תבנית מוגדרת מראש של תנוחת אבטחה עבור CIS Benchmark v2.0

בדף הזה מפורטות מדיניות האיתור שכלולה בגרסה 1.0 של תבנית המצב המוגדרת מראש עבור Center for Internet Security (CIS) Google Cloud Computing Platform Benchmark v2.0.0. התצורה המוגדרת מראש הזו עוזרת לכם לזהות מקרים שבהם Google Cloud הסביבה שלכם לא תואמת למדד CIS.

אפשר לפרוס את תבנית המצב הזו בלי לבצע שינויים.

בטבלה הבאה מתוארים הגלאים של Security Health Analytics שכלולים בתבנית של תמונת מצב האבטחה. מידע נוסף על הגלאים האלה זמין במאמר מציאת נקודות חולשה.

שם המזהה	תיאור
`ACCESS_TRANSPARENCY_DISABLED`	הגלאי הזה בודק אם Access Transparency מושבת.
`ADMIN_SERVICE_ACCOUNT`	הגלאי הזה בודק אם לחשבון שירות יש הרשאות אדמין, בעלים או עריכה.
`ESSENTIAL_CONTACTS_NOT_CONFIGURED`	הגלאי הזה בודק אם יש לכם לפחות איש קשר חיוני.
`API_KEY_APIS_UNRESTRICTED`	הכלי הזה בודק אם נעשה שימוש במפתחות API בצורה רחבה מדי.
`API_KEY_EXISTS`	הגלאי הזה בודק אם בפרויקט נעשה שימוש במפתחות API במקום באימות רגיל.
`API_KEY_NOT_ROTATED`	הגלאי הזה בודק אם בוצע שינוי במפתח API ב-90 הימים האחרונים.
`AUDIT_CONFIG_NOT_MONITORED`	הגלאי הזה בודק אם מתבצע מעקב אחרי שינויים בהגדרות הביקורת.
`AUDIT_LOGGING_DISABLED`	הגלאי הזה בודק אם רישום ביומני ביקורת מושבת במשאב.
`AUTO_BACKUP_DISABLED`	הגלאי הזה בודק אם הגיבויים האוטומטיים מושבתים במסד נתונים של Cloud SQL.
`BIGQUERY_TABLE_CMEK_DISABLED`	הגלאי הזה בודק אם טבלה ב-BigQuery לא מוגדרת לשימוש במפתח הצפנה בניהול הלקוח (CMEK). מידע נוסף זמין במאמר ממצאים של פגיעויות במערך נתונים.
`BUCKET_IAM_NOT_MONITORED`	הגלאי הזה בודק אם רישום ביומן מושבת לשינויים בהרשאות IAM ב-Cloud Storage.
`BUCKET_POLICY_ONLY_DISABLED`	הכלי הזה בודק אם הוגדרה גישה אחידה ברמת הקטגוריה.
`CLOUD_ASSET_API_DISABLED`	הגלאי הזה בודק אם מאגר משאבי ענן מושבת.
`COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED`	הכלי הזה בודק אם נעשה שימוש במפתחות SSH ברמת הפרויקט.
`COMPUTE_SERIAL_PORTS_ENABLED`	הגלאי הזה בודק אם היציאות הטוריות מופעלות.
`CONFIDENTIAL_COMPUTING_DISABLED`	הגלאי הזה בודק אם Confidential Computing מושבת.
`CUSTOM_ROLE_NOT_MONITORED`	הגלאי הזה בודק אם הרישום ביומן מושבת לשינויים בתפקידים בהתאמה אישית.
`DATAPROC_CMEK_DISABLED`	הכלי הזה בודק אם התמיכה ב-CMEK מושבתת באשכול Dataproc.
`DATASET_CMEK_DISABLED`	הגלאי הזה בודק אם התמיכה ב-CMEK מושבתת במערך נתונים של BigQuery.
`DEFAULT_NETWORK`	הגלאי הזה בודק אם רשת ברירת המחדל קיימת בפרויקט.
`DEFAULT_SERVICE_ACCOUNT_USED`	הכלי הזה בודק אם נעשה שימוש בחשבון השירות שמוגדר כברירת מחדל.
`DISK_CSEK_DISABLED`	הגלאי הזה בודק אם התמיכה במפתח הצפנה באספקת הלקוח (CSEK) מושבתת במכונה וירטואלית.
`DNS_LOGGING_DISABLED`	הגלאי הזה בודק אם רישום ביומן של DNS מופעל ברשת ה-VPC.
`DNSSEC_DISABLED`	הגלאי הזה בודק אם DNSSEC מושבת באזורי Cloud DNS.
`FIREWALL_NOT_MONITORED`	הגלאי הזה בודק אם מדדי היומן וההתראות לא מוגדרים למעקב אחרי שינויים בכללי חומת האש של VPC.
`VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED`	הגלאי הזה בודק אם האפשרות VPC Flow Logs לא מופעלת.
`FULL_API_ACCESS`	הגלאי הזה בודק אם מופע משתמש בחשבון שירות שמוגדר כברירת מחדל עם גישה מלאה לכל ממשקי ה-API Google Cloud .
`INSTANCE_OS_LOGIN_DISABLED`	הכלי הזה בודק אם OS Login לא מופעל.
`IP_FORWARDING_ENABLED`	הגלאי הזה בודק אם העברת כתובות IP מופעלת.
`KMS_KEY_NOT_ROTATED`	הגלאי הזה בודק אם הרוטציה של ההצפנה ב-Cloud Key Management Service לא מופעלת.
`KMS_PROJECT_HAS_OWNER`	הגלאי הזה בודק אם למשתמש יש הרשאת בעלים בפרויקט שכולל מפתחות.
`KMS_PUBLIC_KEY`	הגלאי הזה בודק אם מפתח קריפטוגרפי של Cloud Key Management Service נגיש לציבור. מידע נוסף זמין במאמר מציאת נקודות חולשה ב-KMS.
`KMS_ROLE_SEPARATION`	הגלאי הזה בודק אם יש הפרדה בין התפקידים במפתחות Cloud KMS.
`LEGACY_NETWORK`	הגלאי הזה בודק אם קיימת רשת מדור קודם בפרויקט.
`LOCKED_RETENTION_POLICY_NOT_SET`	גלאי זה בודק אם מדיניות שמירת הנתונים הנעולה מוגדרת ליומנים.
`LOAD_BALANCER_LOGGING_DISABLED`	הגלאי הזה בודק אם הרישום ביומן מושבת במאזן העומסים.
`LOG_NOT_EXPORTED`	הגלאי הזה בודק אם לא מוגדר sink ביומן במשאב.
