Halaman ini menjelaskan kebijakan detektif yang disertakan dalam versi v1.0 template postur yang telah ditentukan sebelumnya untuk standar Organisasi Internasional untuk Standar (ISO) 27001. Template ini mencakup kumpulan kebijakan yang menentukan detektor Security Health Analytics yang berlaku untuk workload yang harus mematuhi standar ISO 27001.
Anda dapat men-deploy template postur ini tanpa melakukan perubahan apa pun.
Pendeteksi Security Health Analytics
Tabel berikut menjelaskan detektor Security Health Analytics yang disertakan dalam template postur ini.
| Nama pendeteksi | Deskripsi |
|---|---|
SQL_CROSS_DB_OWNERSHIP_CHAINING |
Detektor ini memeriksa apakah flag |
INSTANCE_OS_LOGIN_DISABLED |
Pendeteksi ini memeriksa apakah Login OS tidak diaktifkan. |
SQL_SKIP_SHOW_DATABASE_DISABLED |
Detektor ini memeriksa apakah flag |
ESSENTIAL_CONTACTS_NOT_CONFIGURED |
Pendeteksi ini memeriksa apakah Anda memiliki setidaknya satu Kontak Penting. |
AUDIT_LOGGING_DISABLED |
Pendeteksi ini memeriksa apakah logging audit dinonaktifkan untuk suatu resource. |
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED |
Pendeteksi ini memeriksa apakah Log Aliran VPC tidak diaktifkan. |
API_KEY_EXISTS |
Pendeteksi ini memeriksa apakah project menggunakan kunci API, bukan autentikasi standar. |
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY |
Detektor ini memeriksa apakah flag |
LOCKED_RETENTION_POLICY_NOT_SET |
Pendeteksi ini memeriksa apakah kebijakan retensi yang terkunci disetel untuk log. |
SQL_LOG_DISCONNECTIONS_DISABLED |
Detektor ini memeriksa apakah tanda |
COMPUTE_SERIAL_PORTS_ENABLED |
Pendeteksi ini memeriksa apakah port serial diaktifkan. |
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
Detektor ini memeriksa apakah kunci SSH di seluruh project sedang digunakan. |
KMS_KEY_NOT_ROTATED |
Detektor ini memeriksa apakah rotasi untuk enkripsi Cloud Key Management Service tidak diaktifkan. |
DNS_LOGGING_DISABLED |
Detektor ini memeriksa apakah logging DNS diaktifkan di jaringan VPC. |
SQL_LOCAL_INFILE |
Detektor ini memeriksa apakah flag |
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED |
Detektor ini memeriksa apakah flag |
PUBLIC_DATASET |
Detektor ini memeriksa apakah set data dikonfigurasi agar terbuka untuk akses publik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan set data. |
DISK_CSEK_DISABLED |
Pendeteksi ini memeriksa apakah dukungan kunci enkripsi yang disediakan pelanggan (CSEK) dinonaktifkan untuk VM. |
SQL_USER_CONNECTIONS_CONFIGURED |
Detektor ini memeriksa apakah flag |
SERVICE_ACCOUNT_ROLE_SEPARATION |
Pendeteksi ini memeriksa pemisahan tugas untuk kunci akun layanan. |
AUDIT_CONFIG_NOT_MONITORED |
Pendeteksi ini memeriksa apakah perubahan konfigurasi audit sedang dipantau. |
BUCKET_IAM_NOT_MONITORED |
Pendeteksi ini memeriksa apakah logging dinonaktifkan untuk perubahan izin IAM di Cloud Storage. |
PUBLIC_SQL_INSTANCE |
Detektor ini memeriksa apakah Cloud SQL mengizinkan koneksi dari semua alamat IP. |
AUTO_BACKUP_DISABLED |
Detektor ini memeriksa apakah database Cloud SQL tidak mengaktifkan pencadangan otomatis. |
DATAPROC_CMEK_DISABLED |
Detektor ini memeriksa apakah dukungan CMEK dinonaktifkan untuk cluster Dataproc. |
LOG_NOT_EXPORTED |
Detektor ini memeriksa apakah resource tidak memiliki sink log yang dikonfigurasi. |
KMS_PROJECT_HAS_OWNER |
Pendeteksi ini memeriksa apakah pengguna memiliki izin Pemilik di project yang menyertakan kunci. |
KMS_ROLE_SEPARATION |
Detektor ini memeriksa pemisahan tugas untuk kunci Cloud KMS. |
API_KEY_APIS_UNRESTRICTED |
Pendeteksi ini memeriksa apakah kunci API digunakan terlalu luas. |
SQL_LOG_MIN_MESSAGES |
Detektor ini memeriksa apakah flag |
SQL_PUBLIC_IP |
Pendeteksi ini memeriksa apakah database Cloud SQL memiliki alamat IP eksternal atau tidak. |
DATASET_CMEK_DISABLED |
