Modello di postura predefinito per ISO 27001

In questa pagina vengono descritti i criteri di rilevamento inclusi nella versione v1.0 del modello di postura predefinito per l'International Organization for Standard (ISO) 27001. Questo modello include un insieme di criteri che definisce i rilevatori di Security Health Analytics che si applicano ai carichi di lavoro che devono essere conformi standard ISO 27001.

Puoi implementare questo modello di postura senza apportare modifiche.

Rilevatori Security Health Analytics

La tabella seguente descrive i rilevatori di Security Health Analytics inclusi in questo modello di postura.

Nome rilevatore Descrizione
SQL_CROSS_DB_OWNERSHIP_CHAINING

Questo rilevatore controlla se il flag cross_db_ownership_chaining in Cloud SQL per SQL Server non è disattivato.

INSTANCE_OS_LOGIN_DISABLED

Questo rilevatore verifica se OS Login non è attivo.

SQL_SKIP_SHOW_DATABASE_DISABLED

Questo rilevatore controlla se il flag skip_show_database in Cloud SQL per MySQL non è attivo.

ESSENTIAL_CONTACTS_NOT_CONFIGURED

Questo rilevatore controlla se hai almeno un Contatto necessario.

AUDIT_LOGGING_DISABLED

Questo rilevatore controlla se la registrazione di controllo è disattivata per una risorsa.

VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Questo rilevatore controlla se i log di flusso VPC non sono attivi.

API_KEY_EXISTS

Questo rilevatore controlla se un progetto utilizza chiavi API anziché l'autenticazione standard.

SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

Questo rilevatore controlla se il flag log_min_error_statement in Cloud SQL per PostgreSQL non ha un livello di gravità appropriato.

LOCKED_RETENTION_POLICY_NOT_SET

Questo rilevatore controlla se il criterio di conservazione bloccato è impostato per i log.

SQL_LOG_DISCONNECTIONS_DISABLED

Questo rilevatore controlla se il flag log_disconnections in Cloud SQL per PostgreSQL non è attivo.

COMPUTE_SERIAL_PORTS_ENABLED

Questo rilevatore controlla se le porte seriali sono abilitate.

COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

Questo rilevatore controlla se vengono utilizzate chiavi SSH a livello di progetto.

KMS_KEY_NOT_ROTATED

Questo rilevatore controlla se la rotazione per la crittografia di Cloud Key Management Service non è attivata.

DNS_LOGGING_DISABLED

Questo rilevatore verifica se il logging DNS è abilitato sulla rete VPC.

SQL_LOCAL_INFILE

Questo rilevatore controlla se il flag local_infile in Cloud SQL per MySQL non è disattivato.

SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

Questo rilevatore controlla se il flag log_min_duration_statement in Cloud SQL per PostgreSQL non è impostato su -1.

PUBLIC_DATASET

Questo rilevatore controlla se un set di dati è configurato per essere aperto all'accesso pubblico. Per ulteriori informazioni, consulta Risultati delle vulnerabilità dei set di dati.

DISK_CSEK_DISABLED

Questo rilevatore controlla se il supporto delle chiavi di crittografia fornite dal cliente (CSEK) è disattivato per una VM.

SQL_USER_CONNECTIONS_CONFIGURED

Questo rilevatore verifica se il flag user connections in Cloud SQL per SQL Server è configurato.

SERVICE_ACCOUNT_ROLE_SEPARATION

Questo rilevatore verifica la separazione dei compiti per le chiavi degli account di servizio.

AUDIT_CONFIG_NOT_MONITORED

Questo rilevatore controlla se le modifiche alla configurazione del controllo vengono monitorate.

BUCKET_IAM_NOT_MONITORED

Questo rilevatore verifica se il logging è disattivato per le modifiche alle autorizzazioni IAM in Cloud Storage.

PUBLIC_SQL_INSTANCE

Questo rilevatore controlla se Cloud SQL consente connessioni da tutti gli indirizzi IP.

AUTO_BACKUP_DISABLED

Questo rilevatore controlla se in un database Cloud SQL non sono attivati i backup automatici.

DATAPROC_CMEK_DISABLED

Questo rilevatore controlla se il supporto di CMEK è disattivato per un cluster Dataproc.

LOG_NOT_EXPORTED

Questo rilevatore controlla se per una risorsa non è configurato un sink di log.

KMS_PROJECT_HAS_OWNER

Questo rilevatore controlla se un utente dispone dell'autorizzazione Proprietario su un progetto che include chiavi.

KMS_ROLE_SEPARATION

Questo rilevatore controlla la separazione dei compiti per le chiavi Cloud KMS.

API_KEY_APIS_UNRESTRICTED

Questo rilevatore controlla se le chiavi API vengono utilizzate in modo troppo ampio.

SQL_LOG_MIN_MESSAGES

Questo rilevatore controlla se il flag log_min_messages in Cloud SQL per PostgreSQL non è impostato su warning.

SQL_PUBLIC_IP

Questo rilevatore verifica se un database Cloud SQL ha un indirizzo IP esterno.

DATASET_CMEK_DISABLED

Questo rilevatore controlla se il supporto CMEK è disattivato per un set di dati BigQuery.

