תבנית מוגדרת מראש של תנוחת אבטחה עבור NIST SP 800-53

בדף הזה מוסבר על מדיניות האיתור שכלולה בגרסה 1.0 של תבנית המצב המוגדרת מראש עבור התקן SP 800-53 של המכון הלאומי לתקנים ולטכנולוגיה (NIST). התבנית הזו כוללת קבוצת מדיניות שמגדירה את אמצעי הזיהוי של Security Health Analytics שחלים על עומסי עבודה שצריכים לעמוד בתקן NIST SP 800-53.

אפשר לפרוס את תבנית המצב הזו בלי לבצע שינויים.

גלאים ב-Security Health Analytics

בטבלה הבאה מתוארים הגלאים של Security Health Analytics שכלולים בתבנית המצב הזו.

שם המזהה תיאור
BIGQUERY_TABLE_CMEK_DISABLED

הגלאי הזה בודק אם טבלה ב-BigQuery לא מוגדרת לשימוש במפתח הצפנה בניהול הלקוח (CMEK). מידע נוסף זמין במאמר בנושא ממצאים של נקודות חולשה במערך נתונים.
PUBLIC_DATASET

הכלי הזה בודק אם מערך נתונים מוגדר כפתוח לגישה ציבורית. מידע נוסף זמין במאמר בנושא ממצאים של נקודות חולשה במערך נתונים.
SQL_CROSS_DB_OWNERSHIP_CHAINING

הגלאי הזה בודק אם הדגל cross_db_ownership_chaining ב-Cloud SQL ל-SQL Server לא מושבת.
INSTANCE_OS_LOGIN_DISABLED

הכלי הזה בודק אם OS Login לא מופעל.
SQL_SKIP_SHOW_DATABASE_DISABLED

הגלאי הזה בודק אם הדגל skip_show_database ב-Cloud SQL ל-MySQL לא מופעל.
SQL_EXTERNAL_SCRIPTS_ENABLED

הגלאי הזה בודק אם הדגל external scripts enabled ב-Cloud SQL ל-SQL Server לא מושבת.
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

הגלאי הזה בודק אם האפשרות VPC Flow Logs לא מופעלת.
API_KEY_EXISTS

הגלאי הזה בודק אם בפרויקט נעשה שימוש במפתחות API במקום באימות רגיל.
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

הכלי הזה בודק אם לדגל log_min_error_statement ב-Cloud SQL ל-PostgreSQL אין רמת חומרה מתאימה.
COMPUTE_SERIAL_PORTS_ENABLED

הגלאי הזה בודק אם היציאות הטוריות מופעלות.
SQL_LOG_DISCONNECTIONS_DISABLED

הגלאי הזה בודק אם הדגל log_disconnections ב-Cloud SQL ל-PostgreSQL לא מופעל.
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

הכלי הזה בודק אם נעשה שימוש במפתחות SSH ברמת הפרויקט.
KMS_PROJECT_HAS_OWNER

הגלאי הזה בודק אם למשתמש יש הרשאת בעלים בפרויקט שכולל מפתחות.
KMS_KEY_NOT_ROTATED

הגלאי הזה בודק אם הרוטציה של ההצפנה ב-Cloud Key Management Service לא מופעלת.
ESSENTIAL_CONTACTS_NOT_CONFIGURED

הגלאי הזה בודק אם יש לכם לפחות איש קשר חיוני.
AUDIT_LOGGING_DISABLED

הגלאי הזה בודק אם רישום ביומני ביקורת מושבת במשאב.
LOCKED_RETENTION_POLICY_NOT_SET

גלאי זה בודק אם מדיניות שמירת הנתונים הנעולה מוגדרת ליומנים.
DNS_LOGGING_DISABLED

הגלאי הזה בודק אם רישום ביומן של DNS מופעל ברשת ה-VPC.
LOG_NOT_EXPORTED

הגלאי הזה בודק אם לא מוגדר sink ביומן במשאב.
KMS_ROLE_SEPARATION

הגלאי הזה בודק אם יש הפרדה בין התפקידים במפתחות Cloud KMS.
DISK_CSEK_DISABLED

הגלאי הזה בודק אם התמיכה במפתח הצפנה באספקת הלקוח (CSEK) מושבתת במכונה וירטואלית.
SQL_USER_CONNECTIONS_CONFIGURED

