Posture prédéfinie pour la sécurité par défaut, éléments essentiels

Cette page décrit les règles préventives incluses dans la version 1.0 de la posture prédéfinie pour la sécurité par défaut, les éléments essentiels. Cette posture permet d'éviter les erreurs de configuration courantes et les problèmes de sécurité courants causés par les paramètres par défaut.

Vous pouvez utiliser cette posture prédéfinie pour configurer une posture de sécurité qui aide à protéger les ressources Google Cloud. Vous pouvez déployer cette stratégie prédéfinie n'apporte aucune modification.

Règle Description Normes de conformité
iam.disableServiceAccountKeyCreation

Cette contrainte empêche les utilisateurs de créer des clés persistantes pour réduire le risque d'exposition des identifiants de compte de service.

La valeur est true pour désactiver la création de clés de compte de service.

Contrôle NIST SP 800-53: AC-2
iam.automaticIamGrantsForDefaultServiceAccounts

Cette contrainte empêche les comptes de service par défaut de recevoir le rôle IAM (Identity and Access Management) "Éditeur" trop permissif à la création.

La la valeur est false pour désactiver l'attribution automatique de rôles IAM pour le service par défaut Google Cloud.

Contrôle NIST SP 800-53: AC-3
iam.disableServiceAccountKeyUpload

Cette contrainte évite le risque de fuite et de réutilisation de matériel de clé personnalisé dans les clés de compte de service.

La valeur est true pour désactiver la clé de compte de service mises en ligne.

Contrôle NIST SP 800-53: AC-6
storage.publicAccessPrevention

Cette règle empêche les buckets Cloud Storage ne sont plus ouverts au public non authentifié ; y accéder.

La valeur est true pour empêcher l'accès public Cloud Storage.

Contrôle NIST SP 800-53 : AC-3 et AC-6
storage.uniformBucketLevelAccess

Ces règles empêche les buckets Cloud Storage d'utiliser une LCA par objet (un système distinct des stratégies IAM) pour fournir un accès, en assurant la cohérence des la gestion des accès et l'audit.

La valeur est true pour appliquer accès uniforme au niveau du bucket.

Contrôle NIST SP 800-53: AC-3 et AC-6
compute.requireOsLogin

Ce requiert la connexion au système d'exploitation sur les les VM pour gérer plus facilement les clés SSH, accorder des autorisations au niveau des ressources avec les stratégies IAM et l'accès des utilisateurs.

La valeur est true pour exiger la connexion au système d'exploitation.

Contrôle NIST SP 800-53: AC-3 et AU-12
compute.disableSerialPortAccess

Cette règle empêche les utilisateurs d'accéder au port série de la VM, qui peut être utilisé pour accéder à une porte dérobée à partir du plan de contrôle de l'API Compute Engine.

La valeur est true pour désactiver l'accès au port série des VM.

Contrôle NIST SP 800-53 : AC-3 et AC-6
compute.restrictXpnProjectLienRemoval

Cette règle empêche la suppression accidentelle d'un hôte VPC partagé projets en limitant la suppression des privilèges de projet.

La valeur est true pour limiter la suppression des privilèges du projet VPC partagé.

Contrôle NIST SP 800-53: AC-3 et AC-6
compute.vmExternalIpAccess

Cette règle empêche d'instances Compute Engine avec une adresse IP publique, les exposer au trafic Internet entrant et sortant du trafic.

La valeur est denyAll pour désactiver tout accès depuis des adresses IP publiques. Si vous souhaitez modifier ce paramètre pour autoriser l'accès public à certaines instances de VM, définissez les valeurs autorisées:

policy_rules:
    - values:
      allowed_values:
      - is:projects/PROJECT_ID/zones/ZONE/instances/INSTANCE
Contrôle NIST SP 800-53: AC-3 et AC-6
compute.skipDefaultNetworkCreation

Ce désactive la création automatique d'un réseau VPC par défaut des règles de pare-feu dans chaque nouveau projet, garantissant que les règles de réseau et de pare-feu sont intentionnellement.

La valeur est true pour éviter de créer le réseau VPC par défaut.

Contrôle NIST SP 800-53: AC-3 et AC-6
compute.setNewProjectDefaultToZonalDNSOnly

Cette règle interdit aux développeurs d'applications de choisir d'anciens paramètres DNS pour les instances Compute Engine, qui offrent une fiabilité de service inférieure à celle des paramètres DNS modernes.

La valeur est Zonal DNS only pour les nouvelles projets.

Contrôle NIST SP 800-53: AC-3 et AC-6
sql.restrictPublicIp

Cette règle empêche la création d'instances Cloud SQL avec des adresses IP publiques, ce qui peut les exposer au trafic Internet entrant et sortant.

La valeur est true pour limiter l'accès aux instances Cloud SQL par adresses IP publiques.

Contrôle NIST SP 800-53: AC-3 et AC-6
sql.restrictAuthorizedNetworks

Cette règle empêche les plages réseau publiques ou non-RFC 1918 pour accéder à Cloud SQL, les bases de données.

La valeur est true pour limiter les réseaux autorisés sur les instances Cloud SQL.

Contrôle NIST SP 800-53 : AC-3 et AC-6
compute.restrictProtocolForwardingCreationForTypes

Cette règle n'autorise le transfert de protocole de VM que pour les adresses IP internes.

La valeur est INTERNAL pour limiter le transfert de protocole en fonction du type d'adresse IP.

Contrôle NIST SP 800-53: AC-3 et AC-6
compute.disableVpcExternalIpv6

Cette règle empêche la création de sous-réseaux IPv6 externes, exposés au trafic Internet entrant et sortant.

La valeur est true pour désactiver les sous-réseaux IPv6 externes.

Contrôle NIST SP 800-53: AC-3 et AC-6
compute.disableNestedVirtualization

Ces règles désactive la virtualisation imbriquée pour toutes les VM Compute Engine afin de réduire le risque de sécurité lié aux des instances imbriquées.

La valeur est true pour désactiver la VM imbriquée la virtualisation.

Contrôle NIST SP 800-53 : AC-3 et AC-6

Afficher le modèle de posture

Pour afficher le modèle de stratégie de sécurité par défaut, l'essentiel:

gcloud

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

  • ORGANIZATION_ID : ID numérique de l'organisation

Exécutez la commande gcloud scc posture-templates describe :

Linux, macOS ou Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential

La réponse contient le modèle de stratégie.

REST

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

  • ORGANIZATION_ID: ID numérique de l'organisation

Méthode HTTP et URL :

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential

Pour envoyer votre requête, développez l'une des options suivantes :

La réponse contient le modèle de posture.

Étape suivante