Panoramica dei consigli relativi alle norme dell'organizzazione

Il servizio Criteri dell'organizzazione offre ai clienti un controllo centralizzato e programmatico per impostare limitazioni sulle risorse della loro organizzazione. Ogni tipo di limitazione è definito come un vincolo ed è concettualmente simile a un blueprint che definisce i comportamenti controllati. La creazione e la gestione dei criteri dell'organizzazione possono essere complicate, poiché i requisiti per la sicurezza e la conformità cambiano nel tempo.

Il Recommender per le norme dell'organizzazione ti aiuta a proteggere le tue Google Cloud risorse senza interrompere i sistemi dei clienti. Analizza le configurazioni esistenti dei criteri dell'organizzazione e genera consigli su quali criteri dell'organizzazione applicare.

Panoramica dei consigli relativi alle norme dell'organizzazione

I consigli per le norme dell'organizzazione vengono generati dal Recommender per le norme dell'organizzazione. Il Recommender per le norme dell'organizzazione è uno dei consigli offerti da Recommender.

Ogni consiglio relativo alle norme dell'organizzazione suggerisce di impostare un determinato insieme di norme per migliorare la sicurezza delle tue Google Cloud risorse. Un criterio dell'organizzazione viene creato a partire da un vincolo, ovvero da una configurazione di restrizioni su un Google Cloud servizio.

Il motore per suggerimenti dei criteri dell'organizzazione utilizza gli approfondimenti sui criteri dell'organizzazione per identificare i criteri dell'organizzazione non impostati. Le informazioni sui criteri dell'organizzazione sono risultati relativi allo stato di applicazione di un vincolo dei criteri dell'organizzazione sulle tue risorse e se le tue risorse sono in violazione di questi criteri.

Una risorsa è considerata in violazione di un criterio dell'organizzazione se si trova in uno stato limitato da quel criterio. Ad esempio, il vincolo iam.managed.disableServiceAccountKeyCreation ti consente di limitare la creazione di chiavi dell'account di servizio. Se in un progetto è stata creata una chiave dell'account di servizio, il servizio di criteri dell'organizzazione considera il progetto in violazione di questi criteri.

Come vengono generati approfondimenti e consigli

Un suggerimento è un'indicazione per ottimizzare l'utilizzo delleGoogle Cloud risorse. Include i passaggi necessari per intervenire in base al consiglio e viene creato utilizzando i log e l'analisi delle configurazioni delle risorse per risolvere le vulnerabilità identificate dall'approfondimento.

Gli approfondimenti sono risultati che puoi utilizzare per concentrarti in modo proattivo su pattern importanti nell'utilizzo delle risorse e contengono il contesto necessario per creare un consiglio.

Il Recommender dei criteri dell'organizzazione genera consigli al livello più alto possibile della gerarchia delle risorse. Ad esempio, se non sono presenti violazioni di un vincolo supportato in nessun progetto all'interno di una cartella, il Recommender dei criteri dell'organizzazione genera il consiglio per la cartella anziché fornire consigli per i progetti.

Vincoli supportati

Ogni consiglio è specifico per un determinato vincolo dei criteri dell'organizzazione.

Creazione della chiave dell'account di servizio

Per impostazione predefinita, gli utenti con le autorizzazioni appropriate possono creare chiavi account di servizio. Tuttavia, le chiavi degli account di servizio rappresentano un rischio per la sicurezza se non vengono gestite correttamente. Utilizzando il vincolo della policy dell'organizzazione iam.managed.disableServiceAccountKeyCreation, puoi disattivare la creazione di nuove chiavi esterne degli account di servizio per tutti gli account di servizio di un progetto, di una cartella o di un'organizzazione.

Il Recommender per i criteri dell'organizzazione controlla l'esistenza di account di servizio gestiti dall&#IAM;utente e delle chiavi esterne di questi account di servizio per valutare se violano le limitazioni alla creazione di chiavi degli account di servizio.

