Esta página descreve as políticas de detecção incluídas na versão v1.0 do modelo de postura predefinido para o padrão 27001 da Organização Internacional de Padrões (ISO). Esse modelo inclui um conjunto de políticas que define os detectores da Análise de integridade da segurança que se aplicam a cargas de trabalho que precisam estar em conformidade com de acordo com o padrão ISO 27001.
É possível implantar esse modelo de postura sem fazer alterações.
Detectores do Security Health Analytics
A tabela a seguir descreve os detectores da Análise de integridade da segurança incluídos em este modelo de postura.
Nome do detector | Descrição |
---|---|
SQL_CROSS_DB_OWNERSHIP_CHAINING |
Este detector verifica se a sinalização |
INSTANCE_OS_LOGIN_DISABLED |
Esse detector verifica se o Login do SO não está ativado. |
SQL_SKIP_SHOW_DATABASE_DISABLED |
Esse detector verifica se a flag |
ESSENTIAL_CONTACTS_NOT_CONFIGURED |
Esse detector verifica se você tem pelo menos um Contato essencial. |
AUDIT_LOGGING_DISABLED |
Este detector verifica se o registro de auditoria está desativado para um recurso. |
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED |
Este detector verifica se os registros de fluxo de VPC não estão ativados. |
API_KEY_EXISTS |
Este detector verifica se um projeto está usando chaves de API em vez de autenticação padrão. |
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY |
Esse detector verifica se a flag |
LOCKED_RETENTION_POLICY_NOT_SET |
Este detector verifica se a política de retenção bloqueada está definida para registros. |
SQL_LOG_DISCONNECTIONS_DISABLED |
Esse detector verifica se a flag |
COMPUTE_SERIAL_PORTS_ENABLED |
Este detector verifica se as portas seriais estão ativadas. |
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
Este detector verifica se as chaves SSH em todo o projeto estão sendo usadas. |
KMS_KEY_NOT_ROTATED |
Este detector verifica se a rotação para a criptografia do Cloud Key Management Service não está ativada. |
DNS_LOGGING_DISABLED |
Este detector verifica se a geração de registros de DNS está ativada na rede VPC. |
SQL_LOCAL_INFILE |
Este detector verifica se a sinalização |
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED |
Este detector verifica se a sinalização |
PUBLIC_DATASET |
Este detector verifica se um conjunto de dados está configurado para ser aberto para acesso público. Para mais informações, consulte Conjunto de dados descobertas de vulnerabilidades. |
DISK_CSEK_DISABLED |
Esse detector verifica se o suporte à chave de criptografia fornecida pelo cliente (CSEK) está desativado para uma VM. |
SQL_USER_CONNECTIONS_CONFIGURED |
Este detector verifica se a sinalização |
SERVICE_ACCOUNT_ROLE_SEPARATION |
Esse detector verifica a separação de funções para chaves de contas de serviço. |
AUDIT_CONFIG_NOT_MONITORED |
Esse detector verifica se as mudanças na configuração de auditoria estão sendo monitoradas. |
BUCKET_IAM_NOT_MONITORED |
Esse detector verifica se o registro está desativado para mudanças de permissão do IAM no Cloud Storage. |
PUBLIC_SQL_INSTANCE |
Este detector verifica se um Cloud SQL permite conexões de todos os endereços IP. |
AUTO_BACKUP_DISABLED |
Este detector verifica se um banco de dados do Cloud SQL não tem backups automáticos ativados. |
DATAPROC_CMEK_DISABLED |
Esse detector verifica se o suporte a CMEK está desativado para um cluster do Dataproc. |
LOG_NOT_EXPORTED |
Este detector verifica se um recurso não tem um coletor de registros configurado. |
KMS_PROJECT_HAS_OWNER |
Esse detector verifica se um usuário tem a permissão de proprietário em um projeto que inclui chaves. |
KMS_ROLE_SEPARATION |
Esse detector verifica a separação de tarefas para as chaves do Cloud KMS. |
API_KEY_APIS_UNRESTRICTED |
Esse detector verifica se as chaves de API estão sendo usadas de forma muito ampla. |
SQL_LOG_MIN_MESSAGES |
Esse detector verifica se a flag |
SQL_PUBLIC_IP |
Este detector verifica se um banco de dados do Cloud SQL tem um endereço IP externo. |
DATASET_CMEK_DISABLED |
Este detector verifica se o suporte a CMEK está desativado em um conjunto de dados do BigQuery. |
FIREWALL_NOT_MONITORED |
