תבנית מוגדרת מראש של מצב אבטחה לתקן ISO 27001

בדף הזה מתוארות מדיניות הגילוי שכלולה בגרסה 1.0 של תבנית המצב המוגדרת מראש עבור תקן 27001 של ארגון התקינה הבינלאומי (ISO). התבנית הזו כוללת קבוצת מדיניות שמגדירה את הגלאים של Security Health Analytics שחלים על עומסי עבודה שצריכים לעמוד בתקן ISO 27001.

אפשר לפרוס את תבנית המצב הזו בלי לבצע שינויים.

גלאים ב-Security Health Analytics

בטבלה הבאה מתוארים הגלאים של Security Health Analytics שכלולים בתבנית המצב הזו.

שם המזהה תיאור
SQL_CROSS_DB_OWNERSHIP_CHAINING

הגלאי הזה בודק אם הדגל cross_db_ownership_chaining ב-Cloud SQL ל-SQL Server לא מושבת.
INSTANCE_OS_LOGIN_DISABLED

הכלי הזה בודק אם OS Login לא מופעל.
SQL_SKIP_SHOW_DATABASE_DISABLED

הגלאי הזה בודק אם הדגל skip_show_database ב-Cloud SQL ל-MySQL לא מופעל.
ESSENTIAL_CONTACTS_NOT_CONFIGURED

הגלאי הזה בודק אם יש לכם לפחות איש קשר חיוני.
AUDIT_LOGGING_DISABLED

הגלאי הזה בודק אם רישום ביומני ביקורת מושבת במשאב.
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

הגלאי הזה בודק אם האפשרות VPC Flow Logs לא מופעלת.
API_KEY_EXISTS

הגלאי הזה בודק אם בפרויקט נעשה שימוש במפתחות API במקום באימות רגיל.
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

הכלי הזה בודק אם לדגל log_min_error_statement ב-Cloud SQL ל-PostgreSQL אין רמת חומרה מתאימה.
LOCKED_RETENTION_POLICY_NOT_SET

גלאי זה בודק אם מדיניות שמירת הנתונים הנעולה מוגדרת ליומנים.
SQL_LOG_DISCONNECTIONS_DISABLED

הגלאי הזה בודק אם הדגל log_disconnections ב-Cloud SQL ל-PostgreSQL לא מופעל.
COMPUTE_SERIAL_PORTS_ENABLED

הגלאי הזה בודק אם היציאות הטוריות מופעלות.
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

הכלי הזה בודק אם נעשה שימוש במפתחות SSH ברמת הפרויקט.
KMS_KEY_NOT_ROTATED

הגלאי הזה בודק אם הרוטציה של ההצפנה ב-Cloud Key Management Service לא מופעלת.
DNS_LOGGING_DISABLED

הגלאי הזה בודק אם רישום ביומן של DNS מופעל ברשת ה-VPC.
SQL_LOCAL_INFILE

הגלאי הזה בודק אם הדגל local_infile ב-Cloud SQL ל-MySQL לא מושבת.
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

הגלאי הזה בודק אם הדגל log_min_duration_statement ב-Cloud SQL ל-PostgreSQL לא מוגדר לערך -1.
PUBLIC_DATASET

הכלי הזה בודק אם מערך נתונים מוגדר כפתוח לגישה ציבורית. מידע נוסף זמין במאמר בנושא ממצאים של נקודות חולשה במערך נתונים.
DISK_CSEK_DISABLED

הגלאי הזה בודק אם התמיכה במפתח הצפנה באספקת הלקוח (CSEK) מושבתת במכונה וירטואלית.
SQL_USER_CONNECTIONS_CONFIGURED

הגלאי הזה בודק אם הדגל user connections ב-Cloud SQL ל-SQL Server מוגדר.
SERVICE_ACCOUNT_ROLE_SEPARATION

