תבנית מוגדרת מראש של מצב אבטחה עבור PCI DSS גרסה 3.2.1 וגרסה 1.0

בדף הזה מפורטות המדיניות לזיהוי בעיות שכלולה בגרסה v1.0 של תבנית המצב המוגדרת מראש עבור תקן האבטחה של תעשיית כרטיסי התשלום (PCI DSS) גרסה 3.2.1 וגרסה 1.0. התבנית הזו כוללת קבוצת מדיניות שמגדירה את אמצעי הזיהוי של Security Health Analytics שחלים על עומסי עבודה שצריכים לעמוד בתקן PCI DSS.

אפשר לפרוס את תבנית המצב הזו בלי לבצע שינויים.

גלאים ב-Security Health Analytics

בטבלה הבאה מתוארים הגלאים של Security Health Analytics שכלולים בתבנית המצב הזו.

שם המזהה	תיאור
`PUBLIC_DATASET`	הכלי הזה בודק אם מערך נתונים מוגדר כפתוח לגישה ציבורית. מידע נוסף זמין במאמר בנושא ממצאים של נקודות חולשה במערך נתונים.
`NON_ORG_IAM_MEMBER`	הגלאי הזה בודק אם משתמש לא משתמש בפרטי כניסה של הארגון.
`KMS_PROJECT_HAS_OWNER`	הגלאי הזה בודק אם למשתמש יש הרשאת בעלים בפרויקט שכולל מפתחות.
`AUDIT_LOGGING_DISABLED`	הגלאי הזה בודק אם רישום ביומני ביקורת מושבת במשאב.
`SSL_NOT_ENFORCED`	הכלי הזה בודק אם מופע של מסד נתונים ב-Cloud SQL לא משתמש ב-SSL לכל החיבורים הנכנסים. מידע נוסף זמין במאמר ממצאים של נקודות חולשה ב-SQL.
`LOCKED_RETENTION_POLICY_NOT_SET`	גלאי זה בודק אם מדיניות שמירת הנתונים הנעולה מוגדרת ליומנים.
`KMS_KEY_NOT_ROTATED`	הגלאי הזה בודק אם הרוטציה של ההצפנה ב-Cloud Key Management Service לא מופעלת.
`OPEN_SMTP_PORT`	הגלאי הזה בודק אם לחומת אש יש יציאת SMTP פתוחה שמאפשרת גישה כללית. מידע נוסף זמין במאמר בנושא ממצאים של נקודות חולשה בחומת האש.
`SQL_NO_ROOT_PASSWORD`	הגלאי הזה בודק אם במסד נתונים של Cloud SQL עם כתובת IP ציבורית אין סיסמה לחשבון הבסיס.
`OPEN_LDAP_PORT`	הגלאי הזה בודק אם לחומת אש יש יציאת LDAP פתוחה שמאפשרת גישה כללית. מידע נוסף זמין במאמר בנושא ממצאים של נקודות חולשה בחומת האש.
`OPEN_ORACLEDB_PORT`	הגלאי הזה בודק אם לחומת אש יש יציאה פתוחה של מסד נתונים של Oracle שמאפשרת גישה כללית. מידע נוסף זמין במאמר בנושא ממצאים של נקודות חולשה בחומת האש.
`OPEN_SSH_PORT`	הגלאי הזה בודק אם לחומת אש יש יציאת SSH פתוחה שמאפשרת גישה כללית. מידע נוסף זמין במאמר בנושא ממצאים של נקודות חולשה בחומת האש.
`MFA_NOT_ENFORCED`	הגלאי הזה בודק אם משתמש לא משתמש באימות דו-שלבי.
`COS_NOT_USED`	הגלאי הזה בודק אם מכונות וירטואליות ב-Compute Engine לא משתמשות במערכת הפעלה שמותאמת לקונטיינרים. מידע נוסף זמין במאמר בנושא ממצאים לגבי נקודות חולשה במאגרים.
`HTTP_LOAD_BALANCER`	הכלי הזה בודק אם מכונת Compute Engine משתמשת במאזן עומסים שמוגדר להשתמש ב-proxy יעד מסוג HTTP במקום ב-proxy יעד מסוג HTTPS. מידע נוסף זמין במאמר ממצאים של נקודות חולשה במופעי Compute.
`EGRESS_DENY_RULE_NOT_SET`	הגלאי הזה בודק אם לא מוגדר כלל דחייה של תעבורת נתונים יוצאת (egress) בחומת אש. מידע נוסף זמין במאמר בנושא ממצאים של נקודות חולשה בחומת האש.
`PUBLIC_LOG_BUCKET`	הגלאי הזה בודק אם יש גישה ציבורית לקטגוריה עם sink ביומן.
`OPEN_DIRECTORY_SERVICES_PORT`	הגלאי הזה בודק אם לחומת אש יש יציאה פתוחה של DIRECTORY_SERVICES שמאפשרת גישה כללית. מידע נוסף זמין במאמר בנושא ממצאים של נקודות חולשה בחומת האש.