הגלאי הזה בודק אם הדגל user connections ב-Cloud SQL ל-SQL Server מוגדר.
API_KEY_APIS_UNRESTRICTED

הכלי הזה בודק אם נעשה שימוש במפתחות API בצורה רחבה מדי.
SQL_LOG_MIN_MESSAGES

הגלאי הזה בודק אם הדגל log_min_messages ב-Cloud SQL ל-PostgreSQL לא מוגדר לערך warning.
SQL_LOCAL_INFILE

הגלאי הזה בודק אם הדגל local_infile ב-Cloud SQL ל-MySQL לא מושבת.
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

הגלאי הזה בודק אם הדגל log_min_duration_statement ב-Cloud SQL ל-PostgreSQL לא מוגדר לערך -1.
DATASET_CMEK_DISABLED

הגלאי הזה בודק אם התמיכה ב-CMEK מושבתת במערך נתונים של BigQuery.
OPEN_SSH_PORT

הגלאי הזה בודק אם לחומת אש יש יציאת SSH פתוחה שמאפשרת גישה כללית. מידע נוסף זמין במאמר בנושא ממצאים של נקודות חולשה בחומת האש.
FIREWALL_NOT_MONITORED

הגלאי הזה בודק אם מדדי היומן וההתראות לא מוגדרים למעקב אחרי שינויים בכללי חומת האש של VPC.
SQL_LOG_STATEMENT

הגלאי הזה בודק אם הדגל log_statement בשרת Cloud SQL ל-PostgreSQL לא מוגדר ל-ddl.
SQL_PUBLIC_IP

המזהה הזה בודק אם למסד נתונים של Cloud SQL יש כתובת IP חיצונית.
IP_FORWARDING_ENABLED

הגלאי הזה בודק אם העברת כתובות IP מופעלת.
DATAPROC_CMEK_DISABLED

הכלי הזה בודק אם התמיכה ב-CMEK מושבתת באשכול Dataproc.
CONFIDENTIAL_COMPUTING_DISABLED

הגלאי הזה בודק אם Confidential Computing מושבת.
KMS_PUBLIC_KEY

הגלאי הזה בודק אם מפתח קריפטוגרפי של Cloud Key Management Service נגיש לציבור. מידע נוסף זמין במאמר מציאת נקודות חולשה ב-KMS.
SQL_INSTANCE_NOT_MONITORED

הגלאי הזה בודק אם הרישום ביומן מושבת לשינויים בהגדרות של Cloud SQL.
SQL_TRACE_FLAG_3625

הגלאי הזה בודק אם הדגל 3625 (trace flag) ב-Cloud SQL ל-SQL Server לא מופעל.
DEFAULT_NETWORK

הגלאי הזה בודק אם רשת ברירת המחדל קיימת בפרויקט.
DNSSEC_DISABLED

הגלאי הזה בודק אם אבטחת ה-DNS ‏ (DNSSEC) מושבתת ב-Cloud DNS. מידע נוסף זמין במאמר בנושא ממצאים של נקודות חולשה ב-DNS.
API_KEY_NOT_ROTATED

הגלאי הזה בודק אם בוצע שינוי במפתח API ב-90 הימים האחרונים.
SQL_LOG_CONNECTIONS_DISABLED

הגלאי הזה בודק אם הדגל log_connections ב-Cloud SQL ל-PostgreSQL לא מופעל.
LEGACY_NETWORK

הגלאי הזה בודק אם קיימת רשת מדור קודם בפרויקט.
IAM_ROOT_ACCESS_KEY_CHECK

הגלאי הזה בודק אם מפתח הגישה של חשבון הבסיס ב-IAM נגיש.
PUBLIC_IP_ADDRESS

גלאי זה בודק אם למופע יש כתובת IP חיצונית.
OPEN_RDP_PORT

הגלאי הזה בודק אם לחומת אש יש יציאת RDP פתוחה.
INSTANCE_OS_LOGIN_DISABLED

הכלי הזה בודק אם OS Login לא מופעל.
ADMIN_SERVICE_ACCOUNT

הגלאי הזה בודק אם לחשבון שירות יש הרשאות אדמין, בעלים או עריכה.
SQL_USER_OPTIONS_CONFIGURED

