Halaman ini menjelaskan kebijakan detektif yang disertakan dalam template postur standar yang telah ditentukan sebelumnya versi v1.0 untuk standar Organisasi Internasional untuk Standar (ISO) 27001. Template ini menyertakan kumpulan kebijakan yang menentukan detektor Security Health Analytics yang berlaku untuk workload yang harus mematuhi standar ISO 27001.
Anda dapat men-deploy template postur ini tanpa melakukan perubahan apa pun.
Detektor Security Health Analytics
Tabel berikut menjelaskan detektor Security Health Analytics yang disertakan dalam template postur ini.
Nama pendeteksi | Deskripsi |
---|---|
SQL_CROSS_DB_OWNERSHIP_CHAINING |
Detektor ini memeriksa apakah flag |
INSTANCE_OS_LOGIN_DISABLED |
Detektor ini memeriksa apakah Login OS tidak diaktifkan. |
SQL_SKIP_SHOW_DATABASE_DISABLED |
Detektor ini memeriksa apakah tanda |
ESSENTIAL_CONTACTS_NOT_CONFIGURED |
Detektor ini memeriksa apakah Anda memiliki setidaknya satu Kontak Penting. |
AUDIT_LOGGING_DISABLED |
Detektor ini memeriksa apakah logging audit dinonaktifkan untuk resource. |
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED |
Detektor ini memeriksa apakah Log Aliran VPC tidak diaktifkan. |
API_KEY_EXISTS |
Detektor ini memeriksa apakah project menggunakan kunci API, bukan autentikasi standar. |
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY |
Detektor ini memeriksa apakah tanda |
LOCKED_RETENTION_POLICY_NOT_SET |
Detektor ini memeriksa apakah kebijakan retensi terkunci ditetapkan untuk log. |
SQL_LOG_DISCONNECTIONS_DISABLED |
Detektor ini memeriksa apakah tanda |
COMPUTE_SERIAL_PORTS_ENABLED |
Detektor ini memeriksa apakah port serial diaktifkan. |
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
Detektor ini memeriksa apakah kunci SSH di seluruh project sedang digunakan. |
KMS_KEY_NOT_ROTATED |
Detektor ini memeriksa apakah rotasi untuk enkripsi Cloud Key Management Service tidak diaktifkan. |
DNS_LOGGING_DISABLED |
Detektor ini memeriksa apakah logging DNS diaktifkan di jaringan VPC. |
SQL_LOCAL_INFILE |
Detektor ini memeriksa apakah flag |
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED |
Detektor ini memeriksa apakah flag |
PUBLIC_DATASET |
Detektor ini memeriksa apakah set data dikonfigurasi agar terbuka untuk akses publik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan set data. |
DISK_CSEK_DISABLED |
Detektor ini memeriksa apakah dukungan kunci enkripsi yang disediakan pelanggan (CSEK) dinonaktifkan untuk VM. |
SQL_USER_CONNECTIONS_CONFIGURED |
Detektor ini memeriksa apakah flag |
SERVICE_ACCOUNT_ROLE_SEPARATION |
Detektor ini memeriksa pemisahan tugas untuk kunci akun layanan. |
AUDIT_CONFIG_NOT_MONITORED |
Detektor ini memeriksa apakah perubahan konfigurasi audit sedang dipantau. |
BUCKET_IAM_NOT_MONITORED |
Detektor ini memeriksa apakah logging dinonaktifkan untuk perubahan izin IAM di Cloud Storage. |
PUBLIC_SQL_INSTANCE |
Detektor ini memeriksa apakah Cloud SQL mengizinkan koneksi dari semua alamat IP. |
AUTO_BACKUP_DISABLED |
Detektor ini memeriksa apakah database Cloud SQL tidak mengaktifkan pencadangan otomatis. |
DATAPROC_CMEK_DISABLED |
Detektor ini memeriksa apakah dukungan CMEK dinonaktifkan untuk cluster Dataproc. |
LOG_NOT_EXPORTED |
Detektor ini memeriksa apakah resource tidak memiliki sink log yang dikonfigurasi. |
KMS_PROJECT_HAS_OWNER |
Detektor ini memeriksa apakah pengguna memiliki izin Pemilik di project yang menyertakan kunci. |
KMS_ROLE_SEPARATION |
Pendeteksi ini memeriksa pemisahan tugas untuk kunci Cloud KMS. |
API_KEY_APIS_UNRESTRICTED |
Detektor ini memeriksa apakah kunci API digunakan terlalu luas. |
SQL_LOG_MIN_MESSAGES |
Detektor ini memeriksa apakah flag |
SQL_PUBLIC_IP |
Detektor ini memeriksa apakah database Cloud SQL memiliki alamat IP eksternal. |
DATASET_CMEK_DISABLED |
Detektor ini memeriksa apakah dukungan CMEK dinonaktifkan untuk set data BigQuery. |
FIREWALL_NOT_MONITORED |
Detektor ini memeriksa apakah metrik log dan pemberitahuan tidak dikonfigurasi untuk memantau perubahan aturan firewall VPC. |
