Esta página descreve as políticas de deteção incluídas na versão 1.0 do modelo de postura predefinido para o Center for Internet Security (CIS) Google Cloud Computing Platform Benchmark v2.0.0. Esta postura predefinida ajuda a detetar quando o seu Google Cloud ambiente não está alinhado com a referência do CIS.
Pode implementar este modelo de postura sem fazer alterações.
A tabela seguinte descreve os detetores do Security Health Analytics incluídos no modelo de postura. Para mais informações sobre estes detetores, consulte o artigo Resultados de vulnerabilidades.
| Nome do detetor | Descrição |
|---|---|
ACCESS_TRANSPARENCY_DISABLED |
Este detetor verifica se a Transparência de acesso está desativada. |
ADMIN_SERVICE_ACCOUNT |
Este detetor verifica se uma conta de serviço tem privilégios de administrador, proprietário ou editor. |
ESSENTIAL_CONTACTS_NOT_CONFIGURED |
Este detetor verifica se tem, pelo menos, um Contacto essencial. |
API_KEY_APIS_UNRESTRICTED |
Este detetor verifica se as chaves da API estão a ser usadas de forma demasiado abrangente. |
API_KEY_EXISTS |
Este detetor verifica se um projeto está a usar chaves da API em vez da autenticação padrão. |
API_KEY_NOT_ROTATED |
Este detetor verifica se uma chave de API foi alterada nos últimos 90 dias. |
AUDIT_CONFIG_NOT_MONITORED |
Este detetor verifica se as alterações de configuração de auditoria estão a ser monitorizadas. |
AUDIT_LOGGING_DISABLED |
Este detetor verifica se o registo de auditoria está desativado para um recurso. |
AUTO_BACKUP_DISABLED |
Este detetor verifica se uma base de dados do Cloud SQL não tem as cópias de segurança automáticas ativadas. |
BIGQUERY_TABLE_CMEK_DISABLED |
Este detetor verifica se uma tabela do BigQuery não está configurada para usar uma chave de encriptação gerida pelo cliente (CMEK). Para mais informações, consulte o artigo Resultados de vulnerabilidades do conjunto de dados. |
BUCKET_IAM_NOT_MONITORED |
Este detetor verifica se o registo está desativado para alterações de autorizações da IAM no Cloud Storage. |
BUCKET_POLICY_ONLY_DISABLED |
Este detetor verifica se o acesso uniforme ao nível do contentor está configurado. |
CLOUD_ASSET_API_DISABLED |
Este detetor verifica se o Cloud Asset Inventory está desativado. |
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
Este detetor verifica se estão a ser usadas chaves SSH ao nível do projeto. |
COMPUTE_SERIAL_PORTS_ENABLED |
Este detetor verifica se as portas de série estão ativadas. |
CONFIDENTIAL_COMPUTING_DISABLED |
Este detetor verifica se a computação confidencial está desativada. |
CUSTOM_ROLE_NOT_MONITORED |
Este detetor verifica se o registo está desativado para alterações de funções personalizadas. |
DATAPROC_CMEK_DISABLED |
Este detetor verifica se o suporte da CMEK está desativado para um cluster do Dataproc. |
DATASET_CMEK_DISABLED |
Este detetor verifica se o apoio técnico da CMEK está desativado para um conjunto de dados do BigQuery. |
DEFAULT_NETWORK |
Este detetor verifica se a rede predefinida existe num projeto. |
DEFAULT_SERVICE_ACCOUNT_USED |
Este detetor verifica se a conta de serviço predefinida está a ser usada. |
DISK_CSEK_DISABLED |
Este detetor verifica se o suporte de chaves de encriptação fornecidas pelo cliente (CSEK) está desativado para uma VM. |
DNS_LOGGING_DISABLED |
Este detetor verifica se o registo de DNS está ativado na rede VPC. |
DNSSEC_DISABLED |
Este detetor verifica se as DNSSEC estão desativadas para zonas do Cloud DNS. |
FIREWALL_NOT_MONITORED |
Este detetor verifica se as métricas de registo e os alertas não estão configurados para monitorizar as alterações às regras da firewall da VPC. |
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED |
Este detetor verifica se os registos de fluxo da VPC não estão ativados. |
FULL_API_ACCESS |
Este detetor verifica se uma instância está a usar uma conta de serviço predefinida com acesso total a todas as Google Cloud APIs. |
INSTANCE_OS_LOGIN_DISABLED |
Este detetor verifica se o início de sessão no SO não está ativado. |
IP_FORWARDING_ENABLED |
Este detetor verifica se o encaminhamento de IP está ativado. |
KMS_KEY_NOT_ROTATED |
Este detetor verifica se a rotação da encriptação do Cloud Key Management Service não está ativada. |
KMS_PROJECT_HAS_OWNER |
Este detetor verifica se um utilizador tem a autorização de Proprietário num projeto que inclui chaves. |
KMS_PUBLIC_KEY |
Este detetor verifica se uma chave criptográfica do Cloud Key Management Service é acessível publicamente. Para mais informações, consulte as conclusões de vulnerabilidades do KMS. |
KMS_ROLE_SEPARATION |
Este detetor verifica a separação de funções para chaves do Cloud KMS. |
LEGACY_NETWORK |
Este detetor verifica se existe uma rede antiga num projeto. |
LOCKED_RETENTION_POLICY_NOT_SET |
