Modelo de postura predefinido para a ISO 27001

Esta página descreve as políticas de deteção incluídas na versão 1.0 do modelo de postura predefinido para a norma International Organization for Standards (ISO) 27001. Este modelo inclui um conjunto de políticas que define os detetores do Security Health Analytics que se aplicam a cargas de trabalho que têm de estar em conformidade com a norma ISO 27001.

Pode implementar este modelo de postura sem fazer alterações.

Detetores de análise de estado de segurança

A tabela seguinte descreve os detetores do Security Health Analytics incluídos neste modelo de postura.

Nome do detetor Descrição
SQL_CROSS_DB_OWNERSHIP_CHAINING

Este detetor verifica se a flag cross_db_ownership_chaining no Cloud SQL para SQL Server não está desativada.
INSTANCE_OS_LOGIN_DISABLED

Este detetor verifica se o início de sessão no SO não está ativado.
SQL_SKIP_SHOW_DATABASE_DISABLED

Este detetor verifica se a flag skip_show_database no Cloud SQL para MySQL não está ativada.
ESSENTIAL_CONTACTS_NOT_CONFIGURED

Este detetor verifica se tem, pelo menos, um Contacto essencial.
AUDIT_LOGGING_DISABLED

Este detetor verifica se o registo de auditoria está desativado para um recurso.
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Este detetor verifica se os registos de fluxo da VPC não estão ativados.
API_KEY_EXISTS

Este detetor verifica se um projeto está a usar chaves da API em vez da autenticação padrão.
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

Este detetor verifica se a flag log_min_error_statement no Cloud SQL para PostgreSQL não tem um nível de gravidade adequado.
LOCKED_RETENTION_POLICY_NOT_SET

Este detetor verifica se a política de retenção bloqueada está definida para os registos.
SQL_LOG_DISCONNECTIONS_DISABLED

Este detetor verifica se a flag log_disconnections no Cloud SQL para PostgreSQL não está ativada.
COMPUTE_SERIAL_PORTS_ENABLED

Este detetor verifica se as portas de série estão ativadas.
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

Este detetor verifica se estão a ser usadas chaves SSH ao nível do projeto.
KMS_KEY_NOT_ROTATED

Este detetor verifica se a rotação da encriptação do Cloud Key Management Service não está ativada.
DNS_LOGGING_DISABLED

Este detetor verifica se o registo de DNS está ativado na rede VPC.
SQL_LOCAL_INFILE

Este detetor verifica se a flag local_infile no Cloud SQL para MySQL não está desativada.
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

Este detetor verifica se a flag log_min_duration_statement no Cloud SQL para PostgreSQL não está definida como -1.
PUBLIC_DATASET

Este detetor verifica se um conjunto de dados está configurado para estar aberto ao acesso público. Para mais informações, consulte as conclusões de vulnerabilidades do conjunto de dados.
DISK_CSEK_DISABLED

Este detetor verifica se o suporte de chaves de encriptação fornecidas pelo cliente (CSEK) está desativado para uma VM.
SQL_USER_CONNECTIONS_CONFIGURED

Este detetor verifica se a flag user connections no Cloud SQL para SQL Server está configurada.
SERVICE_ACCOUNT_ROLE_SEPARATION

Este detetor verifica a separação de funções para chaves de contas de serviço.
AUDIT_CONFIG_NOT_MONITORED

Este detetor verifica se as alterações de configuração de auditoria estão a ser monitorizadas.
BUCKET_IAM_NOT_MONITORED

Este detetor verifica se o registo está desativado para alterações de autorizações da IAM no Cloud Storage.
PUBLIC_SQL_INSTANCE

Este detetor verifica se um Cloud SQL permite ligações de todos os endereços IP.
AUTO_BACKUP_DISABLED

Este detetor verifica se uma base de dados do Cloud SQL não tem as cópias de segurança automáticas ativadas.
DATAPROC_CMEK_DISABLED

Este detetor verifica se o suporte da CMEK está desativado para um cluster do Dataproc.
LOG_NOT_EXPORTED

Este detetor verifica se um recurso não tem um destino de registo configurado.
KMS_PROJECT_HAS_OWNER

Este detetor verifica se um utilizador tem a autorização de Proprietário num projeto que inclui chaves.
KMS_ROLE_SEPARATION

Este detetor verifica a separação de funções para chaves do Cloud KMS.
API_KEY_APIS_UNRESTRICTED

Este detetor verifica se as chaves da API estão a ser usadas de forma demasiado abrangente.
SQL_LOG_MIN_MESSAGES

Este detetor verifica se a flag log_min_messages no Cloud SQL para PostgreSQL não está definida como warning.
SQL_PUBLIC_IP

Este detetor verifica se uma base de dados do Cloud SQL tem um endereço IP externo.
DATASET_CMEK_DISABLED

Este detetor verifica se o apoio técnico da CMEK está desativado para um conjunto de dados do BigQuery.
FIREWALL_NOT_MONITORED

