PCI DSS v3.2.1 和 v1.0 的預先定義狀態範本

本頁面說明預先定義的姿態範本 (適用於付款卡產業資料安全標準 (PCI DSS) 3.2.1 版和 1.0 版) 1.0 版中包含的偵測政策。這個範本包含一組政策,可定義適用於工作負載的安全性狀態分析偵測器,確保工作負載符合 PCI DSS 標準。

您可以直接部署這個姿勢範本,不必進行任何變更。

安全狀態分析偵測工具

下表說明這個安全狀態範本包含的安全性狀態分析偵測工具。

偵測工具名稱 說明
PUBLIC_DATASET

這個偵測器會檢查資料集是否已設為開放公開存取。詳情請參閱「資料集安全漏洞發現結果」。

NON_ORG_IAM_MEMBER

這個偵測器會檢查使用者是否未使用機構憑證。

KMS_PROJECT_HAS_OWNER

這個偵測器會檢查使用者是否對含有金鑰的專案具備「擁有者」權限。

AUDIT_LOGGING_DISABLED

這項偵測器會檢查資源的稽核記錄是否已關閉。

SSL_NOT_ENFORCED

這個偵測器會檢查 Cloud SQL 資料庫執行個體是否未對所有連入連線使用 SSL。詳情請參閱 SQL 漏洞發現

LOCKED_RETENTION_POLICY_NOT_SET

這個偵測器會檢查是否已為記錄檔設定鎖定的保留政策。

KMS_KEY_NOT_ROTATED

這項偵測器會檢查 Cloud Key Management Service 加密功能是否未開啟輪替功能。

OPEN_SMTP_PORT

這個偵測器會檢查防火牆是否開啟 SMTP 通訊埠,允許一般存取。詳情請參閱「防火牆安全漏洞發現結果」。

SQL_NO_ROOT_PASSWORD

這個偵測器會檢查具有公開 IP 位址的 Cloud SQL 資料庫是否沒有根帳戶的密碼。

OPEN_LDAP_PORT

這個偵測器會檢查防火牆是否開啟 LDAP 通訊埠,允許一般存取。詳情請參閱「防火牆安全漏洞發現結果」。

OPEN_ORACLEDB_PORT

這個偵測器會檢查防火牆是否開啟 Oracle 資料庫通訊埠,允許一般存取。詳情請參閱「防火牆安全漏洞發現結果」。

OPEN_SSH_PORT

這個偵測器會檢查防火牆是否開啟 SSH 通訊埠,允許一般存取。詳情請參閱「防火牆安全漏洞發現結果」。

MFA_NOT_ENFORCED

這個偵測器會檢查使用者是否未使用兩步驟驗證。

COS_NOT_USED

這項偵測器會檢查 Compute Engine VM 是否未使用 Container-Optimized OS。詳情請參閱「容器安全漏洞發現」。

HTTP_LOAD_BALANCER

這個偵測器會檢查 Compute Engine 執行個體是否使用負載平衡器,而該負載平衡器設定為使用目標 HTTP Proxy,而非目標 HTTPS Proxy。詳情請參閱「Compute 執行個體安全漏洞發現項目」。

