Esta página descreve as políticas de deteção incluídas na versão 1.0 do modelo de postura predefinido para a Norma de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) versão 3.2.1 e versão 1.0. Este modelo inclui um conjunto de políticas que define os detetores do Security Health Analytics que se aplicam a cargas de trabalho que têm de estar em conformidade com a norma PCI DSS.
Pode implementar este modelo de postura sem fazer alterações.
Detetores de análise de estado de segurança
A tabela seguinte descreve os detetores do Security Health Analytics incluídos neste modelo de postura.
| Nome do detetor | Descrição |
|---|---|
PUBLIC_DATASET |
Este detetor verifica se um conjunto de dados está configurado para estar aberto ao acesso público. Para mais informações, consulte as conclusões de vulnerabilidades do conjunto de dados. |
NON_ORG_IAM_MEMBER |
Este detetor verifica se um utilizador não está a usar credenciais da organização. |
KMS_PROJECT_HAS_OWNER |
Este detetor verifica se um utilizador tem a autorização de Proprietário num projeto que inclui chaves. |
AUDIT_LOGGING_DISABLED |
Este detetor verifica se o registo de auditoria está desativado para um recurso. |
SSL_NOT_ENFORCED |
Este detetor verifica se uma instância da base de dados do Cloud SQL não usa SSL para todas as ligações recebidas. Para mais informações, consulte as conclusões de vulnerabilidade SQL. |
LOCKED_RETENTION_POLICY_NOT_SET |
Este detetor verifica se a política de retenção bloqueada está definida para os registos. |
KMS_KEY_NOT_ROTATED |
Este detetor verifica se a rotação da encriptação do Cloud Key Management Service não está ativada. |
OPEN_SMTP_PORT |
Este detetor verifica se uma firewall tem uma porta SMTP aberta que permite o acesso genérico. Para mais informações, consulte as conclusões de vulnerabilidades da firewall. |
SQL_NO_ROOT_PASSWORD |
Este detetor verifica se uma base de dados do Cloud SQL com um endereço IP público não tem uma palavra-passe para a conta root. |
OPEN_LDAP_PORT |
Este detetor verifica se uma firewall tem uma porta LDAP aberta que permite o acesso genérico. Para mais informações, consulte as conclusões de vulnerabilidades da firewall. |
OPEN_ORACLEDB_PORT |
Este detetor verifica se uma firewall tem uma porta da base de dados Oracle aberta que permite o acesso genérico. Para mais informações, consulte as conclusões de vulnerabilidades da firewall. |
OPEN_SSH_PORT |
Este detetor verifica se uma firewall tem uma porta SSH aberta que permite o acesso genérico. Para mais informações, consulte as conclusões de vulnerabilidades da firewall. |
MFA_NOT_ENFORCED |
Este detetor verifica se um utilizador não está a usar a validação em dois passos. |
COS_NOT_USED |
Este detetor verifica se as VMs do Compute Engine não estão a usar o SO otimizado para contentores. Para mais informações, consulte o artigo Resultados de vulnerabilidades de contentores. |
HTTP_LOAD_BALANCER |
Este detetor verifica se a instância do Compute Engine usa um balanceador de carga configurado para usar um proxy HTTP de destino em vez de um proxy HTTPS de destino. Para mais informações, consulte o artigo Calcule as conclusões de vulnerabilidades de instâncias. |
EGRESS_DENY_RULE_NOT_SET |
Este detetor verifica se não está definida uma regra de negação de saída numa firewall. Para mais informações, consulte as conclusões de vulnerabilidades da firewall. |
PUBLIC_LOG_BUCKET |
Este detetor verifica se um contentor com um destino de registo está acessível publicamente. |
OPEN_DIRECTORY_SERVICES_PORT |
Este detetor verifica se uma firewall tem uma porta DIRECTORY_SERVICES aberta que permite o acesso genérico. Para mais informações, consulte as conclusões de vulnerabilidades da firewall. |
OPEN_MYSQL_PORT |
Este detetor verifica se uma firewall tem uma porta MySQL aberta que permite o acesso genérico. Para mais informações, consulte as conclusões de vulnerabilidades da firewall. |
OPEN_FTP_PORT |
