ISO 27001 的預先定義狀態範本

本頁面說明 國際標準化組織 (ISO) 27001 標準的預先定義安全狀態範本 v1.0 版中包含的偵測政策。這個範本包含一組政策,可定義適用於工作負載的安全性狀態分析偵測器,這些工作負載必須符合 ISO 27001 標準。

您可以直接部署這個姿勢範本,不必進行任何變更。

安全狀態分析偵測工具

下表說明這個安全狀態範本包含的安全性狀態分析偵測工具。

偵測工具名稱 說明
SQL_CROSS_DB_OWNERSHIP_CHAINING

這個偵測器會檢查 Cloud SQL for SQL Server 中的 cross_db_ownership_chaining 旗標是否未設為「off」。
INSTANCE_OS_LOGIN_DISABLED

這項偵測工具會檢查 OS Login 是否未開啟。
SQL_SKIP_SHOW_DATABASE_DISABLED

這個偵測器會檢查 MySQL 適用的 Cloud SQL 中的 skip_show_database 旗標是否未開啟。
ESSENTIAL_CONTACTS_NOT_CONFIGURED

這項偵測器會檢查您是否至少有一位重要聯絡人
AUDIT_LOGGING_DISABLED

這項偵測器會檢查資源的稽核記錄是否已關閉。
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

這個偵測器會檢查虛擬私有雲流量記錄是否未開啟。
API_KEY_EXISTS

這個偵測器會檢查專案是否使用 API 金鑰,而非標準驗證。
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

這個偵測器會檢查 PostgreSQL 適用的 Cloud SQL 中的 log_min_error_statement 旗標是否沒有適當的嚴重程度。
LOCKED_RETENTION_POLICY_NOT_SET

這個偵測器會檢查是否已為記錄檔設定鎖定的保留政策。
SQL_LOG_DISCONNECTIONS_DISABLED

這個偵測器會檢查 PostgreSQL 適用的 Cloud SQL 中的 log_disconnections 旗標是否未開啟。
COMPUTE_SERIAL_PORTS_ENABLED

這項偵測工具會檢查序列埠是否已啟用。
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

這個偵測器會檢查是否使用專案層級的安全殼層金鑰。
KMS_KEY_NOT_ROTATED

這項偵測器會檢查 Cloud Key Management Service 加密功能是否未開啟輪替功能。
DNS_LOGGING_DISABLED

這個偵測器會檢查虛擬私有雲網路是否已啟用 DNS 記錄功能。
SQL_LOCAL_INFILE

這個偵測器會檢查 MySQL 適用的 Cloud SQL 中的 local_infile 旗標是否未設為「off」。
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

這個偵測器會檢查 Cloud SQL for PostgreSQL 中的 log_min_duration_statement 旗標是否未設為 -1
PUBLIC_DATASET

這個偵測器會檢查資料集是否已設為開放公開存取。詳情請參閱「資料集安全漏洞發現結果」。
DISK_CSEK_DISABLED

這個偵測器會檢查 VM 是否已關閉客戶提供的加密金鑰 (CSEK) 支援。
SQL_USER_CONNECTIONS_CONFIGURED

這個偵測器會檢查 Cloud SQL for SQL Server 中的 user connections 旗標是否已設定。
SERVICE_ACCOUNT_ROLE_SEPARATION

這個偵測器會檢查服務帳戶金鑰的職責分離情況。
AUDIT_CONFIG_NOT_MONITORED

這個偵測器會檢查是否正在監控稽核設定變更。
BUCKET_IAM_NOT_MONITORED

這個偵測器會檢查 Cloud Storage 中 IAM 權限變更的記錄是否已關閉。
PUBLIC_SQL_INSTANCE

這個偵測器會檢查 Cloud SQL 是否允許來自所有 IP 位址的連線。
AUTO_BACKUP_DISABLED

這個偵測器會檢查 Cloud SQL 資料庫是否未啟用自動備份功能。
DATAPROC_CMEK_DISABLED

這個偵測器會檢查 Dataproc 叢集是否已停用 CMEK 支援。
LOG_NOT_EXPORTED

這個偵測器會檢查資源是否未設定記錄檔接收器。
KMS_PROJECT_HAS_OWNER

這個偵測器會檢查使用者是否對含有金鑰的專案具備「擁有者」權限。
KMS_ROLE_SEPARATION

這個偵測器會檢查 Cloud KMS 金鑰的職責區隔。
API_KEY_APIS_UNRESTRICTED

這個偵測器會檢查 API 金鑰是否使用範圍過於廣泛。
SQL_LOG_MIN_MESSAGES

這個偵測器會檢查 Cloud SQL for PostgreSQL 中的 log_min_messages 旗標是否未設為 warning
SQL_PUBLIC_IP