הגלאי הזה בודק אם יש הפרדה בין התפקידים של מפתחות חשבונות השירות.
AUDIT_CONFIG_NOT_MONITORED

הגלאי הזה בודק אם מתבצע מעקב אחרי שינויים בהגדרות הביקורת.
BUCKET_IAM_NOT_MONITORED

הגלאי הזה בודק אם רישום ביומן מושבת לשינויים בהרשאות IAM ב-Cloud Storage.
PUBLIC_SQL_INSTANCE

הגלאי הזה בודק אם Cloud SQL מאפשר חיבורים מכל כתובות ה-IP.
AUTO_BACKUP_DISABLED

הגלאי הזה בודק אם הגיבויים האוטומטיים מושבתים במסד נתונים של Cloud SQL.
DATAPROC_CMEK_DISABLED

הכלי הזה בודק אם התמיכה ב-CMEK מושבתת באשכול Dataproc.
LOG_NOT_EXPORTED

הגלאי הזה בודק אם לא מוגדר sink ביומן במשאב.
KMS_PROJECT_HAS_OWNER

הגלאי הזה בודק אם למשתמש יש הרשאת בעלים בפרויקט שכולל מפתחות.
KMS_ROLE_SEPARATION

הגלאי הזה בודק אם יש הפרדה בין התפקידים במפתחות Cloud KMS.
API_KEY_APIS_UNRESTRICTED

הכלי הזה בודק אם נעשה שימוש במפתחות API בצורה רחבה מדי.
SQL_LOG_MIN_MESSAGES

הגלאי הזה בודק אם הדגל log_min_messages ב-Cloud SQL ל-PostgreSQL לא מוגדר לערך warning.
SQL_PUBLIC_IP

המזהה הזה בודק אם למסד נתונים של Cloud SQL יש כתובת IP חיצונית.
DATASET_CMEK_DISABLED

הגלאי הזה בודק אם התמיכה ב-CMEK מושבתת במערך נתונים של BigQuery.
FIREWALL_NOT_MONITORED

הגלאי הזה בודק אם מדדי היומן וההתראות לא מוגדרים למעקב אחרי שינויים בכללי חומת האש של VPC.
SQL_LOG_STATEMENT

הגלאי הזה בודק אם הדגל log_statement בשרת Cloud SQL ל-PostgreSQL לא מוגדר ל-ddl.
BIGQUERY_TABLE_CMEK_DISABLED

הגלאי הזה בודק אם טבלה ב-BigQuery לא מוגדרת לשימוש במפתח הצפנה בניהול הלקוח (CMEK). מידע נוסף זמין במאמר בנושא ממצאים של נקודות חולשה במערך נתונים.
CONFIDENTIAL_COMPUTING_DISABLED

הגלאי הזה בודק אם Confidential Computing מושבת.
SQL_INSTANCE_NOT_MONITORED

הגלאי הזה בודק אם הרישום ביומן מושבת לשינויים בהגדרות של Cloud SQL.
KMS_PUBLIC_KEY

הגלאי הזה בודק אם מפתח קריפטוגרפי של Cloud Key Management Service נגיש לציבור. מידע נוסף זמין במאמר מציאת נקודות חולשה ב-KMS.
DEFAULT_NETWORK

הגלאי הזה בודק אם רשת ברירת המחדל קיימת בפרויקט.
SQL_TRACE_FLAG_3625

הגלאי הזה בודק אם הדגל 3625 (trace flag) ב-Cloud SQL ל-SQL Server לא מופעל.
API_KEY_NOT_ROTATED

הגלאי הזה בודק אם בוצע שינוי במפתח API ב-90 הימים האחרונים.
DNSSEC_DISABLED

הגלאי הזה בודק אם אבטחת ה-DNS ‏ (DNSSEC) מושבתת ב-Cloud DNS. מידע נוסף זמין במאמר בנושא ממצאים של נקודות חולשה ב-DNS.
SQL_LOG_CONNECTIONS_DISABLED

