Questa pagina descrive i criteri di rilevamento inclusi nella versione 1.0 del modello di postura predefinito per lo standard ISO 27001 dell'International Organization for Standardization (ISO). Questo modello include un insieme di criteri che definisce i rilevatori di Security Health Analytics che si applicano ai carichi di lavoro che devono essere conformi allo standard ISO 27001.
Puoi implementare questo modello di postura senza apportare modifiche.
Rilevamento di Security Health Analytics
La tabella seguente descrive i rilevatori di Security Health Analytics inclusi in questo modello di stato.
Nome rilevatore | Descrizione |
---|---|
SQL_CROSS_DB_OWNERSHIP_CHAINING |
Questo rilevatore controlla se il flag |
INSTANCE_OS_LOGIN_DISABLED |
Questo rilevatore controlla se l'OS Login non è attivo. |
SQL_SKIP_SHOW_DATABASE_DISABLED |
Questo rilevatore controlla se il flag |
ESSENTIAL_CONTACTS_NOT_CONFIGURED |
Questo rilevatore verifica se hai almeno un Contatto necessario. |
AUDIT_LOGGING_DISABLED |
Questo rilevatore controlla se la registrazione degli audit è disattivata per una risorsa. |
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED |
Questo rilevatore controlla se i log di flusso VPC non sono attivi. |
API_KEY_EXISTS |
Questo rilevatore controlla se un progetto utilizza chiavi API anziché l'autenticazione standard. |
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY |
Questo rilevatore controlla se il flag |
LOCKED_RETENTION_POLICY_NOT_SET |
Questo rilevatore controlla se il criterio di conservazione bloccato è impostato per i log. |
SQL_LOG_DISCONNECTIONS_DISABLED |
Questo rilevatore controlla se il flag |
COMPUTE_SERIAL_PORTS_ENABLED |
Questo rilevatore controlla se le porte seriali sono attive. |
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
Questo rilevatore controlla se vengono utilizzate chiavi SSH a livello di progetto. |
KMS_KEY_NOT_ROTATED |
Questo rilevatore controlla se la rotazione per la crittografia di Cloud Key Management Service non è attivata. |
DNS_LOGGING_DISABLED |
Questo rilevatore controlla se il logging DNS è abilitato sulla rete VPC. |
SQL_LOCAL_INFILE |
Questo rilevatore controlla se il flag |
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED |
Questo rilevatore controlla se il flag |
PUBLIC_DATASET |
Questo rilevatore controlla se un set di dati è configurato per essere aperto all'accesso pubblico. Per ulteriori informazioni, consulta Risultati delle vulnerabilità dei set di dati. |
DISK_CSEK_DISABLED |
Questo rilevatore controlla se il supporto delle chiavi di crittografia fornite dal cliente (CSEK) è disattivato per una VM. |
SQL_USER_CONNECTIONS_CONFIGURED |
Questo rilevatore controlla se il flag |
SERVICE_ACCOUNT_ROLE_SEPARATION |
Questo rilevatore controlla la separazione dei compiti per le chiavi dell'account di servizio. |
AUDIT_CONFIG_NOT_MONITORED |
Questo rilevatore controlla se le modifiche alla configurazione del controllo vengono monitorate. |
BUCKET_IAM_NOT_MONITORED |
Questo rilevatore controlla se la registrazione è disattivata per le modifiche alle autorizzazioni IAM in Cloud Storage. |
PUBLIC_SQL_INSTANCE |
Questo rilevatore controlla se Cloud SQL consente connessioni da tutti gli indirizzi IP. |
AUTO_BACKUP_DISABLED |
Questo rilevatore controlla se in un database Cloud SQL non sono attivati i backup automatici. |
DATAPROC_CMEK_DISABLED |
Questo rilevatore controlla se il supporto di CMEK è disattivato per un cluster Dataproc. |
LOG_NOT_EXPORTED |
Questo rilevatore controlla se per una risorsa non è configurato un sink di log. |
KMS_PROJECT_HAS_OWNER |
Questo rilevatore verifica se un utente dispone dell'autorizzazione Proprietario per un progetto che include chiavi. |
KMS_ROLE_SEPARATION |
Questo rilevatore controlla la separazione dei compiti per le chiavi Cloud KMS. |
API_KEY_APIS_UNRESTRICTED |
Questo rilevatore controlla se le chiavi API vengono utilizzate in modo troppo ampio. |
SQL_LOG_MIN_MESSAGES |
Questo rilevatore controlla se il flag |
SQL_PUBLIC_IP |
Questo rilevatore controlla se un database Cloud SQL ha un indirizzo IP esterno. |
DATASET_CMEK_DISABLED |
Questo rilevatore controlla se il supporto CMEK è disattivato per un set di dati BigQuery. |
FIREWALL_NOT_MONITORED |
Questo rilevatore controlla se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alle regole del firewall VPC. |
