Cette page décrit les règles de détection incluses dans la version 1.0 du modèle de stratégie prédéfini pour la norme PCI DSS (Payment Card Industry Data Security Standard) versions 3.2.1 et 1.0. Ce modèle inclut un ensemble de règles qui définit les détecteurs Security Health Analytics s'appliquant aux charges de travail qui doivent être conformes à la norme PCI DSS.
Vous pouvez déployer ce modèle de stratégie sans y apporter de modifications.
Détecteurs Security Health Analytics
Le tableau suivant décrit les détecteurs Security Health Analytics inclus dans ce modèle de posture.
| Nom du détecteur | Description |
|---|---|
PUBLIC_DATASET |
Ce détecteur vérifie si un ensemble de données est configuré pour être accessible au public. Pour en savoir plus, consultez Résultats des failles liées aux ensembles de données. |
NON_ORG_IAM_MEMBER |
Ce détecteur vérifie si un utilisateur n'utilise pas d'identifiants d'organisation. |
KMS_PROJECT_HAS_OWNER |
Ce détecteur vérifie si un utilisateur dispose de l'autorisation Propriétaire sur un projet qui inclut des clés. |
AUDIT_LOGGING_DISABLED |
Ce détecteur vérifie si la journalisation d'audit est désactivée pour une ressource. |
SSL_NOT_ENFORCED |
Ce détecteur vérifie si une instance de base de données Cloud SQL n'utilise pas SSL pour toutes les connexions entrantes. Pour en savoir plus, consultez Résultats concernant les failles SQL. |
LOCKED_RETENTION_POLICY_NOT_SET |
Ce détecteur vérifie si la règle de conservation verrouillée est définie pour les journaux. |
KMS_KEY_NOT_ROTATED |
Ce détecteur vérifie si la rotation du chiffrement Cloud Key Management Service n'est pas activée. |
OPEN_SMTP_PORT |
Ce détecteur vérifie si un pare-feu dispose d'un port SMTP ouvert qui autorise l'accès générique. Pour en savoir plus, consultez Résultats de l'analyse des failles de sécurité du pare-feu. |
SQL_NO_ROOT_PASSWORD |
Ce détecteur vérifie si une base de données Cloud SQL avec une adresse IP publique ne possède pas de mot de passe pour le compte racine. |
OPEN_LDAP_PORT |
Ce détecteur vérifie si un pare-feu dispose d'un port LDAP ouvert qui autorise l'accès générique. Pour en savoir plus, consultez Résultats des failles liées au pare-feu. |
OPEN_ORACLEDB_PORT |
Ce détecteur vérifie si un pare-feu dispose d'un port de base de données Oracle ouvert qui autorise un accès générique. Pour en savoir plus, consultez Résultats de vulnérabilité du pare-feu. |
OPEN_SSH_PORT |
Ce détecteur vérifie si un pare-feu dispose d'un port SSH ouvert qui autorise l'accès générique. Pour en savoir plus, consultez Résultats de l'analyse des failles de sécurité du pare-feu. |
MFA_NOT_ENFORCED |
Ce détecteur vérifie si un utilisateur n'utilise pas la validation en deux étapes. |
COS_NOT_USED |
Ce détecteur vérifie si les VM Compute Engine n'utilisent pas Container-Optimized OS. Pour en savoir plus, consultez Résultats des failles liées aux conteneurs. |
HTTP_LOAD_BALANCER |
Ce détecteur vérifie si une instance Compute Engine utilise un équilibreur de charge configuré pour utiliser un proxy HTTP cible au lieu d'un proxy HTTPS cible. Pour en savoir plus, consultez Résultats des failles liées aux instances de calcul. |
EGRESS_DENY_RULE_NOT_SET |
Ce détecteur vérifie si une règle de refus du trafic sortant n'est pas définie sur un pare-feu. Pour en savoir plus, consultez Résultats des failles liées au pare-feu. |
PUBLIC_LOG_BUCKET |
Ce détecteur vérifie si un bucket avec un récepteur de journaux est accessible au public. |
OPEN_DIRECTORY_SERVICES_PORT |
Ce détecteur vérifie si un pare-feu dispose d'un port DIRECTORY_SERVICES ouvert qui autorise l'accès générique. Pour en savoir plus, consultez Résultats des failles liées au pare-feu. |
OPEN_MYSQL_PORT |
Ce détecteur vérifie si un pare-feu dispose d'un port MySQL ouvert qui autorise l'accès générique. Pour en savoir plus, consultez Résultats des failles liées au pare-feu. |
