Vordefinierte Vorlage für den Status für ISO 27001

Auf dieser Seite werden die Richtlinien zur Erkennung von Sicherheitslücken beschrieben, die in der Version 1.0 der vordefinierten Posture-Vorlage für den ISO 27001-Standard (International Organization for Standardization) enthalten sind. Diese Vorlage enthält ein Richtlinienset, das die Security Health Analytics-Detektoren definiert, die für Arbeitslasten gelten, die dem ISO 27001-Standard entsprechen müssen.

Sie können diese Vorlage für den Sicherheitsstatus bereitstellen, ohne Änderungen vorzunehmen.

Security Health Analytics – Detektoren

In der folgenden Tabelle werden die Security Health Analytics-Detektoren beschrieben, die in dieser Vorlage enthalten sind.

Detektorname Beschreibung
SQL_CROSS_DB_OWNERSHIP_CHAINING

Dieser Prüfer prüft, ob das Flag cross_db_ownership_chaining in Cloud SQL for SQL Server nicht deaktiviert ist.

INSTANCE_OS_LOGIN_DISABLED

Dieser Detektor prüft, ob OS Login nicht aktiviert ist.

SQL_SKIP_SHOW_DATABASE_DISABLED

Dieser Detektor prüft, ob das Flag skip_show_database in Cloud SQL for MySQL deaktiviert ist.

ESSENTIAL_CONTACTS_NOT_CONFIGURED

Dieser Detektor prüft, ob Sie mindestens einen wichtigen Kontakt haben.

AUDIT_LOGGING_DISABLED

Dieser Detektor prüft, ob das Audit-Logging für eine Ressource deaktiviert ist.

VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Dieser Detektor prüft, ob VPC-Flusslogs nicht aktiviert sind.

API_KEY_EXISTS

Dieser Prüfmechanismus prüft, ob in einem Projekt API-Schlüssel anstelle der Standardauthentifizierung verwendet werden.

SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

Dieser Prüfmechanismus prüft, ob das Flag log_min_error_statement in Cloud SQL for PostgreSQL keinen geeigneten Schweregrad hat.

LOCKED_RETENTION_POLICY_NOT_SET

Dieser Detektor prüft, ob die gesperrte Aufbewahrungsrichtlinie für Protokolle festgelegt ist.

SQL_LOG_DISCONNECTIONS_DISABLED

Dieser Prüfmechanismus prüft, ob das Flag log_disconnections in Cloud SQL for PostgreSQL deaktiviert ist.

COMPUTE_SERIAL_PORTS_ENABLED

Dieser Detektor prüft, ob serielle Ports aktiviert sind.

COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

Mit diesem Detektor wird geprüft, ob projektweite SSH-Schlüssel verwendet werden.

KMS_KEY_NOT_ROTATED

Dieser Detektor prüft, ob die Rotation für die Cloud Key Management Service-Verschlüsselung nicht aktiviert ist.

DNS_LOGGING_DISABLED

Mit diesem Detektor wird geprüft, ob das DNS-Logging im VPC-Netzwerk aktiviert ist.

SQL_LOCAL_INFILE

Dieser Detektor prüft, ob das Flag local_infile in Cloud SQL for MySQL aktiviert ist.

SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

Dieser Prüfmechanismus prüft, ob das Flag log_min_duration_statement in Cloud SQL for PostgreSQL nicht auf -1 gesetzt ist.

PUBLIC_DATASET

Dieser Detektor prüft, ob ein Datensatz für den öffentlichen Zugriff konfiguriert ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Datasets.

DISK_CSEK_DISABLED

Dieser Detektor prüft, ob die Unterstützung für vom Kunden bereitgestellte Verschlüsselungsschlüssel (CSEK) für eine VM deaktiviert ist.

SQL_USER_CONNECTIONS_CONFIGURED

Dieser Prüfmechanismus prüft, ob das Flag user connections in Cloud SQL for SQL Server konfiguriert ist.

SERVICE_ACCOUNT_ROLE_SEPARATION

Dieser Prüfmechanismus prüft die Trennung von Aufgaben für Dienstkontoschlüssel.