`MFA_NOT_ENFORCED`	הגלאי הזה בודק אם משתמש לא משתמש באימות דו-שלבי.
`NETWORK_NOT_MONITORED`	הגלאי הזה בודק אם מדדי יומן והתראות לא מוגדרים למעקב אחרי שינויים ברשת VPC.
`NON_ORG_IAM_MEMBER`	הגלאי הזה בודק אם משתמש לא משתמש בפרטי כניסה של הארגון.
`OPEN_RDP_PORT`	הגלאי הזה בודק אם לחומת אש יש יציאת RDP פתוחה.
`OPEN_SSH_PORT`	הכלי הזה בודק אם לחומת אש יש יציאת SSH פתוחה שמאפשרת גישה כללית. מידע נוסף זמין במאמר ממצאים של נקודות חולשה בחומת האש.
`OS_LOGIN_DISABLED`	הגלאי הזה בודק אם OS Login מושבת.
`OVER_PRIVILEGED_SERVICE_ACCOUNT_USER`	הגלאי הזה בודק אם למשתמש יש תפקידים בחשבון שירות ברמת הפרויקט, במקום בחשבון שירות ספציפי.
`OWNER_NOT_MONITORED`	הגלאי הזה בודק אם הרישום ביומן מושבת עבור הקצאות ושינויים של בעלות על פרויקטים.
`PUBLIC_BUCKET_ACL`	הכלי הזה בודק אם יש גישה ציבורית לקטגוריה.
`PUBLIC_DATASET`	הגלאי הזה בודק אם קבוצת נתונים מוגדרת כפתוחה לגישה ציבורית. מידע נוסף מופיע במאמר בנושא ממצאים של פגיעויות במערכי נתונים.
`PUBLIC_IP_ADDRESS`	גלאי זה בודק אם למופע יש כתובת IP חיצונית.
`PUBLIC_SQL_INSTANCE`	הגלאי הזה בודק אם Cloud SQL מאפשר חיבורים מכל כתובות ה-IP.
`ROUTE_NOT_MONITORED`	הגלאי הזה בודק אם מדדי היומן וההתראות לא מוגדרים למעקב אחרי שינויים בנתיב של רשת VPC.
`RSASHA1_FOR_SIGNING`	הגלאי הזה בודק אם נעשה שימוש ב-RSASHA1 לחתימה על מפתחות באזורי Cloud DNS.
`SERVICE_ACCOUNT_KEY_NOT_ROTATED`	הגלאי הזה בודק אם בוצע רוטציה של מפתח של חשבון שירות ב-90 הימים האחרונים.
`SERVICE_ACCOUNT_ROLE_SEPARATION`	הגלאי הזה בודק אם יש הפרדה בין התפקידים של מפתחות חשבונות השירות.
`SHIELDED_VM_DISABLED`	הגלאי הזה בודק אם המכונה הווירטואלית המוגנת מושבתת.
`SQL_CONTAINED_DATABASE_AUTHENTICATION`	הגלאי הזה בודק אם הדגל `contained database authentication` ב-Cloud SQL ל-SQL Server לא מושבת.
`SQL_CROSS_DB_OWNERSHIP_CHAINING`	הגלאי הזה בודק אם הדגל `cross_db_ownership_chaining` ב-Cloud SQL ל-SQL Server לא מושבת.
`SQL_EXTERNAL_SCRIPTS_ENABLED`	הגלאי הזה בודק אם הדגל `external scripts enabled` ב-Cloud SQL ל-SQL Server לא מושבת.
`SQL_INSTANCE_NOT_MONITORED`	הגלאי הזה בודק אם הרישום ביומן מושבת לשינויים בהגדרות של Cloud SQL.
`SQL_LOCAL_INFILE`	הגלאי הזה בודק אם הדגל `local_infile` ב-Cloud SQL ל-MySQL לא מושבת.
`SQL_LOG_CONNECTIONS_DISABLED`	הגלאי הזה בודק אם הדגל `log_connections` ב-Cloud SQL ל-PostgreSQL לא מופעל.
`SQL_LOG_DISCONNECTIONS_DISABLED`	הגלאי הזה בודק אם הדגל `log_disconnections` ב-Cloud SQL ל-PostgreSQL לא מופעל.
`SQL_LOG_ERROR_VERBOSITY`	הגלאי הזה בודק אם הדגל `log_error_verbosity` ב-Cloud SQL ל-PostgreSQL לא מוגדר לערך `default`.
`SQL_LOG_MIN_DURATION_STATEMENT_ENABLED`	הגלאי הזה בודק אם הדגל `log_min_duration_statement` ב-Cloud SQL ל-PostgreSQL לא מוגדר לערך `-1`.
`SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY`	הכלי הזה בודק אם לדגל `log_min_error_statement` ב-Cloud SQL ל-PostgreSQL אין רמת חומרה מתאימה.
`SQL_LOG_MIN_MESSAGES`	הגלאי הזה בודק אם הדגל `log_min_messages` ב-Cloud SQL ל-PostgreSQL לא מוגדר לערך `warning`.
`SQL_LOG_STATEMENT`	הגלאי הזה בודק אם הדגל `log_statement` בשרת Cloud SQL ל-PostgreSQL לא מוגדר ל-`ddl`.
`SQL_NO_ROOT_PASSWORD`	הכלי הזה בודק אם במסד נתונים של Cloud SQL עם כתובת IP חיצונית לא מוגדרת סיסמה לחשבון הבסיסי.
`SQL_PUBLIC_IP`	המזהה הזה בודק אם למסד נתונים של Cloud SQL יש כתובת IP חיצונית.
`SQL_REMOTE_ACCESS_ENABLED`	הגלאי הזה בודק אם הדגל `remote_access` ב-Cloud SQL ל-SQL Server לא מושבת.
`SQL_SKIP_SHOW_DATABASE_DISABLED`	הגלאי הזה בודק אם הדגל `skip_show_database` ב-Cloud SQL ל-MySQL לא מופעל.
`SQL_TRACE_FLAG_3625`	הגלאי הזה בודק אם הדגל `3625 (trace flag)` ב-Cloud SQL ל-SQL Server לא מופעל.
`SQL_USER_CONNECTIONS_CONFIGURED`	הגלאי הזה בודק אם הדגל `user connections` ב-Cloud SQL ל-SQL Server מוגדר.
`SQL_USER_OPTIONS_CONFIGURED`	הגלאי הזה בודק אם הדגל `user options` ב-Cloud SQL ל-SQL Server מוגדר.
`USER_MANAGED_SERVICE_ACCOUNT_KEY`	הגלאי הזה בודק אם משתמש מנהל מפתח של חשבון שירות.
`WEAK_SSL_POLICY`	הגלאי הזה בודק אם למופע יש מדיניות SSL חלשה.

