Auf dieser Seite werden die präventiven Richtlinien beschrieben, die in der Version 1.0 der vordefinierten Standard-Sicherheitsposition für „Sicher per Standardeinstellung“ enthalten sind. Dieses verhindert, dass häufig Fehlkonfigurationen und Sicherheitsprobleme auftreten, in den Standardeinstellungen.
Mit diesem vordefinierten Status können Sie einen Sicherheitsstatus konfigurieren, der schützen Google Cloud-Ressourcen Sie können diesen vordefinierten Sicherheitsstatus bereitstellen, ohne Änderungen vorzunehmen.
| Policy | Beschreibung | Compliancestandards |
|---|---|---|
iam.disableServiceAccountKeyCreation |
Diese Einschränkung hindert Nutzer daran, persistente Schlüssel für den Dienst zu erstellen Konten, um das Risiko zu verringern, dass Anmeldedaten für Dienstkonten offengelegt werden. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-2 |
iam.automaticIamGrantsForDefaultServiceAccounts |
Diese Einschränkung verhindert, dass Standarddienstkonten den Bearbeiter von IAM-Rollen (Identity and Access Management) mit zu umfangreichen Berechtigungen bei der Erstellung. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-3 |
iam.disableServiceAccountKeyUpload |
So wird das Risiko verringert, dass benutzerdefiniertes Schlüsselmaterial in Dienstkontoschlüsseln gehackt und wiederverwendet wird. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-6 |
storage.publicAccessPrevention |
Mit dieser Richtlinie wird verhindert, dass Cloud Storage-Buckets für den nicht authentifizierten öffentlichen Zugriff geöffnet werden. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-3 und AC-6 |
storage.uniformBucketLevelAccess |
Diese Richtlinie verhindert, dass Cloud Storage-Buckets eine ACL pro Objekt verwenden (ein separates System aus IAM-Richtlinien, um Zugriff zu gewähren und Konsistenz für Zugriffsverwaltung und Auditing. Der zu erzwingende Wert ist |
NIST SP 800-53-Kontrolle: AC-3 und AC-6 |
compute.requireOsLogin |
Für diese Richtlinie ist OS Login auf neu erstellten VMs erforderlich, um SSH-Schlüssel einfacher zu verwalten, Berechtigungen auf Ressourcenebene mit IAM-Richtlinien bereitzustellen und den Nutzerzugriff zu protokollieren. Der Wert ist
|
NIST SP 800-53-Kontrolle: AC-3 und AU-12 |
compute.disableSerialPortAccess |
Diese Richtlinie verhindert, dass Nutzer auf den seriellen Port der VM zugreifen, der für den Backdoor-Zugriff über die Compute Engine API-Kontrollebene verwendet werden kann. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-3 und AC-6 |
compute.restrictXpnProjectLienRemoval |
Diese Richtlinie verhindert das versehentliche Löschen von Hostprojekten für freigegebene VPCs, indem das Entfernen von Projektsperren eingeschränkt wird. Der Wert ist
|
NIST SP 800-53-Kontrolle: AC-3 und AC-6 |
compute.vmExternalIpAccess |
Diese Richtlinie verhindert, dass Compute Engine-Instanzen mit einer öffentlichen IP-Adresse erstellen, dem eingehenden und ausgehenden Internettraffic ausgesetzt sind. Zugriffe. Der Wert ist
policy_rules:
- values:
allowed_values:
- is:projects/PROJECT_ID/zones/ZONE/instances/INSTANCE
|
NIST SP 800-53-Kontrolle: AC-3 und AC-6 |
compute.skipDefaultNetworkCreation |
Dieses deaktiviert die automatische Erstellung eines VPC-Standardnetzwerks in jedem neuen Projekt verwenden, um zu gewährleisten, dass Netzwerk- und bewusst erstellt. Der Wert lautet |
NIST SP 800-53-Kontrolle: AC-3 und AC-6 |
compute.setNewProjectDefaultToZonalDNSOnly |
Diese Richtlinie hindert Anwendungsentwickler daran, Legacy-DNS zu wählen Einstellungen für Compute Engine-Instanzen mit einer geringeren Dienstzuverlässigkeit als modernen DNS-Einstellungen. Bei neuen Projekten ist der Wert |
NIST SP 800-53-Kontrolle: AC-3 und AC-6 |
sql.restrictPublicIp |
Diese Richtlinie verhindert das Erstellen von Cloud SQL-Instanzen mit öffentlichen IP-Adressen, die sie für eingehenden und ausgehenden Internet-Traffic zugänglich machen können. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-3 und AC-6 |
sql.restrictAuthorizedNetworks |
Mit dieser Richtlinie wird der Zugriff auf Cloud SQL-Datenbanken aus öffentlichen oder nicht RFC 1918-Netzwerkbereichen verhindert. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-3 und AC-6 |
compute.restrictProtocolForwardingCreationForTypes |
Diese Richtlinie ermöglicht die VM-Protokollweiterleitung für interne IP-Adressen . Der Wert ist |
NIST SP 800-53-Kontrolle: AC-3 und AC-6 |
compute.disableVpcExternalIpv6 |
Diese Richtlinie verhindert das Erstellen externer IPv6-Subnetze, die eingehendem und ausgehendem Internetverkehr ausgesetzt sein können. Der Wert ist
|
NIST SP 800-53-Kontrolle: AC-3 und AC-6 |
compute.disableNestedVirtualization |
Mit dieser Richtlinie wird die verschachtelte Virtualisierung für alle Compute Engine-VMs deaktiviert, um das Sicherheitsrisiko im Zusammenhang mit nicht überwachten verschachtelten Instanzen zu verringern. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-3 und AC-6 |
Vorlage für den Sicherheitsstatus ansehen
So rufen Sie die Posture-Vorlage für die standardmäßige Sicherheitseinstellung „Essentials“ auf:
gcloud
Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
-
ORGANIZATION_ID: die numerische ID der Organisation
Führen Sie den
gcloud scc posture-templates
describe
Befehl:
Linux, macOS oder Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
Die Antwort enthält die Vorlage für die Bewertung.
REST
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
-
ORGANIZATION_ID: die numerische ID der Organisation
HTTP-Methode und URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Die Antwort enthält die Posture-Vorlage.