Questa pagina descrive i criteri investigativi inclusi nella versione 1.0 del modello di postura predefinito per il Center for Internet Security (CIS) Google Cloud Computing Platform Benchmark v2.0.0. Questo modello di postura predefinito ti aiuta a rilevare quando il tuo Google Cloud ambiente non è in linea con il benchmark CIS.
Puoi eseguire il deployment di questo modello di postura senza apportare modifiche.
La tabella seguente descrive i rilevatori di Security Health Analytics inclusi nel modello di postura. Per saperne di più su questi rilevatori, consulta Risultati delle vulnerabilità.
| Nome rilevatore | Descrizione |
|---|---|
ACCESS_TRANSPARENCY_DISABLED |
Questo rilevatore verifica se Access Transparency è disattivato. |
ADMIN_SERVICE_ACCOUNT |
Questo rilevatore controlla se un account di servizio dispone dei privilegi Amministratore, Proprietario o Editor. |
ESSENTIAL_CONTACTS_NOT_CONFIGURED |
Questo controllo rileva se hai almeno un contatto fondamentale. |
API_KEY_APIS_UNRESTRICTED |
Questo rilevatore verifica se le chiavi API vengono utilizzate in modo troppo ampio. |
API_KEY_APPS_UNRESTRICTED |
Questo rilevatore controlla se le chiavi API vengono utilizzate in modo illimitato, consentendone l'uso da parte di qualsiasi app non attendibile. |
API_KEY_EXISTS |
Questo rilevatore controlla se un progetto utilizza chiavi API anziché l'autenticazione standard. |
API_KEY_NOT_ROTATED |
Questo rilevatore controlla se una chiave API è stata ruotata negli ultimi 90 giorni. |
AUDIT_CONFIG_NOT_MONITORED |
Questo rilevatore verifica se le modifiche alla configurazione di controllo vengono monitorate. |
AUDIT_LOGGING_DISABLED |
Questo rilevatore verifica se l'audit logging è disattivato per una risorsa. |
AUTO_BACKUP_DISABLED |
Questo rilevatore controlla se i backup automatici non sono attivati per un database Cloud SQL. |
BIGQUERY_TABLE_CMEK_DISABLED |
Questo rilevatore controlla se una tabella BigQuery non è configurata per utilizzare una chiave di crittografia gestita dal cliente (CMEK). Per ulteriori informazioni, consulta Risultati delle vulnerabilità dei set di dati. |
BUCKET_IAM_NOT_MONITORED |
Questo rilevatore verifica se la registrazione è disattivata per le modifiche alle autorizzazioni IAM in Cloud Storage. |
BUCKET_POLICY_ONLY_DISABLED |
Questo rilevatore controlla se è configurato l'accesso uniforme a livello di bucket. |
CLOUD_ASSET_API_DISABLED |
Questo rilevatore controlla se Cloud Asset Inventory è disattivato. |
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
Questo rilevatore verifica se vengono utilizzate chiavi SSH a livello di progetto. |
COMPUTE_SERIAL_PORTS_ENABLED |
Questo rilevatore controlla se le porte seriali sono attive. |
CONFIDENTIAL_COMPUTING_DISABLED |
Questo rilevatore verifica se Confidential Computing è disattivato. |
CUSTOM_ROLE_NOT_MONITORED |
Questo rilevatore verifica se la registrazione è disattivata per le modifiche ai ruoli personalizzati. |
DATAPROC_CMEK_DISABLED |
Questo rilevatore verifica se il supporto di CMEK è disattivato per un cluster Managed Service for Apache Spark. |
DATASET_CMEK_DISABLED |
Questo rilevatore verifica se il supporto di CMEK è disattivato per un set di dati BigQuery. |
DEFAULT_NETWORK |
Questo rilevatore controlla se la rete predefinita esiste in un progetto. |
DEFAULT_SERVICE_ACCOUNT_USED |
Questo rilevatore verifica se viene utilizzato il account di servizio predefinito. |
