Postur yang telah ditentukan sebelumnya untuk aman secara default, esensial

Halaman ini menjelaskan kebijakan preventif yang disertakan dalam versi v1.0 postur yang telah ditentukan sebelumnya untuk keamanan secara default, dasar-dasarnya. Postur ini membantu mencegah kesalahan konfigurasi umum dan masalah keamanan umum yang disebabkan oleh setelan default.

Anda dapat menggunakan postur yang telah ditentukan ini untuk mengonfigurasi postur keamanan yang membantu melindungi resource Google Cloud. Anda dapat men-deploy postur yang telah ditentukan ini tanpa melakukan perubahan apa pun.

Kebijakan	Deskripsi	Standar kepatuhan
`iam.disableServiceAccountKeyCreation`	Batasan ini mencegah pengguna membuat kunci persisten untuk akun layanan guna mengurangi risiko kredensial akun layanan terekspos. Nilainya adalah `true` untuk menonaktifkan pembuatan kunci akun layanan.	Kontrol NIST SP 800-53: AC-2
`iam.automaticIamGrantsForDefaultServiceAccounts`	Batasan ini mencegah akun layanan default menerima Editor peran Identity and Access Management (IAM) yang terlalu permisif saat pembuatan. Nilainya adalah `false` untuk menonaktifkan pemberian IAM otomatis bagi akun layanan default.	Kontrol NIST SP 800-53: AC-3
`iam.disableServiceAccountKeyUpload`	Batasan ini menghindari risiko kebocoran dan penggunaan kembali materi kunci kustom di kunci akun layanan. Nilainya adalah `true` untuk menonaktifkan upload kunci akun layanan.	Kontrol NIST SP 800-53: AC-6
`storage.publicAccessPrevention`	Kebijakan ini mencegah bucket Cloud Storage dibuka untuk akses publik yang tidak diautentikasi. Nilainya adalah `true` untuk mencegah akses publik ke bucket.	Kontrol NIST SP 800-53: AC-3 dan AC-6
`storage.uniformBucketLevelAccess`	Kebijakan ini mencegah bucket Cloud Storage menggunakan ACL per objek (sistem yang terpisah dari kebijakan IAM) untuk memberikan akses, sehingga menerapkan konsistensi untuk pengelolaan dan pengauditan akses. Nilainya adalah `true` untuk menerapkan akses level bucket seragam.	Kontrol NIST SP 800-53: AC-3 dan AC-6
`compute.requireOsLogin`	Kebijakan ini mengharuskan Login OS pada VM yang baru dibuat agar lebih mudah mengelola kunci SSH, memberikan izin tingkat resource dengan kebijakan IAM, dan mencatat akses pengguna ke dalam log. Nilainya adalah `true` untuk mewajibkan Login OS.	Kontrol NIST SP 800-53: AC-3 dan AU-12
`compute.disableSerialPortAccess`	Kebijakan ini mencegah pengguna mengakses port serial VM yang dapat digunakan untuk akses backdoor dari bidang kontrol Compute Engine API. Nilainya adalah `true` untuk menonaktifkan akses port serial VM.	Kontrol NIST SP 800-53: AC-3 dan AC-6
`compute.restrictXpnProjectLienRemoval`	Kebijakan ini mencegah penghapusan project host VPC Bersama secara tidak sengaja dengan membatasi penghapusan lien project. Nilainya adalah `true` untuk membatasi penghapusan lien project VPC Bersama.	Kontrol NIST SP 800-53: AC-3 dan AC-6
`compute.vmExternalIpAccess`	Kebijakan ini mencegah pembuatan instance Compute Engine dengan alamat IP publik, yang dapat mengeksposnya ke traffic internet masuk dan traffic internet keluar. Nilainya adalah `denyAll` untuk menonaktifkan semua akses dari alamat IP publik. Jika Anda ingin mengubahnya untuk mengizinkan instance VM tertentu memiliki akses publik, tetapkan nilai yang diizinkan: policy_rules: - values: allowed_values: - is:projects/`PROJECT_ID`/zones/`ZONE`/instances/`INSTANCE`	Kontrol NIST SP 800-53: AC-3 dan AC-6
`compute.skipDefaultNetworkCreation`	Kebijakan ini menonaktifkan pembuatan otomatis jaringan VPC default dan aturan firewall default di setiap project baru, yang memastikan bahwa aturan jaringan dan firewall sengaja dibuat. Nilainya adalah `true` untuk menghindari pembuatan jaringan VPC default.	Kontrol NIST SP 800-53: AC-3 dan AC-6
`compute.setNewProjectDefaultToZonalDNSOnly`	Kebijakan ini membatasi developer aplikasi agar tidak memilih setelan DNS lama untuk instance Compute Engine yang memiliki keandalan layanan lebih rendah daripada setelan DNS modern. Nilainya adalah `Zonal DNS only` untuk project baru.	Kontrol NIST SP 800-53: AC-3 dan AC-6
`sql.restrictPublicIp`	Kebijakan ini mencegah pembuatan instance Cloud SQL dengan alamat IP publik, yang dapat mengeksposnya ke traffic internet masuk dan traffic internet keluar. Nilainya adalah `true` untuk membatasi akses ke instance Cloud SQL berdasarkan alamat IP publik.	Kontrol NIST SP 800-53: AC-3 dan AC-6
`sql.restrictAuthorizedNetworks`	Kebijakan ini mencegah rentang jaringan publik atau non-RFC 1918 mengakses database Cloud SQL. Nilainya adalah `true` untuk membatasi jaringan yang diizinkan pada instance Cloud SQL.	Kontrol NIST SP 800-53: AC-3 dan AC-6
`compute.restrictProtocolForwardingCreationForTypes`	Kebijakan ini hanya mengizinkan penerusan protokol VM untuk alamat IP internal. Nilainya adalah `INTERNAL` untuk membatasi penerusan protokol berdasarkan jenis alamat IP.	Kontrol NIST SP 800-53: AC-3 dan AC-6
`compute.disableVpcExternalIpv6`	Kebijakan ini mencegah pembuatan subnet IPv6 eksternal, yang dapat terekspos ke traffic internet masuk dan keluar. Nilainya adalah `true` untuk menonaktifkan subnet IPv6 eksternal.	Kontrol NIST SP 800-53: AC-3 dan AC-6
`compute.disableNestedVirtualization`	Kebijakan ini menonaktifkan virtualisasi bertingkat untuk semua VM Compute Engine guna mengurangi risiko keamanan terkait instance bertingkat yang tidak terpantau. Nilainya adalah `true` untuk menonaktifkan virtualisasi bertingkat VM.	Kontrol NIST SP 800-53: AC-3 dan AC-6

