Auf dieser Seite werden die ermittelnden Richtlinien beschrieben, die in der Version 1.0 der vordefinierten Vorlage für die International Organization for Standardization (ISO) 27001 enthalten sind. Diese Vorlage enthält eine Reihe von Richtlinien, in denen die Security Health Analytics-Detektoren definiert sind, die für Arbeitslasten gelten, die dem ISO 27001-Standard entsprechen müssen.
Sie können diese Vorlage für den Sicherheitsstatus ohne Änderungen bereitstellen.
Security Health Analytics – Detektoren
In der folgenden Tabelle werden die Security Health Analytics-Detektoren beschrieben, die in dieser Vorlage für die Sicherheitskonfiguration enthalten sind.
| Detektorname | Beschreibung |
|---|---|
SQL_CROSS_DB_OWNERSHIP_CHAINING |
Mit diesem Detektor wird geprüft, ob das Flag |
INSTANCE_OS_LOGIN_DISABLED |
Dieser Detektor prüft, ob OS Login nicht aktiviert ist. |
SQL_SKIP_SHOW_DATABASE_DISABLED |
Dieser Detector prüft, ob das Flag |
ESSENTIAL_CONTACTS_NOT_CONFIGURED |
Dieser Detektor prüft, ob Sie mindestens einen wichtigen Kontakt haben. |
AUDIT_LOGGING_DISABLED |
Dieser Detektor prüft, ob das Audit-Logging für eine Ressource deaktiviert ist. |
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED |
Dieser Detektor prüft, ob VPC-Flusslogs nicht aktiviert sind. |
API_KEY_EXISTS |
Dieser Detector prüft, ob in einem Projekt API-Schlüssel anstelle der Standardauthentifizierung verwendet werden. |
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY |
Dieser Detektor prüft, ob das Flag |
LOCKED_RETENTION_POLICY_NOT_SET |
Dieser Detektor prüft, ob die gesperrte Aufbewahrungsrichtlinie für Logs festgelegt ist. |
SQL_LOG_DISCONNECTIONS_DISABLED |
Dieser Detector prüft, ob das Flag |
COMPUTE_SERIAL_PORTS_ENABLED |
Dieser Detektor prüft, ob serielle Ports aktiviert sind. |
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
Dieser Detektor prüft, ob projektweite SSH-Schlüssel verwendet werden. |
KMS_KEY_NOT_ROTATED |
Dieser Detektor prüft, ob die Rotation für die Cloud Key Management Service-Verschlüsselung nicht aktiviert ist. |
DNS_LOGGING_DISABLED |
Mit diesem Detektor wird geprüft, ob das DNS-Logging im VPC-Netzwerk aktiviert ist. |
SQL_LOCAL_INFILE |
Dieser Detector prüft, ob das Flag |
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED |
Dieser Detector prüft, ob das Flag |
PUBLIC_DATASET |
Mit diesem Detector wird geprüft, ob ein Dataset für den öffentlichen Zugriff konfiguriert ist. Weitere Informationen finden Sie unter Ergebnisse zu Dataset-Sicherheitslücken. |
DISK_CSEK_DISABLED |
Dieser Detektor prüft, ob die Unterstützung für vom Kunden bereitgestellte Verschlüsselungsschlüssel (Customer-Supplied Encryption Keys, CSEK) für eine VM deaktiviert ist. |
SQL_USER_CONNECTIONS_CONFIGURED |
Dieser Detector prüft, ob das Flag |
SERVICE_ACCOUNT_ROLE_SEPARATION |
Dieser Detektor prüft die Aufgabentrennung für Dienstkontoschlüssel. |
AUDIT_CONFIG_NOT_MONITORED |
Dieser Detektor prüft, ob Änderungen an der Audit-Konfiguration überwacht werden. |
BUCKET_IAM_NOT_MONITORED |
Mit diesem Detector wird geprüft, ob die Protokollierung für Änderungen an IAM-Berechtigungen in Cloud Storage deaktiviert ist. |
PUBLIC_SQL_INSTANCE |
Dieser Detektor prüft, ob eine Cloud SQL-Instanz Verbindungen von allen IP-Adressen zulässt. |
AUTO_BACKUP_DISABLED |
Dieser Detektor prüft, ob für eine Cloud SQL-Datenbank keine automatischen Sicherungen aktiviert sind. |
DATAPROC_CMEK_DISABLED |
Dieser Detektor prüft, ob die CMEK-Unterstützung für einen Managed Service for Apache Spark-Cluster deaktiviert ist. |
LOG_NOT_EXPORTED |
Dieser Detektor prüft, ob für eine Ressource keine Logsenke konfiguriert ist. |
KMS_PROJECT_HAS_OWNER |
Dieser Detektor prüft, ob ein Nutzer die Berechtigung Inhaber für ein Projekt mit Schlüsseln hat. |
KMS_ROLE_SEPARATION |
Dieser Detektor prüft die Aufgabenverteilung für Cloud KMS-Schlüssel. |
API_KEY_APIS_UNRESTRICTED |
Dieser Detektor prüft, ob API-Schlüssel zu umfassend verwendet werden. |
SQL_LOG_MIN_MESSAGES |
Dieser Detector prüft, ob das Flag |
SQL_PUBLIC_IP |
Dieser Detector prüft, ob eine Cloud SQL-Datenbank eine externe IP-Adresse hat. |
DATASET_CMEK_DISABLED |
Mit diesem Detektor wird geprüft, ob die CMEK-Unterstützung für ein BigQuery-Dataset deaktiviert ist. |
FIREWALL_NOT_MONITORED |