Pendeteksi ini memeriksa apakah dukungan CMEK dinonaktifkan untuk set data BigQuery. |
FIREWALL_NOT_MONITORED |
Pendeteksi ini memeriksa apakah notifikasi dan metrik log tidak dikonfigurasi untuk memantau perubahan aturan firewall VPC. |
SQL_LOG_STATEMENT |
Detektor ini memeriksa apakah tanda |
BIGQUERY_TABLE_CMEK_DISABLED |
Pendeteksi ini memeriksa apakah tabel BigQuery tidak dikonfigurasi untuk menggunakan kunci enkripsi yang dikelola pelanggan (CMEK). Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan set data. |
CONFIDENTIAL_COMPUTING_DISABLED |
Pendeteksi ini memeriksa apakah Confidential Computing dinonaktifkan. |
SQL_INSTANCE_NOT_MONITORED |
Pendeteksi ini memeriksa apakah logging dinonaktifkan untuk perubahan konfigurasi Cloud SQL. |
KMS_PUBLIC_KEY |
Pendeteksi ini memeriksa apakah kunci kriptografis Cloud Key Management Service dapat diakses secara publik. Untuk informasi selengkapnya, lihat Temuan kerentanan KMS. |
DEFAULT_NETWORK |
Pendeteksi ini memeriksa apakah jaringan default ada dalam project. |
SQL_TRACE_FLAG_3625 |
Detektor ini memeriksa apakah flag |
API_KEY_NOT_ROTATED |
Pendeteksi ini memeriksa apakah kunci API telah dirotasi dalam 90 hari terakhir. |
DNSSEC_DISABLED |
Detektor ini memeriksa apakah keamanan DNS (DNSSEC) dinonaktifkan untuk Cloud DNS. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan DNS. |
SQL_LOG_CONNECTIONS_DISABLED |
Detektor ini memeriksa apakah tanda |
LEGACY_NETWORK |
Detektor ini memeriksa apakah jaringan lama ada dalam project. |
PUBLIC_IP_ADDRESS |
Pendeteksi ini memeriksa apakah instance memiliki alamat IP eksternal atau tidak. |
FULL_API_ACCESS |
Pendeteksi ini memeriksa apakah instance menggunakan akun layanan default dengan akses penuh ke semua Google Cloud API. |
SQL_CONTAINED_DATABASE_AUTHENTICATION |
Detektor ini memeriksa apakah flag |
OS_LOGIN_DISABLED |
Pendeteksi ini memeriksa apakah Login OS dinonaktifkan. |
SQL_USER_OPTIONS_CONFIGURED |
Detektor ini memeriksa apakah flag |
ADMIN_SERVICE_ACCOUNT |
Pendeteksi ini memeriksa apakah akun layanan memiliki hak istimewa Admin, Pemilik, atau Editor. |
DEFAULT_SERVICE_ACCOUNT_USED |
Pendeteksi ini memeriksa apakah akun layanan default digunakan. |
NETWORK_NOT_MONITORED |
Pendeteksi ini memeriksa apakah pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan jaringan VPC. |
PUBLIC_BUCKET_ACL |
Pendeteksi ini memeriksa apakah bucket dapat diakses secara publik. |
CUSTOM_ROLE_NOT_MONITORED |
Pendeteksi ini memeriksa apakah logging dinonaktifkan untuk perubahan peran khusus. |
SQL_LOG_ERROR_VERBOSITY |
Detektor ini memeriksa apakah flag |
LOAD_BALANCER_LOGGING_DISABLED |
Detektor ini memeriksa apakah logging dinonaktifkan untuk load balancer. |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
Pendeteksi ini memeriksa apakah pengguna memiliki peran akun layanan di level project, bukan untuk akun layanan tertentu. |
SQL_REMOTE_ACCESS_ENABLED |
Detektor ini memeriksa apakah flag |
RSASHA1_FOR_SIGNING |
Detektor ini memeriksa apakah RSASHA1 digunakan untuk penandatanganan kunci di zona Cloud DNS. |
CLOUD_ASSET_API_DISABLED |
Pendeteksi ini memeriksa apakah Inventaris Aset Cloud dinonaktifkan. |
BUCKET_POLICY_ONLY_DISABLED |
Pendeteksi ini memeriksa apakah akses level bucket yang seragam dikonfigurasi. |
ROUTE_NOT_MONITORED |
Pendeteksi ini memeriksa apakah pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan rute jaringan VPC. |
OWNER_NOT_MONITORED |
Pendeteksi ini memeriksa apakah logging dinonaktifkan untuk penetapan dan perubahan kepemilikan project. |
Definisi YAML
Berikut adalah definisi YAML untuk template postur untuk ISO 27001.
name: organizations/123/locations/global/postureTemplates/iso_27001
description: Posture Template to make your workload ISO-27001 compliant.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: ISO-27001 detective policy set
description: 63 SHA modules that new customers can automatically enable.