Este detector verifica se as métricas e os alertas de registro não estão configurados para monitorar as alterações nas regras de firewall da VPC. |
SQL_LOG_STATEMENT |
Esse detector verifica se a flag |
BIGQUERY_TABLE_CMEK_DISABLED |
Este detector verifica se uma tabela do BigQuery não está configurada usar uma chave de criptografia gerenciada pelo cliente (CMEK). Para mais informações, consulte Conjunto de dados descobertas de vulnerabilidades. |
CONFIDENTIAL_COMPUTING_DISABLED |
Este detector verifica se a Computação confidencial está desativada. |
SQL_INSTANCE_NOT_MONITORED |
Esse detector verifica se a geração de registros está desativada para mudanças na configuração do Cloud SQL. |
KMS_PUBLIC_KEY |
Este detector verifica se uma chave criptográfica do Cloud Key Management Service acessíveis ao público. Para mais informações, consulte KMS descobertas de vulnerabilidades. |
DEFAULT_NETWORK |
Esse detector verifica se a rede padrão existe em um projeto. |
SQL_TRACE_FLAG_3625 |
Este detector verifica se a sinalização |
API_KEY_NOT_ROTATED |
Esse detector verifica se uma chave de API foi alternada nos últimos 90 dias. |
DNSSEC_DISABLED |
Este detector verifica se a segurança do DNS (DNSSEC) está desativada para o Cloud DNS. Para mais informações, consulte Descobertas de vulnerabilidade do DNS. |
SQL_LOG_CONNECTIONS_DISABLED |
Este detector verifica se a sinalização |
LEGACY_NETWORK |
Esse detector verifica se há uma rede legada em um projeto. |
PUBLIC_IP_ADDRESS |
Este detector verifica se uma instância tem um endereço IP externo. |
FULL_API_ACCESS |
Esse detector verifica se uma instância está usando uma conta de serviço padrão com acesso total às APIs do Google Cloud. |
SQL_CONTAINED_DATABASE_AUTHENTICATION |
Este detector verifica se a sinalização |
OS_LOGIN_DISABLED |
Este detector verifica se o login do SO está desativado. |
SQL_USER_OPTIONS_CONFIGURED |
Esse detector verifica se a flag |
ADMIN_SERVICE_ACCOUNT |
Este detector verifica se uma conta de serviço tem privilégios de administrador, proprietário ou editor. |
DEFAULT_SERVICE_ACCOUNT_USED |
Este detector verifica se a conta de serviço padrão está sendo usada. |
NETWORK_NOT_MONITORED |
Este detector verifica se as métricas e os alertas de registro não estão configurados para monitorar alterações de rede VPC. |
PUBLIC_BUCKET_ACL |
Este detector verifica se um bucket está acessível publicamente. |
CUSTOM_ROLE_NOT_MONITORED |
Este detector verifica se a geração de registros está desativada para alterações de papéis personalizados. |
SQL_LOG_ERROR_VERBOSITY |
Este detector verifica se a sinalização |
LOAD_BALANCER_LOGGING_DISABLED |
Este detector verifica se a geração de registros está desativada no balanceador de carga. |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
Esse detector verifica se um usuário tem funções de conta de serviço no nível do projeto, em vez de uma conta de serviço específica. |
SQL_REMOTE_ACCESS_ENABLED |
Este detector verifica se a sinalização |
RSASHA1_FOR_SIGNING |
Este detector verifica se o RSASHA1 é usado para assinatura de chaves em zonas do Cloud DNS. |
CLOUD_ASSET_API_DISABLED |
Este detector verifica se o Inventário de recursos do Cloud está desativado. |
BUCKET_POLICY_ONLY_DISABLED |
Este detector verifica se o acesso uniforme no nível do bucket está configurado. |
ROUTE_NOT_MONITORED |
Este detector verifica se as métricas e os alertas de registro não estão configurados para monitorar as alterações na rota da rede VPC. |
OWNER_NOT_MONITORED |
Este detector verifica se a geração de registros está desativada para atribuições e alterações de propriedade do projeto. |
Conferir o modelo de postura
Para visualizar o modelo de postura para ISO 27001, faça o seguinte:
gcloud
Antes de usar os dados do comando abaixo, faça estas substituições:
-
ORGANIZATION_ID
: o ID numérico da organização
Execute o
gcloud scc posture-templates
describe
comando:
Linux, macOS ou Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001
A resposta contém o modelo de postura.
REST
Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:
-
ORGANIZATION_ID
: o ID numérico da organização
Método HTTP e URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001
Para enviar a solicitação, expanda uma destas opções:
A resposta contém o modelo de postura.