Mit dem Organisationsrichtliniendienst können Kunden zentral und programmatisch Einschränkungen für die Ressourcen ihrer Organisation festlegen. Jede Art von Einschränkung wird als Einschränkung definiert und ist konzeptionell mit einer Vorlage vergleichbar, die festlegt, welches Verhalten gesteuert wird. Das Erstellen und Pflegen von Richtlinien für Organisationen kann schwierig sein, da sich die Anforderungen an Sicherheit und Compliance im Laufe der Zeit ändern.
Mit dem Empfehlungssystem für Organisationsrichtlinien können Sie Ihre Google Cloud -Ressourcen schützen, ohne die Kundensysteme zu beeinträchtigen. Dabei werden vorhandene Konfigurationen von Organisationsrichtlinien analysiert und Empfehlungen dazu generiert, welche Organisationsrichtlinien erzwungen werden sollen.
Übersicht über Empfehlungen für Organisationsrichtlinien
Empfehlungen für Organisationsrichtlinien werden vom Recommender für Organisationsrichtlinien generiert. Der Recommender für Organisationsrichtlinien ist einer der Recommender, die Recommender bietet.
Bei jeder Empfehlung für eine Organisationsrichtlinie wird vorgeschlagen, eine bestimmte Organisationsrichtlinie festzulegen, um die Sicherheit Ihrer Google Cloud- Ressourcen zu verbessern. Eine Organisationsrichtlinie besteht aus einer Einschränkung, einer Konfiguration von Einschränkungen für einen Google Cloud -Dienst.
Der Recommender für Organisationsrichtlinien verwendet Statistiken zu Organisationsrichtlinien, um nicht festgelegte Organisationsrichtlinien zu identifizieren. Informationen zu Organisationsrichtlinien sind Informationen zum Erzwingungsstatus einer Einschränkung einer Organisationsrichtlinie für Ihre Ressourcen und dazu, ob Ihre Ressourcen gegen diese Organisationsrichtlinie verstoßen.
Eine Ressource verstößt gegen eine Organisationsrichtlinie, wenn sie sich in einem Status befindet, der durch diese Organisationsrichtlinie eingeschränkt ist. Mit der Einschränkung iam.managed.disableServiceAccountKeyCreation können Sie beispielsweise das Erstellen von Dienstkontoschlüsseln einschränken. Wenn in einem Projekt ein Dienstkontoschlüssel erstellt wurde, betrachtet der Organisationsrichtliniendienst dieses Projekt als Verstoß gegen die entsprechende Organisationsrichtlinie.
So werden Statistiken und Empfehlungen generiert
Eine Empfehlung ist ein Vorschlag zur Optimierung der Nutzung vonGoogle Cloud -Ressourcen. Sie enthält die Schritte, die erforderlich sind, um die Empfehlung umzusetzen. Sie wird anhand von Protokollen und Analysen Ihrer Ressourcenkonfigurationen erstellt, um die durch die Information erkannten Sicherheitslücken zu beheben.
Statistiken sind Erkenntnisse, mit denen Sie sich proaktiv auf wichtige Muster der Ressourcennutzung konzentrieren können. Sie enthalten den Kontext, der zum Erstellen einer Empfehlung erforderlich ist.
Der Empfehlungsmechanismus für Organisationsrichtlinien generiert Empfehlungen auf der höchstmöglichen Ebene in der Ressourcenhierarchie. Wenn es beispielsweise in keinem Projekt unter einem Ordner Verstöße gegen eine unterstützte Einschränkung gibt, generiert der Recommender für Organisationsrichtlinien die Empfehlung für diesen Ordner, anstatt Empfehlungen für die Projekte bereitzustellen.
Unterstützte Einschränkungen
Jede Empfehlung bezieht sich auf eine bestimmte Einschränkung der Organisationsrichtlinie.
Erstellung des Dienstkontoschlüssels
Standardmäßig können Nutzer mit den entsprechenden Berechtigungen Dienstkontoschlüssel erstellen. Dienstkontoschlüssel stellen jedoch ein Sicherheitsrisiko dar, wenn sie nicht ordnungsgemäß verwaltet werden. Mit der Einschränkung der Organisationsrichtlinie iam.managed.disableServiceAccountKeyCreation können Sie das Erstellen neuer externer Dienstkontoschlüssel für alle Dienstkonten in einem Projekt, Ordner oder einer Organisation deaktivieren.
Der Empfehlungsmechanismus für Organisationsrichtlinien prüft, ob es von Nutzern verwaltete IAM-Dienstkonten (Identity and Access Management) und externe Schlüssel für diese Dienstkonten gibt, um zu beurteilen, ob sie gegen die Einschränkungen beim Erstellen von Dienstkontoschlüsseln verstoßen.
