Panoramica dei consigli relativi alle norme dell'organizzazione

Il servizio Policy dell'organizzazione offre ai clienti un controllo centralizzato e programmatico per impostare limitazioni alle risorse della loro organizzazione. Ogni tipo di limitazione è definito come un vincolo ed è concettualmente simile a un progetto che definisce i comportamenti controllati. La creazione e la gestione delle norme dell'organizzazione possono essere complicate, poiché i requisiti di sicurezza e conformità cambiano nel tempo.

Organization Policy recommender ti aiuta a proteggere le tue risorse Google Cloud senza interrompere i sistemi dei clienti. Analizza le configurazioni delle policy dell'organizzazione esistenti e genera consigli su quali policy dell'organizzazione applicare.

Panoramica dei suggerimenti per le policy dell'organizzazione

I suggerimenti per le policy dell'organizzazione vengono generati da Organization Policy Recommender. Lo strumento per suggerimenti per le policy dell'organizzazione è uno dei suggeritori offerti da Recommender.

Ogni suggerimento per le norme dell'organizzazione ti consiglia di impostare una determinata norma dell'organizzazione per migliorare la sicurezza delle tue risorse Google Cloud . Un criterio dell'organizzazione è creato a partire da un vincolo, ovvero una configurazione di limitazioni su un servizio Google Cloud .

Il motore per suggerimenti per i criteri dell'organizzazione utilizza gli approfondimenti sui criteri dell'organizzazione per identificare i criteri dell'organizzazione non impostati. Gli approfondimenti sui criteri dell'organizzazione sono risultati relativi allo stato di applicazione di un vincolo dei criteri dell'organizzazione sulle tue risorse e se le tue risorse sono in violazione di questi criteri dell'organizzazione.

Una risorsa è considerata in violazione di un criterio dell'organizzazione se si trova in uno stato limitato da quel criterio dell'organizzazione. Ad esempio, il vincolo iam.managed.disableServiceAccountKeyCreation consente di limitare la creazione di chiavi dell'account di servizio. Se è stata creata una chiave account di servizio in un progetto, il servizio Organization Policy considera il progetto in violazione della policy dell'organizzazione.

Come vengono generati gli approfondimenti e i suggerimenti

Un suggerimento è un consiglio per ottimizzare l'utilizzo delle risorseGoogle Cloud . Include i passaggi necessari per intervenire in base al consiglio e viene creato utilizzando i log e l'analisi delle configurazioni delle risorse per risolvere le vulnerabilità identificate dall'insight.

Gli approfondimenti sono risultati che puoi utilizzare per concentrarti in modo proattivo su pattern importanti nell'utilizzo delle risorse e contengono il contesto necessario per creare un suggerimento.

Il motore per suggerimenti di Organization Policy genera suggerimenti al livello più alto possibile della gerarchia delle risorse. Ad esempio, se non ci sono violazioni di un vincolo supportato in nessun progetto in una cartella, Organization Policy Recommender genera il consiglio per quella cartella, anziché fornire consigli per i progetti.

Vincoli supportati

Ogni consiglio è specifico per un determinato vincolo dei criteri dell'organizzazione.

Creazione della chiave dell'account di servizio

Per impostazione predefinita, gli utenti con le autorizzazioni appropriate possono creare account di servizio account. Tuttavia, le chiavi dei service account rappresentano un rischio per la sicurezza se non vengono gestite correttamente. Utilizzando il vincolo della policy dell'organizzazione iam.managed.disableServiceAccountKeyCreation, puoi disattivare la creazione di nuove chiavi esterne del account di servizio per tutti i service account in un progetto, una cartella o un'organizzazione.

Organization Policy recommender verifica Identity and Access Management#39;esistenza di service account gestiti dall&#IAM;utente e chiavi esterne di questi service account per valutare se violano le limitazioni alla creazione di chiavi account di servizio.

Se non sono state create chiavi del account di servizio, Organization Policy recommender genera un suggerimento per applicare il vincolo iam.managed.disableServiceAccountKeyCreation e i dettagli di supporto del suggerimento negli approfondimenti corrispondenti.

Gli approfondimenti relativi al vincolo iam.managed.disableServiceAccountKeyCreation hanno il sottotipo ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION.

Caricamento della chiave service account

Gli utenti possono caricare la parte di chiave pubblica di una coppia di chiavi gestita dall'utente per associarla a un account di servizio. Dopo aver caricato la chiave pubblica, può utilizzare la chiave privata della coppia di chiavi come chiave del service account. Utilizzando il vincolo di policy dell'organizzazione iam.managed.disableServiceAccountKeyUpload, puoi disattivare il caricamento di chiavi pubbliche esterne nei service account in un progetto, una cartella o un'organizzazione.

Se non sono presenti chiavi del account di servizio caricate, Organization Policy Recommender genera un consiglio per applicare il vincolo iam.managed.disableServiceAccountKeyUpload e i dettagli di supporto del consiglio negli approfondimenti corrispondenti.

Gli insight per iam.managed.disableServiceAccountKeyUpload hanno il sottotipo ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_UPLOAD.

Regole di forwarding del protocollo

Il forwarding del protocollo utilizza una regola di forwarding regionale per distribuire i pacchetti di un protocollo specifico a una singola istanza di macchina virtuale (VM). La regola di forwarding può avere un indirizzo IP interno o esterno.

Utilizzando il vincolo della policy dell'organizzazione compute.managed.restrictProtocolForwardingCreationForTypes, puoi limitare il tipo di oggetti regola di forwarding di protocollo che un utente può creare.

Se non sono definite regole di inoltro del protocollo esterno, Organization Policy Recommender genera un suggerimento per applicare il vincolo compute.managed.restrictProtocolForwardingCreationForTypes e i dettagli di supporto del suggerimento negli approfondimenti corrispondenti.

Gli insight per compute.managed.restrictProtocolForwardingCreationForTypes hanno il sottotipo ADD_POLICY_RESTRICT_PROTOCOL_FORWARDING_CREATION_FOR_TYPES.

Priorità e gravità

La priorità dei consigli e la gravità degli approfondimenti ti aiutano a comprendere l'urgenza di un consiglio o di un approfondimento e a stabilire le priorità di conseguenza.

Priorità dei suggerimenti per le policy dell'organizzazione

A un consiglio viene assegnato un livello di priorità in base alla sua urgenza percepita. I livelli di priorità vanno da P1 (priorità più alta) a P4 (priorità più bassa).

Tutti i suggerimenti per le policy dell'organizzazione hanno una priorità di P1.

Gravità del suggerimento relativo alle policy dell'organizzazione

Agli approfondimenti vengono assegnati livelli di gravità in base alla loro urgenza percepita. I livelli di gravità possono essere LOW, MEDIUM, HIGH o CRITICAL.

Tutti gli approfondimenti sui criteri dell'organizzazione hanno una gravità di HIGH.

Come vengono applicati i consigli

Lo strumento per i consigli sulle policy dell'organizzazione non applica automaticamente i consigli. Devi invece esaminare i consigli e decidere se applicarli o ignorarli. Per scoprire come esaminare, applicare e ignorare i suggerimenti per i ruoli, consulta Esaminare e applicare i suggerimenti per le policy dell'organizzazione.

Audit logging

Quando applichi o ignori un consiglio, Organization Policy recommender crea una voce di log. Puoi visualizzarli nei Google Cloud log di controllo.

Prezzi

I suggerimenti per le policy dell'organizzazione per i vincoli gestiti sono disponibili senza costi.

Per ulteriori informazioni, consulta la pagina Domande sulla fatturazione.

Passaggi successivi