Questa pagina è stata tradotta dall'API Cloud Translation.

Modello di conformità predefinito per ISO 27001

Questa pagina descrive i criteri di rilevamento inclusi nella versione 1.0 del modello di postura predefinito per lo standard ISO (International Organization for Standards) 27001. Questo modello include un set di criteri che definisce i rilevatori di Security Health Analytics che si applicano ai carichi di lavoro che devono essere conformi allo standard ISO 27001.

Puoi eseguire il deployment di questo modello di postura senza apportare modifiche.

Rilevatori di Security Health Analytics

La tabella seguente descrive i rilevatori di Security Health Analytics inclusi in questo modello di postura.

Nome rilevatore	Descrizione
`SQL_CROSS_DB_OWNERSHIP_CHAINING`	Questo rilevatore verifica che il flag `cross_db_ownership_chaining` in Cloud SQL per SQL Server non sia disattivato.
`INSTANCE_OS_LOGIN_DISABLED`	Questo rilevatore controlla se l'OS Login non è attivo.
`SQL_SKIP_SHOW_DATABASE_DISABLED`	Questo rilevatore verifica che il flag `skip_show_database` in Cloud SQL per MySQL non sia attivo.
`ESSENTIAL_CONTACTS_NOT_CONFIGURED`	Questo controllo rileva se hai almeno un contatto necessario.
`AUDIT_LOGGING_DISABLED`	Questo rilevatore verifica se l'audit logging è disattivato per una risorsa.
`VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED`	Questo rilevatore controlla se i log di flusso VPC non sono attivi.
`API_KEY_EXISTS`	Questo rilevatore verifica se un progetto utilizza chiavi API anziché l'autenticazione standard.
`SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY`	Questo rilevatore controlla se il flag `log_min_error_statement` in Cloud SQL per PostgreSQL non ha un livello di gravità appropriato.
`LOCKED_RETENTION_POLICY_NOT_SET`	Questo rilevatore controlla se il criterio di conservazione bloccato è impostato per i log.
`SQL_LOG_DISCONNECTIONS_DISABLED`	Questo rilevatore controlla se il flag `log_disconnections` in Cloud SQL per PostgreSQL non è attivo.
`COMPUTE_SERIAL_PORTS_ENABLED`	Questo rilevatore controlla se le porte seriali sono attive.
`COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED`	Questo rilevatore verifica se vengono utilizzate chiavi SSH a livello di progetto.
`KMS_KEY_NOT_ROTATED`	Questo rilevatore controlla se la rotazione per la crittografia di Cloud Key Management Service non è attivata.
`DNS_LOGGING_DISABLED`	Questo rilevatore controlla se il logging DNS è abilitato sulla rete VPC.
`SQL_LOCAL_INFILE`	Questo rilevatore verifica che il flag `local_infile` in Cloud SQL per MySQL non sia disattivato.
`SQL_LOG_MIN_DURATION_STATEMENT_ENABLED`	Questo rilevatore controlla se il flag `log_min_duration_statement` in Cloud SQL per PostgreSQL non è impostato su `-1`.
`PUBLIC_DATASET`	Questo rilevatore controlla se un set di dati è configurato per essere aperto all'accesso pubblico. Per ulteriori informazioni, consulta Risultati delle vulnerabilità dei set di dati.
`DISK_CSEK_DISABLED`	Questo rilevatore controlla se il supporto della chiave di crittografia fornita dal cliente (CSEK) è disattivato per una VM.
`SQL_USER_CONNECTIONS_CONFIGURED`	Questo rilevatore verifica se il flag `user connections` in Cloud SQL per SQL Server è configurato.
`SERVICE_ACCOUNT_ROLE_SEPARATION`	Questo rilevatore verifica la separazione dei compiti per le chiavi del account di servizio.
`AUDIT_CONFIG_NOT_MONITORED`	Questo rilevatore verifica se le modifiche alla configurazione di controllo vengono monitorate.
