Esta página foi traduzida pela API Cloud Translation.

Modelo de postura predefinido para ISO 27001

Esta página descreve as políticas de detecção incluídas na versão v1.0 do modelo de postura predefinido para o padrão 27001 da Organização Internacional de Padrões (ISO). Esse modelo inclui um conjunto de políticas que define os detectores da Análise de integridade da segurança que se aplicam a cargas de trabalho que precisam estar em conformidade com de acordo com o padrão ISO 27001.

É possível implantar esse modelo de postura sem fazer alterações.

Detectores do Security Health Analytics

A tabela a seguir descreve os detectores da Análise de integridade da segurança incluídos em este modelo de postura.

Nome do detector	Descrição
`SQL_CROSS_DB_OWNERSHIP_CHAINING`	Este detector verifica se a sinalização `cross_db_ownership_chaining` no Cloud SQL para SQL Server não está desativada.
`INSTANCE_OS_LOGIN_DISABLED`	Esse detector verifica se o Login do SO não está ativado.
`SQL_SKIP_SHOW_DATABASE_DISABLED`	Esse detector verifica se a flag `skip_show_database` no Cloud SQL para MySQL não está ativada.
`ESSENTIAL_CONTACTS_NOT_CONFIGURED`	Esse detector verifica se você tem pelo menos um Contato essencial.
`AUDIT_LOGGING_DISABLED`	Este detector verifica se o registro de auditoria está desativado para um recurso.
`VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED`	Este detector verifica se os registros de fluxo de VPC não estão ativados.
`API_KEY_EXISTS`	Este detector verifica se um projeto está usando chaves de API em vez de autenticação padrão.
`SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY`	Esse detector verifica se a flag `log_min_error_statement` no Cloud SQL para PostgreSQL não tem um nível de gravidade adequado.
`LOCKED_RETENTION_POLICY_NOT_SET`	Este detector verifica se a política de retenção bloqueada está definida para registros.
`SQL_LOG_DISCONNECTIONS_DISABLED`	Esse detector verifica se a flag `log_disconnections` no Cloud SQL para PostgreSQL não está ativada.
`COMPUTE_SERIAL_PORTS_ENABLED`	Este detector verifica se as portas seriais estão ativadas.
`COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED`	Este detector verifica se as chaves SSH em todo o projeto estão sendo usadas.
`KMS_KEY_NOT_ROTATED`	Este detector verifica se a rotação para a criptografia do Cloud Key Management Service não está ativada.
`DNS_LOGGING_DISABLED`	Este detector verifica se a geração de registros de DNS está ativada na rede VPC.
`SQL_LOCAL_INFILE`	Este detector verifica se a sinalização `local_infile` no Cloud SQL para MySQL não está desativada.
`SQL_LOG_MIN_DURATION_STATEMENT_ENABLED`	Este detector verifica se a sinalização `log_min_duration_statement` no Cloud SQL para PostgreSQL não está definida como `-1`.
`PUBLIC_DATASET`	Este detector verifica se um conjunto de dados está configurado para ser aberto para acesso público. Para mais informações, consulte Conjunto de dados descobertas de vulnerabilidades.
`DISK_CSEK_DISABLED`	Esse detector verifica se o suporte à chave de criptografia fornecida pelo cliente (CSEK) está desativado para uma VM.
`SQL_USER_CONNECTIONS_CONFIGURED`	Este detector verifica se a sinalização `user connections` no Cloud SQL para SQL Server está configurada.
`SERVICE_ACCOUNT_ROLE_SEPARATION`	Esse detector verifica a separação de funções para chaves de contas de serviço.
`AUDIT_CONFIG_NOT_MONITORED`	Esse detector verifica se as mudanças na configuração de auditoria estão sendo monitoradas.
`BUCKET_IAM_NOT_MONITORED`	Esse detector verifica se o registro está desativado para mudanças de permissão do IAM no Cloud Storage.
`PUBLIC_SQL_INSTANCE`	Este detector verifica se um Cloud SQL permite conexões de todos os endereços IP.
`AUTO_BACKUP_DISABLED`	Este detector verifica se um banco de dados do Cloud SQL não tem backups automáticos ativados.
`DATAPROC_CMEK_DISABLED`	Esse detector verifica se o suporte a CMEK está desativado para um cluster do Dataproc.
`LOG_NOT_EXPORTED`	Este detector verifica se um recurso não tem um coletor de registros configurado.
`KMS_PROJECT_HAS_OWNER`	Esse detector verifica se um usuário tem a permissão de proprietário em um projeto que inclui chaves.
`KMS_ROLE_SEPARATION`	Esse detector verifica a separação de tarefas para as chaves do Cloud KMS.
`API_KEY_APIS_UNRESTRICTED`	Esse detector verifica se as chaves de API estão sendo usadas de forma muito ampla.
`SQL_LOG_MIN_MESSAGES`	Esse detector verifica se a flag `log_min_messages` no Cloud SQL para PostgreSQL não está definida como `warning`.
`SQL_PUBLIC_IP`	Este detector verifica se um banco de dados do Cloud SQL tem um endereço IP externo.
`DATASET_CMEK_DISABLED`	Este detector verifica se o suporte a CMEK está desativado em um conjunto de dados do BigQuery.
`FIREWALL_NOT_MONITORED`	Este detector verifica se as métricas e os alertas de registro não estão configurados para monitorar as alterações nas regras de firewall da VPC.
`SQL_LOG_STATEMENT`	Esse detector verifica se a flag `log_statement` no Cloud SQL para PostgreSQL Server não está definida como `ddl`.
