Template postur yang telah ditentukan sebelumnya untuk ISO 27001

Halaman ini menjelaskan kebijakan detektif yang disertakan dalam versi v1.0 template postur yang telah ditentukan sebelumnya untuk standar Organisasi Internasional untuk Standar (ISO) 27001. Template ini mencakup kumpulan kebijakan yang menentukan detektor Security Health Analytics yang berlaku untuk workload yang harus mematuhi standar ISO 27001.

Anda dapat men-deploy template postur ini tanpa melakukan perubahan apa pun.

Pendeteksi Security Health Analytics

Tabel berikut menjelaskan detektor Security Health Analytics yang disertakan dalam template postur ini.

Nama pendeteksi Deskripsi
SQL_CROSS_DB_OWNERSHIP_CHAINING

Detektor ini memeriksa apakah flag cross_db_ownership_chaining di Cloud SQL untuk SQL Server tidak nonaktif.

INSTANCE_OS_LOGIN_DISABLED

Pendeteksi ini memeriksa apakah Login OS tidak diaktifkan.

SQL_SKIP_SHOW_DATABASE_DISABLED

Detektor ini memeriksa apakah flag skip_show_database di Cloud SQL untuk MySQL tidak aktif.

ESSENTIAL_CONTACTS_NOT_CONFIGURED

Pendeteksi ini memeriksa apakah Anda memiliki setidaknya satu Kontak Penting.

AUDIT_LOGGING_DISABLED

Pendeteksi ini memeriksa apakah logging audit dinonaktifkan untuk suatu resource.

VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Pendeteksi ini memeriksa apakah Log Aliran VPC tidak diaktifkan.

API_KEY_EXISTS

Pendeteksi ini memeriksa apakah project menggunakan kunci API, bukan autentikasi standar.

SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

Detektor ini memeriksa apakah flag log_min_error_statement di Cloud SQL untuk PostgreSQL tidak memiliki tingkat keparahan yang sesuai.

LOCKED_RETENTION_POLICY_NOT_SET

Pendeteksi ini memeriksa apakah kebijakan retensi yang terkunci disetel untuk log.

SQL_LOG_DISCONNECTIONS_DISABLED

Detektor ini memeriksa apakah tanda log_disconnections di Cloud SQL untuk PostgreSQL tidak aktif.

COMPUTE_SERIAL_PORTS_ENABLED

Pendeteksi ini memeriksa apakah port serial diaktifkan.

COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

Detektor ini memeriksa apakah kunci SSH di seluruh project sedang digunakan.

KMS_KEY_NOT_ROTATED

Detektor ini memeriksa apakah rotasi untuk enkripsi Cloud Key Management Service tidak diaktifkan.

DNS_LOGGING_DISABLED

Detektor ini memeriksa apakah logging DNS diaktifkan di jaringan VPC.

SQL_LOCAL_INFILE

Detektor ini memeriksa apakah flag local_infile di Cloud SQL untuk MySQL aktif.

SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

Detektor ini memeriksa apakah flag log_min_duration_statement di Cloud SQL untuk PostgreSQL tidak ditetapkan ke -1.

PUBLIC_DATASET

Detektor ini memeriksa apakah set data dikonfigurasi agar terbuka untuk akses publik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan set data.

DISK_CSEK_DISABLED

Pendeteksi ini memeriksa apakah dukungan kunci enkripsi yang disediakan pelanggan (CSEK) dinonaktifkan untuk VM.

SQL_USER_CONNECTIONS_CONFIGURED

Detektor ini memeriksa apakah flag user connections di Cloud SQL untuk SQL Server dikonfigurasi.

SERVICE_ACCOUNT_ROLE_SEPARATION

Pendeteksi ini memeriksa pemisahan tugas untuk kunci akun layanan.

AUDIT_CONFIG_NOT_MONITORED

Pendeteksi ini memeriksa apakah perubahan konfigurasi audit sedang dipantau.

BUCKET_IAM_NOT_MONITORED

Pendeteksi ini memeriksa apakah logging dinonaktifkan untuk perubahan izin IAM di Cloud Storage.