Definisi YAML

Berikut adalah definisi YAML untuk postur standar untuk setelan default.

name: organizations/123/locations/global/postureTemplates/secure_by_default_essential
description: Posture Template to make your cloud environment more secure.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: Secure-By-Default policy_set
  description: 18 org policies that new customers can automatically enable.
  policies:
  - policy_id: Disable service account key creation
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-2
    constraint:
      org_policy_constraint:
        canned_constraint_id: iam.disableServiceAccountKeyCreation
        policy_rules:
        - enforce: true
    description: Prevent users from creating persistent keys for service accounts to decrease the risk of exposed service account credentials.
  - policy_id: Disable Automatic IAM Grants for Default Service Accounts
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    constraint:
      org_policy_constraint:
        canned_constraint_id: iam.automaticIamGrantsForDefaultServiceAccounts
        policy_rules:
        - enforce: true
    description: Prevent default service accounts from receiving the overly-permissive IAM role Editor at creation.
  - policy_id: Disable Service Account Key Upload
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: iam.disableServiceAccountKeyUpload
        policy_rules:
        - enforce: true
    description: Avoid the risk of leaked and reused custom key material in service account keys.
  - policy_id: Enforce Public Access Prevention
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: storage.publicAccessPrevention
        policy_rules:
        - enforce: true
    description: Enforce that Storage Buckets cannot be configured as open to unauthenticated public access.
  - policy_id: Enforce uniform bucket-level access
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: storage.uniformBucketLevelAccess
        policy_rules:
        - enforce: true
    description: Prevent GCS buckets from using per-object ACL (a separate system from IAM policies) to provide access, enforcing a consistency for access management and auditing.
  - policy_id: Require OS Login
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AU-12
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.requireOsLogin
        policy_rules:
        - enforce: true
    description: Require OS Login on newly created VMs to more easily manage SSH keys, provide resource-level permission with IAM policies, and log user access.
  - policy_id: Disable VM serial port access
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.disableSerialPortAccess
        policy_rules:
        - enforce: true
    description: Prevent users from accessing the VM serial port which can be used for backdoor access from the Compute Engine API control plane
  - policy_id: Restrict shared VPC project lien removal
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.restrictXpnProjectLienRemoval
        policy_rules:
        - enforce: true
    description: Prevent the accidental deletion of Shared VPC host projects by restricting the removal of project liens.
  - policy_id: Define allowed external IPs for VM instances
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.vmExternalIpAccess
        policy_rules:
        - deny_all: true
    description: Prevent the creation of Compute instances with a public IP, which can expose them to internet ingress and egress.
  - policy_id: Skip default network creation
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.skipDefaultNetworkCreation
        policy_rules:
        - enforce: true
    description: Disable the automatic creation of a default VPC network and default firewall rules in each new project, ensuring that my network and firewall rules are intentionally created.
  - policy_id: Sets the internal DNS setting for new projects to Zonal DNS Only
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.setNewProjectDefaultToZonalDNSOnly
        policy_rules:
        - enforce: true
    description: Set guardrails that application developers cannot choose legacy DNS settings for compute instances that have lower service reliability than modern DNS settings.
  - policy_id: Restrict Public IP access on Cloud SQL instances
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: sql.restrictPublicIp
        policy_rules:
        - enforce: true
    description: Prevent the creation of Cloud SQL instances with a public IP, which can expose them to internet ingress and egress.
  - policy_id: Restrict Authorized Networks on Cloud SQL instances
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: sql.restrictAuthorizedNetworks
        policy_rules:
        - enforce: true
    description: Prevent public or non-RFC 1918 network ranges from accessing my Cloud SQL databases.
  - policy_id: Restrict Protocol Forwarding Based on type of IP Address
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.restrictProtocolForwardingCreationForTypes
        policy_rules:
        - values:
            allowed_values:
            - INTERNAL
    description: Allow VM protocol forwarding for internal IP addresses only.
  - policy_id: Disable VPC External IPv6 usage
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.disableVpcExternalIpv6
        policy_rules:
        - enforce: true
    description: Prevent the creation of external IPv6 subnets, which can be exposed to internet ingress and egress.
  - policy_id: Disable VM nested virtualization
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.disableNestedVirtualization
        policy_rules:
        - enforce: true
    description: Disable nested virtualization to decrease my security risk due to unmonitored nested instances.

Langkah selanjutnya

Buat postur keamanan menggunakan postur yang telah ditentukan ini.