AUDIT_CONFIG_NOT_MONITORED

Dieser Detektor prüft, ob Änderungen an der Audit-Konfiguration überwacht werden.

BUCKET_IAM_NOT_MONITORED

Dieser Detektor prüft, ob die Protokollierung für Änderungen an IAM-Berechtigungen in Cloud Storage deaktiviert ist.

PUBLIC_SQL_INSTANCE

Mit diesem Detektor wird geprüft, ob eine Cloud SQL-Instanz Verbindungen von allen IP-Adressen zulässt.

AUTO_BACKUP_DISABLED

Dieser Detektor prüft, ob für eine Cloud SQL-Datenbank keine automatischen Sicherungen aktiviert sind.

DATAPROC_CMEK_DISABLED

Dieser Detektor prüft, ob die CMEK-Unterstützung für einen Dataproc-Cluster deaktiviert ist.

LOG_NOT_EXPORTED

Dieser Detektor prüft, ob für eine Ressource keine Logsenke konfiguriert ist.

KMS_PROJECT_HAS_OWNER

Mit diesem Detector wird geprüft, ob ein Nutzer die Berechtigung Inhaber für ein Projekt mit Schlüsseln hat.

KMS_ROLE_SEPARATION

Dieser Detektor prüft die Aufgabenverteilung für Cloud KMS-Schlüssel.

API_KEY_APIS_UNRESTRICTED

Dieser Detektor prüft, ob API-Schlüssel zu häufig verwendet werden.

SQL_LOG_MIN_MESSAGES

Dieser Prüfmechanismus prüft, ob das Flag log_min_messages in Cloud SQL for PostgreSQL nicht auf warning gesetzt ist.

SQL_PUBLIC_IP

Dieser Detector prüft, ob eine Cloud SQL-Datenbank eine externe IP-Adresse hat.

DATASET_CMEK_DISABLED

Dieser Detector prüft, ob die CMEK-Unterstützung für ein BigQuery-Dataset deaktiviert ist.

FIREWALL_NOT_MONITORED

Dieser Prüfmechanismus prüft, ob Logmesswerte und Benachrichtigungen nicht für das Monitoring von Änderungen an VPC-Firewallregeln konfiguriert sind.

SQL_LOG_STATEMENT

Dieser Prüfmechanismus prüft, ob das Flag log_statement in Cloud SQL for PostgreSQL Server nicht auf ddl gesetzt ist.

BIGQUERY_TABLE_CMEK_DISABLED

Dieser Prüfmechanismus prüft, ob eine BigQuery-Tabelle nicht für die Verwendung eines vom Kunden verwalteten Verschlüsselungsschlüssels (CMEK) konfiguriert ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Datasets.

CONFIDENTIAL_COMPUTING_DISABLED

Dieser Detektor prüft, ob Confidential Computing deaktiviert ist.

SQL_INSTANCE_NOT_MONITORED

Mit diesem Detektor wird geprüft, ob das Logging für Änderungen an der Cloud SQL-Konfiguration deaktiviert ist.

KMS_PUBLIC_KEY

Dieser Detector prüft, ob ein kryptografischer Cloud Key Management Service-Schlüssel öffentlich zugänglich ist. Weitere Informationen finden Sie unter Ergebnisse zu KMS-Sicherheitslücken.

DEFAULT_NETWORK

Dieser Detektor prüft, ob das Standardnetzwerk in einem Projekt vorhanden ist.

SQL_TRACE_FLAG_3625

Dieser Prüfmechanismus prüft, ob das Flag 3625 (trace flag) in Cloud SQL for SQL Server deaktiviert ist.

API_KEY_NOT_ROTATED

Dieser Detektor prüft, ob ein API-Schlüssel innerhalb der letzten 90 Tage rotiert wurde.

DNSSEC_DISABLED

Dieser Detektor prüft, ob die DNS-Sicherheit (DNSSEC) für Cloud DNS deaktiviert ist. Weitere Informationen finden Sie unter Ergebnisse zu DNS-Sicherheitslücken.