SQL_LOG_STATEMENT |
Detektor ini memeriksa apakah tanda |
BIGQUERY_TABLE_CMEK_DISABLED |
Detektor ini memeriksa apakah tabel BigQuery tidak dikonfigurasi untuk menggunakan kunci enkripsi yang dikelola pelanggan (CMEK). Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan set data. |
CONFIDENTIAL_COMPUTING_DISABLED |
Detektor ini memeriksa apakah Confidential Computing dinonaktifkan. |
SQL_INSTANCE_NOT_MONITORED |
Detektor ini memeriksa apakah logging dinonaktifkan untuk perubahan konfigurasi Cloud SQL. |
KMS_PUBLIC_KEY |
Detektor ini memeriksa apakah kunci kriptografis Cloud Key Management Service dapat diakses secara publik. Untuk informasi selengkapnya, lihat Temuan kerentanan KMS. |
DEFAULT_NETWORK |
Detektor ini memeriksa apakah jaringan default ada dalam project. |
SQL_TRACE_FLAG_3625 |
Detektor ini memeriksa apakah flag |
API_KEY_NOT_ROTATED |
Detektor ini memeriksa apakah kunci API telah dirotasi dalam 90 hari terakhir. |
DNSSEC_DISABLED |
Detektor ini memeriksa apakah keamanan DNS (DNSSEC) dinonaktifkan untuk Cloud DNS. Untuk mengetahui informasi selengkapnya, lihat temuan kerentanan DNS. |
SQL_LOG_CONNECTIONS_DISABLED |
Detektor ini memeriksa apakah tanda |
LEGACY_NETWORK |
Detektor ini memeriksa apakah jaringan lama ada dalam project. |
PUBLIC_IP_ADDRESS |
Detektor ini memeriksa apakah instance memiliki alamat IP eksternal. |
FULL_API_ACCESS |
Detektor ini memeriksa apakah instance menggunakan akun layanan default dengan akses penuh ke semua Google Cloud API. |
SQL_CONTAINED_DATABASE_AUTHENTICATION |
Detektor ini memeriksa apakah flag |
OS_LOGIN_DISABLED |
Detektor ini memeriksa apakah Login OS dinonaktifkan. |
SQL_USER_OPTIONS_CONFIGURED |
Detektor ini memeriksa apakah flag |
ADMIN_SERVICE_ACCOUNT |
Detektor ini memeriksa apakah akun layanan memiliki hak istimewa Admin, Pemilik, atau Editor. |
DEFAULT_SERVICE_ACCOUNT_USED |
Detektor ini memeriksa apakah akun layanan default sedang digunakan. |
NETWORK_NOT_MONITORED |
Detektor ini memeriksa apakah metrik log dan pemberitahuan tidak dikonfigurasi untuk memantau perubahan jaringan VPC. |
PUBLIC_BUCKET_ACL |
Detektor ini memeriksa apakah bucket dapat diakses secara publik. |
CUSTOM_ROLE_NOT_MONITORED |
Detektor ini memeriksa apakah logging dinonaktifkan untuk perubahan peran kustom. |
SQL_LOG_ERROR_VERBOSITY |
Detektor ini memeriksa apakah flag |
LOAD_BALANCER_LOGGING_DISABLED |
Detektor ini memeriksa apakah logging dinonaktifkan untuk load balancer. |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
Detektor ini memeriksa apakah pengguna memiliki peran akun layanan di tingkat project, bukan untuk akun layanan tertentu. |
SQL_REMOTE_ACCESS_ENABLED |
Detektor ini memeriksa apakah flag |
RSASHA1_FOR_SIGNING |
Detektor ini memeriksa apakah RSASHA1 digunakan untuk penandatanganan kunci di zona Cloud DNS. |
CLOUD_ASSET_API_DISABLED |
Detektor ini memeriksa apakah Inventaris Aset Cloud dinonaktifkan. |
BUCKET_POLICY_ONLY_DISABLED |
Detektor ini memeriksa apakah akses level bucket yang seragam dikonfigurasi. |
ROUTE_NOT_MONITORED |
Detektor ini memeriksa apakah metrik log dan pemberitahuan tidak dikonfigurasi untuk memantau perubahan rute jaringan VPC. |
OWNER_NOT_MONITORED |
Detektor ini memeriksa apakah logging dinonaktifkan untuk penetapan dan perubahan kepemilikan project. |
Melihat template postur
Untuk melihat template postur untuk ISO 27001, lakukan tindakan berikut:
gcloud
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
-
ORGANIZATION_ID
: ID numerik organisasi
Jalankan perintah
gcloud scc posture-templates
describe
:
Linux, macOS, atau Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001
Respons berisi template postur.
REST
Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
-
ORGANIZATION_ID
: ID numerik organisasi
Metode HTTP dan URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001
Untuk mengirim permintaan, perluas salah satu opsi berikut:
Respons berisi template postur.