FIREWALL_NOT_MONITORED

Questo rilevatore controlla se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alle regole del firewall VPC.

SQL_LOG_STATEMENT

Questo rilevatore controlla se il flag log_statement in Cloud SQL per PostgreSQL Server non è impostato su ddl.

BIGQUERY_TABLE_CMEK_DISABLED

Questo rilevatore controlla se una tabella BigQuery non è configurata per utilizzare una chiave di crittografia gestita dal cliente (CMEK). Per ulteriori informazioni, vedi Set di dati vulnerabilità.

CONFIDENTIAL_COMPUTING_DISABLED

Questo rilevatore controlla se Confidential Computing è disattivato.

SQL_INSTANCE_NOT_MONITORED

Questo rilevatore verifica se il logging è disattivato per le modifiche alla configurazione di Cloud SQL.

KMS_PUBLIC_KEY

Questo rilevatore controlla se una chiave di crittografia di Cloud Key Management Service è accessibile pubblicamente. Per ulteriori informazioni, consulta i risultati delle vulnerabilità di KMS.

DEFAULT_NETWORK

Questo rilevatore controlla se la rete predefinita esiste in un progetto.

SQL_TRACE_FLAG_3625

Questo rilevatore controlla se il flag 3625 (trace flag) in Cloud SQL per SQL Server non è attivo.

API_KEY_NOT_ROTATED

Questo rilevatore controlla se una chiave API è stata ruotata negli ultimi 90 giorni.

DNSSEC_DISABLED

Questo rilevatore controlla se la sicurezza DNS (DNSSEC) è disattivata per Cloud DNS. Per ulteriori informazioni, vedi DNS vulnerabilità.

SQL_LOG_CONNECTIONS_DISABLED

Questo rilevatore controlla se il flag log_connections in Cloud SQL per PostgreSQL non è attivo.

LEGACY_NETWORK

Questo rilevatore controlla se in un progetto esiste una rete legacy.

PUBLIC_IP_ADDRESS

Questo rilevatore controlla se un'istanza ha un indirizzo IP esterno.

FULL_API_ACCESS

Questo rilevatore controlla se un'istanza utilizza un account di servizio predefinito con accesso completo a tutte le API Google Cloud.

SQL_CONTAINED_DATABASE_AUTHENTICATION

Questo rilevatore controlla se il flag contained database authentication in Cloud SQL per SQL Server non è disattivato.

OS_LOGIN_DISABLED

Questo rilevatore controlla se OS Login è disattivato.

SQL_USER_OPTIONS_CONFIGURED

Questo rilevatore verifica se il flag user options in Cloud SQL per SQL Server è configurato.

ADMIN_SERVICE_ACCOUNT

Questo rilevatore controlla se un account di servizio dispone dei privilegi di amministratore, proprietario o editor.

DEFAULT_SERVICE_ACCOUNT_USED

Questo rilevatore verifica se viene utilizzato l'account di servizio predefinito.

NETWORK_NOT_MONITORED

Questo rilevatore controlla se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alla rete VPC.

PUBLIC_BUCKET_ACL

Questo rilevatore verifica se un bucket è accessibile pubblicamente.

CUSTOM_ROLE_NOT_MONITORED

Questo rilevatore controlla se la registrazione è disattivata per le modifiche ai ruoli personalizzati.

SQL_LOG_ERROR_VERBOSITY

Questo rilevatore controlla se il flag log_error_verbosity in Cloud SQL per PostgreSQL non è impostato su default.

LOAD_BALANCER_LOGGING_DISABLED

Questo rilevatore controlla se il logging è disattivato per il bilanciatore del carico.

OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Questo rilevatore controlla se un utente dispone di ruoli dell'account di servizio a livello di progetto, anziché per un account di servizio specifico.

SQL_REMOTE_ACCESS_ENABLED

Questo rilevatore controlla se il flag remote_access in Cloud SQL per SQL Server non è disattivato.

RSASHA1_FOR_SIGNING

Questo rilevatore verifica se RSASHA1 viene utilizzato per la firma della chiave nelle zone Cloud DNS.

CLOUD_ASSET_API_DISABLED

Questo rilevatore controlla se Cloud Asset Inventory è disattivato.

BUCKET_POLICY_ONLY_DISABLED

Questo rilevatore controlla se è configurato l'accesso uniforme a livello di bucket.

ROUTE_NOT_MONITORED

Questo rilevatore controlla se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alle route di rete VPC.

OWNER_NOT_MONITORED

Questo rilevatore controlla se la registrazione è disattivata per le modifiche e le assegnazioni della proprietà del progetto.

Visualizza il modello di postura

Per visualizzare il modello di conformità per ISO 27001:

gcloud

Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

  • ORGANIZATION_ID: l'ID numerico dell'organizzazione

Esegui la gcloud scc posture-templates describe :

Linux, macOS o Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001

La risposta contiene il modello di postura.

REST

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

  • ORGANIZATION_ID: l'ID numerico dell'organizzazione

Metodo HTTP e URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001

Per inviare la richiesta, espandi una delle seguenti opzioni:

La risposta contiene il modello di postura.

Passaggi successivi