`OPEN_MYSQL_PORT`	הכלי הזה בודק אם לחומת אש יש יציאת MySQL פתוחה שמאפשרת גישה כללית. מידע נוסף זמין במאמר בנושא ממצאים של נקודות חולשה בחומת האש.
`OPEN_FTP_PORT`	הגלאי הזה בודק אם לחומת אש יש יציאת FTP פתוחה שמאפשרת גישה כללית. מידע נוסף זמין במאמר בנושא ממצאים של נקודות חולשה בחומת האש.
`OPEN_FIREWALL`	הגלאי הזה בודק אם חומת אש פתוחה לגישה ציבורית. מידע נוסף זמין במאמר מציאת נקודות חולשה בחומת האש.
`WEAK_SSL_POLICY`	הגלאי הזה בודק אם למופע יש מדיניות SSL חלשה.
`OPEN_POP3_PORT`	הגלאי הזה בודק אם לחומת אש יש יציאת POP3 פתוחה שמאפשרת גישה כללית. מידע נוסף זמין במאמר בנושא ממצאים של נקודות חולשה בחומת האש.
`OPEN_NETBIOS_PORT`	הגלאי הזה בודק אם לחומת אש יש יציאת NETBIOS פתוחה שמאפשרת גישה כללית. מידע נוסף זמין במאמר בנושא ממצאים של נקודות חולשה בחומת האש.
`FLOW_LOGS_DISABLED`	הגלאי הזה בודק אם יומני זרימה מופעלים ברשת המשנה של ה-VPC.
`OPEN_MONGODB_PORT`	הכלי הזה בודק אם לחומת אש יש יציאה פתוחה של מסד נתונים של Mongo שמאפשרת גישה כללית. מידע נוסף זמין במאמר בנושא ממצאים של נקודות חולשה בחומת האש.
`MASTER_AUTHORIZED_NETWORKS_DISABLED`	הכלי הזה בודק אם התכונה Control Plane Authorized Networks (רשתות מורשות של מישור הבקרה) לא מופעלת באשכולות GKE. מידע נוסף זמין במאמר בנושא ממצאים לגבי נקודות חולשה במאגרים.
`OPEN_REDIS_PORT`	הגלאי הזה בודק אם לחומת אש יש יציאת REDIS פתוחה שמאפשרת גישה כללית. מידע נוסף זמין במאמר בנושא ממצאים של נקודות חולשה בחומת האש.
`OPEN_DNS_PORT`	הכלי הזה בודק אם לחומת אש יש יציאת DNS פתוחה שמאפשרת גישה כללית. מידע נוסף זמין במאמר בנושא ממצאים של נקודות חולשה בחומת האש.
`OPEN_TELNET_PORT`	הגלאי הזה בודק אם לחומת אש יש יציאת TELNET פתוחה שמאפשרת גישה כללית. מידע נוסף זמין במאמר בנושא ממצאים של נקודות חולשה בחומת האש.
`OPEN_HTTP_PORT`	הגלאי הזה בודק אם לחומת אש יש יציאת HTTP פתוחה שמאפשרת גישה כללית. מידע נוסף זמין במאמר בנושא ממצאים של נקודות חולשה בחומת האש.
`CLUSTER_LOGGING_DISABLED`	הגלאי הזה בודק אם הרישום ביומן לא מופעל באשכול GKE. מידע נוסף זמין במאמר בנושא ממצאים לגבי נקודות חולשה במאגרים.
`FULL_API_ACCESS`	הגלאי הזה בודק אם מופע משתמש בחשבון שירות שמוגדר כברירת מחדל עם גישה מלאה לכל ממשקי ה-API Google Cloud .
`OBJECT_VERSIONING_DISABLED`	הגלאי הזה בודק אם התכונה 'ניהול גרסאות של אובייקטים' מופעלת בקטגוריות אחסון עם יעד.
`PUBLIC_IP_ADDRESS`	גלאי זה בודק אם למופע יש כתובת IP ציבורית.
`AUTO_UPGRADE_DISABLED`	הגלאי הזה בודק אם התכונה של שדרוג אוטומטי באשכול GKE מושבתת. מידע נוסף זמין במאמר בנושא ממצאים לגבי נקודות חולשה במאגרים.
`LEGACY_AUTHORIZATION_ENABLED`	הגלאי הזה בודק אם הרשאה מדור קודם מופעלת באשכולות GKE. מידע נוסף זמין במאמר בנושא ממצאים לגבי נקודות חולשה במאגרים.
`CLUSTER_MONITORING_DISABLED`	הגלאי הזה בודק אם ההשגחה מושבתת באשכולות GKE. מידע נוסף זמין במאמר בנושא ממצאים לגבי נקודות חולשה במאגרים.