PUBLIC_SQL_INSTANCE

Detektor ini memeriksa apakah Cloud SQL mengizinkan koneksi dari semua alamat IP.

AUTO_BACKUP_DISABLED

Detektor ini memeriksa apakah database Cloud SQL tidak mengaktifkan pencadangan otomatis.

DATAPROC_CMEK_DISABLED

Detektor ini memeriksa apakah dukungan CMEK dinonaktifkan untuk cluster Dataproc.

LOG_NOT_EXPORTED

Detektor ini memeriksa apakah resource tidak memiliki sink log yang dikonfigurasi.

KMS_PROJECT_HAS_OWNER

Pendeteksi ini memeriksa apakah pengguna memiliki izin Pemilik di project yang menyertakan kunci.

KMS_ROLE_SEPARATION

Detektor ini memeriksa pemisahan tugas untuk kunci Cloud KMS.

API_KEY_APIS_UNRESTRICTED

Pendeteksi ini memeriksa apakah kunci API digunakan terlalu luas.

SQL_LOG_MIN_MESSAGES

Detektor ini memeriksa apakah flag log_min_messages di Cloud SQL untuk PostgreSQL tidak ditetapkan ke warning.

SQL_PUBLIC_IP

Pendeteksi ini memeriksa apakah database Cloud SQL memiliki alamat IP eksternal atau tidak.

DATASET_CMEK_DISABLED

Pendeteksi ini memeriksa apakah dukungan CMEK dinonaktifkan untuk set data BigQuery.

FIREWALL_NOT_MONITORED

Pendeteksi ini memeriksa apakah notifikasi dan metrik log tidak dikonfigurasi untuk memantau perubahan aturan firewall VPC.

SQL_LOG_STATEMENT

Detektor ini memeriksa apakah tanda log_statement di Cloud SQL untuk PostgreSQL Server tidak ditetapkan ke ddl.

BIGQUERY_TABLE_CMEK_DISABLED

Pendeteksi ini memeriksa apakah tabel BigQuery tidak dikonfigurasi untuk menggunakan kunci enkripsi yang dikelola pelanggan (CMEK). Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan set data.

CONFIDENTIAL_COMPUTING_DISABLED

Pendeteksi ini memeriksa apakah Confidential Computing dinonaktifkan.

SQL_INSTANCE_NOT_MONITORED

Pendeteksi ini memeriksa apakah logging dinonaktifkan untuk perubahan konfigurasi Cloud SQL.

KMS_PUBLIC_KEY

Pendeteksi ini memeriksa apakah kunci kriptografis Cloud Key Management Service dapat diakses secara publik. Untuk informasi selengkapnya, lihat Temuan kerentanan KMS.

DEFAULT_NETWORK

Pendeteksi ini memeriksa apakah jaringan default ada dalam project.

SQL_TRACE_FLAG_3625

Detektor ini memeriksa apakah flag 3625 (trace flag) di Cloud SQL untuk SQL Server tidak aktif.

API_KEY_NOT_ROTATED

Pendeteksi ini memeriksa apakah kunci API telah dirotasi dalam 90 hari terakhir.

DNSSEC_DISABLED

Detektor ini memeriksa apakah keamanan DNS (DNSSEC) dinonaktifkan untuk Cloud DNS. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan DNS.

SQL_LOG_CONNECTIONS_DISABLED

Detektor ini memeriksa apakah tanda log_connections di Cloud SQL untuk PostgreSQL tidak aktif.

LEGACY_NETWORK

Detektor ini memeriksa apakah jaringan lama ada dalam project.

PUBLIC_IP_ADDRESS

Pendeteksi ini memeriksa apakah instance memiliki alamat IP eksternal atau tidak.

FULL_API_ACCESS

Pendeteksi ini memeriksa apakah instance menggunakan akun layanan default dengan akses penuh ke semua Google Cloud API.

SQL_CONTAINED_DATABASE_AUTHENTICATION

Detektor ini memeriksa apakah flag contained database authentication di Cloud SQL untuk SQL Server tidak nonaktif.

OS_LOGIN_DISABLED

Pendeteksi ini memeriksa apakah Login OS dinonaktifkan.

