Vordefinierte Vorlage für den Status für ISO 27001

Auf dieser Seite werden die Erkennungsrichtlinien in Version 1.0 beschrieben. vordefinierte Posture-Vorlage der International Organization for Normen (ISO 27001). Diese Vorlage enthält ein Richtlinienset, das die Security Health Analytics-Detektoren definiert, die für Arbeitslasten gelten, die dem ISO 27001-Standard entsprechen müssen.

Sie können diese Vorlage für den Sicherheitsstatus bereitstellen, ohne Änderungen vorzunehmen.

Security Health Analytics – Detektoren

In der folgenden Tabelle werden die Security Health Analytics-Detektoren beschrieben, die in dieser Vorlage enthalten sind.

Detektorname Beschreibung
SQL_CROSS_DB_OWNERSHIP_CHAINING

Dieser Prüfmechanismus prüft, ob das Flag cross_db_ownership_chaining in Cloud SQL for SQL Server nicht deaktiviert ist.
INSTANCE_OS_LOGIN_DISABLED

Dieser Detektor prüft, ob OS Login nicht aktiviert ist.
SQL_SKIP_SHOW_DATABASE_DISABLED

Dieser Detektor prüft, ob das Flag skip_show_database in Cloud SQL for MySQL deaktiviert ist.
ESSENTIAL_CONTACTS_NOT_CONFIGURED

Dieser Detektor prüft, ob Sie mindestens einen wichtigen Kontakt haben.
AUDIT_LOGGING_DISABLED

Dieser Detektor prüft, ob Audit-Logging für eine Ressource deaktiviert ist.
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Dieser Detektor prüft, ob VPC-Flusslogs nicht aktiviert sind.
API_KEY_EXISTS

Dieser Prüfmechanismus prüft, ob in einem Projekt API-Schlüssel anstelle der Standardauthentifizierung verwendet werden.
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

Dieser Detektor prüft, ob das Flag log_min_error_statement in Cloud SQL for PostgreSQL keinen geeigneten Schweregrad hat.
LOCKED_RETENTION_POLICY_NOT_SET

Dieser Detektor prüft, ob die gesperrte Aufbewahrungsrichtlinie für Logs festgelegt ist.
SQL_LOG_DISCONNECTIONS_DISABLED

Dieser Prüfmechanismus prüft, ob das Flag log_disconnections in Cloud SQL for PostgreSQL deaktiviert ist.
COMPUTE_SERIAL_PORTS_ENABLED

Dieser Detektor prüft, ob serielle Ports aktiviert sind.
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

Dieser Detektor prüft, ob projektweite SSH-Schlüssel verwendet werden.
KMS_KEY_NOT_ROTATED

Dieser Detektor prüft, ob die Rotation für die Cloud Key Management Service-Verschlüsselung nicht aktiviert ist.
DNS_LOGGING_DISABLED

Mit diesem Detektor wird geprüft, ob das DNS-Logging im VPC-Netzwerk aktiviert ist.
SQL_LOCAL_INFILE

Dieser Detektor prüft, ob das Flag local_infile in Cloud SQL for MySQL aktiviert ist.
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

Dieser Detektor prüft, ob das Flag log_min_duration_statement in Cloud SQL for PostgreSQL nicht auf -1 gesetzt ist.
PUBLIC_DATASET

Dieser Detektor prüft, ob ein Dataset so konfiguriert ist, dass es offen für für den öffentlichen Zugriff. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Datasets.
DISK_CSEK_DISABLED

Dieser Detektor prüft, ob die Unterstützung für vom Kunden bereitgestellte Verschlüsselungsschlüssel (Customer-Supplied Encryption Key, CSEK) für eine VM deaktiviert ist.
SQL_USER_CONNECTIONS_CONFIGURED

Dieser Prüfmechanismus prüft, ob das Flag user connections in Cloud SQL for SQL Server konfiguriert ist.
SERVICE_ACCOUNT_ROLE_SEPARATION

Dieser Detektor prüft die Aufgabentrennung für Dienstkontoschlüssel.
AUDIT_CONFIG_NOT_MONITORED