`BUCKET_IAM_NOT_MONITORED`	Questo rilevatore verifica se la registrazione è disattivata per le modifiche alle autorizzazioni IAM in Cloud Storage.
`PUBLIC_SQL_INSTANCE`	Questo rilevatore verifica se un'istanza Cloud SQL consente connessioni da tutti gli indirizzi IP.
`AUTO_BACKUP_DISABLED`	Questo rilevatore controlla se i backup automatici non sono attivati per un database Cloud SQL.
`DATAPROC_CMEK_DISABLED`	Questo rilevatore verifica se il supporto di CMEK è disattivato per un cluster Dataproc.
`LOG_NOT_EXPORTED`	Questo rilevatore controlla se per una risorsa non è configurato un sink di log.
`KMS_PROJECT_HAS_OWNER`	Questo rilevatore verifica se un utente dispone dell'autorizzazione Proprietario per un progetto che include chiavi.
`KMS_ROLE_SEPARATION`	Questo rilevatore verifica la separazione dei compiti per le chiavi Cloud KMS.
`API_KEY_APIS_UNRESTRICTED`	Questo rilevatore verifica se le chiavi API vengono utilizzate in modo troppo ampio.
`SQL_LOG_MIN_MESSAGES`	Questo rilevatore controlla se il flag `log_min_messages` in Cloud SQL per PostgreSQL non è impostato su `warning`.
`SQL_PUBLIC_IP`	Questo rilevatore verifica se un database Cloud SQL ha un indirizzo IP esterno.
`DATASET_CMEK_DISABLED`	Questo rilevatore verifica se il supporto di CMEK è disattivato per un set di dati BigQuery.
`FIREWALL_NOT_MONITORED`	Questo rilevatore verifica se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alle regole firewall VPC.
`SQL_LOG_STATEMENT`	Questo rilevatore controlla se il flag `log_statement` in Cloud SQL per PostgreSQL Server non è impostato su `ddl`.
`BIGQUERY_TABLE_CMEK_DISABLED`	Questo rilevatore controlla se una tabella BigQuery non è configurata per utilizzare una chiave di crittografia gestita dal cliente (CMEK). Per ulteriori informazioni, consulta Risultati delle vulnerabilità dei set di dati.
`CONFIDENTIAL_COMPUTING_DISABLED`	Questo rilevatore verifica se Confidential Computing è disattivato.
`SQL_INSTANCE_NOT_MONITORED`	Questo rilevatore verifica se la registrazione è disattivata per le modifiche alla configurazione di Cloud SQL.
`KMS_PUBLIC_KEY`	Questo rilevatore controlla se una chiave crittografica Cloud Key Management Service è accessibile pubblicamente. Per ulteriori informazioni, consulta Risultati delle vulnerabilità di KMS.
`DEFAULT_NETWORK`	Questo rilevatore verifica se la rete predefinita esiste in un progetto.
`SQL_TRACE_FLAG_3625`	Questo rilevatore verifica che il flag `3625 (trace flag)` in Cloud SQL per SQL Server non sia attivo.
`API_KEY_NOT_ROTATED`	Questo rilevatore controlla se una chiave API è stata ruotata negli ultimi 90 giorni.
`DNSSEC_DISABLED`	Questo rilevatore controlla se la sicurezza DNS (DNSSEC) è disattivata per Cloud DNS. Per ulteriori informazioni, vedi Risultati delle vulnerabilità DNS.
`SQL_LOG_CONNECTIONS_DISABLED`	Questo rilevatore controlla se il flag `log_connections` in Cloud SQL per PostgreSQL non è attivo.
`LEGACY_NETWORK`	Questo rilevatore controlla se esiste una rete legacy in un progetto.
`PUBLIC_IP_ADDRESS`	Questo rilevatore controlla se un'istanza ha un indirizzo IP esterno.
`FULL_API_ACCESS`	Questo rilevatore verifica se un'istanza utilizza un account di servizio predefinito con accesso completo a tutte le API Google Cloud .
`SQL_CONTAINED_DATABASE_AUTHENTICATION`	Questo rilevatore verifica che il flag `contained database authentication` in Cloud SQL per SQL Server non sia disattivato.
`OS_LOGIN_DISABLED`	Questo controllo verifica se l'OS Login è disattivato.