這個偵測器會檢查 Cloud SQL 資料庫是否有外部 IP 位址。
DATASET_CMEK_DISABLED

這個偵測器會檢查 BigQuery 資料集的 CMEK 支援功能是否已關閉。
FIREWALL_NOT_MONITORED

這個偵測器會檢查記錄指標和快訊是否未設定為監控虛擬私有雲防火牆規則變更。
SQL_LOG_STATEMENT

這個偵測器會檢查 Cloud SQL for PostgreSQL Server 中的 log_statement 旗標是否未設為 ddl
BIGQUERY_TABLE_CMEK_DISABLED

這個偵測器會檢查 BigQuery 資料表是否未設定使用客戶管理的加密金鑰 (CMEK)。詳情請參閱「資料集安全漏洞發現結果」。
CONFIDENTIAL_COMPUTING_DISABLED

這項偵測工具會檢查機密運算是否已關閉。
SQL_INSTANCE_NOT_MONITORED

這個偵測器會檢查 Cloud SQL 設定變更是否已關閉記錄功能。
KMS_PUBLIC_KEY

這個偵測器會檢查 Cloud Key Management Service 加密金鑰是否可公開存取。詳情請參閱 KMS 安全漏洞發現項目
DEFAULT_NETWORK

這項偵測器會檢查專案中是否有預設網路。
SQL_TRACE_FLAG_3625

這個偵測器會檢查 Cloud SQL for SQL Server 中的 3625 (trace flag) 旗標是否未開啟。
API_KEY_NOT_ROTATED

這個偵測器會檢查 API 金鑰是否在過去 90 天內輪替。
DNSSEC_DISABLED

這個偵測器會檢查 Cloud DNS 是否已關閉 DNS 安全性 (DNSSEC)。詳情請參閱「DNS 安全漏洞發現結果」。
SQL_LOG_CONNECTIONS_DISABLED

這個偵測器會檢查 PostgreSQL 適用的 Cloud SQL 中的 log_connections 旗標是否未開啟。
LEGACY_NETWORK

這項偵測器會檢查專案中是否有舊版網路。
PUBLIC_IP_ADDRESS

這個偵測器會檢查執行個體是否具有外部 IP 位址。
FULL_API_ACCESS

這個偵測器會檢查執行個體是否使用具備所有 API 完整存取權的預設服務帳戶。 Google Cloud

SQL_CONTAINED_DATABASE_AUTHENTICATION

這個偵測器會檢查 Cloud SQL for SQL Server 中的 contained database authentication 旗標是否未設為「off」。
OS_LOGIN_DISABLED

這項偵測工具會檢查 OS Login 是否已關閉。
SQL_USER_OPTIONS_CONFIGURED

這個偵測器會檢查 Cloud SQL for SQL Server 中的 user options 旗標是否已設定。
ADMIN_SERVICE_ACCOUNT

這個偵測器會檢查服務帳戶是否具有「管理員」、「擁有者」或「編輯者」權限。
DEFAULT_SERVICE_ACCOUNT_USED

這個偵測器會檢查是否使用預設服務帳戶。
NETWORK_NOT_MONITORED

這個偵測器會檢查記錄指標和快訊是否未設定為監控虛擬私有雲網路變更。
PUBLIC_BUCKET_ACL

這項偵測工具會檢查 bucket 是否可公開存取。
CUSTOM_ROLE_NOT_MONITORED

這個偵測器會檢查自訂角色變更的記錄功能是否已關閉。
SQL_LOG_ERROR_VERBOSITY

這個偵測器會檢查 Cloud SQL for PostgreSQL 中的 log_error_verbosity 旗標是否未設為 default
LOAD_BALANCER_LOGGING_DISABLED

這項偵測器會檢查負載平衡器的記錄功能是否已關閉。
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

這個偵測器會檢查使用者是否在專案層級擁有服務帳戶角色,而非特定服務帳戶。
SQL_REMOTE_ACCESS_ENABLED

這個偵測器會檢查 Cloud SQL for SQL Server 中的 remote_access 旗標是否未設為「off」。
RSASHA1_FOR_SIGNING

這個偵測器會檢查 RSASHA1 是否用於 Cloud DNS 區域的金鑰簽署。
CLOUD_ASSET_API_DISABLED

這項偵測工具會檢查 Cloud Asset Inventory 是否已關閉。
BUCKET_POLICY_ONLY_DISABLED

這個偵測器會檢查是否已設定統一值區層級存取權。
ROUTE_NOT_MONITORED

這個偵測器會檢查記錄指標和快訊是否未設定為監控虛擬私有雲網路路徑變更。
OWNER_NOT_MONITORED

這個偵測器會檢查專案擁有權指派和變更是否已關閉記錄功能。

查看防護機制範本

如要查看 ISO 27001 的狀態範本,請按照下列步驟操作:

gcloud

使用下方的任何指令資料之前,請先替換以下項目:

  • ORGANIZATION_ID:機構的數值 ID

執行 gcloud scc posture-templates describe 指令:

Linux、macOS 或 Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001

回覆會包含姿勢範本。

REST

使用任何要求資料之前,請先替換以下項目:

  • ORGANIZATION_ID:機構的數值 ID

HTTP 方法和網址:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001

如要傳送要求,請展開以下其中一個選項:

回覆會包含姿勢範本。

後續步驟