SQL_USER_OPTIONS_CONFIGURED

Detektor ini memeriksa apakah flag user options di Cloud SQL untuk SQL Server dikonfigurasi.

ADMIN_SERVICE_ACCOUNT

Pendeteksi ini memeriksa apakah akun layanan memiliki hak istimewa Admin, Pemilik, atau Editor.

DEFAULT_SERVICE_ACCOUNT_USED

Pendeteksi ini memeriksa apakah akun layanan default digunakan.

NETWORK_NOT_MONITORED

Pendeteksi ini memeriksa apakah pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan jaringan VPC.

PUBLIC_BUCKET_ACL

Pendeteksi ini memeriksa apakah bucket dapat diakses secara publik.

CUSTOM_ROLE_NOT_MONITORED

Pendeteksi ini memeriksa apakah logging dinonaktifkan untuk perubahan peran khusus.

SQL_LOG_ERROR_VERBOSITY

Detektor ini memeriksa apakah flag log_error_verbosity di Cloud SQL untuk PostgreSQL tidak ditetapkan ke default.

LOAD_BALANCER_LOGGING_DISABLED

Detektor ini memeriksa apakah logging dinonaktifkan untuk load balancer.

OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Pendeteksi ini memeriksa apakah pengguna memiliki peran akun layanan di level project, bukan untuk akun layanan tertentu.

SQL_REMOTE_ACCESS_ENABLED

Detektor ini memeriksa apakah flag remote_access di Cloud SQL untuk SQL Server tidak nonaktif.

RSASHA1_FOR_SIGNING

Detektor ini memeriksa apakah RSASHA1 digunakan untuk penandatanganan kunci di zona Cloud DNS.

CLOUD_ASSET_API_DISABLED

Pendeteksi ini memeriksa apakah Inventaris Aset Cloud dinonaktifkan.

BUCKET_POLICY_ONLY_DISABLED

Pendeteksi ini memeriksa apakah akses level bucket yang seragam dikonfigurasi.

ROUTE_NOT_MONITORED

Pendeteksi ini memeriksa apakah pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan rute jaringan VPC.

OWNER_NOT_MONITORED

Pendeteksi ini memeriksa apakah logging dinonaktifkan untuk penetapan dan perubahan kepemilikan project.

Definisi YAML

Berikut adalah definisi YAML untuk template postur untuk ISO 27001.

