Esta página descreve as políticas preventivas incluídas na versão v1.0 da postura predefinida para recursos essenciais com segurança por padrão. Isso de segurança ajuda a evitar configurações incorretas e problemas de segurança comuns causados com base nas configurações padrão.
É possível usar essa postura predefinida para configurar uma postura de segurança que ajude a proteger os recursos do Google Cloud. É possível implantar essa postura predefinida sem fazer nenhuma mudança.
Política | Descrição | Padrões de compliance |
---|---|---|
iam.disableServiceAccountKeyCreation |
Essa restrição impede que os usuários criem chaves persistentes para contas de serviço para diminuir o risco de credenciais expostas da conta de serviço. O
o valor é |
Controle NIST SP 800-53: AC-2 |
iam.automaticIamGrantsForDefaultServiceAccounts |
Essa restrição impede que contas de serviço padrão recebam editor de papéis excessivamente permissivo do Identity and Access Management (IAM) na criação. O
valor é |
Controle do NIST SP 800-53: AC-3 |
iam.disableServiceAccountKeyUpload |
Essa restrição evita o risco de vazamento e reutilização de material de chave personalizada na conta de serviço. chaves. O valor é |
Controle do NIST SP 800-53: AC-6 |
storage.publicAccessPrevention |
Essa política impede que os buckets do Cloud Storage sejam abertos ao público não autenticado acesso. O valor é |
Controle do NIST SP 800-53: AC-3 e AC-6 |
storage.uniformBucketLevelAccess |
Esta política impede que os buckets do Cloud Storage usem ACL por objeto (um sistema separado das políticas do IAM) para fornecer acesso, aplicando consistência para o gerenciamento e a auditoria do acesso. O valor é |
Controle NIST SP 800-53: AC-3 e AC-6 |
compute.requireOsLogin |
Isso política requer o Login do SO em dispositivos recém-criados para gerenciar as chaves SSH com mais facilidade e conceder permissões no nível do recurso com políticas do IAM e registros do acesso do usuário. O valor é
|
Controle NIST SP 800-53: AC-3 e AU-12 |
compute.disableSerialPortAccess |
Essa política impede que os usuários acessem a porta serial da VM, que pode ser usada para acesso backdoor do plano de controle da API Compute Engine. O valor é |
Controle do NIST SP 800-53: AC-3 e AC-6 |
compute.restrictXpnProjectLienRemoval |
Essa política impede a exclusão acidental de projetos host da VPC compartilhada restringindo a remoção de garantias do projeto. O valor é
|
Controle do NIST SP 800-53: AC-3 e AC-6 |
compute.vmExternalIpAccess |
Essa política impede a criação de instâncias do Compute Engine com um endereço IP público, que pode expô-las ao tráfego de entrada e de saída da Internet. O valor é policy_rules: - values: allowed_values: - is:projects/PROJECT_ID/zones/ZONE/instances/INSTANCE |
Controle do NIST SP 800-53: AC-3 e AC-6 |
compute.skipDefaultNetworkCreation |
Isso desativa a criação automática de uma rede VPC padrão e também regras de firewall em cada novo projeto, garantindo que as regras de rede e de firewall sejam criadas intencionalmente. O valor é |
Controle do NIST SP 800-53: AC-3 e AC-6 |
compute.setNewProjectDefaultToZonalDNSOnly |
Esta política impede que os desenvolvedores de aplicativos escolham o DNS legado para instâncias do Compute Engine com menor confiabilidade de serviço configurações modernas de DNS. O valor é |
Controle do NIST SP 800-53: AC-3 e AC-6 |
sql.restrictPublicIp |
Essa política evita que os criação de instâncias do Cloud SQL com endereços IP públicos, Expor o tráfego de entrada e a saída da Internet do tráfego de entrada. O valor é |
Controle NIST SP 800-53: AC-3 e AC-6 |
sql.restrictAuthorizedNetworks |
Essa política impede que intervalos de rede públicas ou não RFC 1918 acessem o Cloud SQL bancos de dados. O valor é |
Controle do NIST SP 800-53: AC-3 e AC-6 |
compute.restrictProtocolForwardingCreationForTypes |
Essa política permite o encaminhamento de protocolo da VM apenas para endereços IP internos. O valor é |
Controle do NIST SP 800-53: AC-3 e AC-6 |
compute.disableVpcExternalIpv6 |
Essa política impede a criação de sub-redes IPv6 externas, que podem ser expostas ao tráfego de entrada e saída da Internet. O valor é
|
Controle NIST SP 800-53: AC-3 e AC-6 |
compute.disableNestedVirtualization |
Esta política desativa a virtualização aninhada em todas as VMs do Compute Engine para diminuir o risco de segurança relacionado a recursos instâncias aninhadas. O valor é |
Controle NIST SP 800-53: AC-3 e AC-6 |
Conferir o modelo de postura
Para conferir o modelo de postura para "seguro por padrão", siga estas etapas:
gcloud
Antes de usar os dados do comando abaixo, faça estas substituições:
-
ORGANIZATION_ID
: o ID numérico da organização
Execute o comando
gcloud scc posture-templates
describe
:
Linux, macOS ou Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
A resposta contém o modelo de postura.
REST
Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:
-
ORGANIZATION_ID
: o ID numérico da organização
Método HTTP e URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
Para enviar a solicitação, expanda uma destas opções:
A resposta contém o modelo de postura.