In questa pagina vengono descritti i criteri preventivi inclusi nella versione v1.0 della postura predefinita per gli elementi essenziali della sicurezza per impostazione predefinita. Questa postura aiuta a prevenire gli errori di configurazione più comuni e i problemi di sicurezza più comuni causati dalle impostazioni predefinite.
Puoi utilizzare questa postura predefinita per configurare una postura di sicurezza che consenta di proteggere le risorse Google Cloud. Puoi eseguire il deployment di questa postura predefinita senza apportare modifiche.
Criterio | Descrizione | Standard di conformità |
---|---|---|
iam.disableServiceAccountKeyCreation |
Questo vincolo impedisce agli utenti di creare chiavi permanenti per gli account di servizio al fine di ridurre il rischio di compromissione delle credenziali degli account di servizio. Il valore è |
Controllo NIST SP 800-53: AC-2 |
iam.automaticIamGrantsForDefaultServiceAccounts |
Questo vincolo impedisce agli account di servizio predefiniti di ricevere l'editor dei ruoli Identity and Access Management (IAM) eccessivamente permissivo al momento della creazione. Il valore è |
Controllo NIST SP 800-53: AC-3 |
iam.disableServiceAccountKeyUpload |
Questo vincolo evita il rischio di perdita e riutilizzo di materiale delle chiavi personalizzate nelle chiavi degli account di servizio. Il valore è |
Controllo NIST SP 800-53: AC-6 |
storage.publicAccessPrevention |
Questo criterio impedisce ai bucket Cloud Storage di essere aperti all'accesso pubblico non autenticato. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
storage.uniformBucketLevelAccess |
Questo criterio impedisce ai bucket Cloud Storage di utilizzare ACL per singolo oggetto (un sistema separato dai criteri IAM) per fornire l'accesso, applicando coerenza per la gestione e il controllo degli accessi. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
compute.requireOsLogin |
Questo criterio richiede OS Login sulle VM appena create per gestire più facilmente le chiavi SSH, fornire autorizzazioni a livello di risorsa con i criteri IAM e registrare l'accesso degli utenti. Il valore è
|
Controllo NIST SP 800-53: AC-3 e AU-12 |
compute.disableSerialPortAccess |
Questo criterio impedisce agli utenti di accedere alla porta seriale della VM, che può essere utilizzata per l'accesso backdoor dal piano di controllo dell'API Compute Engine. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
compute.restrictXpnProjectLienRemoval |
Questo criterio impedisce l'eliminazione accidentale dei progetti host del VPC condiviso limitando la rimozione dei blocchi del progetto. Il valore è
|
Controllo NIST SP 800-53: AC-3 e AC-6 |
compute.vmExternalIpAccess |
Questo criterio impedisce la creazione di istanze di Compute Engine con un indirizzo IP pubblico, che può esporle al traffico internet in entrata e in uscita. Il valore è policy_rules: - values: allowed_values: - is:projects/PROJECT_ID/zones/ZONE/instances/INSTANCE |
Controllo NIST SP 800-53: AC-3 e AC-6 |
compute.skipDefaultNetworkCreation |
Questo criterio disabilita la creazione automatica di una rete VPC predefinita e di regole firewall predefinite in ogni nuovo progetto, garantendo che le regole di rete e firewall vengano create intenzionalmente. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
compute.setNewProjectDefaultToZonalDNSOnly |
Questo criterio impedisce agli sviluppatori di applicazioni di scegliere impostazioni DNS legacy per le istanze di Compute Engine con un'affidabilità del servizio inferiore rispetto alle moderne impostazioni DNS. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
sql.restrictPublicIp |
Questo criterio impedisce la creazione di istanze Cloud SQL con indirizzi IP pubblici, che possono esporle al traffico internet in entrata e in uscita. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
sql.restrictAuthorizedNetworks |
Questo criterio impedisce agli intervalli di reti pubbliche o non RFC 1918 di accedere ai database Cloud SQL. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
compute.restrictProtocolForwardingCreationForTypes |
Questo criterio consente l'inoltro del protocollo delle VM solo per gli indirizzi IP interni. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
compute.disableVpcExternalIpv6 |
Questo criterio impedisce la creazione di subnet IPv6 esterne, che possono essere esposte al traffico internet in entrata e in uscita. Il valore è
|
Controllo NIST SP 800-53: AC-3 e AC-6 |
compute.disableNestedVirtualization |
Questo criterio disattiva la virtualizzazione nidificata per tutte le VM di Compute Engine al fine di ridurre il rischio per la sicurezza relativo alle istanze nidificate non monitorate. Il valore |
Controllo NIST SP 800-53: AC-3 e AC-6 |
Definizione YAML
Di seguito è riportata la definizione YAML della postura predefinita per le impostazioni predefinite.