Se non sono state create chiavi dell'account di servizio, il Recommender per i criteri dell'organizzazione genera un consiglio per applicare il vincolo iam.managed.disableServiceAccountKeyCreation e i dettagli di supporto del consiglio negli approfondimenti corrispondenti.

Gli approfondimenti relativi al vincolo iam.managed.disableServiceAccountKeyCreation hanno il sottotipo ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION.

Caricamento della chiave dell'account di servizio

Gli utenti possono caricare la parte di chiave pubblica di una coppia di chiavi gestita dall'utente per associarla a un account di servizio. Dopo aver caricato la chiave pubblica, può utilizzare la chiave privata della coppia di chiavi come chiave dell'account di servizio. Utilizzando il vincolo delle norme dell'organizzazione iam.managed.disableServiceAccountKeyUpload, puoi disattivare il caricamento di chiavi pubbliche esterne negli account di servizio di un progetto, di una cartella o di un'organizzazione.

Se non sono state caricate chiavi del account di servizio, il Recommender per i criteri dell'organizzazione genera un consiglio per applicare il vincolo iam.managed.disableServiceAccountKeyUpload e i dettagli a supporto del consiglio negli approfondimenti corrispondenti.

Gli approfondimenti per iam.managed.disableServiceAccountKeyUpload hanno il sottotipo ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_UPLOAD.

Regole di forwarding del protocollo

Il forwarding del protocollo utilizza una regola di forwarding regionale per consegnare i pacchetti di un protocollo specifico a una singola istanza di una macchina virtuale (VM). La regola di forwarding può avere un indirizzo IP interno o esterno.

Utilizzando il vincolo delle norme dell'organizzazione compute.managed.restrictProtocolForwardingCreationForTypes, puoi limitare il tipo di oggetti regola di forwarding di protocollo che un utente può creare.

Se non sono definite regole di inoltro del protocollo esterno, il Recommender delle norme dell'organizzazione genera un consiglio per applicare il vincolo compute.managed.restrictProtocolForwardingCreationForTypes e i dettagli a supporto del consiglio negli approfondimenti corrispondenti.

Gli insight per compute.managed.restrictProtocolForwardingCreationForTypes hanno il sottotipo ADD_POLICY_RESTRICT_PROTOCOL_FORWARDING_CREATION_FOR_TYPES.

Priorità e gravità

La priorità del consiglio e la gravità dell'approfondimento ti aiutano a capire l'urgenza di un consiglio o di un approfondimento e a stabilire le priorità di conseguenza.

Priorità del suggerimento relativo alle norme dell'organizzazione

A un consiglio viene assegnato un livello di priorità in base alla sua urgenza percepita. I livelli di priorità vanno da P1 (priorità più alta) a P4 (priorità più bassa).

Tutti i consigli relativi alle norme dell'organizzazione hanno una priorità pari a P1.

Gravità del consiglio relativo alle norme dell'organizzazione

Agli approfondimenti vengono assegnati livelli di gravità in base alla loro urgenza percepita. I livelli di gravità possono essere LOW, MEDIUM, HIGH o CRITICAL.

Tutti gli approfondimenti sui criteri dell'organizzazione hanno una gravità pari a HIGH.

Come vengono applicati i consigli

Il Recommender per i criteri dell'organizzazione non applica automaticamente i consigli. Devi invece esaminare i consigli e decidere se applicarli o ignorarli. Per scoprire come esaminare, applicare e ignorare i consigli sui ruoli, consulta Esaminare e applicare i consigli sulle norme dell'organizzazione.

Audit logging

Quando applichi o ignori un consiglio, il Consiglio per i criteri dell'organizzazione crea una voce di log. Puoi visualizzarli nei Google Cloud log di controllo.

Prezzi

I consigli per i criteri dell'organizzazione relativi ai vincoli gestiti sono disponibili senza costi.

Per ulteriori informazioni, vedi Domande sulla fatturazione.

Passaggi successivi