Nesta página, descrevemos as políticas preventivas incluídas na versão v1.0 da postura predefinida para o essencial seguro por padrão. Essa postura ajuda a evitar configurações incorretas e problemas de segurança comuns causados por configurações padrão.
É possível usar essa postura predefinida para configurar uma postura de segurança que ajude a proteger os recursos do Google Cloud. É possível implantar essa postura predefinida sem fazer nenhuma mudança.
Política | Descrição | Padrões de compliance |
---|---|---|
iam.disableServiceAccountKeyCreation |
Essa restrição impede que os usuários criem chaves persistentes para contas de serviço para diminuir o risco de credenciais expostas da conta de serviço. O
valor é |
Controle do NIST SP 800-53: AC-2 |
iam.automaticIamGrantsForDefaultServiceAccounts |
Essa restrição impede que contas de serviço padrão recebam o editor de papéis do Identity and Access Management (IAM) excessivamente permissivo na criação. O
valor é |
Controle do NIST SP 800-53: AC-3 |
iam.disableServiceAccountKeyUpload |
Essa restrição evita o risco de vazamento e reutilização de material de chave personalizada em chaves de conta de serviço. O valor é |
Controle do NIST SP 800-53: AC-6 |
storage.publicAccessPrevention |
Essa política impede que os buckets do Cloud Storage fiquem abertos ao acesso público não autenticado. O valor é |
Controle do NIST SP 800-53: AC-3 e AC-6 |
storage.uniformBucketLevelAccess |
Essa política impede que os buckets do Cloud Storage usem ACL por objeto (um sistema separado das políticas do IAM) para fornecer acesso, aplicando consistência no gerenciamento e na auditoria de acesso. O valor é |
Controle do NIST SP 800-53: AC-3 e AC-6 |
compute.requireOsLogin |
Essa política exige o Login do SO em VMs recém-criadas para gerenciar as chaves SSH com mais facilidade, fornecer permissão no nível do recurso com políticas do IAM e registrar o acesso do usuário. O valor é
|
Controle do NIST SP 800-53: AC-3 e AU-12 |
compute.disableSerialPortAccess |
Essa política impede que os usuários acessem a porta serial da VM, que pode ser usada para acesso backdoor a partir do plano de controle da API Compute Engine. O valor é |
Controle do NIST SP 800-53: AC-3 e AC-6 |
compute.restrictXpnProjectLienRemoval |
Esta política evita a exclusão acidental de projetos host da VPC compartilhada, restringindo a remoção de garantias do projeto. O valor é
|
Controle do NIST SP 800-53: AC-3 e AC-6 |
compute.vmExternalIpAccess |
Essa política impede a criação de instâncias do Compute Engine com um endereço IP público, o que pode expô-las ao tráfego de entrada da Internet e ao tráfego de saída da Internet. O valor é policy_rules: - values: allowed_values: - is:projects/PROJECT_ID/zones/ZONE/instances/INSTANCE |
Controle do NIST SP 800-53: AC-3 e AC-6 |
compute.skipDefaultNetworkCreation |
Essa política desativa a criação automática de uma rede VPC padrão e de regras de firewall padrão em cada novo projeto, garantindo que a rede e as regras de firewall sejam criadas intencionalmente. O valor é |
Controle do NIST SP 800-53: AC-3 e AC-6 |
compute.setNewProjectDefaultToZonalDNSOnly |
Essa política impede que os desenvolvedores de aplicativos escolham configurações de DNS legado para instâncias do Compute Engine que tenham menor confiabilidade de serviço do que as configurações de DNS modernas. O valor é |
Controle do NIST SP 800-53: AC-3 e AC-6 |
sql.restrictPublicIp |
Essa política impede a criação de instâncias do Cloud SQL com endereços IP públicos, o que pode expô-las ao tráfego de entrada da Internet e ao tráfego de saída da Internet. O valor é |
Controle do NIST SP 800-53: AC-3 e AC-6 |
sql.restrictAuthorizedNetworks |
Essa política impede que intervalos de rede públicos ou não RFC 1918 acessem bancos de dados do Cloud SQL. O valor é |
Controle do NIST SP 800-53: AC-3 e AC-6 |
compute.restrictProtocolForwardingCreationForTypes |
Esta política permite o encaminhamento de protocolos de VM apenas para endereços IP internos. O valor é |
Controle do NIST SP 800-53: AC-3 e AC-6 |
compute.disableVpcExternalIpv6 |
Essa política impede a criação de sub-redes IPv6 externas, que podem ficar expostas ao tráfego de entrada e saída da Internet. O valor é
|
Controle do NIST SP 800-53: AC-3 e AC-6 |
compute.disableNestedVirtualization |
Ela desativa a virtualização aninhada em todas as VMs do Compute Engine para diminuir o risco de segurança relacionado a instâncias aninhadas não monitoradas. O valor é |
Controle do NIST SP 800-53: AC-3 e AC-6 |
Definição de YAML
Confira a seguir a definição de YAML para a postura predefinida para as configurações padrão.