DISK_CSEK_DISABLED |
Questo rilevatore controlla se il supporto della chiave di crittografia fornita dal cliente (CSEK) è disattivato per una VM. |
DNS_LOGGING_DISABLED |
Questo rilevatore controlla se il logging DNS è abilitato sulla rete VPC. |
DNSSEC_DISABLED |
Questo rilevatore verifica se DNSSEC è disattivato per le zone Cloud DNS. |
FIREWALL_NOT_MONITORED |
Questo rilevatore verifica se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alle regole firewall VPC. |
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED |
Questo rilevatore controlla se i log di flusso VPC non sono attivi. |
FULL_API_ACCESS |
Questo rilevatore verifica se un'istanza utilizza un account di servizio predefinito con accesso completo a tutte le API Google Cloud . |
INSTANCE_OS_LOGIN_DISABLED |
Questo rilevatore controlla se OS Login non è attivato. |
IP_FORWARDING_ENABLED |
Questo rilevatore controlla se l'inoltro IP è attivo. |
KMS_KEY_NOT_ROTATED |
Questo rilevatore controlla se la rotazione per la crittografia di Cloud Key Management Service non è attivata. |
KMS_PROJECT_HAS_OWNER |
Questo rilevatore verifica se un utente dispone dell'autorizzazione Proprietario per un progetto che include chiavi. |
KMS_PUBLIC_KEY |
Questo rilevatore controlla se una chiave di crittografia di Cloud Key Management Service è accessibile pubblicamente. Per ulteriori informazioni, consulta Risultati delle vulnerabilità di KMS. |
KMS_ROLE_SEPARATION |
Questo rilevatore verifica la separazione dei compiti per le chiavi Cloud KMS. |
LEGACY_NETWORK |
Questo rilevatore controlla se esiste una rete legacy in un progetto. |
LOCKED_RETENTION_POLICY_NOT_SET |
Questo rilevatore controlla se è impostato il criterio di conservazione bloccato per i log. |
LOAD_BALANCER_LOGGING_DISABLED |
Questo rilevatore controlla se il logging è disattivato per il bilanciatore del carico. |
LOG_NOT_EXPORTED |
Questo rilevatore controlla se per una risorsa non è configurato un sink di log. |
MFA_NOT_ENFORCED |
Questo rilevatore verifica se un utente non utilizza la verifica in due passaggi. |
NETWORK_NOT_MONITORED |
Questo rilevatore verifica se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alla rete VPC. |
NON_ORG_IAM_MEMBER |
Questo rilevatore controlla se un utente non utilizza le credenziali dell'organizzazione. |
OPEN_RDP_PORT |
Questo rilevatore verifica se un firewall ha una porta RDP aperta. |
OPEN_SSH_PORT |
Questo rilevatore controlla se un firewall ha una porta SSH aperta che consente l'accesso generico. Per saperne di più, consulta Risultati delle vulnerabilità del firewall. |
OS_LOGIN_DISABLED |
Questo rilevatore controlla se OS Login è disattivato. |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
Questo rilevatore controlla se un utente dispone di ruoli account di servizio a livello di progetto, anziché per un account di servizio specifico. |
OWNER_NOT_MONITORED |
Questo rilevatore controlla se la registrazione è disattivata per le assegnazioni e le modifiche alla proprietà del progetto. |
PUBLIC_BUCKET_ACL |
Questo rilevatore controlla se un bucket è accessibile pubblicamente. |
PUBLIC_DATASET |
Questo rilevatore controlla se un set di dati è configurato per essere aperto all'accesso pubblico. Per saperne di più, consulta Risultati delle vulnerabilità del set di dati. |
PUBLIC_IP_ADDRESS |
Questo rilevatore verifica se un'istanza ha un indirizzo IP esterno. |
