Descripción general de las recomendaciones de políticas de la organización

El Servicio de políticas de la organización les brinda a los clientes un control centralizado y programático para establecer restricciones en los recursos de su organización. Cada tipo de restricción se define como una restricción y es conceptualmente similar a un esquema que define qué comportamientos se controlan. La creación y el mantenimiento de las políticas de la organización pueden ser complicados, ya que los requisitos de seguridad y cumplimiento cambian con el tiempo.

El recomendador de políticas de la organización te ayuda a proteger tus Google Cloud recursos sin interrumpir los sistemas de los clientes. Analiza las configuraciones existentes de las políticas de la organización y genera recomendaciones sobre las políticas de la organización que se deben aplicar.

Descripción general de las recomendaciones de políticas de la organización

El recomendador de políticas de la organización genera las recomendaciones de políticas de la organización. El recomendador de políticas de la organización es uno de los recomendadores que ofrece Recommender.

Cada recomendación de política de la organización sugiere que establezcas una política de organización particular para mejorar la seguridad de tus Google Cloud recursos. Una política de la organización se compila a partir de una restricción, que es una configuración de restricciones en un servicio Google Cloud .

El recomendador de políticas de la organización usa las estadísticas de políticas de la organización para identificar las políticas de la organización que no están configuradas. Las estadísticas de las políticas de la organización son hallazgos sobre el estado de aplicación de una restricción de la política de la organización en tus recursos y si estos están en incumplimiento de esa política.

Se considera que un recurso incumple una política de la organización si se encuentra en un estado que está restringido por esa política. Por ejemplo, la restricción iam.managed.disableServiceAccountKeyCreation te permite restringir la creación de claves de cuenta de servicio. Si se creó una clave de cuenta de servicio en un proyecto, el servicio de políticas de la organización considera que ese proyecto incumple esa política.

Cómo se generan las estadísticas y recomendaciones

Una recomendación es una sugerencia para optimizar el uso de los recursos deGoogle Cloud . Incluye los pasos necesarios para tomar medidas con respecto a la recomendación y se crea con registros y análisis de la configuración de tus recursos para abordar las vulnerabilidades que identifica la estadística.

Las estadísticas son hallazgos que puedes usar para enfocarte de manera proactiva en patrones importantes del uso de recursos y contienen el contexto necesario para crear una recomendación.

El recomendador de políticas de la organización genera recomendaciones en el nivel más alto posible en la jerarquía de recursos. Por ejemplo, si no hay incumplimientos de una restricción admitida en ningún proyecto de una carpeta, el recomendador de políticas de la organización genera la recomendación para esa carpeta, en lugar de proporcionar recomendaciones para los proyectos.

Restricciones admitidas

Cada recomendación es específica de una restricción de política de la organización en particular.

Creación de clave de cuenta de servicio

De forma predeterminada, los usuarios con los permisos adecuados pueden crear claves de cuentas de servicio. Sin embargo, las claves de cuenta de servicio son un riesgo de seguridad si no se administran de forma adecuada. Con la restricción de la política de la organización iam.managed.disableServiceAccountKeyCreation, puedes inhabilitar la creación de claves de cuentas de servicio externas nuevas para todas las cuentas de servicio de un proyecto, una carpeta o una organización.

El recomendador de políticas de la organización verifica la existencia de cuentas de servicio administradas por el usuario de Identity and Access Management (IAM) y las claves externas de estas cuentas para evaluar si incumplen las restricciones sobre la creación de claves de cuentas de servicio.

Si no se crearon claves de cuenta de servicio, el recomendador de políticas de la organización genera una recomendación para aplicar la restricción iam.managed.disableServiceAccountKeyCreation y los detalles de la recomendación en las estadísticas correspondientes.

Las estadísticas relacionadas con la restricción iam.managed.disableServiceAccountKeyCreation tienen el subtipo ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION.

Carga de claves de cuentas de servicio

Los usuarios pueden subir la parte de clave pública de un par de claves administradas por el usuario para asociarlo con una cuenta de servicio. Después de subir la clave pública, puede usar la clave privada del par de claves como una clave de cuenta de servicio. Con la restricción de políticas de la organización iam.managed.disableServiceAccountKeyUpload, puedes inhabilitar la carga de claves públicas externas a las cuentas de servicio de un proyecto, una carpeta o una organización.

Si no hay claves de cuenta de servicio cargadas, el recomendador de políticas de la organización genera una recomendación para aplicar la restricción iam.managed.disableServiceAccountKeyUpload y los detalles de respaldo de la recomendación en las estadísticas correspondientes.

Las estadísticas de iam.managed.disableServiceAccountKeyUpload tienen el subtipo ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_UPLOAD.

Reglas de reenvío de protocolos

El reenvío de protocolos usa una regla de reenvío regional para entregar paquetes de un protocolo específico a una sola instancia de máquina virtual (VM). La regla de reenvío puede tener una dirección IP interna o externa.

Con la restricción de política de la organización compute.managed.restrictProtocolForwardingCreationForTypes, puedes restringir el tipo de objetos de regla de reenvío de protocolos que puede crear un usuario.

Si no se definen reglas de reenvío de protocolos externos, el recomendador de políticas de la organización genera una recomendación para aplicar la restricción compute.managed.restrictProtocolForwardingCreationForTypes y los detalles de respaldo de la recomendación en las estadísticas correspondientes.

Las estadísticas de compute.managed.restrictProtocolForwardingCreationForTypes tienen el subtipo ADD_POLICY_RESTRICT_PROTOCOL_FORWARDING_CREATION_FOR_TYPES.

Prioridad y gravedad

La prioridad de las recomendaciones y la gravedad de las estadísticas te ayudan a comprender la urgencia de una recomendación o estadística, y a priorizarla según corresponda.

Prioridad de recomendación de políticas de la organización

A las recomendaciones se les asigna un nivel de prioridad según la urgencia percibida. Los niveles de prioridad varían de P1 (prioridad más alta) a P4 (prioridad más baja).

Todas las recomendaciones de políticas de la organización tienen una prioridad de P1.

Gravedad de las recomendaciones de las políticas de la organización

A las estadísticas se les asignan niveles de gravedad según la urgencia percibida. Los niveles de gravedad pueden ser LOW, MEDIUM, HIGH o CRITICAL.

Todas las estadísticas de las políticas de la organización tienen una gravedad de HIGH.

Cómo se aplican las recomendaciones

El recomendador de políticas de la organización no aplica recomendaciones de forma automática. En su lugar, debes revisar tus recomendaciones y decidir si las aplicas o las descartas. Para aprender a revisar, aplicar y descartar recomendaciones de roles, consulta Revisa y aplica recomendaciones de políticas de la organización.

Registros de auditoría

Cuando aplicas o descartas una recomendación, el recomendador de políticas de la organización crea una entrada de registro. Puedes verlas en tus Google Cloud registros de auditoría.

Precios

Las recomendaciones de la política de la organización para las restricciones administradas están disponibles sin cargo.

Para obtener más información, consulta Preguntas sobre facturación.

¿Qué sigue?