SQL_LOG_CONNECTIONS_DISABLED

Dieser Prüfmechanismus prüft, ob das Flag log_connections in Cloud SQL for PostgreSQL deaktiviert ist.

LEGACY_NETWORK

Dieser Detektor prüft, ob ein Legacy-Netzwerk in einem Projekt vorhanden ist.

PUBLIC_IP_ADDRESS

Dieser Detektor prüft, ob eine Instanz eine externe IP-Adresse hat.

FULL_API_ACCESS

Dieser Prüfmechanismus prüft, ob für eine Instanz ein Standarddienstkonto mit uneingeschränktem Zugriff auf alle Google Cloud APIs verwendet wird.

SQL_CONTAINED_DATABASE_AUTHENTICATION

Dieser Prüfer prüft, ob das Flag contained database authentication in Cloud SQL for SQL Server nicht deaktiviert ist.

OS_LOGIN_DISABLED

Dieser Detektor prüft, ob OS Login deaktiviert ist.

SQL_USER_OPTIONS_CONFIGURED

Dieser Prüfmechanismus prüft, ob das Flag user options in Cloud SQL for SQL Server konfiguriert ist.

ADMIN_SERVICE_ACCOUNT

Dieser Prüfmechanismus prüft, ob ein Dienstkonto die Berechtigungen Administrator, Inhaber oder Bearbeiter hat.

DEFAULT_SERVICE_ACCOUNT_USED

Dieser Detector prüft, ob das Standarddienstkonto verwendet wird.

NETWORK_NOT_MONITORED

Dieser Prüfmechanismus prüft, ob Logmesswerte und Benachrichtigungen nicht für das Monitoring von Änderungen am VPC-Netzwerk konfiguriert sind.

PUBLIC_BUCKET_ACL

Dieser Detektor prüft, ob ein Bucket öffentlich zugänglich ist.

CUSTOM_ROLE_NOT_MONITORED

Dieser Detektor prüft, ob die Protokollierung für Änderungen an benutzerdefinierten Rollen deaktiviert ist.

SQL_LOG_ERROR_VERBOSITY

Dieser Prüfmechanismus prüft, ob das Flag log_error_verbosity in Cloud SQL for PostgreSQL nicht auf default gesetzt ist.

LOAD_BALANCER_LOGGING_DISABLED

Dieser Detektor prüft, ob die Protokollierung für den Load Balancer deaktiviert ist.

OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Dieser Prüfmechanismus prüft, ob ein Nutzer Dienstkontorollen auf Projektebene und nicht für ein bestimmtes Dienstkonto hat.

SQL_REMOTE_ACCESS_ENABLED

Dieser Prüfer prüft, ob das Flag remote_access in Cloud SQL for SQL Server nicht deaktiviert ist.

RSASHA1_FOR_SIGNING

Dieser Detektor prüft, ob RSASHA1 für die Schlüsselsignierung in Cloud DNS-Zonen verwendet wird.

CLOUD_ASSET_API_DISABLED

Dieser Detektor prüft, ob Cloud Asset Inventory deaktiviert ist.

BUCKET_POLICY_ONLY_DISABLED

Dieser Detektor prüft, ob der einheitliche Zugriff auf Bucket-Ebene konfiguriert ist.

ROUTE_NOT_MONITORED

Dieser Detektor prüft, ob Logmesswerte und Benachrichtigungen nicht für das Monitoring von Änderungen an der VPC-Netzwerkroute konfiguriert sind.

OWNER_NOT_MONITORED

Mit diesem Detektor wird geprüft, ob die Protokollierung für Zuweisungen und Änderungen der Projektinhaberschaft deaktiviert ist.

Vorlage für den Sicherheitsstatus ansehen

So rufen Sie die Vorlage für die Risikobewertung für ISO 27001 auf:

gcloud

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • ORGANIZATION_ID: die numerische ID der Organisation

Führen Sie den Befehl gcloud scc posture-templates describe aus:

Linux, macOS oder Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001

Die Antwort enthält die Vorlage für die Bewertung.

REST

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • ORGANIZATION_ID: die numerische ID der Organisation

HTTP-Methode und URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort enthält die Vorlage für die Bewertung.

Nächste Schritte