Modelo de postura predefinido para a ISO 27001

Nesta página, descrevemos as políticas de detecção incluídas na versão 1.0 do modelo de postura predefinido para o padrão ISO 27001. Esse modelo inclui um conjunto de políticas que define os detectores do Security Health Analytics aplicáveis a cargas de trabalho que precisam estar em conformidade com o padrão ISO 27001.

É possível implantar esse modelo de postura sem fazer mudanças.

Detectores do Security Health Analytics

A tabela a seguir descreve os detectores do Security Health Analytics incluídos neste modelo de postura.

Nome do detector Descrição
SQL_CROSS_DB_OWNERSHIP_CHAINING

Esse detector verifica se a flag cross_db_ownership_chaining no Cloud SQL para SQL Server não está desativada.
INSTANCE_OS_LOGIN_DISABLED

Esse detector verifica se o Login do SO não está ativado.
SQL_SKIP_SHOW_DATABASE_DISABLED

Esse detector verifica se a flag skip_show_database no Cloud SQL para MySQL não está ativada.
ESSENTIAL_CONTACTS_NOT_CONFIGURED

Esse detector verifica se você tem pelo menos um Contato essencial.
AUDIT_LOGGING_DISABLED

Esse detector verifica se a geração de registros de auditoria está desativada para um recurso.
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Esse detector verifica se os registros de fluxo de VPC não estão ativados.
API_KEY_EXISTS

Esse detector verifica se um projeto está usando chaves de API em vez da autenticação padrão.
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

Esse detector verifica se a flag log_min_error_statement no Cloud SQL para PostgreSQL não tem um nível de gravidade adequado.
LOCKED_RETENTION_POLICY_NOT_SET

Esse detector verifica se a política de retenção bloqueada está definida para os registros.
SQL_LOG_DISCONNECTIONS_DISABLED

Esse detector verifica se a flag log_disconnections no Cloud SQL para PostgreSQL não está ativada.
COMPUTE_SERIAL_PORTS_ENABLED

Esse detector verifica se as portas seriais estão ativadas.
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

Esse detector verifica se as chaves SSH de todo o projeto estão sendo usadas.
KMS_KEY_NOT_ROTATED

Esse detector verifica se a rotação da criptografia do Cloud Key Management Service não está ativada.
DNS_LOGGING_DISABLED

Esse detector verifica se a geração de registros de DNS está ativada na rede VPC.
SQL_LOCAL_INFILE

Esse detector verifica se a flag local_infile no Cloud SQL para MySQL não está desativada.
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

Esse detector verifica se a flag log_min_duration_statement no Cloud SQL para PostgreSQL não está definida como -1.
PUBLIC_DATASET

Esse detector verifica se um conjunto de dados está configurado para ser aberto ao acesso público. Para mais informações, consulte Descobertas de vulnerabilidade do conjunto de dados.
DISK_CSEK_DISABLED

Esse detector verifica se o suporte a chaves de criptografia fornecidas pelo cliente (CSEK) está desativado para uma VM.
SQL_USER_CONNECTIONS_CONFIGURED

Esse detector verifica se a flag user connections no Cloud SQL para SQL Server está configurada.
SERVICE_ACCOUNT_ROLE_SEPARATION

Esse detector verifica a separação de responsabilidades para chaves de conta de serviço.
AUDIT_CONFIG_NOT_MONITORED

Esse detector verifica se as mudanças na configuração de auditoria estão sendo monitoradas.
BUCKET_IAM_NOT_MONITORED

Esse detector verifica se a geração de registros está desativada para mudanças de permissão do IAM no Cloud Storage.
PUBLIC_SQL_INSTANCE

Esse detector verifica se um Cloud SQL permite conexões de todos os endereços IP.
AUTO_BACKUP_DISABLED

Esse detector verifica se um banco de dados do Cloud SQL não tem backups automáticos ativados.
DATAPROC_CMEK_DISABLED

Esse detector verifica se o suporte à CMEK está desativado para um cluster do Dataproc.
LOG_NOT_EXPORTED

Esse detector verifica se um recurso não tem um coletor de registros configurado.
KMS_PROJECT_HAS_OWNER

Esse detector verifica se um usuário tem a permissão de Proprietário em um projeto que inclui chaves.
KMS_ROLE_SEPARATION

Esse detector verifica a separação de tarefas para chaves do Cloud KMS.
API_KEY_APIS_UNRESTRICTED

Esse detector verifica se as chaves de API estão sendo usadas de forma muito ampla.
SQL_LOG_MIN_MESSAGES

Esse detector verifica se a flag log_min_messages no Cloud SQL para PostgreSQL não está definida como warning.
SQL_PUBLIC_IP

Esse detector verifica se um banco de dados do Cloud SQL tem um endereço IP externo.
DATASET_CMEK_DISABLED

Esse detector verifica se o suporte à CMEK está desativado para um conjunto de dados do BigQuery.
FIREWALL_NOT_MONITORED

