Esta página descreve as políticas de deteção incluídas na versão 1.0 do modelo de postura predefinido para a norma SP 800-53 do Instituto Nacional de Padrões e Tecnologia (NIST). Este modelo inclui um conjunto de políticas que define os detetores do Security Health Analytics que se aplicam a cargas de trabalho que têm de estar em conformidade com a norma NIST SP 800-53.
Pode implementar este modelo de postura sem fazer alterações.
Detetores de análise de estado de segurança
A tabela seguinte descreve os detetores do Security Health Analytics incluídos neste modelo de postura.
| Nome do detetor | Descrição |
|---|---|
BIGQUERY_TABLE_CMEK_DISABLED |
Este detetor verifica se uma tabela do BigQuery não está configurada para usar uma chave de encriptação gerida pelo cliente (CMEK). Para mais informações, consulte as conclusões de vulnerabilidades do conjunto de dados. |
PUBLIC_DATASET |
Este detetor verifica se um conjunto de dados está configurado para estar aberto ao acesso público. Para mais informações, consulte as conclusões de vulnerabilidades do conjunto de dados. |
SQL_CROSS_DB_OWNERSHIP_CHAINING |
Este detetor verifica se a flag |
INSTANCE_OS_LOGIN_DISABLED |
Este detetor verifica se o início de sessão no SO não está ativado. |
SQL_SKIP_SHOW_DATABASE_DISABLED |
Este detetor verifica se a flag |
SQL_EXTERNAL_SCRIPTS_ENABLED |
Este detetor verifica se a flag |
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED |
Este detetor verifica se os registos de fluxo da VPC não estão ativados. |
API_KEY_EXISTS |
Este detetor verifica se um projeto está a usar chaves da API em vez da autenticação padrão. |
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY |
Este detetor verifica se a flag |
COMPUTE_SERIAL_PORTS_ENABLED |
Este detetor verifica se as portas de série estão ativadas. |
SQL_LOG_DISCONNECTIONS_DISABLED |
Este detetor verifica se a flag |
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
Este detetor verifica se estão a ser usadas chaves SSH ao nível do projeto. |
KMS_PROJECT_HAS_OWNER |
Este detetor verifica se um utilizador tem a autorização de Proprietário num projeto que inclui chaves. |
KMS_KEY_NOT_ROTATED |
Este detetor verifica se a rotação da encriptação do Cloud Key Management Service não está ativada. |
ESSENTIAL_CONTACTS_NOT_CONFIGURED |
Este detetor verifica se tem, pelo menos, um Contacto essencial. |
AUDIT_LOGGING_DISABLED |
Este detetor verifica se o registo de auditoria está desativado para um recurso. |
LOCKED_RETENTION_POLICY_NOT_SET |
Este detetor verifica se a política de retenção bloqueada está definida para os registos. |
DNS_LOGGING_DISABLED |
Este detetor verifica se o registo de DNS está ativado na rede VPC. |
LOG_NOT_EXPORTED |
Este detetor verifica se um recurso não tem um destino de registo configurado. |
KMS_ROLE_SEPARATION |
Este detetor verifica a separação de funções para chaves do Cloud KMS. |
DISK_CSEK_DISABLED |
Este detetor verifica se o suporte de chaves de encriptação fornecidas pelo cliente (CSEK) está desativado para uma VM. |
SQL_USER_CONNECTIONS_CONFIGURED |
Este detetor verifica se a flag |
API_KEY_APIS_UNRESTRICTED |
Este detetor verifica se as chaves da API estão a ser usadas de forma demasiado abrangente. |
SQL_LOG_MIN_MESSAGES |
Este detetor verifica se a flag |
SQL_LOCAL_INFILE |
Este detetor verifica se a flag |
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED |
Este detetor verifica se a flag |
DATASET_CMEK_DISABLED |
Este detetor verifica se o apoio técnico da CMEK está desativado para um conjunto de dados do BigQuery. |
OPEN_SSH_PORT |
Este detetor verifica se uma firewall tem uma porta SSH aberta que permite o acesso genérico. Para mais informações, consulte as conclusões de vulnerabilidades da firewall. |
FIREWALL_NOT_MONITORED |
Este detetor verifica se as métricas de registo e os alertas não estão configurados para monitorizar as alterações às regras da firewall da VPC. |
SQL_LOG_STATEMENT |
Este detetor verifica se a flag |
SQL_PUBLIC_IP |
Este detetor verifica se uma base de dados do Cloud SQL tem um endereço IP externo. |
IP_FORWARDING_ENABLED |
Este detetor verifica se o encaminhamento de IP está ativado. |
DATAPROC_CMEK_DISABLED |
Este detetor verifica se o suporte da CMEK está desativado para um cluster do Dataproc. |
CONFIDENTIAL_COMPUTING_DISABLED |
Este detetor verifica se a computação confidencial está desativada. |
KMS_PUBLIC_KEY |
