本页介绍了支付卡行业数据安全标准 (PCI DSS) 版本 3.2.1 和版本 1.0 预定义状况模板 v1.0 版中包含的检测器政策。此模板包含一个政策集,用于 适用于必须符合以下要求的工作负载的 Security Health Analytics 检测器 PCI DSS 标准
您无需进行任何更改即可部署此状况模板。
Security Health Analytics 检测器
下表介绍了 安全状况模板。
| 检测器名称 | 说明 |
|---|---|
PUBLIC_DATASET |
此检测器会检查数据集是否配置为对 公开访问权限。如需了解详情,请参阅数据集漏洞发现结果。 |
NON_ORG_IAM_MEMBER |
此检测器会检查用户是否未使用组织凭据。 |
KMS_PROJECT_HAS_OWNER |
此检测器会检查用户是否对包含密钥的项目具有 Owner 权限。 |
AUDIT_LOGGING_DISABLED |
此检测器会检查是否已为资源停用审核日志记录。 |
SSL_NOT_ENFORCED |
此检测器会检查 Cloud SQL 数据库实例是否 所有传入连接都使用 SSL。如需了解详情,请参阅 SQL 漏洞发现结果。 |
LOCKED_RETENTION_POLICY_NOT_SET |
此检测器会检查是否为日志设置了已锁定的保留政策。 |
KMS_KEY_NOT_ROTATED |
此检测器会检查 Cloud Key Management Service 加密的轮替是否未启用。 |
OPEN_SMTP_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 SMTP 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
SQL_NO_ROOT_PASSWORD |
此检测器会检查具有公共 IP 地址的 Cloud SQL 数据库是否没有根账号密码。 |
OPEN_LDAP_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 LDAP 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
OPEN_ORACLEDB_PORT |
此检测器会检查防火墙是否具有打开的 Oracle 数据库 进行通用访问的端口如需了解详情,请参阅防火墙漏洞发现结果。 |
OPEN_SSH_PORT |
此检测器会检查防火墙是否具有开放的 SSH 端口, 允许通用访问。如需了解详情,请参阅 防火墙 漏洞发现结果。 |
MFA_NOT_ENFORCED |
此检测器用于检查用户是否未使用两步验证。 |
COS_NOT_USED |
此检测器会检查 Compute Engine 虚拟机是否未使用容器优化操作系统。如需了解详情,请参阅容器漏洞发现结果。 |
HTTP_LOAD_BALANCER |
此检测器会检查 Compute Engine 实例使用的负载均衡器是否配置为使用目标 HTTP 代理(而非目标 HTTPS 代理)。如需了解详情,请参阅 计算 实例漏洞发现结果。 |
EGRESS_DENY_RULE_NOT_SET |
此检测器会检查出站流量拒绝规则是否未针对 防火墙。如需了解详情,请参阅防火墙漏洞发现结果。 |
PUBLIC_LOG_BUCKET |
此检测器会检查包含日志接收器的存储桶是否可公开访问。 |
OPEN_DIRECTORY_SERVICES_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 DIRECTORY_SERVICES 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
OPEN_MYSQL_PORT |
此检测器会检查防火墙是否具有开放的 MySQL 端口, 允许通用访问。如需了解详情,请参阅防火墙漏洞发现结果。 |
OPEN_FTP_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 FTP 端口。如需了解详情,请参阅 防火墙 漏洞发现结果。 |
OPEN_FIREWALL |
此检测器会检查防火墙是否对公众开放。有关 请参阅 防火墙 漏洞发现结果。 |
WEAK_SSL_POLICY |
此检测器会检查实例的 SSL 政策是否较弱。 |
OPEN_POP3_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 POP3 端口。如需了解详情,请参阅 防火墙 漏洞发现结果。 |
OPEN_NETBIOS_PORT |
此检测器会检查防火墙是否具有开放的 NETBIOS 端口, 允许通用访问。如需了解详情,请参阅 防火墙 漏洞发现结果。 |
FLOW_LOGS_DISABLED |
此检测器会检查 VPC 子网是否启用了流日志。 |
OPEN_MONGODB_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 Mongo 数据库端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
MASTER_AUTHORIZED_NETWORKS_DISABLED |
此检测器会检查 GKE 集群上是否未启用控制平面授权网络。如需了解详情,请参阅 容器 漏洞发现结果。 |
OPEN_REDIS_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 REDIS 端口。如需了解详情,请参阅 防火墙 漏洞发现结果。 |
OPEN_DNS_PORT |
此检测器会检查防火墙是否具有开放的 DNS 端口, 允许通用访问。如需了解详情,请参阅防火墙漏洞发现结果。 |
OPEN_TELNET_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 TELNET 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