Dieser Detector prüft, ob Logmesswerte und Benachrichtigungen nicht für das Monitoring von Änderungen an VPC-Firewallregeln konfiguriert sind. |
SQL_LOG_STATEMENT |
Dieser Detector prüft, ob das Flag |
BIGQUERY_TABLE_CMEK_DISABLED |
Dieser Detektor prüft, ob eine BigQuery-Tabelle nicht für die Verwendung eines kundenverwalteten Verschlüsselungsschlüssels (CMEK) konfiguriert ist. Weitere Informationen finden Sie unter Ergebnisse zu Dataset-Sicherheitslücken. |
CONFIDENTIAL_COMPUTING_DISABLED |
Dieser Detektor prüft, ob Confidential Computing deaktiviert ist. |
SQL_INSTANCE_NOT_MONITORED |
Mit diesem Detektor wird geprüft, ob das Logging für Änderungen an der Cloud SQL-Konfiguration deaktiviert ist. |
KMS_PUBLIC_KEY |
Dieser Detektor prüft, ob ein kryptografischer Schlüssel von Cloud Key Management Service öffentlich zugänglich ist. Weitere Informationen finden Sie unter KMS-Ergebnisse zu Sicherheitslücken. |
DEFAULT_NETWORK |
Dieser Detektor prüft, ob das Standardnetzwerk in einem Projekt vorhanden ist. |
SQL_TRACE_FLAG_3625 |
Dieser Detector prüft, ob das Flag |
API_KEY_NOT_ROTATED |
Dieser Detektor prüft, ob ein API-Schlüssel in den letzten 90 Tagen rotiert wurde. |
DNSSEC_DISABLED |
Mit diesem Detektor wird geprüft, ob die DNS-Sicherheit (DNSSEC) für Cloud DNS deaktiviert ist. Weitere Informationen finden Sie unter Ergebnisse zu DNS-Sicherheitslücken. |
SQL_LOG_CONNECTIONS_DISABLED |
Dieser Detector prüft, ob das Flag |
LEGACY_NETWORK |
Dieser Detektor prüft, ob ein Legacy-Netzwerk in einem Projekt vorhanden ist. |
PUBLIC_IP_ADDRESS |
Dieser Detektor prüft, ob eine Instanz eine externe IP-Adresse hat. |
FULL_API_ACCESS |
Dieser Detektor prüft, ob eine Instanz ein Standarddienstkonto mit Vollzugriff auf alle Google Cloud APIs verwendet. |
SQL_CONTAINED_DATABASE_AUTHENTICATION |
Mit diesem Detektor wird geprüft, ob das Flag |
OS_LOGIN_DISABLED |
Dieser Detektor prüft, ob OS Login deaktiviert ist. |
SQL_USER_OPTIONS_CONFIGURED |
Dieser Detector prüft, ob das Flag |
ADMIN_SERVICE_ACCOUNT |
Dieser Detektor prüft, ob ein Dienstkonto die Berechtigungen Administrator, Inhaber oder Bearbeiter hat. |
DEFAULT_SERVICE_ACCOUNT_USED |
Mit diesem Detektor wird geprüft, ob das Standarddienstkonto verwendet wird. |
NETWORK_NOT_MONITORED |
Dieser Detector prüft, ob Logmesswerte und Benachrichtigungen für das Monitoring von Änderungen am VPC-Netzwerk konfiguriert sind. |
PUBLIC_BUCKET_ACL |
Dieser Detektor prüft, ob ein Bucket öffentlich zugänglich ist. |
CUSTOM_ROLE_NOT_MONITORED |
Dieser Detektor prüft, ob die Protokollierung für Änderungen an benutzerdefinierten Rollen deaktiviert ist. |
SQL_LOG_ERROR_VERBOSITY |
Dieser Detector prüft, ob das Flag |
LOAD_BALANCER_LOGGING_DISABLED |
Dieser Detektor prüft, ob die Protokollierung für den Load-Balancer deaktiviert ist. |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
Dieser Detektor prüft, ob ein Nutzer Dienstkontorollen auf Projektebene und nicht für ein bestimmtes Dienstkonto hat. |
SQL_REMOTE_ACCESS_ENABLED |
Mit diesem Detektor wird geprüft, ob das Flag |
RSASHA1_FOR_SIGNING |
Dieser Detektor prüft, ob RSASHA1 für die Schlüsselsignierung in Cloud DNS-Zonen verwendet wird. |
CLOUD_ASSET_API_DISABLED |
Dieser Detektor prüft, ob Cloud Asset Inventory deaktiviert ist. |
BUCKET_POLICY_ONLY_DISABLED |
Dieser Detektor prüft, ob der einheitliche Zugriff auf Bucket-Ebene konfiguriert ist. |
ROUTE_NOT_MONITORED |
Dieser Detector prüft, ob Logmesswerte und Benachrichtigungen nicht für das Monitoring von Änderungen an der VPC-Netzwerkroute konfiguriert sind. |
OWNER_NOT_MONITORED |
Dieser Detektor prüft, ob die Protokollierung für Zuweisungen und Änderungen der Projektinhaberschaft deaktiviert ist. |
Sicherheitsstatusvorlage ansehen
So rufen Sie die Sicherheitsrichtlinienvorlage für ISO 27001 auf:
gcloud
Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
ORGANIZATION_ID: die numerische ID der Organisation.
Führen Sie den Befehl gcloud scc posture-templates
describe aus:
Linux, macOS oder Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001
Die Antwort enthält die Vorlage für die Haltung.
REST
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
ORGANIZATION_ID: die numerische ID der Organisation.
HTTP-Methode und URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Die Antwort enthält die Vorlage für die Haltung.