Wenn keine Dienstkontoschlüssel erstellt wurden, generiert der Empfehlungsmechanismus für Organisationsrichtlinien eine Empfehlung zur Erzwingung der Einschränkung iam.managed.disableServiceAccountKeyCreation und entsprechende unterstützende Details in den entsprechenden Statistiken.
Statistiken im Zusammenhang mit der Einschränkung iam.managed.disableServiceAccountKeyCreation haben den Untertyp ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION.
Hochladen von Dienstkontoschlüsseln
Nutzer können den öffentlichen Schlüssel eines nutzerverwalteten Schlüsselpaars hochladen, um ihn mit einem Dienstkonto zu verknüpfen. Nachdem der öffentliche Schlüssel hochgeladen wurde, kann der private Schlüssel aus dem Schlüsselpaar als Dienstkontoschlüssel verwendet werden. Mit der Einschränkung für Organisationsrichtlinien iam.managed.disableServiceAccountKeyUpload können Sie das Hochladen externer öffentlicher Schlüssel in Dienstkonten unter einem Projekt, Ordner oder einer Organisation deaktivieren.
Wenn keine Dienstkontoschlüssel hochgeladen wurden, generiert der Empfehlungsmechanismus für die Organisationsrichtlinie eine Empfehlung zur Erzwingung der iam.managed.disableServiceAccountKeyUpload-Einschränkung und entsprechende unterstützende Details.
Statistiken zu iam.managed.disableServiceAccountKeyUpload haben den Untertyp ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_UPLOAD.
Protokollweiterleitungsregeln
Bei der Protokollweiterleitung werden Pakete eines bestimmten Protokolls mithilfe einer regionalen Weiterleitungsregel an eine einzelne VM-Instanz (virtuelle Maschine) gesendet. Die Weiterleitungsregel kann eine interne oder externe IP-Adresse haben.
Mit der Organisationsrichtlinieneinschränkung compute.managed.restrictProtocolForwardingCreationForTypes können Sie den Typ der Protokollweiterleitungsregelobjekte einschränken, die ein Nutzer erstellen kann.
Wenn keine externen Protokollweiterleitungsregeln definiert sind, generiert der Empfehlungsmechanismus für die Organisationsrichtlinie eine Empfehlung zur Erzwingung der compute.managed.restrictProtocolForwardingCreationForTypes-Einschränkung und zeigt in den entsprechenden Statistiken unterstützende Details zur Empfehlung an.
Statistiken für die compute.managed.restrictProtocolForwardingCreationForTypes haben den Untertyp ADD_POLICY_RESTRICT_PROTOCOL_FORWARDING_CREATION_FOR_TYPES.
Priorität und Schweregrad
Die Empfehlungspriorität und der Schweregrad von Statistiken helfen Ihnen, die Dringlichkeit einer Empfehlung oder Statistik zu verstehen und entsprechend zu priorisieren.
Priorität der Empfehlung für Organisationsrichtlinien
Den Empfehlungen wird eine Prioritätsstufe zugewiesen, basierend auf ihrer empfundenen Dringlichkeit.
Die Prioritätsstufen reichen von P1 (höchste Priorität) bis P4 (niedrigste Priorität).
Alle Empfehlungen zu Organisationsrichtlinien haben die Priorität P1.
Schweregrad der Empfehlung für Organisationsrichtlinien
Den Statistiken werden Schweregrade zugewiesen, die auf ihrer empfundene Dringlichkeit basieren. Schweregradstufen können LOW, MEDIUM, HIGH oder CRITICAL sein.
Alle Statistiken zu Richtlinienverstößen haben den Schweregrad HIGH.
So werden Empfehlungen angewendet
Der Recommender für Organisationsrichtlinien wendet Empfehlungen nicht automatisch an. Stattdessen müssen Sie Ihre Empfehlungen prüfen und entscheiden, ob Sie sie anwenden oder ablehnen möchten. Informationen zum Prüfen, Anwenden und Ablehnen von Rollenempfehlungen finden Sie unter Empfehlungen zu Organisationsrichtlinien prüfen und anwenden.
Audit-Logging
Wenn Sie eine Empfehlung anwenden oder ablehnen, erstellt der Recommender für Organisationsrichtlinien einen Protokolleintrag. Sie können sie in Ihren Google Cloud Audit Logs ansehen.
Preise
Empfehlungen für Organisationsrichtlinien für verwaltete Einschränkungen sind kostenlos verfügbar.
Weitere Informationen finden Sie unter Fragen zur Abrechnung.
Nächste Schritte
Empfehlungen für Organisationsrichtlinien prüfen und anwenden
Weitere Informationen zu verwalteten Einschränkungen in der Organisationsrichtlinie