EGRESS_DENY_RULE_NOT_SET

這項偵測器會檢查防火牆是否未設定輸出拒絕規則。詳情請參閱「防火牆安全漏洞發現結果」。

PUBLIC_LOG_BUCKET

這個偵測器會檢查具有記錄接收器的值區是否可公開存取。

OPEN_DIRECTORY_SERVICES_PORT

這個偵測器會檢查防火牆是否開啟 DIRECTORY_SERVICES 通訊埠,允許一般存取。詳情請參閱「防火牆安全漏洞發現結果」。

OPEN_MYSQL_PORT

這個偵測器會檢查防火牆是否開啟 MySQL 通訊埠,允許一般存取。詳情請參閱「防火牆安全漏洞發現結果」。

OPEN_FTP_PORT

這個偵測器會檢查防火牆是否開啟 FTP 通訊埠,允許一般存取。詳情請參閱「防火牆安全漏洞發現結果」。

OPEN_FIREWALL

這個偵測器會檢查防火牆是否開放公開存取。詳情請參閱「防火牆安全漏洞發現結果」。

WEAK_SSL_POLICY

這個偵測器會檢查執行個體是否具有低強度 SSL 政策。

OPEN_POP3_PORT

這個偵測器會檢查防火牆是否開啟 POP3 通訊埠,允許一般存取。詳情請參閱「防火牆安全漏洞發現結果」。

OPEN_NETBIOS_PORT

這個偵測器會檢查防火牆是否開啟 NETBIOS 通訊埠,允許一般存取。詳情請參閱「防火牆安全漏洞發現結果」。

FLOW_LOGS_DISABLED

這個偵測器會檢查虛擬私有雲子網路是否已啟用流量記錄。

OPEN_MONGODB_PORT

這個偵測器會檢查防火牆是否開啟 Mongo 資料庫通訊埠,允許一般存取。詳情請參閱「防火牆安全漏洞發現結果」。

MASTER_AUTHORIZED_NETWORKS_DISABLED

這個偵測器會檢查 GKE 叢集是否未啟用控制層授權網路。詳情請參閱「容器安全漏洞發現」。

OPEN_REDIS_PORT

這個偵測器會檢查防火牆是否開啟 REDIS 通訊埠,允許一般存取。詳情請參閱「防火牆安全漏洞發現結果」。

OPEN_DNS_PORT

這個偵測器會檢查防火牆是否開啟 DNS 通訊埠,允許一般存取。詳情請參閱「防火牆安全漏洞發現結果」。

OPEN_TELNET_PORT

這個偵測器會檢查防火牆是否開啟 TELNET 通訊埠,允許一般存取。詳情請參閱「防火牆安全漏洞發現結果」。

OPEN_HTTP_PORT

這個偵測器會檢查防火牆是否開放 HTTP 通訊埠,允許一般存取。詳情請參閱「防火牆安全漏洞發現結果」。

CLUSTER_LOGGING_DISABLED

這項偵測工具會檢查 GKE 叢集是否未啟用記錄功能。詳情請參閱「容器安全漏洞發現」。

FULL_API_ACCESS

這個偵測器會檢查執行個體是否使用具備所有 API 完整存取權的預設服務帳戶。 Google Cloud

OBJECT_VERSIONING_DISABLED

這個偵測器會檢查具有接收器的儲存空間值區是否已啟用物件版本管理功能。

PUBLIC_IP_ADDRESS

這個偵測器會檢查執行個體是否具有公開 IP 位址。

AUTO_UPGRADE_DISABLED

這項偵測器會檢查 GKE 叢集的自動升級功能是否已停用。詳情請參閱「容器安全漏洞發現」。

LEGACY_AUTHORIZATION_ENABLED

這個偵測器會檢查 GKE 叢集是否已啟用舊版授權。詳情請參閱「容器安全漏洞發現」。

CLUSTER_MONITORING_DISABLED

這項偵測工具會檢查 GKE 叢集是否已停用監控功能。詳情請參閱「容器安全漏洞發現」。

OPEN_CISCOSECURE_WEBSM_PORT

這個偵測器會檢查防火牆是否開啟 CISCOSECURE_WEBSM 通訊埠,允許一般存取。詳情請參閱「防火牆安全漏洞發現結果」。

OPEN_RDP_PORT

這個偵測器會檢查防火牆是否開啟 RDP 通訊埠,允許一般存取。詳情請參閱「防火牆安全漏洞發現結果」。

WEB_UI_ENABLED

這項偵測工具會檢查 GKE 網頁版 UI 是否已啟用。詳情請參閱「容器安全漏洞發現」。

FIREWALL_RULE_LOGGING_DISABLED

這項偵測工具會檢查防火牆規則記錄功能是否已停用。詳情請參閱「防火牆安全漏洞發現結果」。

OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

這個偵測器會檢查使用者是否在專案層級擁有服務帳戶角色,而非特定服務帳戶。

PRIVATE_CLUSTER_DISABLED

這個偵測器會檢查 GKE 叢集是否已停用私人叢集。詳情請參閱「容器安全漏洞發現」。

PRIMITIVE_ROLES_USED

這個偵測器會檢查使用者是否具備基本角色 (擁有者、編輯者或檢視者)。詳情請參閱「身分與存取權管理 (IAM) 安全性弱點發現結果」。

REDIS_ROLE_USED_ON_ORG

這個偵測器會檢查 Redis IAM 角色是否指派給機構或資料夾。詳情請參閱「身分與存取權管理 (IAM) 安全性弱點發現結果」。

PUBLIC_BUCKET_ACL

這項偵測工具會檢查 bucket 是否可公開存取。

OPEN_MEMCACHED_PORT

這個偵測器會檢查防火牆是否開啟 MEMCACHED 通訊埠,允許一般存取。詳情請參閱「防火牆安全漏洞發現結果」。

OVER_PRIVILEGED_ACCOUNT

這個偵測器會檢查服務帳戶在叢集中是否具有過於廣泛的專案存取權。詳情請參閱「容器安全漏洞發現」。

AUTO_REPAIR_DISABLED

這項偵測工具會檢查 GKE 叢集的自動修復功能是否已停用。詳情請參閱「容器安全漏洞發現」。

NETWORK_POLICY_DISABLED

這項偵測工具會檢查叢集是否已停用網路政策。詳情請參閱「容器安全漏洞發現」。

CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED

這項偵測器會檢查叢集主機是否未設定為僅使用私人內部 IP 位址存取 Google API。詳情請參閱「容器安全漏洞發現」。

OPEN_CASSANDRA_PORT

這個偵測器會檢查防火牆是否開放 Cassandra 通訊埠,允許一般存取。詳情請參閱「防火牆安全漏洞發現結果」。

TOO_MANY_KMS_USERS

這個偵測器會檢查加密金鑰的使用者是否超過三位。詳情請參閱 KMS 安全漏洞發現項目

OPEN_POSTGRESQL_PORT

這個偵測器會檢查防火牆是否開啟 PostgreSQL 通訊埠,允許一般存取。詳情請參閱「防火牆安全漏洞發現結果」。

IP_ALIAS_DISABLED

這個偵測器會檢查建立 GKE 叢集時,是否停用了別名 IP 位址範圍。詳情請參閱「容器安全漏洞發現」。

PUBLIC_SQL_INSTANCE

這個偵測器會檢查 Cloud SQL 是否允許來自所有 IP 位址的連線。

OPEN_ELASTICSEARCH_PORT

這個偵測器會檢查防火牆是否開放 Elasticsearch 通訊埠,允許一般存取。詳情請參閱「防火牆安全漏洞發現結果」。

查看防護機制範本

如要查看 PCI DSS 的安全狀態範本,請按照下列步驟操作:

gcloud

使用下方的任何指令資料之前,請先替換以下項目:

  • ORGANIZATION_ID:機構的數值 ID

執行 gcloud scc posture-templates describe 指令:

Linux、macOS 或 Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

回覆會包含姿勢範本。

REST

使用任何要求資料之前,請先替換以下項目:

  • ORGANIZATION_ID:機構的數值 ID

HTTP 方法和網址:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

如要傳送要求,請展開以下其中一個選項:

回覆會包含姿勢範本。

後續步驟