Mit dem Organisationsrichtliniendienst können Kunden die Ressourcen ihrer Organisation zentral und programmatisch steuern, um Einschränkungen festzulegen. Jede Art von Einschränkung wird als Einschränkung definiert und ist konzeptionell mit einer Vorlage vergleichbar, die definiert, welches Verhalten kontrolliert wird. Das Erstellen und Verwalten von Organisationsrichtlinien kann kompliziert sein, da sich die Anforderungen an Sicherheit und Compliance im Laufe der Zeit ändern.
Mit dem Empfehlungstool für Organisationsrichtlinien können Sie Ihre Google Cloud Ressourcen schützen, ohne Kundensysteme zu beeinträchtigen. Dabei werden vorhandene Organisationsrichtlinienkonfigurationen analysiert und Empfehlungen dazu generiert, welche Organisationsrichtlinien erzwungen werden sollten.
Übersicht über Empfehlungen für Organisationsrichtlinien
Empfehlungen für Organisationsrichtlinien werden vom Organization Policy Recommender generiert. Der Recommender für Organisationsrichtlinien ist einer der Recommender, die von Recommender angeboten werden.
Jede Empfehlung für eine Organisationsrichtlinie schlägt vor, eine bestimmte Organisationsrichtlinie festzulegen, um die Sicherheit Ihrer Google Cloud Ressourcen zu verbessern. Eine Organisationsrichtlinie basiert auf einer Einschränkung, die eine Konfiguration von Einschränkungen für einen Google Cloud -Dienst ist.
Der Recommender für Organisationsrichtlinien verwendet Statistiken zu Organisationsrichtlinien, um Organisationsrichtlinien zu identifizieren, die nicht festgelegt sind. Insights zu Organisationsrichtlinien sind Ergebnisse zum Erzwingungsstatus einer Einschränkung für Organisationsrichtlinien für Ihre Ressourcen und dazu, ob Ihre Ressourcen gegen diese Organisationsrichtlinie verstoßen.
Eine Ressource verstößt gegen eine Organisationsrichtlinie, wenn sie sich in einem Zustand befindet, der durch diese Organisationsrichtlinie eingeschränkt wird. Mit der Einschränkung iam.managed.disableServiceAccountKeyCreation können Sie beispielsweise das Erstellen von Dienstkontoschlüsseln einschränken. Wenn in einem Projekt ein Dienstkontoschlüssel erstellt wurde, betrachtet der Organization Policy Service dieses Projekt als Verstoß gegen diese Organisationsrichtlinie.
So werden Statistiken und Empfehlungen generiert
Eine Empfehlung ist ein Vorschlag zur Optimierung der Nutzung vonGoogle Cloud -Ressourcen. Sie enthält die Schritte, die erforderlich sind, um die Empfehlung umzusetzen, und wird anhand von Logs und Analysen Ihrer Ressourcenkonfigurationen erstellt, um die durch die Statistik ermittelten Sicherheitslücken zu beheben.
Statistiken sind Erkenntnisse, mit denen Sie sich auf wichtige Muster der Ressourcennutzung konzentrieren können. Sie enthalten den Kontext, der zum Erstellen einer Empfehlung erforderlich ist.
Der Recommender für Organisationsrichtlinien generiert Empfehlungen auf der höchstmöglichen Ebene in der Ressourcenhierarchie. Wenn es beispielsweise in keinem Projekt unter einem Ordner Verstöße gegen eine unterstützte Einschränkung gibt, generiert der Recommender für Organisationsrichtlinien die Empfehlung für diesen Ordner, anstatt Empfehlungen für die Projekte bereitzustellen.
Unterstützte Einschränkungen
Jede Empfehlung bezieht sich auf eine bestimmte Einschränkung der Organisationsrichtlinie.
Erstellung des Dienstkontoschlüssels
Standardmäßig können Nutzer mit den entsprechenden Berechtigungen Dienstkontoschlüssel erstellen. Dienstkontoschlüssel stellen jedoch ein Sicherheitsrisiko dar, wenn sie nicht ordnungsgemäß verwaltet werden. Mit der Einschränkung für Organisationsrichtlinien iam.managed.disableServiceAccountKeyCreation können Sie die Erstellung neuer externer Dienstkontoschlüssel für alle Dienstkonten in einem Projekt, Ordner oder einer Organisation deaktivieren.
Der Organization Policy Recommender prüft, ob von Nutzern verwaltete IAM-Dienstkonten (Identity and Access Management) und externe Schlüssel dieser Dienstkonten vorhanden sind, um festzustellen, ob sie gegen die Einschränkungen für das Erstellen von Dienstkontoschlüsseln verstoßen.
