阅防火墙漏洞发现结果。 |
WEAK_SSL_POLICY |
此检测器会检查实例是否具有弱 SSL 政策。 |
OPEN_POP3_PORT |
此检测器用于检查防火墙是否具有允许通用访问的开放 POP3 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
OPEN_NETBIOS_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 NETBIOS 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
FLOW_LOGS_DISABLED |
此检测器会检查 VPC 子网是否已启用流日志。 |
OPEN_MONGODB_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 Mongo 数据库端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
MASTER_AUTHORIZED_NETWORKS_DISABLED |
此检测器会检查 GKE 集群上是否未启用控制平面授权网络。如需了解详情,请参阅容器漏洞发现结果。 |
OPEN_REDIS_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 REDIS 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
OPEN_DNS_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 DNS 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
OPEN_TELNET_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 TELNET 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
OPEN_HTTP_PORT |
此检测器用于检查防火墙是否具有允许通用访问的开放 HTTP 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
CLUSTER_LOGGING_DISABLED |
此检测器会检查是否未为 GKE 集群启用日志记录功能。如需了解详情,请参阅容器漏洞发现结果。 |
FULL_API_ACCESS |
此检测器会检查实例是否在使用具有所有 Google Cloud API 的完整访问权限的默认服务账号。 |
OBJECT_VERSIONING_DISABLED |
此检测器会检查具有接收器的存储分区是否启用了对象版本控制。 |
PUBLIC_IP_ADDRESS |
此检测器会检查实例是否具有公共 IP 地址。 |
AUTO_UPGRADE_DISABLED |
此检测器会检查 GKE 集群的自动升级功能是否已停用。如需了解详情,请参阅容器漏洞发现结果。 |
LEGACY_AUTHORIZATION_ENABLED |
此检测器会检查 GKE 集群上是否启用了旧版授权。如需了解详情,请参阅容器漏洞发现结果。 |
CLUSTER_MONITORING_DISABLED |
此检测器会检查 GKE 集群上是否已停用监控。如需了解详情,请参阅容器漏洞发现结果。 |
OPEN_CISCOSECURE_WEBSM_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 CISCOSECURE_WEBSM 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
OPEN_RDP_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 RDP 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
WEB_UI_ENABLED |
此检测器会检查 GKE 网页界面是否已启用。如需了解详情,请参阅容器漏洞发现结果。 |
FIREWALL_RULE_LOGGING_DISABLED |
此检测器会检查防火墙规则日志记录是否已停用。如需了解详情,请参阅防火墙漏洞发现结果。 |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
此检测器会检查用户是否在项目级层(而不是针对特定服务账号)拥有服务账号角色。 |
PRIVATE_CLUSTER_DISABLED |
此检测器会检查 GKE 集群是否停用了专用集群。如需了解详情,请参阅容器漏洞发现结果。 |
PRIMITIVE_ROLES_USED |
此检测器用于检查用户是否具有基本角色(Owner、Editor 或 Viewer)。如需了解详情,请参阅 IAM 漏洞发现结果。 |
REDIS_ROLE_USED_ON_ORG |
此检测器会检查 Redis IAM 角色是否已分配给组织或文件夹。如需了解详情,请参阅 IAM 漏洞发现结果。 |
PUBLIC_BUCKET_ACL |
此检测器会检查存储桶是否可公开访问。 |
OPEN_MEMCACHED_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 MEMCACHED 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
OVER_PRIVILEGED_ACCOUNT |
此检测器用于检查服务账号在集群中的项目访问权限是否过于宽泛。如需了解详情,请参阅容器漏洞发现结果。 |
AUTO_REPAIR_DISABLED |
此检测器会检查 GKE 集群的自动修复功能是否已停用。如需了解详情,请参阅容器漏洞发现结果。 |
NETWORK_POLICY_DISABLED |
此检测器会检查集群上是否停用了网络政策。如需了解详情,请参阅容器漏洞发现结果。 |
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED |
此检测器用于检查集群主机是否未配置为仅使用内部专用 IP 地址来访问 Google API。如需了解详情,请参阅容器漏洞发现结果。 |
OPEN_CASSANDRA_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 Cassandra 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
TOO_MANY_KMS_USERS |
此检测器会检查是否有超过 3 个用户使用加密密钥。如需了解详情,请参阅 KMS 漏洞发现结果。 |
OPEN_POSTGRESQL_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 PostgreSQL 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
IP_ALIAS_DISABLED |
此检测器会检查创建 GKE 集群时是否停用了别名 IP 地址范围。如需了解详情,请参阅容器漏洞发现结果。 |
PUBLIC_SQL_INSTANCE |
此检测器会检查 Cloud SQL 是否允许来自所有 IP 地址的连接。 |
OPEN_ELASTICSEARCH_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 Elasticsearch 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
查看姿态模板
如需查看 PCI DSS 的姿态模板,请执行以下操作:
gcloud
在使用下面的命令数据之前,请先进行以下替换:
-
ORGANIZATION_ID:组织的数字 ID
执行 gcloud scc posture-templates
describe 命令:
Linux、macOS 或 Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
响应包含姿势模板。
REST
在使用任何请求数据之前,请先进行以下替换:
-
ORGANIZATION_ID:组织的数字 ID
HTTP 方法和网址:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
如需发送您的请求,请展开以下选项之一:
响应包含姿势模板。