`OPEN_CISCOSECURE_WEBSM_PORT`	הכלי הזה בודק אם לחומת אש יש יציאה פתוחה של CISCOSECURE_WEBSM שמאפשרת גישה כללית. מידע נוסף זמין במאמר בנושא ממצאים של נקודות חולשה בחומת האש.
`OPEN_RDP_PORT`	הכלי הזה בודק אם לחומת אש יש יציאת RDP פתוחה שמאפשרת גישה כללית. מידע נוסף זמין במאמר בנושא ממצאים של נקודות חולשה בחומת האש.
`WEB_UI_ENABLED`	הגלאי הזה בודק אם ממשק האינטרנט של GKE מופעל. מידע נוסף זמין במאמר בנושא ממצאים לגבי נקודות חולשה במאגרים.
`FIREWALL_RULE_LOGGING_DISABLED`	הגלאי הזה בודק אם הרישום ביומן של כללי חומת האש מושבת. מידע נוסף על נקודות חולשה בחומת האש
`OVER_PRIVILEGED_SERVICE_ACCOUNT_USER`	הגלאי הזה בודק אם למשתמש יש תפקידים בחשבון שירות ברמת הפרויקט, במקום בחשבון שירות ספציפי.
`PRIVATE_CLUSTER_DISABLED`	הגלאי הזה בודק אם אשכול GKE השבית אשכול פרטי. מידע נוסף זמין במאמר בנושא ממצאים לגבי נקודות חולשה במאגרים.
`PRIMITIVE_ROLES_USED`	הכלי הזה בודק אם למשתמש יש תפקיד בסיסי (בעלים, עריכה או צפייה). מידע נוסף זמין במאמר ממצאים של נקודות חולשה ב-IAM.
`REDIS_ROLE_USED_ON_ORG`	הגלאי הזה בודק אם תפקיד IAM ב-Redis מוקצה לארגון או לתיקייה. מידע נוסף זמין במאמר ממצאים של נקודות חולשה ב-IAM.
`PUBLIC_BUCKET_ACL`	הכלי הזה בודק אם יש גישה ציבורית לקטגוריה.
`OPEN_MEMCACHED_PORT`	הגלאי הזה בודק אם לחומת אש יש יציאת MEMCACHED פתוחה שמאפשרת גישה כללית. מידע נוסף זמין במאמר בנושא ממצאים של נקודות חולשה בחומת האש.
`OVER_PRIVILEGED_ACCOUNT`	הגלאי הזה בודק אם לחשבון שירות יש גישה רחבה מדי לפרויקט באשכול. מידע נוסף זמין במאמר בנושא ממצאים לגבי נקודות חולשה במאגרים.
`AUTO_REPAIR_DISABLED`	הגלאי הזה בודק אם התכונה 'תיקון אוטומטי' של אשכול GKE מושבתת. מידע נוסף זמין במאמר בנושא ממצאים לגבי נקודות חולשה במאגרים.
`NETWORK_POLICY_DISABLED`	הכלי הזה בודק אם מדיניות הרשת מושבתת באשכול. מידע נוסף זמין במאמר בנושא ממצאים לגבי נקודות חולשה במאגרים.
`CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED`	הכלי הזה בודק אם מארחי האשכול לא מוגדרים להשתמש רק בכתובות IP פנימיות פרטיות כדי לגשת אל Google API. מידע נוסף זמין במאמר ממצאים לגבי פגיעויות בקונטיינרים.
`OPEN_CASSANDRA_PORT`	הכלי הזה בודק אם לחומת אש יש יציאת Cassandra פתוחה שמאפשרת גישה כללית. מידע נוסף זמין במאמר בנושא ממצאים של נקודות חולשה בחומת האש.
`TOO_MANY_KMS_USERS`	הגלאי הזה בודק אם יש יותר משלושה משתמשים במפתחות קריפטוגרפיים. מידע נוסף זמין במאמר מציאת נקודות חולשה ב-KMS.
`OPEN_POSTGRESQL_PORT`	הכלי הזה בודק אם לחומת אש יש יציאת PostgreSQL פתוחה שמאפשרת גישה כללית. מידע נוסף זמין במאמר בנושא ממצאים של נקודות חולשה בחומת האש.
`IP_ALIAS_DISABLED`	הכלי הזה בודק אם אשכול GKE נוצר עם טווח כתובות IP של כינוי מושבת. מידע נוסף זמין במאמר בנושא ממצאים לגבי נקודות חולשה במאגרים.
`PUBLIC_SQL_INSTANCE`	הגלאי הזה בודק אם Cloud SQL מאפשר חיבורים מכל כתובות ה-IP.
`OPEN_ELASTICSEARCH_PORT`	הגלאי הזה בודק אם לחומת אש יש יציאת Elasticsearch פתוחה שמאפשרת גישה כללית. מידע נוסף זמין במאמר בנושא ממצאים של נקודות חולשה בחומת האש.