Esse detector verifica se as métricas e os alertas de registro não estão configurados para monitorar as mudanças nas regras do firewall da VPC.
SQL_LOG_STATEMENT

Esse detector verifica se a flag log_statement no Cloud SQL para PostgreSQL Server não está definida como ddl.
BIGQUERY_TABLE_CMEK_DISABLED

Esse detector verifica se uma tabela do BigQuery não está configurada para usar uma chave de criptografia gerenciada pelo cliente (CMEK). Para mais informações, consulte Descobertas de vulnerabilidade do conjunto de dados.
CONFIDENTIAL_COMPUTING_DISABLED

Esse detector verifica se a Computação confidencial está desativada.
SQL_INSTANCE_NOT_MONITORED

Esse detector verifica se a geração de registros está desativada para mudanças na configuração do Cloud SQL.
KMS_PUBLIC_KEY

Esse detector verifica se uma chave criptográfica do Cloud Key Management Service está acessível publicamente. Para mais informações, consulte Descobertas de vulnerabilidades do KMS.
DEFAULT_NETWORK

Esse detector verifica se a rede padrão existe em um projeto.
SQL_TRACE_FLAG_3625

Esse detector verifica se a flag 3625 (trace flag) no Cloud SQL para SQL Server não está ativada.
API_KEY_NOT_ROTATED

Esse detector verifica se uma chave de API foi alternada nos últimos 90 dias.
DNSSEC_DISABLED

Esse detector verifica se a segurança de DNS (DNSSEC) está desativada no Cloud DNS. Para mais informações, consulte Descobertas de vulnerabilidade de DNS.
SQL_LOG_CONNECTIONS_DISABLED

Esse detector verifica se a flag log_connections no Cloud SQL para PostgreSQL não está ativada.
LEGACY_NETWORK

Esse detector verifica se há uma rede legada em um projeto.
PUBLIC_IP_ADDRESS

Esse detector verifica se uma instância tem um endereço IP externo.
FULL_API_ACCESS

Esse detector verifica se uma instância está usando uma conta de serviço padrão com acesso total a todas as APIs do Google Cloud .
SQL_CONTAINED_DATABASE_AUTHENTICATION

Esse detector verifica se a flag contained database authentication no Cloud SQL para SQL Server não está desativada.
OS_LOGIN_DISABLED

Esse detector verifica se o Login do SO está desativado.
SQL_USER_OPTIONS_CONFIGURED

Esse detector verifica se a flag user options no Cloud SQL para SQL Server está configurada.
ADMIN_SERVICE_ACCOUNT

Esse detector verifica se uma conta de serviço tem privilégios de administrador, proprietário ou editor.
DEFAULT_SERVICE_ACCOUNT_USED

Esse detector verifica se a conta de serviço padrão está sendo usada.
NETWORK_NOT_MONITORED

Esse detector verifica se as métricas e os alertas de registro não estão configurados para monitorar mudanças na rede VPC.
PUBLIC_BUCKET_ACL

Esse detector verifica se um bucket está acessível ao público.
CUSTOM_ROLE_NOT_MONITORED

Esse detector verifica se o registro em log está desativado para mudanças de papéis personalizados.
SQL_LOG_ERROR_VERBOSITY

Esse detector verifica se a flag log_error_verbosity no Cloud SQL para PostgreSQL não está definida como default.
LOAD_BALANCER_LOGGING_DISABLED

Esse detector verifica se a geração de registros está desativada no balanceador de carga.
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Esse detector verifica se um usuário tem papéis de conta de serviço no nível do projeto, em vez de uma conta de serviço específica.
SQL_REMOTE_ACCESS_ENABLED

Esse detector verifica se a flag remote_access no Cloud SQL para SQL Server não está desativada.
RSASHA1_FOR_SIGNING

Esse detector verifica se o RSASHA1 é usado para assinatura de chaves em zonas do Cloud DNS.
CLOUD_ASSET_API_DISABLED

Esse detector verifica se o Inventário de recursos do Cloud está desativado.
BUCKET_POLICY_ONLY_DISABLED

Esse detector verifica se o acesso uniforme no nível do bucket está configurado.
ROUTE_NOT_MONITORED

Esse detector verifica se as métricas e os alertas de registro não estão configurados para monitorar mudanças na rota de rede VPC.
OWNER_NOT_MONITORED

Esse detector verifica se o registro em log está desativado para atribuições e mudanças de propriedade do projeto.

Ver o modelo de postura

Para conferir o modelo de postura da ISO 27001, faça o seguinte:

gcloud

Antes de usar os dados do comando abaixo, faça estas substituições:

  • ORGANIZATION_ID: o ID numérico da organização

Execute o comando gcloud scc posture-templates describe:

Linux, macOS ou Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001

A resposta contém o modelo de postura.

REST

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • ORGANIZATION_ID: o ID numérico da organização

Método HTTP e URL: 

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001

Para enviar a solicitação, expanda uma destas opções:

A resposta contém o modelo de postura.

A seguir