policies:
- policy_id: SQL cross DB ownership chaining
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_CROSS_DB_OWNERSHIP_CHAINING
- policy_id: Instance OS login disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: INSTANCE_OS_LOGIN_DISABLED
- policy_id: SQL skip show database disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_SKIP_SHOW_DATABASE_DISABLED
- policy_id: Essential contacts not configured
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ESSENTIAL_CONTACTS_NOT_CONFIGURED
- policy_id: Audit logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUDIT_LOGGING_DISABLED
- policy_id: VPC flow logs settings not recommended
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED
- policy_id: API key exists
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: API_KEY_EXISTS
- policy_id: SQL log min error statement severity
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY
- policy_id: Locked retention policy not set
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LOCKED_RETENTION_POLICY_NOT_SET
- policy_id: SQL log disconnections disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_DISCONNECTIONS_DISABLED
- policy_id: Compute serial ports enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: COMPUTE_SERIAL_PORTS_ENABLED
- policy_id: Compute project wide ssh keys allowed
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED
- policy_id: KMS key not rotated
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_KEY_NOT_ROTATED
- policy_id: DNS logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DNS_LOGGING_DISABLED
- policy_id: SQL local infile
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOCAL_INFILE
- policy_id: SQL log min duration statement enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_MIN_DURATION_STATEMENT_ENABLED
- policy_id: Public dataset
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_DATASET
- policy_id: Disk CSEK disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DISK_CSEK_DISABLED
- policy_id: SQL user connections configured
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_USER_CONNECTIONS_CONFIGURED
- policy_id: Service account role separation
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SERVICE_ACCOUNT_ROLE_SEPARATION
- policy_id: Audit config not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUDIT_CONFIG_NOT_MONITORED
- policy_id: Bucket IAM not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_IAM_NOT_MONITORED
- policy_id: Public SQL instance
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_SQL_INSTANCE
- policy_id: Auto backup disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUTO_BACKUP_DISABLED
- policy_id: Dataproc CMEK disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DATAPROC_CMEK_DISABLED
- policy_id: Log not exported
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LOG_NOT_EXPORTED
- policy_id: KMS project has owner
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_PROJECT_HAS_OWNER
- policy_id: KMS role separation
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_ROLE_SEPARATION
- policy_id: API key APIs unrestricted
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: API_KEY_APIS_UNRESTRICTED
- policy_id: SQL log min messages
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_MIN_MESSAGES
- policy_id: SQL public IP
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_PUBLIC_IP
- policy_id: Dataset CMEK disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DATASET_CMEK_DISABLED
- policy_id: Firewall not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FIREWALL_NOT_MONITORED
- policy_id: SQL log statement
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_STATEMENT
- policy_id: BigQuery table CMEK disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BIGQUERY_TABLE_CMEK_DISABLED
- policy_id: Confidential computing disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CONFIDENTIAL_COMPUTING_DISABLED
- policy_id: SQL instance not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_INSTANCE_NOT_MONITORED
- policy_id: KMS public key
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_PUBLIC_KEY
- policy_id: Default network
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DEFAULT_NETWORK
- policy_id: SQL trace flag 3625
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_TRACE_FLAG_3625
- policy_id: API key not rotated
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: API_KEY_NOT_ROTATED
- policy_id: DNSSEC disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DNSSEC_DISABLED
- policy_id: SQL log connections disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_CONNECTIONS_DISABLED
- policy_id: Legacy network
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LEGACY_NETWORK
- policy_id: Public IP address
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_IP_ADDRESS
- policy_id: Full API access
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FULL_API_ACCESS
- policy_id: SQL contained database authentication
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_CONTAINED_DATABASE_AUTHENTICATION
- policy_id: OS login disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OS_LOGIN_DISABLED
- policy_id: SQL user options configured
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_USER_OPTIONS_CONFIGURED
- policy_id: Admin service account
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ADMIN_SERVICE_ACCOUNT
- policy_id: Default service account used
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DEFAULT_SERVICE_ACCOUNT_USED
- policy_id: Network not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: NETWORK_NOT_MONITORED
- policy_id: Public bucket ACL
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_BUCKET_ACL
- policy_id: Custom role not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CUSTOM_ROLE_NOT_MONITORED
- policy_id: SQL log error verbosity
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_ERROR_VERBOSITY
- policy_id: Load balancer logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LOAD_BALANCER_LOGGING_DISABLED
- policy_id: Over privileged service account user
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OVER_PRIVILEGED_SERVICE_ACCOUNT_USER
- policy_id: SQL remote access enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_REMOTE_ACCESS_ENABLED
- policy_id: RSASHA1 for signing
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: RSASHA1_FOR_SIGNING
- policy_id: Cloud asset API disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CLOUD_ASSET_API_DISABLED
- policy_id: Bucket policy only disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_POLICY_ONLY_DISABLED
- policy_id: Route not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ROUTE_NOT_MONITORED
- policy_id: Owner not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OWNER_NOT_MONITORED