OPEN_HTTP_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 HTTP 端口。如需了解详情,请参阅 防火墙 漏洞发现结果。 |
CLUSTER_LOGGING_DISABLED |
此检测器会检查 GKE 集群是否未启用日志记录功能。如需了解详情,请参阅 容器 漏洞发现结果。 |
FULL_API_ACCESS |
此检测器会检查实例是否使用对所有 Google Cloud API 拥有完整访问权限的默认服务账号。 |
OBJECT_VERSIONING_DISABLED |
此检测器会检查对于具有接收器的存储分区,是否启用了对象版本控制。 |
PUBLIC_IP_ADDRESS |
此检测器会检查实例是否具有公共 IP 地址。 |
AUTO_UPGRADE_DISABLED |
此检测器会检查 GKE 集群的自动升级功能是否已停用。如需了解详情,请参阅容器漏洞发现结果。 |
LEGACY_AUTHORIZATION_ENABLED |
此检测器会检查 GKE 集群上是否启用了旧版授权。如需了解详情,请参阅 容器 漏洞发现结果。 |
CLUSTER_MONITORING_DISABLED |
此检测器会检查 GKE 集群上是否已停用监控。如需了解详情,请参阅 容器 漏洞发现结果。 |
OPEN_CISCOSECURE_WEBSM_PORT |
此检测器会检查防火墙是否已打开 CISCOSECURE_WEBSM 进行通用访问的端口如需了解详情,请参阅 防火墙 漏洞发现结果。 |
OPEN_RDP_PORT |
此检测器会检查防火墙是否具有开放的 RDP 端口, 允许通用访问。如需了解详情,请参阅 防火墙 漏洞发现结果。 |
WEB_UI_ENABLED |
此检测器会检查 GKE 网页界面是否 。如需了解详情,请参阅容器漏洞发现结果。 |
FIREWALL_RULE_LOGGING_DISABLED |
此检测器会检查防火墙规则日志记录是否已停用。对于 请参阅 防火墙 漏洞发现结果。 |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
此检测器会检查用户是否在项目级(而不是特定服务账号)拥有服务账号角色。 |
PRIVATE_CLUSTER_DISABLED |
此检测器会检查 GKE 集群是否 停用专用集群如需了解详情,请参阅容器漏洞发现结果。 |
PRIMITIVE_ROLES_USED |
此检测器检查用户是否具有基本角色(Owner、Editor 或 Viewer)。如需了解详情,请参阅 IAM 漏洞发现结果。 |
REDIS_ROLE_USED_ON_ORG |
此检测器会检查 Redis IAM 角色是否分配给组织或文件夹。如需了解详情,请参阅 IAM 漏洞发现结果。 |
PUBLIC_BUCKET_ACL |
此检测器会检查存储桶是否可公开访问。 |
OPEN_MEMCACHED_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 MEMCACHED 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
OVER_PRIVILEGED_ACCOUNT |
此检测器会检查服务账号项目是否过于宽泛 集群访问权限如需了解详情,请参阅容器漏洞发现结果。 |
AUTO_REPAIR_DISABLED |
此检测器会检查 GKE 集群的自动修复功能是否已停用。如需了解详情,请参阅容器漏洞发现结果。 |
NETWORK_POLICY_DISABLED |
此检测器会检查是否已为某个设备停用了网络政策 集群。如需了解详情,请参阅容器漏洞发现结果。 |
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED |
此检测器会检查集群主机是否未配置为使用 专用内部 IP 地址来访问 Google API。有关 请参阅 容器 漏洞发现结果。 |
OPEN_CASSANDRA_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 Cassandra 端口。如需了解详情,请参阅 防火墙 漏洞发现结果。 |
TOO_MANY_KMS_USERS |
此检测器会检查是否有超过 3 个用户使用加密密钥。如需了解详情,请参阅 KMS 漏洞发现结果。 |
OPEN_POSTGRESQL_PORT |
此检测器会检查防火墙是否具有允许通用访问的开放 PostgreSQL 端口。如需了解详情,请参阅防火墙漏洞发现结果。 |
IP_ALIAS_DISABLED |
此检测器会检查 GKE 集群是否 在别名 IP 地址范围停用的情况下创建的如需了解详情,请参阅 容器 漏洞发现结果。 |
PUBLIC_SQL_INSTANCE |
此检测器会检查 Cloud SQL 是否允许来自所有 IP 地址的连接。 |
OPEN_ELASTICSEARCH_PORT |
此检测器会检查防火墙是否具有开放的 Elasticsearch 端口 允许进行常规访问如需了解详情,请参阅 防火墙 漏洞发现结果。 |
查看安全状况模板
如需查看 PCI DSS 的安全状况模板,请执行以下操作:
gcloud
在使用下面的命令数据之前,请先进行以下替换:
-
ORGANIZATION_ID:组织的数字 ID
执行
gcloud scc posture-templates
describe
命令:
Linux、macOS 或 Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
响应包含配置文件模板。
REST
在使用任何请求数据之前,请先进行以下替换:
-
ORGANIZATION_ID:组织的数字 ID
HTTP 方法和网址:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
如需发送您的请求,请展开以下选项之一:
响应包含状况模板。