`BIGQUERY_TABLE_CMEK_DISABLED`	Este detector verifica se uma tabela do BigQuery não está configurada usar uma chave de criptografia gerenciada pelo cliente (CMEK). Para mais informações, consulte Conjunto de dados descobertas de vulnerabilidades.
`CONFIDENTIAL_COMPUTING_DISABLED`	Este detector verifica se a Computação confidencial está desativada.
`SQL_INSTANCE_NOT_MONITORED`	Esse detector verifica se a geração de registros está desativada para mudanças na configuração do Cloud SQL.
`KMS_PUBLIC_KEY`	Este detector verifica se uma chave criptográfica do Cloud Key Management Service acessíveis ao público. Para mais informações, consulte KMS descobertas de vulnerabilidades.
`DEFAULT_NETWORK`	Esse detector verifica se a rede padrão existe em um projeto.
`SQL_TRACE_FLAG_3625`	Este detector verifica se a sinalização `3625 (trace flag)` no Cloud SQL para SQL Server está ativada.
`API_KEY_NOT_ROTATED`	Esse detector verifica se uma chave de API foi alternada nos últimos 90 dias.
`DNSSEC_DISABLED`	Este detector verifica se a segurança do DNS (DNSSEC) está desativada para o Cloud DNS. Para mais informações, consulte Descobertas de vulnerabilidade do DNS.
`SQL_LOG_CONNECTIONS_DISABLED`	Este detector verifica se a sinalização `log_connections` no Cloud SQL para PostgreSQL não está ativada.
`LEGACY_NETWORK`	Esse detector verifica se há uma rede legada em um projeto.
`PUBLIC_IP_ADDRESS`	Este detector verifica se uma instância tem um endereço IP externo.
`FULL_API_ACCESS`	Esse detector verifica se uma instância está usando uma conta de serviço padrão com acesso total às APIs do Google Cloud.
`SQL_CONTAINED_DATABASE_AUTHENTICATION`	Este detector verifica se a sinalização `contained database authentication` no Cloud SQL para SQL Server não está desativada.
`OS_LOGIN_DISABLED`	Este detector verifica se o login do SO está desativado.
`SQL_USER_OPTIONS_CONFIGURED`	Esse detector verifica se a flag `user options` no Cloud SQL para SQL Server está configurada.
`ADMIN_SERVICE_ACCOUNT`	Este detector verifica se uma conta de serviço tem privilégios de administrador, proprietário ou editor.
`DEFAULT_SERVICE_ACCOUNT_USED`	Este detector verifica se a conta de serviço padrão está sendo usada.
`NETWORK_NOT_MONITORED`	Este detector verifica se as métricas e os alertas de registro não estão configurados para monitorar alterações de rede VPC.
`PUBLIC_BUCKET_ACL`	Este detector verifica se um bucket está acessível publicamente.
`CUSTOM_ROLE_NOT_MONITORED`	Este detector verifica se a geração de registros está desativada para alterações de papéis personalizados.
`SQL_LOG_ERROR_VERBOSITY`	Este detector verifica se a sinalização `log_error_verbosity` no Cloud SQL para PostgreSQL não está definida como `default`.
`LOAD_BALANCER_LOGGING_DISABLED`	Este detector verifica se a geração de registros está desativada no balanceador de carga.
`OVER_PRIVILEGED_SERVICE_ACCOUNT_USER`	Esse detector verifica se um usuário tem funções de conta de serviço no nível do projeto, em vez de uma conta de serviço específica.
`SQL_REMOTE_ACCESS_ENABLED`	Este detector verifica se a sinalização `remote_access` no Cloud SQL para SQL Server não está desativada.
`RSASHA1_FOR_SIGNING`	Este detector verifica se o RSASHA1 é usado para assinatura de chaves em zonas do Cloud DNS.
`CLOUD_ASSET_API_DISABLED`	Este detector verifica se o Inventário de recursos do Cloud está desativado.
`BUCKET_POLICY_ONLY_DISABLED`	Este detector verifica se o acesso uniforme no nível do bucket está configurado.
`ROUTE_NOT_MONITORED`	Este detector verifica se as métricas e os alertas de registro não estão configurados para monitorar as alterações na rota da rede VPC.
`OWNER_NOT_MONITORED`	Este detector verifica se a geração de registros está desativada para atribuições e alterações de propriedade do projeto.

Conferir o modelo de postura

Para visualizar o modelo de postura para ISO 27001, faça o seguinte:

gcloud

Antes de usar os dados do comando abaixo, faça estas substituições:

ORGANIZATION_ID: o ID numérico da organização

Execute o gcloud scc posture-templates describe comando:

Linux, macOS ou Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001

A resposta contém o modelo de postura.

REST

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

ORGANIZATION_ID: o ID numérico da organização

Método HTTP e URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Observação: o comando a seguir pressupõe que você fez login na CLI gcloud com sua conta de usuário executando gcloud init ou gcloud auth login, ou usando o Cloud Shell, que faz login automaticamente na CLI gcloud. . É possível verificar a conta ativa atual executando gcloud auth list.

execute o seguinte comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001"

PowerShell (Windows)

Observação: o comando a seguir pressupõe que você fez login na CLI gcloud com sua conta de usuário executando gcloud init ou gcloud auth login . É possível verificar a conta ativa atual executando gcloud auth list.

execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001" | Select-Object -Expand Content

A resposta contém o modelo de postura.

A seguir

Crie uma postura de segurança usando este modelo.