Este detetor verifica se uma firewall tem uma porta FTP aberta que permite o acesso genérico. Para mais informações, consulte as conclusões de vulnerabilidades da firewall. |
OPEN_FIREWALL |
Este detetor verifica se existe uma firewall aberta ao acesso público. Para mais informações, consulte Resultados de vulnerabilidades da firewall. |
WEAK_SSL_POLICY |
Este detetor verifica se uma instância tem uma política SSL fraca. |
OPEN_POP3_PORT |
Este detetor verifica se uma firewall tem uma porta POP3 aberta que permite o acesso genérico. Para mais informações, consulte as conclusões de vulnerabilidades da firewall. |
OPEN_NETBIOS_PORT |
Este detetor verifica se uma firewall tem uma porta NETBIOS aberta que permite o acesso genérico. Para mais informações, consulte as conclusões de vulnerabilidades da firewall. |
FLOW_LOGS_DISABLED |
Este detetor verifica se os registos de fluxo estão ativados na sub-rede da VPC. |
OPEN_MONGODB_PORT |
Este detetor verifica se uma firewall tem uma porta de base de dados Mongo aberta que permite o acesso genérico. Para mais informações, consulte as conclusões de vulnerabilidades da firewall. |
MASTER_AUTHORIZED_NETWORKS_DISABLED |
Este detetor verifica se as redes autorizadas do plano de controlo não estão ativadas em clusters do GKE. Para mais informações, consulte o artigo Resultados de vulnerabilidades de contentores. |
OPEN_REDIS_PORT |
Este detetor verifica se uma firewall tem uma porta REDIS aberta que permite o acesso genérico. Para mais informações, consulte as conclusões de vulnerabilidades da firewall. |
OPEN_DNS_PORT |
Este detetor verifica se uma firewall tem uma porta DNS aberta que permite o acesso genérico. Para mais informações, consulte as conclusões de vulnerabilidades da firewall. |
OPEN_TELNET_PORT |
Este detetor verifica se uma firewall tem uma porta TELNET aberta que permite o acesso genérico. Para mais informações, consulte as conclusões de vulnerabilidades da firewall. |
OPEN_HTTP_PORT |
Este detetor verifica se uma firewall tem uma porta HTTP aberta que permite o acesso genérico. Para mais informações, consulte as conclusões de vulnerabilidades da firewall. |
CLUSTER_LOGGING_DISABLED |
Este detetor verifica se o registo não está ativado para um cluster do GKE. Para mais informações, consulte o artigo Resultados de vulnerabilidades de contentores. |
FULL_API_ACCESS |
Este detetor verifica se uma instância está a usar uma conta de serviço predefinida com acesso total a todas as Google Cloud APIs. |
OBJECT_VERSIONING_DISABLED |
Este detetor verifica se o controlo de versões de objetos está ativado em contentores de armazenamento com destinos. |
PUBLIC_IP_ADDRESS |
Este detetor verifica se uma instância tem um endereço IP público. |
AUTO_UPGRADE_DISABLED |
Este detetor verifica se a funcionalidade de atualização automática de um cluster do GKE está desativada. Para mais informações, consulte o artigo Resultados de vulnerabilidades de contentores. |
LEGACY_AUTHORIZATION_ENABLED |
Este detetor verifica se a autorização antiga está ativada em clusters do GKE. Para mais informações, consulte o artigo Resultados de vulnerabilidades de contentores. |
CLUSTER_MONITORING_DISABLED |
Este detetor verifica se a monitorização está desativada nos clusters do GKE. Para mais informações, consulte o artigo Resultados de vulnerabilidades de contentores. |
OPEN_CISCOSECURE_WEBSM_PORT |
Este detetor verifica se uma firewall tem uma porta CISCOSECURE_WEBSM aberta que permite o acesso genérico. Para mais informações, consulte as conclusões de vulnerabilidades da firewall. |
OPEN_RDP_PORT |
Este detetor verifica se uma firewall tem uma porta RDP aberta que permite o acesso genérico. Para mais informações, consulte as conclusões de vulnerabilidades da firewall. |
WEB_UI_ENABLED |
Este detetor verifica se a IU Web do GKE está ativada. Para mais informações, consulte o artigo Resultados de vulnerabilidades de contentores. |