SQL_LOG_STATEMENT |
Questo rilevatore controlla se il flag |
BIGQUERY_TABLE_CMEK_DISABLED |
Questo rilevatore controlla se una tabella BigQuery non è configurata per utilizzare una chiave di crittografia gestita dal cliente (CMEK). Per ulteriori informazioni, consulta Risultati delle vulnerabilità dei set di dati. |
CONFIDENTIAL_COMPUTING_DISABLED |
Questo rilevatore controlla se Confidential Computing è disattivato. |
SQL_INSTANCE_NOT_MONITORED |
Questo rilevatore controlla se la registrazione è disattivata per le modifiche alla configurazione di Cloud SQL. |
KMS_PUBLIC_KEY |
Questo rilevatore controlla se una chiave di crittografia di Cloud Key Management Service è accessibile pubblicamente. Per ulteriori informazioni, consulta Risultati delle vulnerabilità di KMS. |
DEFAULT_NETWORK |
Questo rilevatore controlla se la rete predefinita esiste in un progetto. |
SQL_TRACE_FLAG_3625 |
Questo rilevatore controlla se il flag |
API_KEY_NOT_ROTATED |
Questo rilevatore controlla se una chiave API è stata ruotata negli ultimi 90 giorni. |
DNSSEC_DISABLED |
Questo rilevatore controlla se la sicurezza DNS (DNSSEC) è disattivata per Cloud DNS. Per ulteriori informazioni, consulta Risultati delle vulnerabilità DNS. |
SQL_LOG_CONNECTIONS_DISABLED |
Questo rilevatore controlla se il flag |
LEGACY_NETWORK |
Questo rilevatore controlla se in un progetto esiste una rete legacy. |
PUBLIC_IP_ADDRESS |
Questo rilevatore controlla se un'istanza ha un indirizzo IP esterno. |
FULL_API_ACCESS |
Questo rilevatore controlla se un'istanza utilizza un account di servizio predefinito con accesso completo a tutte le API Google Cloud. |
SQL_CONTAINED_DATABASE_AUTHENTICATION |
Questo rilevatore controlla se il flag |
OS_LOGIN_DISABLED |
Questo rilevatore controlla se l'OS Login è disattivato. |
SQL_USER_OPTIONS_CONFIGURED |
Questo rilevatore controlla se il flag |
ADMIN_SERVICE_ACCOUNT |
Questo rilevatore controlla se un account di servizio dispone dei privilegi Amministratore, Proprietario o Editor. |
DEFAULT_SERVICE_ACCOUNT_USED |
Questo rilevatore verifica se viene utilizzato l'account di servizio predefinito. |
NETWORK_NOT_MONITORED |
Questo rilevatore controlla se le metriche dei log e gli avvisi non sono configurati per monitorare le modifiche alla rete VPC. |
PUBLIC_BUCKET_ACL |
Questo rilevatore controlla se un bucket è accessibile pubblicamente. |
CUSTOM_ROLE_NOT_MONITORED |
Questo rilevatore controlla se la registrazione è disattivata per le modifiche ai ruoli personalizzati. |
SQL_LOG_ERROR_VERBOSITY |
Questo rilevatore controlla se il flag |
LOAD_BALANCER_LOGGING_DISABLED |
Questo rilevatore controlla se il logging è disattivato per il bilanciatore del carico. |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
Questo rilevatore controlla se un utente dispone di ruoli di account di servizio a livello di progetto, anziché per un account di servizio specifico. |
SQL_REMOTE_ACCESS_ENABLED |
Questo rilevatore controlla se il flag |
RSASHA1_FOR_SIGNING |
Questo rilevatore controlla se RSASHA1 viene utilizzato per la firma delle chiavi nelle zone Cloud DNS. |
CLOUD_ASSET_API_DISABLED |
Questo rilevatore controlla se Cloud Asset Inventory è disattivato. |
BUCKET_POLICY_ONLY_DISABLED |
Questo rilevatore controlla se è configurato l'accesso uniforme a livello di bucket. |
ROUTE_NOT_MONITORED |
Questo rilevatore controlla se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alle route di rete VPC. |
OWNER_NOT_MONITORED |
Questo rilevatore controlla se la registrazione è disattivata per le modifiche e le assegnazioni della proprietà del progetto. |
Visualizza il modello di postura
Per visualizzare il modello di conformità per ISO 27001:
gcloud
Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
-
ORGANIZATION_ID
: l'ID numerico dell'organizzazione
Esegui il comando
gcloud scc posture-templates
describe
:
Linux, macOS o Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001
La risposta contiene il modello di postura.
REST
Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
-
ORGANIZATION_ID
: l'ID numerico dell'organizzazione
Metodo HTTP e URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001
Per inviare la richiesta, espandi una di queste opzioni:
La risposta contiene il modello di postura.