Dieser Detektor prüft, ob Änderungen der Audit-Konfiguration überwacht werden.
BUCKET_IAM_NOT_MONITORED

Dieser Detektor prüft, ob das Logging für Änderungen der IAM-Berechtigung in Cloud Storage deaktiviert ist.
PUBLIC_SQL_INSTANCE

Dieser Detektor prüft, ob Cloud SQL Verbindungen von allen IP-Adressen zulässt.
AUTO_BACKUP_DISABLED

Dieser Detektor prüft, ob für eine Cloud SQL-Datenbank keine automatischen Sicherungen aktiviert sind.
DATAPROC_CMEK_DISABLED

Dieser Detektor prüft, ob die CMEK-Unterstützung für einen Dataproc-Cluster deaktiviert ist.
LOG_NOT_EXPORTED

Dieser Detektor prüft, ob für eine Ressource keine Logsenke konfiguriert ist.
KMS_PROJECT_HAS_OWNER

Dieser Detektor prüft, ob ein Nutzer die Berechtigung Owner für ein Projekt hat, das Schlüssel enthält.
KMS_ROLE_SEPARATION

Dieser Detektor prüft die Aufgabentrennung für Cloud KMS-Schlüssel.
API_KEY_APIS_UNRESTRICTED

Dieser Detektor prüft, ob API-Schlüssel zu allgemein verwendet werden.
SQL_LOG_MIN_MESSAGES

Dieser Prüfmechanismus prüft, ob das Flag log_min_messages in Cloud SQL for PostgreSQL nicht auf warning gesetzt ist.
SQL_PUBLIC_IP

Dieser Detector prüft, ob eine Cloud SQL-Datenbank eine externe IP-Adresse hat.
DATASET_CMEK_DISABLED

Dieser Prüfmechanismus prüft, ob die CMEK-Unterstützung für ein BigQuery-Dataset deaktiviert ist.
FIREWALL_NOT_MONITORED

Dieser Prüfmechanismus prüft, ob Logmesswerte und Benachrichtigungen nicht für das Monitoring von Änderungen an VPC-Firewallregeln konfiguriert sind.
SQL_LOG_STATEMENT

Dieser Detektor prüft, ob das Flag log_statement in Cloud SQL for PostgreSQL Server nicht auf ddl festgelegt ist.
BIGQUERY_TABLE_CMEK_DISABLED

Dieser Prüfmechanismus prüft, ob eine BigQuery-Tabelle nicht für die Verwendung eines vom Kunden verwalteten Verschlüsselungsschlüssels (CMEK) konfiguriert ist. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Datasets.
CONFIDENTIAL_COMPUTING_DISABLED

Dieser Detektor prüft, ob Confidential Computing deaktiviert ist.
SQL_INSTANCE_NOT_MONITORED

Dieser Detektor prüft, ob das Logging für Cloud SQL-Konfigurationsänderungen deaktiviert ist.
KMS_PUBLIC_KEY

Dieser Detector prüft, ob ein kryptografischer Cloud Key Management Service-Schlüssel öffentlich zugänglich ist. Weitere Informationen finden Sie unter KMS Ergebnisse zu Sicherheitslücken.
DEFAULT_NETWORK

Dieser Detektor prüft, ob das Standardnetzwerk in einem Projekt vorhanden ist.
SQL_TRACE_FLAG_3625

Dieser Detektor prüft, ob das Flag 3625 (trace flag) in Cloud SQL for SQL Server nicht aktiviert ist.
API_KEY_NOT_ROTATED

Dieser Detektor prüft, ob ein API-Schlüssel innerhalb der letzten 90 Tage rotiert wurde.
DNSSEC_DISABLED

Dieser Detektor prüft, ob die DNS-Sicherheit (DNSSEC) für Cloud DNS deaktiviert ist. Weitere Informationen finden Sie unter DNS Ergebnisse zu Sicherheitslücken.
SQL_LOG_CONNECTIONS_DISABLED