Este detetor verifica se as métricas de registo e os alertas não estão configurados para monitorizar as alterações às regras da firewall da VPC.
SQL_LOG_STATEMENT

Este detetor verifica se a flag log_statement no servidor do Cloud SQL para PostgreSQL não está definida como ddl.
BIGQUERY_TABLE_CMEK_DISABLED

Este detetor verifica se uma tabela do BigQuery não está configurada para usar uma chave de encriptação gerida pelo cliente (CMEK). Para mais informações, consulte as conclusões de vulnerabilidades do conjunto de dados.
CONFIDENTIAL_COMPUTING_DISABLED

Este detetor verifica se a computação confidencial está desativada.
SQL_INSTANCE_NOT_MONITORED

Este detetor verifica se o registo está desativado para alterações de configuração do Cloud SQL.
KMS_PUBLIC_KEY

Este detetor verifica se uma chave criptográfica do Cloud Key Management Service é acessível publicamente. Para mais informações, consulte as conclusões de vulnerabilidades do KMS.
DEFAULT_NETWORK

Este detetor verifica se a rede predefinida existe num projeto.
SQL_TRACE_FLAG_3625

Este detetor verifica se a flag 3625 (trace flag) no Cloud SQL para SQL Server não está ativada.
API_KEY_NOT_ROTATED

Este detetor verifica se uma chave de API foi alterada nos últimos 90 dias.
DNSSEC_DISABLED

Este detetor verifica se a segurança DNS (DNSSEC) está desativada para o Cloud DNS. Para mais informações, consulte as conclusões de vulnerabilidade de DNS.
SQL_LOG_CONNECTIONS_DISABLED

Este detetor verifica se a flag log_connections no Cloud SQL para PostgreSQL não está ativada.
LEGACY_NETWORK

Este detetor verifica se existe uma rede antiga num projeto.
PUBLIC_IP_ADDRESS

Este detetor verifica se uma instância tem um endereço IP externo.
FULL_API_ACCESS

Este detetor verifica se uma instância está a usar uma conta de serviço predefinida com acesso total a todas as Google Cloud APIs.
SQL_CONTAINED_DATABASE_AUTHENTICATION

Este detetor verifica se a flag contained database authentication no Cloud SQL para SQL Server não está desativada.
OS_LOGIN_DISABLED

Este detetor verifica se o Início de sessão do SO está desativado.
SQL_USER_OPTIONS_CONFIGURED

Este detetor verifica se a flag user options no Cloud SQL para SQL Server está configurada.
ADMIN_SERVICE_ACCOUNT

Este detetor verifica se uma conta de serviço tem privilégios de administrador, proprietário ou editor.
DEFAULT_SERVICE_ACCOUNT_USED

Este detetor verifica se a conta de serviço predefinida está a ser usada.
NETWORK_NOT_MONITORED

Este detetor verifica se as métricas de registo e os alertas não estão configurados para monitorizar as alterações da rede VPC.
PUBLIC_BUCKET_ACL

Este detetor verifica se um contentor está acessível publicamente.
CUSTOM_ROLE_NOT_MONITORED

Este detetor verifica se o registo está desativado para alterações de funções personalizadas.
SQL_LOG_ERROR_VERBOSITY

Este detetor verifica se a flag log_error_verbosity no Cloud SQL para PostgreSQL não está definida como default.
LOAD_BALANCER_LOGGING_DISABLED

Este detetor verifica se o registo está desativado para o balanceador de carga.
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Este detetor verifica se um utilizador tem funções de conta de serviço ao nível do projeto, em vez de para uma conta de serviço específica.
SQL_REMOTE_ACCESS_ENABLED

Este detetor verifica se a flag remote_access no Cloud SQL para SQL Server não está desativada.
RSASHA1_FOR_SIGNING

Este detetor verifica se o RSASHA1 é usado para a assinatura de chaves em zonas do Cloud DNS.
CLOUD_ASSET_API_DISABLED

Este detetor verifica se o Cloud Asset Inventory está desativado.
BUCKET_POLICY_ONLY_DISABLED

Este detetor verifica se o acesso uniforme ao nível do contentor está configurado.
ROUTE_NOT_MONITORED

Este detetor verifica se as métricas de registo e os alertas não estão configurados para monitorizar as alterações de rota da rede VPC.
OWNER_NOT_MONITORED

Este detetor verifica se o registo está desativado para atribuições e alterações de propriedade do projeto.

Veja o modelo de postura

Para ver o modelo de postura para a norma ISO 27001, faça o seguinte:

gcloud

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

  • ORGANIZATION_ID: o ID numérico da organização

Execute o comando gcloud scc posture-templates describe:

Linux, macOS ou Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001

A resposta contém o modelo de postura.

REST

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

  • ORGANIZATION_ID: o ID numérico da organização

Método HTTP e URL: 

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001

Para enviar o seu pedido, expanda uma destas opções:

A resposta contém o modelo de postura.

O que se segue?