name: organizations/123/locations/global/postureTemplates/secure_by_default_essential
description: Posture Template to make your cloud environment more secure.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: Secure-By-Default policy_set
description: 18 org policies that new customers can automatically enable.
policies:
- policy_id: Disable service account key creation
compliance_standards:
- standard: NIST SP 800-53
control: AC-2
constraint:
org_policy_constraint:
canned_constraint_id: iam.disableServiceAccountKeyCreation
policy_rules:
- enforce: true
description: Prevent users from creating persistent keys for service accounts to decrease the risk of exposed service account credentials.
- policy_id: Disable Automatic IAM Grants for Default Service Accounts
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
constraint:
org_policy_constraint:
canned_constraint_id: iam.automaticIamGrantsForDefaultServiceAccounts
policy_rules:
- enforce: true
description: Prevent default service accounts from receiving the overly-permissive IAM role Editor at creation.
- policy_id: Disable Service Account Key Upload
compliance_standards:
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: iam.disableServiceAccountKeyUpload
policy_rules:
- enforce: true
description: Avoid the risk of leaked and reused custom key material in service account keys.
- policy_id: Enforce Public Access Prevention
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: storage.publicAccessPrevention
policy_rules:
- enforce: true
description: Enforce that Storage Buckets cannot be configured as open to unauthenticated public access.
- policy_id: Enforce uniform bucket-level access
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: storage.uniformBucketLevelAccess
policy_rules:
- enforce: true
description: Prevent GCS buckets from using per-object ACL (a separate system from IAM policies) to provide access, enforcing a consistency for access management and auditing.
- policy_id: Require OS Login
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AU-12
constraint:
org_policy_constraint:
canned_constraint_id: compute.requireOsLogin
policy_rules:
- enforce: true
description: Require OS Login on newly created VMs to more easily manage SSH keys, provide resource-level permission with IAM policies, and log user access.
- policy_id: Disable VM serial port access
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.disableSerialPortAccess
policy_rules:
- enforce: true
description: Prevent users from accessing the VM serial port which can be used for backdoor access from the Compute Engine API control plane
- policy_id: Restrict shared VPC project lien removal
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.restrictXpnProjectLienRemoval
policy_rules:
- enforce: true
description: Prevent the accidental deletion of Shared VPC host projects by restricting the removal of project liens.
- policy_id: Define allowed external IPs for VM instances
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.vmExternalIpAccess
policy_rules:
- deny_all: true
description: Prevent the creation of Compute instances with a public IP, which can expose them to internet ingress and egress.
- policy_id: Skip default network creation
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.skipDefaultNetworkCreation
policy_rules:
- enforce: true
description: Disable the automatic creation of a default VPC network and default firewall rules in each new project, ensuring that my network and firewall rules are intentionally created.
- policy_id: Sets the internal DNS setting for new projects to Zonal DNS Only
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.setNewProjectDefaultToZonalDNSOnly
policy_rules:
- enforce: true
description: Set guardrails that application developers cannot choose legacy DNS settings for compute instances that have lower service reliability than modern DNS settings.
- policy_id: Restrict Public IP access on Cloud SQL instances
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: sql.restrictPublicIp
policy_rules:
- enforce: true
description: Prevent the creation of Cloud SQL instances with a public IP, which can expose them to internet ingress and egress.
- policy_id: Restrict Authorized Networks on Cloud SQL instances
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: sql.restrictAuthorizedNetworks
policy_rules:
- enforce: true
description: Prevent public or non-RFC 1918 network ranges from accessing my Cloud SQL databases.
- policy_id: Restrict Protocol Forwarding Based on type of IP Address
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.restrictProtocolForwardingCreationForTypes
policy_rules:
- values:
allowed_values:
- INTERNAL
description: Allow VM protocol forwarding for internal IP addresses only.
- policy_id: Disable VPC External IPv6 usage
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.disableVpcExternalIpv6
policy_rules:
- enforce: true
description: Prevent the creation of external IPv6 subnets, which can be exposed to internet ingress and egress.
- policy_id: Disable VM nested virtualization
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.disableNestedVirtualization
policy_rules:
- enforce: true
description: Disable nested virtualization to decrease my security risk due to unmonitored nested instances.