Esta página foi traduzida pela API Cloud Translation.

Postura predefinida para segurança por padrão, elementos essenciais

Esta página descreve as políticas preventivas incluídas na versão v1.0 da postura predefinida para recursos essenciais com segurança por padrão. Isso de segurança ajuda a evitar configurações incorretas e problemas de segurança comuns causados com base nas configurações padrão.

É possível usar essa postura predefinida para configurar uma postura de segurança que ajude a proteger os recursos do Google Cloud. É possível implantar essa postura predefinida sem fazer nenhuma mudança.

Política	Descrição	Padrões de compliance
`iam.disableServiceAccountKeyCreation`	Essa restrição impede que os usuários criem chaves persistentes para contas de serviço para diminuir o risco de credenciais expostas da conta de serviço. O o valor é `true` para desativar a criação da chave da conta de serviço.	Controle NIST SP 800-53: AC-2
`iam.automaticIamGrantsForDefaultServiceAccounts`	Essa restrição impede que contas de serviço padrão recebam editor de papéis excessivamente permissivo do Identity and Access Management (IAM) na criação. O valor é `false` para desativar as concessões automáticas do IAM para contas de serviço padrão.	Controle do NIST SP 800-53: AC-3
`iam.disableServiceAccountKeyUpload`	Essa restrição evita o risco de vazamento e reutilização de material de chave personalizada na conta de serviço. chaves. O valor é `true` para desativar a chave da conta de serviço. de conteúdo.	Controle do NIST SP 800-53: AC-6
`storage.publicAccessPrevention`	Essa política impede que os buckets do Cloud Storage sejam abertos ao público não autenticado acesso. O valor é `true` para impedir o acesso público aos buckets.	Controle do NIST SP 800-53: AC-3 e AC-6
`storage.uniformBucketLevelAccess`	Esta política impede que os buckets do Cloud Storage usem ACL por objeto (um sistema separado das políticas do IAM) para fornecer acesso, aplicando consistência para o gerenciamento e a auditoria do acesso. O valor é `true` para aplicar acesso uniforme no nível do bucket.	Controle NIST SP 800-53: AC-3 e AC-6
`compute.requireOsLogin`	Isso política requer o Login do SO em dispositivos recém-criados para gerenciar as chaves SSH com mais facilidade e conceder permissões no nível do recurso com políticas do IAM e registros do acesso do usuário. O valor é `true` para exigir o Login do SO.	Controle NIST SP 800-53: AC-3 e AU-12
`compute.disableSerialPortAccess`	Essa política impede que os usuários acessem a porta serial da VM, que pode ser usada para acesso backdoor do plano de controle da API Compute Engine. O valor é `true` para desativar o acesso à porta serial da VM.	Controle do NIST SP 800-53: AC-3 e AC-6
`compute.restrictXpnProjectLienRemoval`	Essa política impede a exclusão acidental de projetos host da VPC compartilhada restringindo a remoção de garantias do projeto. O valor é `true` para restringir a remoção da garantia do projeto de VPC compartilhada.	Controle do NIST SP 800-53: AC-3 e AC-6
`compute.vmExternalIpAccess`	Essa política impede a criação de instâncias do Compute Engine com um endereço IP público, que pode expô-las ao tráfego de entrada e de saída da Internet. O valor é `denyAll` para desativar todo o acesso de endereços IP públicos. Se quiser alterar para permitir que determinadas instâncias de VM tenham acesso público, defina os valores permitidos: policy_rules: - values: allowed_values: - is:projects/`PROJECT_ID`/zones/`ZONE`/instances/`INSTANCE`	Controle do NIST SP 800-53: AC-3 e AC-6
`compute.skipDefaultNetworkCreation`	Isso desativa a criação automática de uma rede VPC padrão e também regras de firewall em cada novo projeto, garantindo que as regras de rede e de firewall sejam criadas intencionalmente. O valor é `true` para evitar a criação da rede VPC padrão.	Controle do NIST SP 800-53: AC-3 e AC-6
`compute.setNewProjectDefaultToZonalDNSOnly`	Esta política impede que os desenvolvedores de aplicativos escolham o DNS legado para instâncias do Compute Engine com menor confiabilidade de serviço configurações modernas de DNS. O valor é `Zonal DNS only` para os novos projetos.	Controle do NIST SP 800-53: AC-3 e AC-6
`sql.restrictPublicIp`	Essa política evita que os criação de instâncias do Cloud SQL com endereços IP públicos, Expor o tráfego de entrada e a saída da Internet do tráfego de entrada. O valor é `true` para restringir o acesso a instâncias do Cloud SQL por endereços IP públicos.	Controle NIST SP 800-53: AC-3 e AC-6
`sql.restrictAuthorizedNetworks`	Essa política impede que intervalos de rede públicas ou não RFC 1918 acessem o Cloud SQL bancos de dados. O valor é `true` para restringir redes autorizadas em instâncias do Cloud SQL.	Controle do NIST SP 800-53: AC-3 e AC-6
`compute.restrictProtocolForwardingCreationForTypes`	Essa política permite o encaminhamento de protocolo da VM apenas para endereços IP internos. O valor é `INTERNAL` para restringir o encaminhamento de protocolo. com base no tipo de endereço IP.	Controle do NIST SP 800-53: AC-3 e AC-6
`compute.disableVpcExternalIpv6`	Essa política impede a criação de sub-redes IPv6 externas, que podem ser expostas ao tráfego de entrada e saída da Internet. O valor é `true` para desativar sub-redes IPv6 externas.	Controle NIST SP 800-53: AC-3 e AC-6
`compute.disableNestedVirtualization`	Esta política desativa a virtualização aninhada em todas as VMs do Compute Engine para diminuir o risco de segurança relacionado a recursos instâncias aninhadas. O valor é `true` para desativar a VM aninhada. virtualização.	Controle NIST SP 800-53: AC-3 e AC-6

Conferir o modelo de postura

Para conferir o modelo de postura para "seguro por padrão", siga estas etapas:

gcloud

Antes de usar os dados do comando abaixo, faça estas substituições:

ORGANIZATION_ID: o ID numérico da organização

Execute o comando gcloud scc posture-templates describe:

Linux, macOS ou Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential

A resposta contém o modelo de postura.

REST

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

ORGANIZATION_ID: o ID numérico da organização

Método HTTP e URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Observação: o comando a seguir pressupõe que você fez login na CLI gcloud com sua conta de usuário executando gcloud init ou gcloud auth login, ou usando o Cloud Shell, que faz login automaticamente na CLI gcloud. . É possível verificar a conta ativa atual executando gcloud auth list.

execute o seguinte comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential"

PowerShell (Windows)

Observação: o comando a seguir pressupõe que você fez login na CLI gcloud com sua conta de usuário executando gcloud init ou gcloud auth login . É possível verificar a conta ativa atual executando gcloud auth list.

execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential" | Select-Object -Expand Content

A resposta contém o modelo de postura.

A seguir

Crie uma postura de segurança usando essa postura predefinida.