Este detetor verifica se uma chave criptográfica do Cloud Key Management Service é acessível publicamente. Para mais informações, consulte as conclusões de vulnerabilidades do KMS. |
SQL_INSTANCE_NOT_MONITORED |
Este detetor verifica se o registo está desativado para alterações de configuração do Cloud SQL. |
SQL_TRACE_FLAG_3625 |
Este detetor verifica se a flag |
DEFAULT_NETWORK |
Este detetor verifica se a rede predefinida existe num projeto. |
DNSSEC_DISABLED |
Este detetor verifica se a segurança DNS (DNSSEC) está desativada para o Cloud DNS. Para mais informações, consulte as conclusões de vulnerabilidade de DNS. |
API_KEY_NOT_ROTATED |
Este detetor verifica se uma chave de API foi alterada nos últimos 90 dias. |
SQL_LOG_CONNECTIONS_DISABLED |
Este detetor verifica se a flag |
LEGACY_NETWORK |
Este detetor verifica se existe uma rede antiga num projeto. |
IAM_ROOT_ACCESS_KEY_CHECK |
Este detetor verifica se a chave de acesso raiz do IAM está acessível. |
PUBLIC_IP_ADDRESS |
Este detetor verifica se uma instância tem um endereço IP externo. |
OPEN_RDP_PORT |
Este detetor verifica se uma firewall tem uma porta RDP aberta. |
INSTANCE_OS_LOGIN_DISABLED |
Este detetor verifica se o início de sessão no SO não está ativado. |
ADMIN_SERVICE_ACCOUNT |
Este detetor verifica se uma conta de serviço tem privilégios de administrador, proprietário ou editor. |
SQL_USER_OPTIONS_CONFIGURED |
Este detetor verifica se a flag |
FULL_API_ACCESS |
Este detetor verifica se uma instância está a usar uma conta de serviço predefinida com acesso total a todas as Google Cloud APIs. |
DEFAULT_SERVICE_ACCOUNT_USED |
Este detetor verifica se a conta de serviço predefinida está a ser usada. |
NETWORK_NOT_MONITORED |
Este detetor verifica se as métricas de registo e os alertas não estão configurados para monitorizar as alterações da rede VPC. |
SQL_CONTAINED_DATABASE_AUTHENTICATION |
Este detetor verifica se a flag |
PUBLIC_BUCKET_ACL |
Este detetor verifica se um contentor está acessível publicamente. |
LOAD_BALANCER_LOGGING_DISABLED |
Este detetor verifica se o registo está desativado para o balanceador de carga. |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
Este detetor verifica se um utilizador tem funções de conta de serviço ao nível do projeto, em vez de para uma conta de serviço específica. |
SQL_REMOTE_ACCESS_ENABLED |
Este detetor verifica se a flag |
CUSTOM_ROLE_NOT_MONITORED |
Este detetor verifica se o registo está desativado para alterações de funções personalizadas. |
AUTO_BACKUP_DISABLED |
Este detetor verifica se uma base de dados do Cloud SQL não tem as cópias de segurança automáticas ativadas. |
RSASHA1_FOR_SIGNING |
Este detetor verifica se o RSASHA1 é usado para a assinatura de chaves em zonas do Cloud DNS. |
CLOUD_ASSET_API_DISABLED |
Este detetor verifica se o Cloud Asset Inventory está desativado. |
SQL_LOG_ERROR_VERBOSITY |
Este detetor verifica se a flag |
ROUTE_NOT_MONITORED |
Este detetor verifica se as métricas de registo e os alertas não estão configurados para monitorizar as alterações de rota da rede VPC. |
BUCKET_POLICY_ONLY_DISABLED |
Este detetor verifica se o acesso uniforme ao nível do contentor está configurado. |
BUCKET_IAM_NOT_MONITORED |
Este detetor verifica se o registo está desativado para alterações de autorizações da IAM no Cloud Storage. |
PUBLIC_SQL_INSTANCE |
Este detetor verifica se um Cloud SQL permite ligações de todos os endereços IP. |
SERVICE_ACCOUNT_ROLE_SEPARATION |
Este detetor verifica a separação de funções para chaves de contas de serviço. |
AUDIT_CONFIG_NOT_MONITORED |
Este detetor verifica se as alterações de configuração de auditoria estão a ser monitorizadas. |
OWNER_NOT_MONITORED |
Este detetor verifica se o registo está desativado para atribuições e alterações de propriedade do projeto. |
Veja o modelo de postura
Para ver o modelo de postura para a NIST 800-53, faça o seguinte:
gcloud
Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:
-
ORGANIZATION_ID: o ID numérico da organização
Execute o comando
gcloud scc posture-templates
describe:
Linux, macOS ou Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53
A resposta contém o modelo de postura.
REST
Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:
-
ORGANIZATION_ID: o ID numérico da organização
Método HTTP e URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/nist_800_53
Para enviar o seu pedido, expanda uma destas opções:
A resposta contém o modelo de postura.