Wenn keine Dienstkontoschlüssel erstellt wurden, generiert Organization Policy Recommender eine Empfehlung, die Einschränkung iam.managed.disableServiceAccountKeyCreation zu erzwingen, und entsprechende Details der Empfehlung in den zugehörigen Statistiken.
Statistiken, die sich auf die Einschränkung iam.managed.disableServiceAccountKeyCreation beziehen, haben den Untertyp ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION.
Hochladen von Dienstkontoschlüsseln
Nutzer können den öffentlichen Schlüssel eines vom Nutzer verwalteten Schlüsselpaars hochladen, um ihn mit einem Dienstkonto zu verknüpfen. Nachdem sie den öffentlichen Schlüssel hochgeladen haben, können sie den privaten Schlüssel aus dem Schlüsselpaar als Dienstkontoschlüssel verwenden. Mit der Einschränkung für Organisationsrichtlinien iam.managed.disableServiceAccountKeyUpload können Sie das Hochladen externer öffentlicher Schlüssel in Dienstkonten unter einem Projekt, Ordner oder einer Organisation deaktivieren.
Wenn keine Dienstkontoschlüssel hochgeladen wurden, generiert Organization Policy Recommender eine Empfehlung, die Einschränkung iam.managed.disableServiceAccountKeyUpload zu erzwingen, und entsprechende Details der Empfehlung in den zugehörigen Statistiken.
Statistiken für iam.managed.disableServiceAccountKeyUpload haben den Untertyp ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_UPLOAD.
Regeln für die Protokollweiterleitung
Bei der Protokollweiterleitung wird eine regionale Weiterleitungsregel verwendet, um Pakete eines bestimmten Protokolls an eine einzelne VM-Instanz zu senden. Die Weiterleitungsregel kann eine interne oder externe IP-Adresse haben.
Mit der Organisationsrichtlinieneinschränkung compute.managed.restrictProtocolForwardingCreationForTypes können Sie den Typ von Protokollweiterleitungsregel-Objekten einschränken, die ein Nutzer erstellen kann.
Wenn keine externen Protokollweiterleitungsregeln definiert sind, generiert Organization Policy Recommender eine Empfehlung zur Erzwingung der Einschränkung compute.managed.restrictProtocolForwardingCreationForTypes und entsprechende Details in den zugehörigen Statistiken.
Statistiken für compute.managed.restrictProtocolForwardingCreationForTypes haben den Untertyp ADD_POLICY_RESTRICT_PROTOCOL_FORWARDING_CREATION_FOR_TYPES.
Priorität und Schweregrad
Die Empfehlungspriorität und der Schweregrad von Statistiken helfen Ihnen, die Dringlichkeit einer Empfehlung oder Statistik zu verstehen und entsprechend zu priorisieren.
Priorität von Empfehlungen für Organisationsrichtlinien
Einer Empfehlung wird basierend auf ihrer empfundenen Dringlichkeit eine Prioritätsstufe zugewiesen.
Die Prioritätsstufen reichen von P1 (höchste Priorität) bis P4 (niedrigste Priorität).
Alle Empfehlungen für Organisationsrichtlinien haben die Priorität P1.
Schweregrad der Empfehlung für Organisationsrichtlinien
Den Statistiken werden Schweregrade zugewiesen, die auf ihrer empfundene Dringlichkeit basieren. Schweregradstufen können LOW, MEDIUM, HIGH oder CRITICAL sein.
Alle Statistiken zu Organisationsrichtlinien haben den Schweregrad HIGH.
So werden Empfehlungen angewendet
Der Recommender für Organisationsrichtlinien wendet Empfehlungen nicht automatisch an. Stattdessen müssen Sie Ihre Empfehlungen prüfen und entscheiden, ob Sie sie anwenden oder ablehnen möchten. Informationen zum Prüfen, Anwenden und Ablehnen von Rollenempfehlungen finden Sie unter Empfehlungen für Organisationsrichtlinien prüfen und anwenden.
Audit-Logging
Wenn Sie eine Empfehlung anwenden oder ablehnen, erstellt der Recommender für Organisationsrichtlinien einen Logeintrag. Sie können diese Einträge in Ihren Google Cloud -Audit-Logs ansehen.
Preise
Empfehlungen für Organisationsrichtlinien für verwaltete Einschränkungen sind kostenlos verfügbar.
Weitere Informationen finden Sie unter Fragen zur Abrechnung.
Nächste Schritte
Empfehlungen für Organisationsrichtlinien prüfen und anwenden
Weitere Informationen zu verwalteten Einschränkungen in Organisationsrichtlinien