name: organizations/123/locations/global/postureTemplates/iso_27001
description: Posture Template to make your workload ISO-27001 compliant.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: ISO-27001 detective policy set
  description: 63 SHA modules that new customers can automatically enable.
  policies:
  - policy_id: SQL cross DB ownership chaining
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_CROSS_DB_OWNERSHIP_CHAINING
  - policy_id: Instance OS login disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: INSTANCE_OS_LOGIN_DISABLED
  - policy_id: SQL skip show database disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_SKIP_SHOW_DATABASE_DISABLED
  - policy_id: Essential contacts not configured
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: ESSENTIAL_CONTACTS_NOT_CONFIGURED
  - policy_id: Audit logging disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: AUDIT_LOGGING_DISABLED
  - policy_id: VPC flow logs settings not recommended
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED
  - policy_id: API key exists
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: API_KEY_EXISTS
  - policy_id: SQL log min error statement severity
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY
  - policy_id: Locked retention policy not set
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: LOCKED_RETENTION_POLICY_NOT_SET
  - policy_id: SQL log disconnections disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_LOG_DISCONNECTIONS_DISABLED
  - policy_id: Compute serial ports enabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: COMPUTE_SERIAL_PORTS_ENABLED
  - policy_id: Compute project wide ssh keys allowed
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED
  - policy_id: KMS key not rotated
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: KMS_KEY_NOT_ROTATED
  - policy_id: DNS logging disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: DNS_LOGGING_DISABLED
  - policy_id: SQL local infile
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_LOCAL_INFILE
  - policy_id: SQL log min duration statement enabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_LOG_MIN_DURATION_STATEMENT_ENABLED
  - policy_id: Public dataset
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: PUBLIC_DATASET
  - policy_id: Disk CSEK disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: DISK_CSEK_DISABLED
  - policy_id: SQL user connections configured
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_USER_CONNECTIONS_CONFIGURED
  - policy_id: Service account role separation
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SERVICE_ACCOUNT_ROLE_SEPARATION
  - policy_id: Audit config not monitored
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: AUDIT_CONFIG_NOT_MONITORED
  - policy_id: Bucket IAM not monitored
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: BUCKET_IAM_NOT_MONITORED
  - policy_id: Public SQL instance
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: PUBLIC_SQL_INSTANCE
  - policy_id: Auto backup disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: AUTO_BACKUP_DISABLED
  - policy_id: Dataproc CMEK disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: DATAPROC_CMEK_DISABLED
  - policy_id: Log not exported
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: LOG_NOT_EXPORTED
  - policy_id: KMS project has owner
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: KMS_PROJECT_HAS_OWNER
  - policy_id: KMS role separation
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: KMS_ROLE_SEPARATION
  - policy_id: API key APIs unrestricted
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: API_KEY_APIS_UNRESTRICTED
  - policy_id: SQL log min messages
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_LOG_MIN_MESSAGES
  - policy_id: SQL public IP
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_PUBLIC_IP
  - policy_id: Dataset CMEK disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: DATASET_CMEK_DISABLED
  - policy_id: Firewall not monitored
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: FIREWALL_NOT_MONITORED
  - policy_id: SQL log statement
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_LOG_STATEMENT
  - policy_id: BigQuery table CMEK disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: BIGQUERY_TABLE_CMEK_DISABLED
  - policy_id: Confidential computing disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: CONFIDENTIAL_COMPUTING_DISABLED
  - policy_id: SQL instance not monitored
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_INSTANCE_NOT_MONITORED
  - policy_id: KMS public key
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: KMS_PUBLIC_KEY
  - policy_id: Default network
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: DEFAULT_NETWORK
  - policy_id: SQL trace flag 3625
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_TRACE_FLAG_3625
  - policy_id: API key not rotated
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: API_KEY_NOT_ROTATED
  - policy_id: DNSSEC disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: DNSSEC_DISABLED
  - policy_id: SQL log connections disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_LOG_CONNECTIONS_DISABLED
  - policy_id: Legacy network
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: LEGACY_NETWORK
  - policy_id: Public IP address
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: PUBLIC_IP_ADDRESS
  - policy_id: Full API access
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: FULL_API_ACCESS
  - policy_id: SQL contained database authentication
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_CONTAINED_DATABASE_AUTHENTICATION
  - policy_id: OS login disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: OS_LOGIN_DISABLED
  - policy_id: SQL user options configured
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_USER_OPTIONS_CONFIGURED
  - policy_id: Admin service account
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: ADMIN_SERVICE_ACCOUNT
  - policy_id: Default service account used
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: DEFAULT_SERVICE_ACCOUNT_USED
  - policy_id: Network not monitored
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: NETWORK_NOT_MONITORED
  - policy_id: Public bucket ACL
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: PUBLIC_BUCKET_ACL
  - policy_id: Custom role not monitored
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: CUSTOM_ROLE_NOT_MONITORED
  - policy_id: SQL log error verbosity
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_LOG_ERROR_VERBOSITY
  - policy_id: Load balancer logging disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: LOAD_BALANCER_LOGGING_DISABLED
  - policy_id: Over privileged service account user
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: OVER_PRIVILEGED_SERVICE_ACCOUNT_USER
  - policy_id: SQL remote access enabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: SQL_REMOTE_ACCESS_ENABLED
  - policy_id: RSASHA1 for signing
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: RSASHA1_FOR_SIGNING
  - policy_id: Cloud asset API disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: CLOUD_ASSET_API_DISABLED
  - policy_id: Bucket policy only disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: BUCKET_POLICY_ONLY_DISABLED
  - policy_id: Route not monitored
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: ROUTE_NOT_MONITORED
  - policy_id: Owner not monitored
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: OWNER_NOT_MONITORED

Langkah selanjutnya