PUBLIC_SQL_INSTANCE |
Questo rilevatore verifica se un'istanza Cloud SQL consente connessioni da tutti gli indirizzi IP. |
ROUTE_NOT_MONITORED |
Questo rilevatore verifica se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alle route di rete VPC. |
RSASHA1_FOR_SIGNING |
Questo rilevatore verifica se RSASHA1 viene utilizzato per la firma della chiave nelle zone Cloud DNS. |
SERVICE_ACCOUNT_KEY_NOT_ROTATED |
Questo rilevatore controlla se una chiave del account di servizio è stata ruotata negli ultimi 90 giorni. |
SERVICE_ACCOUNT_ROLE_SEPARATION |
Questo rilevatore verifica la separazione dei compiti per le chiavi degli account di servizio. |
SHIELDED_VM_DISABLED |
Questo rilevatore controlla se Shielded VM è disattivata. |
SQL_CONTAINED_DATABASE_AUTHENTICATION |
Questo rilevatore verifica che il flag |
SQL_CROSS_DB_OWNERSHIP_CHAINING |
Questo rilevatore verifica che il flag |
SQL_EXTERNAL_SCRIPTS_ENABLED |
Questo rilevatore verifica che il flag |
SQL_INSTANCE_NOT_MONITORED |
Questo rilevatore verifica se la registrazione è disattivata per le modifiche alla configurazione di Cloud SQL. |
SQL_LOCAL_INFILE |
Questo rilevatore verifica che il flag |
SQL_LOG_CONNECTIONS_DISABLED |
Questo rilevatore controlla se il flag |
SQL_LOG_DISCONNECTIONS_DISABLED |
Questo rilevatore controlla se il flag |
SQL_LOG_ERROR_VERBOSITY |
Questo rilevatore controlla se il flag |
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED |
Questo rilevatore controlla se il flag |
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY |
Questo rilevatore controlla se il flag |
SQL_LOG_MIN_MESSAGES |
Questo rilevatore controlla se il flag |
SQL_LOG_STATEMENT |
Questo rilevatore controlla se il flag |
SQL_NO_ROOT_PASSWORD |
Questo rilevatore controlla se un database Cloud SQL con un indirizzo IP esterno non ha una password per l'account root. |
SQL_PUBLIC_IP |
Questo rilevatore verifica se un database Cloud SQL ha un indirizzo IP esterno. |
SQL_REMOTE_ACCESS_ENABLED |
Questo rilevatore verifica che il flag |
SQL_SKIP_SHOW_DATABASE_DISABLED |
Questo rilevatore verifica che il flag |
SQL_TRACE_FLAG_3625 |
Questo rilevatore controlla se il flag |
SQL_USER_CONNECTIONS_CONFIGURED |
Questo rilevatore verifica se il flag |
SQL_USER_OPTIONS_CONFIGURED |
Questo rilevatore verifica se il flag |
SSL_NOT_ENFORCED |
Questo rilevatore controlla se un'istanza del database Cloud SQL non richiede che tutte le connessioni in entrata utilizzino SSL. |
USER_MANAGED_SERVICE_ACCOUNT_KEY |
Questo rilevatore verifica se un utente gestisce una chiave del account di servizio. |
WEAK_SSL_POLICY |
Questo rilevatore controlla se un'istanza ha una policy SSL debole. |
Visualizza il modello di postura
Per visualizzare il modello di postura per CIS Benchmark v2.0:
gcloud
Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
-
ORGANIZATION_ID: l'ID numerico dell'organizzazione.
Esegui il comando
gcloud scc posture-templates
describe:
Linux, macOS o Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0
La risposta contiene il modello di postura.
REST
Prima di utilizzare i dati della richiesta, apporta le sostituzioni seguenti:
-
ORGANIZATION_ID: l'ID numerico dell'organizzazione.
Metodo HTTP e URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0
Per inviare la richiesta, espandi una di queste opzioni:
La risposta contiene il modello di postura.