`SQL_USER_OPTIONS_CONFIGURED`	Questo rilevatore verifica se il flag `user options` in Cloud SQL per SQL Server è configurato.
`ADMIN_SERVICE_ACCOUNT`	Questo rilevatore controlla se un account di servizio dispone dei privilegi Amministratore, Proprietario o Editor.
`DEFAULT_SERVICE_ACCOUNT_USED`	Questo rilevatore verifica se viene utilizzato il account di servizio predefinito.
`NETWORK_NOT_MONITORED`	Questo rilevatore verifica se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alla rete VPC.
`PUBLIC_BUCKET_ACL`	Questo rilevatore controlla se un bucket è accessibile pubblicamente.
`CUSTOM_ROLE_NOT_MONITORED`	Questo rilevatore verifica se la registrazione è disattivata per le modifiche ai ruoli personalizzati.
`SQL_LOG_ERROR_VERBOSITY`	Questo rilevatore controlla se il flag `log_error_verbosity` in Cloud SQL per PostgreSQL non è impostato su `default`.
`LOAD_BALANCER_LOGGING_DISABLED`	Questo rilevatore verifica se il logging è disattivato per il bilanciatore del carico.
`OVER_PRIVILEGED_SERVICE_ACCOUNT_USER`	Questo rilevatore controlla se un utente dispone di ruoli account di servizio a livello di progetto, anziché per un account di servizio specifico.
`SQL_REMOTE_ACCESS_ENABLED`	Questo rilevatore verifica che il flag `remote_access` in Cloud SQL per SQL Server non sia disattivato.
`RSASHA1_FOR_SIGNING`	Questo rilevatore verifica se RSASHA1 viene utilizzato per la firma della chiave nelle zone Cloud DNS.
`CLOUD_ASSET_API_DISABLED`	Questo rilevatore verifica se Cloud Asset Inventory è disattivato.
`BUCKET_POLICY_ONLY_DISABLED`	Questo rilevatore controlla se è configurato l'accesso uniforme a livello di bucket.
`ROUTE_NOT_MONITORED`	Questo rilevatore verifica se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alle route di rete VPC.
`OWNER_NOT_MONITORED`	Questo rilevatore verifica se la registrazione è disattivata per le assegnazioni e le modifiche alla proprietà del progetto.

Visualizza il modello di postura

Per visualizzare il modello di postura per ISO 27001:

gcloud

Prima di utilizzare i dati dei comandi riportati di seguito, apporta le seguenti sostituzioni:

ORGANIZATION_ID: l'ID numerico dell'organizzazione

Esegui il comando gcloud scc posture-templates describe:

Linux, macOS o Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001

La risposta contiene il modello di postura.

REST

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

ORGANIZATION_ID: l'ID numerico dell'organizzazione

Metodo HTTP e URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001

Per inviare la richiesta, espandi una di queste opzioni:

curl (Linux, macOS o Cloud Shell)

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che consente di accedere automaticamente all'interfaccia a riga di comando gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Esegui questo comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001"

PowerShell (Windows)

Nota: il comando seguente presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login . Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001" | Select-Object -Expand Content

La risposta contiene il modello di postura.

Passaggi successivi

Crea una postura di sicurezza utilizzando questo modello di postura.

Modello di conformità predefinito per ISO 27001 Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Rilevatori di Security Health Analytics

Visualizza il modello di postura

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Passaggi successivi

Modello di conformità predefinito per ISO 27001