הגלאי הזה בודק אם הדגל user options ב-Cloud SQL ל-SQL Server מוגדר.
FULL_API_ACCESS

הגלאי הזה בודק אם מופע משתמש בחשבון שירות שמוגדר כברירת מחדל עם גישה מלאה לכל ממשקי ה-API Google Cloud .
DEFAULT_SERVICE_ACCOUNT_USED

הכלי הזה בודק אם נעשה שימוש בחשבון השירות שמוגדר כברירת מחדל.
NETWORK_NOT_MONITORED

הגלאי הזה בודק אם מדדי יומן והתראות לא מוגדרים למעקב אחרי שינויים ברשת VPC.
SQL_CONTAINED_DATABASE_AUTHENTICATION

הגלאי הזה בודק אם הדגל contained database authentication ב-Cloud SQL ל-SQL Server לא מושבת.
PUBLIC_BUCKET_ACL

הכלי הזה בודק אם יש גישה ציבורית לקטגוריה.
LOAD_BALANCER_LOGGING_DISABLED

הגלאי הזה בודק אם הרישום ביומן מושבת במאזן העומסים.
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

הגלאי הזה בודק אם למשתמש יש תפקידים בחשבון שירות ברמת הפרויקט, במקום בחשבון שירות ספציפי.
SQL_REMOTE_ACCESS_ENABLED

הגלאי הזה בודק אם הדגל remote_access ב-Cloud SQL ל-SQL Server לא מושבת.
CUSTOM_ROLE_NOT_MONITORED

הגלאי הזה בודק אם הרישום ביומן מושבת לשינויים בתפקידים בהתאמה אישית.
AUTO_BACKUP_DISABLED

הגלאי הזה בודק אם הגיבויים האוטומטיים מושבתים במסד נתונים של Cloud SQL.
RSASHA1_FOR_SIGNING

הגלאי הזה בודק אם נעשה שימוש ב-RSASHA1 לחתימה על מפתחות באזורי Cloud DNS.
CLOUD_ASSET_API_DISABLED

הגלאי הזה בודק אם מאגר משאבי ענן מושבת.
SQL_LOG_ERROR_VERBOSITY

הגלאי הזה בודק אם הדגל log_error_verbosity ב-Cloud SQL ל-PostgreSQL לא מוגדר לערך default.
ROUTE_NOT_MONITORED

הגלאי הזה בודק אם מדדי היומן וההתראות לא מוגדרים למעקב אחרי שינויים בנתיב של רשת VPC.
BUCKET_POLICY_ONLY_DISABLED

הכלי הזה בודק אם הוגדרה גישה אחידה ברמת הקטגוריה.
BUCKET_IAM_NOT_MONITORED

הגלאי הזה בודק אם רישום ביומן מושבת לשינויים בהרשאות IAM ב-Cloud Storage.
PUBLIC_SQL_INSTANCE

הגלאי הזה בודק אם Cloud SQL מאפשר חיבורים מכל כתובות ה-IP.
SERVICE_ACCOUNT_ROLE_SEPARATION

הגלאי הזה בודק אם יש הפרדה בין התפקידים של מפתחות חשבונות השירות.
AUDIT_CONFIG_NOT_MONITORED

הגלאי הזה בודק אם מתבצע מעקב אחרי שינויים בהגדרות הביקורת.
OWNER_NOT_MONITORED

הגלאי הזה בודק אם הרישום ביומן מושבת עבור הקצאות ושינויים של בעלות על פרויקטים.

הצגת תבנית המצב

כדי לראות את תבנית המצב של NIST 800-53:

gcloud

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

  • ORGANIZATION_ID: המזהה המספרי של הארגון

מריצים את הפקודה gcloud scc posture-templates describe:

‫Linux,‏ macOS או Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53

‏Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53

Windows‏ (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53

התשובה מכילה את תבנית המצב.

REST

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

  • ORGANIZATION_ID: המזהה המספרי של הארגון

ה-method של ה-HTTP וכתובת ה-URL: 

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

התשובה מכילה את תבנית המצב.

המאמרים הבאים