הגלאי הזה בודק אם הדגל log_connections ב-Cloud SQL ל-PostgreSQL לא מופעל.
LEGACY_NETWORK

הגלאי הזה בודק אם קיימת רשת מדור קודם בפרויקט.
PUBLIC_IP_ADDRESS

גלאי זה בודק אם למופע יש כתובת IP חיצונית.
FULL_API_ACCESS

הגלאי הזה בודק אם מופע משתמש בחשבון שירות שמוגדר כברירת מחדל עם גישה מלאה לכל ממשקי ה-API Google Cloud .
SQL_CONTAINED_DATABASE_AUTHENTICATION

הגלאי הזה בודק אם הדגל contained database authentication ב-Cloud SQL ל-SQL Server לא מושבת.
OS_LOGIN_DISABLED

הגלאי הזה בודק אם OS Login מושבת.
SQL_USER_OPTIONS_CONFIGURED

הגלאי הזה בודק אם הדגל user options ב-Cloud SQL ל-SQL Server מוגדר.
ADMIN_SERVICE_ACCOUNT

הגלאי הזה בודק אם לחשבון שירות יש הרשאות אדמין, בעלים או עריכה.
DEFAULT_SERVICE_ACCOUNT_USED

הכלי הזה בודק אם נעשה שימוש בחשבון השירות שמוגדר כברירת מחדל.
NETWORK_NOT_MONITORED

הגלאי הזה בודק אם מדדי יומן והתראות לא מוגדרים למעקב אחרי שינויים ברשת VPC.
PUBLIC_BUCKET_ACL

הכלי הזה בודק אם יש גישה ציבורית לקטגוריה.
CUSTOM_ROLE_NOT_MONITORED

הגלאי הזה בודק אם הרישום ביומן מושבת לשינויים בתפקידים בהתאמה אישית.
SQL_LOG_ERROR_VERBOSITY

הגלאי הזה בודק אם הדגל log_error_verbosity ב-Cloud SQL ל-PostgreSQL לא מוגדר לערך default.
LOAD_BALANCER_LOGGING_DISABLED

הגלאי הזה בודק אם הרישום ביומן מושבת במאזן העומסים.
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

הגלאי הזה בודק אם למשתמש יש תפקידים בחשבון שירות ברמת הפרויקט, במקום בחשבון שירות ספציפי.
SQL_REMOTE_ACCESS_ENABLED

הגלאי הזה בודק אם הדגל remote_access ב-Cloud SQL ל-SQL Server לא מושבת.
RSASHA1_FOR_SIGNING

הגלאי הזה בודק אם נעשה שימוש ב-RSASHA1 לחתימה על מפתחות באזורי Cloud DNS.
CLOUD_ASSET_API_DISABLED

הגלאי הזה בודק אם מאגר משאבי ענן מושבת.
BUCKET_POLICY_ONLY_DISABLED

הכלי הזה בודק אם הוגדרה גישה אחידה ברמת הקטגוריה.
ROUTE_NOT_MONITORED

הגלאי הזה בודק אם מדדי היומן וההתראות לא מוגדרים למעקב אחרי שינויים בנתיב של רשת VPC.
OWNER_NOT_MONITORED

הגלאי הזה בודק אם הרישום ביומן מושבת עבור הקצאות ושינויים של בעלות על פרויקטים.

הצגת תבנית המצב

כדי לראות את תבנית המצב של ISO 27001:

gcloud

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

  • ORGANIZATION_ID: המזהה המספרי של הארגון

מריצים את הפקודה gcloud scc posture-templates describe:

‫Linux,‏ macOS או Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001

‏Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001

Windows‏ (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001

התשובה מכילה את תבנית המצב.

REST

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

  • ORGANIZATION_ID: המזהה המספרי של הארגון

ה-method של ה-HTTP וכתובת ה-URL: 

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

התשובה מכילה את תבנית המצב.

המאמרים הבאים