הצגת תבנית המצב

כדי לראות את תבנית המצב של PCI DSS:

gcloud

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

‫ORGANIZATION_ID: המזהה המספרי של הארגון

מריצים את הפקודה gcloud scc posture-templates describe:

‫Linux,‏ macOS או Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

‏Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

Windows‏ (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

התשובה מכילה את תבנית המצב.

REST

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

‫ORGANIZATION_ID: המזהה המספרי של הארגון

ה-method של ה-HTTP וכתובת ה-URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

‫Curl (Linux,‏ macOS או Cloud Shell)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login, או באמצעות Cloud Shell שמחבר אתכם אוטומטית ל-CLI של gcloud. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

מריצים את הפקודה הבאה:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1"

‎PowerShell (Windows)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

מריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1" | Select-Object -Expand Content

התשובה מכילה את תבנית המצב.

המאמרים הבאים

יצירת תבנית של מצב אבטחה באמצעות התבנית הזו

תבנית מוגדרת מראש של מצב אבטחה עבור PCI DSS גרסה 3.2.1 וגרסה 1.0 קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

גלאים ב-Security Health Analytics

הצגת תבנית המצב

gcloud

‫Linux,‏ macOS או Cloud Shell

‏Windows (PowerShell)

Windows‏ (cmd.exe)

REST

‫Curl (Linux,‏ macOS או Cloud Shell)

‎PowerShell (Windows)

המאמרים הבאים

תבנית מוגדרת מראש של מצב אבטחה עבור PCI DSS גרסה 3.2.1 וגרסה 1.0