Esta página descreve as políticas preventivas incluídas na versão 1.0 da postura predefinida para o essencial seguro por padrão. Isso de segurança ajuda a evitar configurações incorretas e problemas de segurança comuns causados com base nas configurações padrão.
É possível usar essa postura predefinida para configurar uma postura de segurança que ajude proteger recursos do Google Cloud. É possível implantar essa postura predefinida sem fazer mudanças.
Política | Descrição | Padrões de compliance |
---|---|---|
iam.disableServiceAccountKeyCreation |
Essa restrição impede que os usuários criem chaves persistentes para contas de serviço para diminuir o risco de credenciais expostas da conta de serviço. O
o valor é |
Controle do NIST SP 800-53: AC-2 |
iam.automaticIamGrantsForDefaultServiceAccounts |
Essa restrição impede que contas de serviço padrão recebam editor de papéis excessivamente permissivo do Identity and Access Management (IAM) na criação. O
o valor é |
Controle do NIST SP 800-53: AC-3 |
iam.disableServiceAccountKeyUpload |
Essa restrição evita o risco de vazamento e reutilização de material de chave personalizada na conta de serviço. chaves. O valor é |
Controle do NIST SP 800-53: AC-6 |
storage.publicAccessPrevention |
Essa política impede que os buckets do Cloud Storage sejam abertos ao público não autenticado acesso. O valor é |
Controle do NIST SP 800-53: AC-3 e AC-6 |
storage.uniformBucketLevelAccess |
Esta política impede que os buckets do Cloud Storage usem ACL por objeto (um sistema separado das políticas do IAM) para fornecer acesso, aplicando consistência para o gerenciamento e a auditoria do acesso. O valor é |
Controle do NIST SP 800-53: AC-3 e AC-6 |
compute.requireOsLogin |
Isso política requer o Login do SO em dispositivos recém-criados para gerenciar as chaves SSH com mais facilidade e conceder permissões no nível do recurso com políticas do IAM e registros do acesso do usuário. O valor é
|
Controle do NIST SP 800-53: AC-3 e AU-12 |
compute.disableSerialPortAccess |
Esta política impede que os usuários acessem a porta serial da VM, que pode ser usada para backdoor no plano de controle da API Compute Engine. O valor é |
Controle do NIST SP 800-53: AC-3 e AC-6 |
compute.restrictXpnProjectLienRemoval |
Esta política evita a exclusão acidental do host da VPC compartilhada projetos, restringindo a remoção de garantias do projeto. O valor é
|
Controle do NIST SP 800-53: AC-3 e AC-6 |
compute.vmExternalIpAccess |
Essa política evita que os criação de instâncias do Compute Engine com um endereço IP público, que pode Expor o tráfego de entrada e a saída da Internet do tráfego de entrada. O valor é policy_rules: - values: allowed_values: - is:projects/PROJECT_ID/zones/ZONE/instances/INSTANCE |
Controle do NIST SP 800-53: AC-3 e AC-6 |
compute.skipDefaultNetworkCreation |
Isso desativa a criação automática de uma rede VPC padrão e o padrão regras de firewall em cada novo projeto, garantindo que as regras de rede e de firewall sejam criadas intencionalmente. O valor é |
Controle do NIST SP 800-53: AC-3 e AC-6 |
compute.setNewProjectDefaultToZonalDNSOnly |
Esta política impede que os desenvolvedores de aplicativos escolham o DNS legado para instâncias do Compute Engine com menor confiabilidade de serviço configurações modernas de DNS. O valor é |
Controle do NIST SP 800-53: AC-3 e AC-6 |
sql.restrictPublicIp |
Essa política evita que os criação de instâncias do Cloud SQL com endereços IP públicos, Expor o tráfego de entrada e a saída da Internet do tráfego de entrada. O valor é |
Controle do NIST SP 800-53: AC-3 e AC-6 |
sql.restrictAuthorizedNetworks |
Essa política impede que intervalos de rede públicas ou não RFC 1918 acessem o Cloud SQL bancos de dados. O valor é |
Controle do NIST SP 800-53: AC-3 e AC-6 |
compute.restrictProtocolForwardingCreationForTypes |
Esta política permite o encaminhamento de protocolos de VM para endereços IP internos . O valor é |
Controle do NIST SP 800-53: AC-3 e AC-6 |
compute.disableVpcExternalIpv6 |
Essa política impede a criação de sub-redes IPv6 externas, que podem ser ao tráfego de entrada e saída da Internet. O valor é
|
Controle do NIST SP 800-53: AC-3 e AC-6 |
compute.disableNestedVirtualization |
Esta política desativa a virtualização aninhada em todas as VMs do Compute Engine para diminuir o risco de segurança relacionado a recursos instâncias aninhadas. O valor é |
Controle do NIST SP 800-53: AC-3 e AC-6 |
Definição de YAML
Confira a seguir a definição de YAML para a postura predefinida para as configurações padrão.