Dieser Detektor prüft, ob das Flag log_connections in Cloud SQL for PostgreSQL nicht aktiviert ist.
LEGACY_NETWORK

Dieser Detektor prüft, ob ein Legacy-Netzwerk in einem Projekt vorhanden ist.
PUBLIC_IP_ADDRESS

Dieser Detektor prüft, ob eine Instanz eine externe IP-Adresse hat.
FULL_API_ACCESS

Dieser Detektor prüft, ob eine Instanz ein Standarddienstkonto mit uneingeschränktem Zugriff auf alle Google Cloud APIs verwendet.
SQL_CONTAINED_DATABASE_AUTHENTICATION

Dieser Detektor prüft, ob das Flag contained database authentication in Cloud SQL for SQL Server nicht deaktiviert ist.
OS_LOGIN_DISABLED

Dieser Detektor prüft, ob OS Login deaktiviert ist.
SQL_USER_OPTIONS_CONFIGURED

Dieser Prüfmechanismus prüft, ob das Flag user options in Cloud SQL for SQL Server konfiguriert ist.
ADMIN_SERVICE_ACCOUNT

Mit diesem Detektor wird geprüft, ob ein Dienstkonto die Berechtigungen Administrator, Inhaber oder Bearbeiter hat.
DEFAULT_SERVICE_ACCOUNT_USED

Dieser Detektor prüft, ob das Standarddienstkonto verwendet wird.
NETWORK_NOT_MONITORED

Dieser Prüfmechanismus prüft, ob Logmesswerte und Benachrichtigungen nicht für das Monitoring von Änderungen am VPC-Netzwerk konfiguriert sind.
PUBLIC_BUCKET_ACL

Dieser Detektor prüft, ob ein Bucket öffentlich zugänglich ist.
CUSTOM_ROLE_NOT_MONITORED

Dieser Detektor prüft, ob die Protokollierung für Änderungen an benutzerdefinierten Rollen deaktiviert ist.
SQL_LOG_ERROR_VERBOSITY

Dieser Prüfmechanismus prüft, ob das Flag log_error_verbosity in Cloud SQL for PostgreSQL nicht auf default gesetzt ist.
LOAD_BALANCER_LOGGING_DISABLED

Dieser Detektor prüft, ob das Logging für den Load-Balancer deaktiviert ist.
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Dieser Prüfmechanismus prüft, ob ein Nutzer Dienstkontorollen auf Projektebene und nicht für ein bestimmtes Dienstkonto hat.
SQL_REMOTE_ACCESS_ENABLED

Dieser Prüfmechanismus prüft, ob das Flag remote_access in Cloud SQL for SQL Server nicht deaktiviert ist.
RSASHA1_FOR_SIGNING

Dieser Detektor prüft, ob RSASHA1 für die Schlüsselsignatur in Cloud DNS-Zonen verwendet wird.
CLOUD_ASSET_API_DISABLED

Dieser Detektor prüft, ob Cloud Asset Inventory deaktiviert ist.
BUCKET_POLICY_ONLY_DISABLED

Dieser Detektor prüft, ob der einheitliche Zugriff auf Bucket-Ebene konfiguriert ist.
ROUTE_NOT_MONITORED

Dieser Detektor prüft, ob Logmesswerte und Benachrichtigungen nicht für das Monitoring von Änderungen an der VPC-Netzwerkroute konfiguriert sind.
OWNER_NOT_MONITORED

Mit diesem Detektor wird geprüft, ob die Protokollierung für Zuweisungen und Änderungen der Projektinhaberschaft deaktiviert ist.

Vorlage für den Sicherheitsstatus ansehen

So rufen Sie die Posture-Vorlage für ISO 27001 auf:

gcloud

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • ORGANIZATION_ID: die numerische ID der Organisation

Führen Sie den Befehl gcloud scc posture-templates describe aus:

Linux, macOS oder Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001

Die Antwort enthält die Vorlage für die Bewertung.

REST

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • ORGANIZATION_ID: die numerische ID der Organisation

HTTP-Methode und URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort enthält die Posture-Vorlage.

Nächste Schritte