הצגת תבנית המצב

כדי לראות את תבנית המצב של CIS Benchmark v2.0:

gcloud

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

‫ORGANIZATION_ID: המזהה המספרי של הארגון

מריצים את הפקודה gcloud scc posture-templates describe:

‫Linux,‏ macOS או Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

‏Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

Windows‏ (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

התשובה מכילה את תבנית המצב.

REST

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

‫ORGANIZATION_ID: המזהה המספרי של הארגון

ה-method של ה-HTTP וכתובת ה-URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

‫Curl (Linux,‏ macOS או Cloud Shell)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login, או באמצעות Cloud Shell שמחבר אתכם אוטומטית ל-CLI של gcloud. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

מריצים את הפקודה הבאה:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0"

‎PowerShell (Windows)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

מריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0" | Select-Object -Expand Content

התשובה מכילה את תבנית המצב.

המאמרים הבאים

יצירת מצב אבטחה באמצעות המצב המוגדר מראש הזה.

תבנית מוגדרת מראש של תנוחת אבטחה עבור CIS Benchmark v2.0 קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

הצגת תבנית המצב

gcloud

‫Linux,‏ macOS או Cloud Shell

‏Windows (PowerShell)

Windows‏ (cmd.exe)

REST

‫Curl (Linux,‏ macOS או Cloud Shell)

‎PowerShell (Windows)

המאמרים הבאים

תבנית מוגדרת מראש של תנוחת אבטחה עבור CIS Benchmark v2.0