Template postur standar untuk ISO 27001

Halaman ini menjelaskan kebijakan detektif yang disertakan dalam template postur standar yang telah ditentukan sebelumnya versi v1.0 untuk standar Organisasi Internasional untuk Standar (ISO) 27001. Template ini menyertakan kumpulan kebijakan yang menentukan detektor Security Health Analytics yang berlaku untuk workload yang harus mematuhi standar ISO 27001.

Anda dapat men-deploy template postur ini tanpa melakukan perubahan apa pun.

Detektor Security Health Analytics

Tabel berikut menjelaskan detektor Security Health Analytics yang disertakan dalam template postur ini.

Nama pendeteksi Deskripsi
SQL_CROSS_DB_OWNERSHIP_CHAINING

Detektor ini memeriksa apakah flag cross_db_ownership_chaining di Cloud SQL untuk SQL Server tidak nonaktif.

INSTANCE_OS_LOGIN_DISABLED

Detektor ini memeriksa apakah Login OS tidak diaktifkan.

SQL_SKIP_SHOW_DATABASE_DISABLED

Detektor ini memeriksa apakah tanda skip_show_database di Cloud SQL untuk MySQL tidak aktif.

ESSENTIAL_CONTACTS_NOT_CONFIGURED

Detektor ini memeriksa apakah Anda memiliki setidaknya satu Kontak Penting.

AUDIT_LOGGING_DISABLED

Detektor ini memeriksa apakah logging audit dinonaktifkan untuk resource.

VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Detektor ini memeriksa apakah Log Aliran VPC tidak diaktifkan.

API_KEY_EXISTS

Detektor ini memeriksa apakah project menggunakan kunci API, bukan autentikasi standar.

SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

Detektor ini memeriksa apakah tanda log_min_error_statement di Cloud SQL untuk PostgreSQL tidak memiliki tingkat keparahan yang sesuai.

LOCKED_RETENTION_POLICY_NOT_SET

Detektor ini memeriksa apakah kebijakan retensi terkunci ditetapkan untuk log.

SQL_LOG_DISCONNECTIONS_DISABLED

Detektor ini memeriksa apakah tanda log_disconnections di Cloud SQL untuk PostgreSQL tidak aktif.

COMPUTE_SERIAL_PORTS_ENABLED

Detektor ini memeriksa apakah port serial diaktifkan.

COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

Detektor ini memeriksa apakah kunci SSH di seluruh project sedang digunakan.

KMS_KEY_NOT_ROTATED

Detektor ini memeriksa apakah rotasi untuk enkripsi Cloud Key Management Service tidak diaktifkan.

DNS_LOGGING_DISABLED

Detektor ini memeriksa apakah logging DNS diaktifkan di jaringan VPC.

SQL_LOCAL_INFILE

Detektor ini memeriksa apakah flag local_infile di Cloud SQL untuk MySQL tidak dinonaktifkan.

SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

Detektor ini memeriksa apakah flag log_min_duration_statement di Cloud SQL untuk PostgreSQL tidak disetel ke -1.

PUBLIC_DATASET

Detektor ini memeriksa apakah set data dikonfigurasi agar terbuka untuk akses publik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan set data.

DISK_CSEK_DISABLED

Detektor ini memeriksa apakah dukungan kunci enkripsi yang disediakan pelanggan (CSEK) dinonaktifkan untuk VM.

SQL_USER_CONNECTIONS_CONFIGURED

Detektor ini memeriksa apakah flag user connections di Cloud SQL untuk SQL Server dikonfigurasi.

SERVICE_ACCOUNT_ROLE_SEPARATION

Detektor ini memeriksa pemisahan tugas untuk kunci akun layanan.

AUDIT_CONFIG_NOT_MONITORED

Detektor ini memeriksa apakah perubahan konfigurasi audit sedang dipantau.

BUCKET_IAM_NOT_MONITORED

Detektor ini memeriksa apakah logging dinonaktifkan untuk perubahan izin IAM di Cloud Storage.

PUBLIC_SQL_INSTANCE

Detektor ini memeriksa apakah Cloud SQL mengizinkan koneksi dari semua alamat IP.

AUTO_BACKUP_DISABLED

Detektor ini memeriksa apakah database Cloud SQL tidak mengaktifkan pencadangan otomatis.

DATAPROC_CMEK_DISABLED

Detektor ini memeriksa apakah dukungan CMEK dinonaktifkan untuk cluster Dataproc.

LOG_NOT_EXPORTED

Detektor ini memeriksa apakah resource tidak memiliki sink log yang dikonfigurasi.

KMS_PROJECT_HAS_OWNER

Detektor ini memeriksa apakah pengguna memiliki izin Pemilik di project yang menyertakan kunci.

KMS_ROLE_SEPARATION

Pendeteksi ini memeriksa pemisahan tugas untuk kunci Cloud KMS.

API_KEY_APIS_UNRESTRICTED

Detektor ini memeriksa apakah kunci API digunakan terlalu luas.

SQL_LOG_MIN_MESSAGES

Detektor ini memeriksa apakah flag log_min_messages di Cloud SQL untuk PostgreSQL tidak disetel ke warning.

SQL_PUBLIC_IP

Detektor ini memeriksa apakah database Cloud SQL memiliki alamat IP eksternal.

DATASET_CMEK_DISABLED

Detektor ini memeriksa apakah dukungan CMEK dinonaktifkan untuk set data BigQuery.