OPEN_FTP_PORT |
Ce détecteur vérifie si un pare-feu dispose d'un port FTP ouvert qui autorise l'accès générique. Pour en savoir plus, consultez Résultats de vulnérabilité du pare-feu. |
OPEN_FIREWALL |
Ce détecteur vérifie si un pare-feu est accessible au public. Pour en savoir plus, consultez Résultats des failles de pare-feu. |
WEAK_SSL_POLICY |
Ce détecteur vérifie si une instance a une stratégie SSL faible. |
OPEN_POP3_PORT |
Ce détecteur vérifie si un pare-feu dispose d'un port POP3 ouvert qui autorise l'accès générique. Pour en savoir plus, consultez Résultats des failles liées au pare-feu. |
OPEN_NETBIOS_PORT |
Ce détecteur vérifie si un pare-feu dispose d'un port NETBIOS ouvert qui autorise un accès générique. Pour en savoir plus, consultez Failles identifiées dans le pare-feu. |
FLOW_LOGS_DISABLED |
Ce détecteur vérifie si les journaux de flux sont activés sur le sous-réseau VPC. |
OPEN_MONGODB_PORT |
Ce détecteur vérifie si un pare-feu dispose d'un port de base de données Mongo ouvert qui autorise l'accès générique. Pour en savoir plus, consultez Résultats des failles liées au pare-feu. |
MASTER_AUTHORIZED_NETWORKS_DISABLED |
Ce détecteur vérifie si les réseaux autorisés du plan de contrôle ne sont pas activés sur les clusters GKE. Pour en savoir plus, consultez Résultats des failles liées aux conteneurs. |
OPEN_REDIS_PORT |
Ce détecteur vérifie si un pare-feu dispose d'un port REDIS ouvert qui autorise l'accès générique. Pour en savoir plus, consultez Résultats de l'analyse des failles du pare-feu. |
OPEN_DNS_PORT |
Ce détecteur vérifie si un pare-feu dispose d'un port DNS ouvert qui autorise l'accès générique. Pour en savoir plus, consultez Résultats de vulnérabilité du pare-feu. |
OPEN_TELNET_PORT |
Ce détecteur vérifie si un pare-feu dispose d'un port TELNET ouvert qui autorise l'accès générique. Pour en savoir plus, consultez Résultats des failles liées au pare-feu. |
OPEN_HTTP_PORT |
Ce détecteur vérifie si un pare-feu dispose d'un port HTTP ouvert qui autorise l'accès générique. Pour en savoir plus, consultez Résultats des failles liées au pare-feu. |
CLUSTER_LOGGING_DISABLED |
Ce détecteur vérifie si la journalisation n'est pas activée pour un cluster GKE. Pour en savoir plus, consultez Résultats des failles liées aux conteneurs. |
FULL_API_ACCESS |
Ce détecteur vérifie si une instance utilise un compte de service par défaut avec un accès complet à toutes les API Google Cloud . |
OBJECT_VERSIONING_DISABLED |
Ce détecteur vérifie si la gestion des versions d'objets est activée sur les buckets de stockage avec des récepteurs. |
PUBLIC_IP_ADDRESS |
Ce détecteur vérifie si une instance possède une adresse IP publique. |
AUTO_UPGRADE_DISABLED |
Ce détecteur vérifie si la fonctionnalité de mise à niveau automatique d'un cluster GKE est désactivée. Pour en savoir plus, consultez Résultats des failles liées aux conteneurs. |
LEGACY_AUTHORIZATION_ENABLED |
Ce détecteur vérifie si l'ancienne autorisation est activée sur les clusters GKE. Pour en savoir plus, consultez Résultats des failles liées aux conteneurs. |
CLUSTER_MONITORING_DISABLED |
Ce détecteur vérifie si le monitoring est désactivé sur les clusters GKE. Pour en savoir plus, consultez Résultats des failles liées aux conteneurs. |
OPEN_CISCOSECURE_WEBSM_PORT |
Ce détecteur vérifie si un pare-feu dispose d'un port CISCOSECURE_WEBSM ouvert qui autorise l'accès générique. Pour en savoir plus, consultez Résultats des failles liées au pare-feu. |
OPEN_RDP_PORT |
Ce détecteur vérifie si un pare-feu dispose d'un port RDP ouvert qui autorise l'accès générique. Pour en savoir plus, consultez Résultats de vulnérabilité du pare-feu. |
WEB_UI_ENABLED |
Ce détecteur vérifie si l'interface utilisateur Web de GKE est activée. Pour en savoir plus, consultez Résultats des failles liées aux conteneurs. |