name: organizations/123/locations/global/postureTemplates/secure_by_default_essential
description: Posture Template to make your cloud environment more secure.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: Secure-By-Default policy_set
description: 18 org policies that new customers can automatically enable.
policies:
- policy_id: Disable service account key creation
compliance_standards:
- standard: NIST SP 800-53
control: AC-2
constraint:
org_policy_constraint:
canned_constraint_id: iam.disableServiceAccountKeyCreation
policy_rules:
- enforce: true
description: Prevent users from creating persistent keys for service accounts to decrease the risk of exposed service account credentials.
- policy_id: Disable Automatic IAM Grants for Default Service Accounts
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
constraint:
org_policy_constraint:
canned_constraint_id: iam.automaticIamGrantsForDefaultServiceAccounts
policy_rules:
- enforce: true
description: Prevent default service accounts from receiving the overly-permissive IAM role Editor at creation.
- policy_id: Disable Service Account Key Upload
compliance_standards:
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: iam.disableServiceAccountKeyUpload
policy_rules:
- enforce: true
description: Avoid the risk of leaked and reused custom key material in service account keys.
- policy_id: Enforce Public Access Prevention
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: storage.publicAccessPrevention
policy_rules:
- enforce: true
description: Enforce that Storage Buckets cannot be configured as open to unauthenticated public access.
- policy_id: Enforce uniform bucket-level access
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: storage.uniformBucketLevelAccess
policy_rules:
- enforce: true
description: Prevent GCS buckets from using per-object ACL (a separate system from IAM policies) to provide access, enforcing a consistency for access management and auditing.
- policy_id: Require OS Login
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AU-12
constraint:
org_policy_constraint:
canned_constraint_id: compute.requireOsLogin
policy_rules:
- enforce: true
description: Require OS Login on newly created VMs to more easily manage SSH keys, provide resource-level permission with IAM policies, and log user access.
- policy_id: Disable VM serial port access
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.disableSerialPortAccess
policy_rules:
- enforce: true
description: Prevent users from accessing the VM serial port which can be used for backdoor access from the Compute Engine API control plane
- policy_id: Restrict shared VPC project lien removal
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.restrictXpnProjectLienRemoval
policy_rules:
- enforce: true
description: Prevent the accidental deletion of Shared VPC host projects by restricting the removal of project liens.
- policy_id: Define allowed external IPs for VM instances
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.vmExternalIpAccess
policy_rules:
- deny_all: true
description: Prevent the creation of Compute instances with a public IP, which can expose them to internet ingress and egress.
- policy_id: Skip default network creation
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.skipDefaultNetworkCreation
policy_rules:
- enforce: true
description: Disable the automatic creation of a default VPC network and default firewall rules in each new project, ensuring that my network and firewall rules are intentionally created.
- policy_id: Sets the internal DNS setting for new projects to Zonal DNS Only
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.setNewProjectDefaultToZonalDNSOnly
policy_rules:
- enforce: true
description: Set guardrails that application developers cannot choose legacy DNS settings for compute instances that have lower service reliability than modern DNS settings.
- policy_id: Restrict Public IP access on Cloud SQL instances
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: sql.restrictPublicIp
policy_rules:
- enforce: true
description: Prevent the creation of Cloud SQL instances with a public IP, which can expose them to internet ingress and egress.
- policy_id: Restrict Authorized Networks on Cloud SQL instances
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: sql.restrictAuthorizedNetworks
policy_rules:
- enforce: true
description: Prevent public or non-RFC 1918 network ranges from accessing my Cloud SQL databases.
- policy_id: Restrict Protocol Forwarding Based on type of IP Address
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.restrictProtocolForwardingCreationForTypes
policy_rules:
- values:
allowed_values:
- INTERNAL
description: Allow VM protocol forwarding for internal IP addresses only.
- policy_id: Disable VPC External IPv6 usage
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.disableVpcExternalIpv6
policy_rules:
- enforce: true
description: Prevent the creation of external IPv6 subnets, which can be exposed to internet ingress and egress.
- policy_id: Disable VM nested virtualization
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.disableNestedVirtualization
policy_rules:
- enforce: true
description: Disable nested virtualization to decrease my security risk due to unmonitored nested instances.