FIREWALL_NOT_MONITORED

Detektor ini memeriksa apakah metrik log dan pemberitahuan tidak dikonfigurasi untuk memantau perubahan aturan firewall VPC.

SQL_LOG_STATEMENT

Detektor ini memeriksa apakah tanda log_statement di Server Cloud SQL untuk PostgreSQL tidak disetel ke ddl.

BIGQUERY_TABLE_CMEK_DISABLED

Detektor ini memeriksa apakah tabel BigQuery tidak dikonfigurasi untuk menggunakan kunci enkripsi yang dikelola pelanggan (CMEK). Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan set data.

CONFIDENTIAL_COMPUTING_DISABLED

Detektor ini memeriksa apakah Confidential Computing dinonaktifkan.

SQL_INSTANCE_NOT_MONITORED

Detektor ini memeriksa apakah logging dinonaktifkan untuk perubahan konfigurasi Cloud SQL.

KMS_PUBLIC_KEY

Detektor ini memeriksa apakah kunci kriptografis Cloud Key Management Service dapat diakses secara publik. Untuk informasi selengkapnya, lihat Temuan kerentanan KMS.

DEFAULT_NETWORK

Detektor ini memeriksa apakah jaringan default ada dalam project.

SQL_TRACE_FLAG_3625

Detektor ini memeriksa apakah flag 3625 (trace flag) di Cloud SQL untuk SQL Server tidak aktif.

API_KEY_NOT_ROTATED

Detektor ini memeriksa apakah kunci API telah dirotasi dalam 90 hari terakhir.

DNSSEC_DISABLED

Detektor ini memeriksa apakah keamanan DNS (DNSSEC) dinonaktifkan untuk Cloud DNS. Untuk mengetahui informasi selengkapnya, lihat temuan kerentanan DNS.

SQL_LOG_CONNECTIONS_DISABLED

Detektor ini memeriksa apakah tanda log_connections di Cloud SQL untuk PostgreSQL tidak aktif.

LEGACY_NETWORK

Detektor ini memeriksa apakah jaringan lama ada dalam project.

PUBLIC_IP_ADDRESS

Detektor ini memeriksa apakah instance memiliki alamat IP eksternal.

FULL_API_ACCESS

Detektor ini memeriksa apakah instance menggunakan akun layanan default dengan akses penuh ke semua Google Cloud API.

SQL_CONTAINED_DATABASE_AUTHENTICATION

Detektor ini memeriksa apakah flag contained database authentication di Cloud SQL untuk SQL Server tidak nonaktif.

OS_LOGIN_DISABLED

Detektor ini memeriksa apakah Login OS dinonaktifkan.

SQL_USER_OPTIONS_CONFIGURED

Detektor ini memeriksa apakah flag user options di Cloud SQL untuk SQL Server dikonfigurasi.

ADMIN_SERVICE_ACCOUNT

Detektor ini memeriksa apakah akun layanan memiliki hak istimewa Admin, Pemilik, atau Editor.

DEFAULT_SERVICE_ACCOUNT_USED

Detektor ini memeriksa apakah akun layanan default sedang digunakan.

NETWORK_NOT_MONITORED

Detektor ini memeriksa apakah metrik log dan pemberitahuan tidak dikonfigurasi untuk memantau perubahan jaringan VPC.

PUBLIC_BUCKET_ACL

Detektor ini memeriksa apakah bucket dapat diakses secara publik.

CUSTOM_ROLE_NOT_MONITORED

Detektor ini memeriksa apakah logging dinonaktifkan untuk perubahan peran kustom.

SQL_LOG_ERROR_VERBOSITY

Detektor ini memeriksa apakah flag log_error_verbosity di Cloud SQL untuk PostgreSQL tidak disetel ke default.

LOAD_BALANCER_LOGGING_DISABLED

Detektor ini memeriksa apakah logging dinonaktifkan untuk load balancer.

OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Detektor ini memeriksa apakah pengguna memiliki peran akun layanan di tingkat project, bukan untuk akun layanan tertentu.

SQL_REMOTE_ACCESS_ENABLED

Detektor ini memeriksa apakah flag remote_access di Cloud SQL untuk SQL Server tidak nonaktif.

RSASHA1_FOR_SIGNING

Detektor ini memeriksa apakah RSASHA1 digunakan untuk penandatanganan kunci di zona Cloud DNS.

CLOUD_ASSET_API_DISABLED

Detektor ini memeriksa apakah Inventaris Aset Cloud dinonaktifkan.

BUCKET_POLICY_ONLY_DISABLED

Detektor ini memeriksa apakah akses level bucket yang seragam dikonfigurasi.

ROUTE_NOT_MONITORED

Detektor ini memeriksa apakah metrik log dan pemberitahuan tidak dikonfigurasi untuk memantau perubahan rute jaringan VPC.

OWNER_NOT_MONITORED

Detektor ini memeriksa apakah logging dinonaktifkan untuk penetapan dan perubahan kepemilikan project.

Melihat template postur

Untuk melihat template postur untuk ISO 27001, lakukan tindakan berikut:

gcloud

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • ORGANIZATION_ID: ID numerik organisasi

Jalankan perintah gcloud scc posture-templates describe:

Linux, macOS, atau Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001

Respons berisi template postur.

REST

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • ORGANIZATION_ID: ID numerik organisasi

Metode HTTP dan URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001

Untuk mengirim permintaan, perluas salah satu opsi berikut:

Respons berisi template postur.

Langkah selanjutnya