Este detetor verifica se a política de retenção bloqueada está definida para os registos. |
LOAD_BALANCER_LOGGING_DISABLED |
Este detetor verifica se o registo está desativado para o balanceador de carga. |
LOG_NOT_EXPORTED |
Este detetor verifica se um recurso não tem um destino de registo configurado. |
MFA_NOT_ENFORCED |
Este detetor verifica se um utilizador não está a usar a validação em dois passos. |
NETWORK_NOT_MONITORED |
Este detetor verifica se as métricas de registo e os alertas não estão configurados para monitorizar as alterações da rede VPC. |
NON_ORG_IAM_MEMBER |
Este detetor verifica se um utilizador não está a usar credenciais da organização. |
OPEN_RDP_PORT |
Este detetor verifica se uma firewall tem uma porta RDP aberta. |
OPEN_SSH_PORT |
Este detetor verifica se uma firewall tem uma porta SSH aberta que permite o acesso genérico. Para mais informações, consulte o artigo Resultados de vulnerabilidades da firewall. |
OS_LOGIN_DISABLED |
Este detetor verifica se o Início de sessão do SO está desativado. |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
Este detetor verifica se um utilizador tem funções de conta de serviço ao nível do projeto, em vez de para uma conta de serviço específica. |
OWNER_NOT_MONITORED |
Este detetor verifica se o registo está desativado para atribuições e alterações de propriedade do projeto. |
PUBLIC_BUCKET_ACL |
Este detetor verifica se um contentor está acessível publicamente. |
PUBLIC_DATASET |
Este detetor verifica se um conjunto de dados está configurado para estar aberto ao acesso público. Para mais informações, consulte o artigo Resultados de vulnerabilidades do conjunto de dados. |
PUBLIC_IP_ADDRESS |
Este detetor verifica se uma instância tem um endereço IP externo. |
PUBLIC_SQL_INSTANCE |
Este detetor verifica se um Cloud SQL permite ligações de todos os endereços IP. |
ROUTE_NOT_MONITORED |
Este detetor verifica se as métricas de registo e os alertas não estão configurados para monitorizar as alterações de rota da rede VPC. |
RSASHA1_FOR_SIGNING |
Este detetor verifica se o RSASHA1 é usado para a assinatura de chaves em zonas do Cloud DNS. |
SERVICE_ACCOUNT_KEY_NOT_ROTATED |
Este detetor verifica se uma chave de conta de serviço foi alterada nos últimos 90 dias. |
SERVICE_ACCOUNT_ROLE_SEPARATION |
Este detetor verifica a separação de funções para chaves de contas de serviço. |
SHIELDED_VM_DISABLED |
Este detetor verifica se a VM protegida está desativada. |
SQL_CONTAINED_DATABASE_AUTHENTICATION |
Este detetor verifica se a flag |
SQL_CROSS_DB_OWNERSHIP_CHAINING |
Este detetor verifica se a flag |
SQL_EXTERNAL_SCRIPTS_ENABLED |
Este detetor verifica se a flag |
SQL_INSTANCE_NOT_MONITORED |
Este detetor verifica se o registo está desativado para alterações de configuração do Cloud SQL. |
SQL_LOCAL_INFILE |
Este detetor verifica se a flag |
SQL_LOG_CONNECTIONS_DISABLED |
Este detetor verifica se a flag |
SQL_LOG_DISCONNECTIONS_DISABLED |
Este detetor verifica se a flag |
SQL_LOG_ERROR_VERBOSITY |
Este detetor verifica se a flag |
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED |
Este detetor verifica se a flag |
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY |
Este detetor verifica se a flag |
SQL_LOG_MIN_MESSAGES |
Este detetor verifica se a flag |
SQL_LOG_STATEMENT |
Este detetor verifica se a flag |
SQL_NO_ROOT_PASSWORD |
Este detetor verifica se uma base de dados do Cloud SQL com um endereço IP externo não tem uma palavra-passe para a conta root. |
SQL_PUBLIC_IP |
Este detetor verifica se uma base de dados do Cloud SQL tem um endereço IP externo. |
SQL_REMOTE_ACCESS_ENABLED |
Este detetor verifica se a flag |
SQL_SKIP_SHOW_DATABASE_DISABLED |
Este detetor verifica se a flag |
SQL_TRACE_FLAG_3625 |
Este detetor verifica se a flag |
SQL_USER_CONNECTIONS_CONFIGURED |
Este detetor verifica se a flag |
SQL_USER_OPTIONS_CONFIGURED |
Este detetor verifica se a flag |
USER_MANAGED_SERVICE_ACCOUNT_KEY |
Este detetor verifica se um utilizador gere uma chave de conta de serviço. |
WEAK_SSL_POLICY |
Este detetor verifica se uma instância tem uma política SSL fraca. |
Veja o modelo de postura
Para ver o modelo de postura para a norma CIS Benchmark v2.0, faça o seguinte:
gcloud
Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:
-
ORGANIZATION_ID: o ID numérico da organização
Execute o comando
gcloud scc posture-templates
describe:
Linux, macOS ou Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0
A resposta contém o modelo de postura.
REST
Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:
-
ORGANIZATION_ID: o ID numérico da organização
Método HTTP e URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0
Para enviar o seu pedido, expanda uma destas opções:
A resposta contém o modelo de postura.