FIREWALL_RULE_LOGGING_DISABLED |
Ce détecteur vérifie si la journalisation des règles de pare-feu est désactivée. Pour en savoir plus, consultez Résultats des failles liées au pare-feu. |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
Ce détecteur vérifie si un utilisateur dispose de rôles de compte de service au niveau du projet, plutôt qu'au niveau d'un compte de service spécifique. |
PRIVATE_CLUSTER_DISABLED |
Ce détecteur vérifie si un cluster GKE possède un cluster privé désactivé. Pour en savoir plus, consultez Résultats des failles liées aux conteneurs. |
PRIMITIVE_ROLES_USED |
Ce détecteur vérifie si un utilisateur dispose d'un rôle de base (propriétaire, éditeur ou lecteur). Pour en savoir plus, consultez Résultats des failles IAM. |
REDIS_ROLE_USED_ON_ORG |
Ce détecteur vérifie si un rôle IAM Redis est attribué à une organisation ou à un dossier. Pour en savoir plus, consultez Résultats des failles IAM. |
PUBLIC_BUCKET_ACL |
Ce détecteur vérifie si un bucket est accessible publiquement. |
OPEN_MEMCACHED_PORT |
Ce détecteur vérifie si un pare-feu dispose d'un port MEMCACHED ouvert qui autorise un accès générique. Pour en savoir plus, consultez Résultats des failles liées au pare-feu. |
OVER_PRIVILEGED_ACCOUNT |
Ce détecteur vérifie si un compte de service possède un accès trop étendu au projet d'un cluster. Pour en savoir plus, consultez Résultats des failles liées aux conteneurs. |
AUTO_REPAIR_DISABLED |
Ce détecteur vérifie si la fonctionnalité de réparation automatique d'un cluster GKE est désactivée. Pour en savoir plus, consultez Résultats des failles liées aux conteneurs. |
NETWORK_POLICY_DISABLED |
Ce détecteur vérifie si la règle de réseau est désactivée sur un cluster. Pour en savoir plus, consultez Résultats des failles liées aux conteneurs. |
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED |
Ce détecteur vérifie si les hôtes de cluster ne sont pas configurés pour utiliser uniquement des adresses IP internes privées afin d'accéder aux API Google. Pour en savoir plus, consultez Résultats des failles de conteneur. |
OPEN_CASSANDRA_PORT |
Ce détecteur vérifie si un pare-feu dispose d'un port Cassandra ouvert qui autorise un accès générique. Pour en savoir plus, consultez Résultats des failles liées au pare-feu. |
TOO_MANY_KMS_USERS |
Ce détecteur vérifie s'il existe plus de trois utilisateurs de clés cryptographiques. Pour en savoir plus, consultez Résultats de failles KMS. |
OPEN_POSTGRESQL_PORT |
Ce détecteur vérifie si un pare-feu dispose d'un port PostgreSQL ouvert qui autorise l'accès générique. Pour en savoir plus, consultez Résultats des failles liées au pare-feu. |
IP_ALIAS_DISABLED |
Ce détecteur vérifie si un cluster GKE a été créé avec la plage d'adresses IP d'alias désactivée. Pour en savoir plus, consultez Résultats des failles liées aux conteneurs. |
PUBLIC_SQL_INSTANCE |
Ce détecteur vérifie si une instance Cloud SQL autorise les connexions à partir de toutes les adresses IP. |
OPEN_ELASTICSEARCH_PORT |
Ce détecteur vérifie si un pare-feu dispose d'un port Elasticsearch ouvert qui autorise l'accès générique. Pour en savoir plus, consultez Résultats des failles liées au pare-feu. |
Afficher le modèle de stratégie
Pour afficher le modèle de stratégie PCI DSS :
gcloud
Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
-
ORGANIZATION_ID: ID numérique de l'organisation.
Exécutez la commande gcloud scc posture-templates
describe :
Linux, macOS ou Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
La réponse contient le modèle de stratégie.
REST
Avant d'utiliser les données de requête, effectuez les remplacements suivants :
-
ORGANIZATION_ID: ID numérique de l'organisation.
Méthode HTTP et URL :
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
Pour envoyer votre requête, développez l'une des options suivantes :
La réponse contient le modèle de stratégie.