name: organizations/123/locations/global/postureTemplates/secure_by_default_essential
description: Posture Template to make your cloud environment more secure.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: Secure-By-Default policy_set
description: 18 org policies that new customers can automatically enable.
policies:
- policy_id: Disable service account key creation
compliance_standards:
- standard: NIST SP 800-53
control: AC-2
constraint:
org_policy_constraint:
canned_constraint_id: iam.disableServiceAccountKeyCreation
policy_rules:
- enforce: true
description: Prevent users from creating persistent keys for service accounts to decrease the risk of exposed service account credentials.
- policy_id: Disable Automatic IAM Grants for Default Service Accounts
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
constraint:
org_policy_constraint:
canned_constraint_id: iam.automaticIamGrantsForDefaultServiceAccounts
policy_rules:
- enforce: true
description: Prevent default service accounts from receiving the overly-permissive IAM role Editor at creation.
- policy_id: Disable Service Account Key Upload
compliance_standards:
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: iam.disableServiceAccountKeyUpload
policy_rules:
- enforce: true
description: Avoid the risk of leaked and reused custom key material in service account keys.
- policy_id: Enforce Public Access Prevention
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: storage.publicAccessPrevention
policy_rules:
- enforce: true
description: Enforce that Storage Buckets cannot be configured as open to unauthenticated public access.
- policy_id: Enforce uniform bucket-level access
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: storage.uniformBucketLevelAccess
policy_rules:
- enforce: true
description: Prevent GCS buckets from using per-object ACL (a separate system from IAM policies) to provide access, enforcing a consistency for access management and auditing.
- policy_id: Require OS Login
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AU-12
constraint:
org_policy_constraint:
canned_constraint_id: compute.requireOsLogin
policy_rules:
- enforce: true
description: Require OS Login on newly created VMs to more easily manage SSH keys, provide resource-level permission with IAM policies, and log user access.
- policy_id: Disable VM serial port access
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.disableSerialPortAccess
policy_rules:
- enforce: true
description: Prevent users from accessing the VM serial port which can be used for backdoor access from the Compute Engine API control plane
- policy_id: Restrict shared VPC project lien removal
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.restrictXpnProjectLienRemoval
policy_rules:
- enforce: true
description: Prevent the accidental deletion of Shared VPC host projects by restricting the removal of project liens.
- policy_id: Define allowed external IPs for VM instances
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.vmExternalIpAccess
policy_rules:
- deny_all: true
description: Prevent the creation of Compute instances with a public IP, which can expose them to internet ingress and egress.
- policy_id: Skip default network creation
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.skipDefaultNetworkCreation
policy_rules:
- enforce: true
description: Disable the automatic creation of a default VPC network and default firewall rules in each new project, ensuring that my network and firewall rules are intentionally created.
- policy_id: Sets the internal DNS setting for new projects to Zonal DNS Only
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.setNewProjectDefaultToZonalDNSOnly
policy_rules:
- enforce: true
description: Set guardrails that application developers cannot choose legacy DNS settings for compute instances that have lower service reliability than modern DNS settings.
- policy_id: Restrict Public IP access on Cloud SQL instances
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: sql.restrictPublicIp
policy_rules:
- enforce: true
description: Prevent the creation of Cloud SQL instances with a public IP, which can expose them to internet ingress and egress.
- policy_id: Restrict Authorized Networks on Cloud SQL instances
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: sql.restrictAuthorizedNetworks
policy_rules:
- enforce: true
description: Prevent public or non-RFC 1918 network ranges from accessing my Cloud SQL databases.
- policy_id: Restrict Protocol Forwarding Based on type of IP Address
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.restrictProtocolForwardingCreationForTypes
policy_rules:
- values:
allowed_values:
- INTERNAL
description: Allow VM protocol forwarding for internal IP addresses only.
- policy_id: Disable VPC External IPv6 usage
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.disableVpcExternalIpv6
policy_rules:
- enforce: true
description: Prevent the creation of external IPv6 subnets, which can be exposed to internet ingress and egress.
- policy_id: Disable VM nested virtualization
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.disableNestedVirtualization
policy_rules:
- enforce: true
description: Disable nested virtualization to decrease my security risk due to unmonitored nested instances.