FIREWALL_RULE_LOGGING_DISABLED |
Este detetor verifica se o registo de regras de firewall está desativado. Para mais informações, consulte Resultados de vulnerabilidades da firewall. |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
Este detetor verifica se um utilizador tem funções de conta de serviço ao nível do projeto, em vez de para uma conta de serviço específica. |
PRIVATE_CLUSTER_DISABLED |
Este detetor verifica se um cluster do GKE tem o cluster privado desativado. Para mais informações, consulte o artigo Resultados de vulnerabilidades de contentores. |
PRIMITIVE_ROLES_USED |
Este detetor verifica se um utilizador tem uma função básica (proprietário, editor ou leitor). Para mais informações, consulte as conclusões de vulnerabilidades da IAM. |
REDIS_ROLE_USED_ON_ORG |
Este detetor verifica se a função IAM do Redis está atribuída a uma organização ou a uma pasta. Para mais informações, consulte as conclusões de vulnerabilidades da IAM. |
PUBLIC_BUCKET_ACL |
Este detetor verifica se um contentor está acessível publicamente. |
OPEN_MEMCACHED_PORT |
Este detetor verifica se uma firewall tem uma porta MEMCACHED aberta que permite o acesso genérico. Para mais informações, consulte as conclusões de vulnerabilidades da firewall. |
OVER_PRIVILEGED_ACCOUNT |
Este detetor verifica se uma conta de serviço tem um acesso ao projeto excessivamente amplo num cluster. Para mais informações, consulte o artigo Resultados de vulnerabilidades de contentores. |
AUTO_REPAIR_DISABLED |
Este detetor verifica se a funcionalidade de reparação automática de um cluster do GKE está desativada. Para mais informações, consulte o artigo Resultados de vulnerabilidades de contentores. |
NETWORK_POLICY_DISABLED |
Este detetor verifica se a política de rede está desativada num cluster. Para mais informações, consulte o artigo Resultados de vulnerabilidades de contentores. |
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED |
Este detetor verifica se os anfitriões do cluster não estão configurados para usar apenas endereços IP privados e internos para aceder às APIs Google. Para mais informações, consulte Resultados de vulnerabilidades de contentores. |
OPEN_CASSANDRA_PORT |
Este detetor verifica se uma firewall tem uma porta Cassandra aberta que permite o acesso genérico. Para mais informações, consulte as conclusões de vulnerabilidades da firewall. |
TOO_MANY_KMS_USERS |
Este detetor verifica se existem mais de três utilizadores de chaves criptográficas. Para mais informações, consulte as conclusões de vulnerabilidades do KMS. |
OPEN_POSTGRESQL_PORT |
Este detetor verifica se uma firewall tem uma porta PostgreSQL aberta que permite o acesso genérico. Para mais informações, consulte as conclusões de vulnerabilidades da firewall. |
IP_ALIAS_DISABLED |
Este detetor verifica se um cluster do GKE foi criado com o intervalo de endereços IP de alias desativado. Para mais informações, consulte o artigo Resultados de vulnerabilidades de contentores. |
PUBLIC_SQL_INSTANCE |
Este detetor verifica se um Cloud SQL permite ligações de todos os endereços IP. |
OPEN_ELASTICSEARCH_PORT |
Este detetor verifica se uma firewall tem uma porta Elasticsearch aberta que permite o acesso genérico. Para mais informações, consulte as conclusões de vulnerabilidades da firewall. |
Veja o modelo de postura
Para ver o modelo de postura para a PCI DSS, faça o seguinte:
gcloud
Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:
-
ORGANIZATION_ID: o ID numérico da organização
Execute o comando
gcloud scc posture-templates
describe:
Linux, macOS ou Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
A resposta contém o modelo de postura.
REST
Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:
-
ORGANIZATION_ID: o ID numérico da organização
Método HTTP e URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
Para enviar o seu pedido, expanda uma destas opções:
A resposta contém o modelo de postura.