Questa pagina descrive i criteri preventivi inclusi nella versione 1.0 della postura predefinita per la sicurezza per impostazione predefinita, elementi essenziali. Questa postura aiuta a prevenire errori di configurazione comuni e problemi di sicurezza comuni causati dalle impostazioni predefinite.
Puoi utilizzare questa postura predefinita per configurare una postura di sicurezza che contribuisca a proteggere le risorseGoogle Cloud . Puoi implementare questa postura predefinita senza apportare modifiche.
| Norme | Descrizione | Standard di conformità |
|---|---|---|
iam.disableServiceAccountKeyCreation |
Questo vincolo impedisce agli utenti di creare chiavi permanenti per i service account per ridurre il rischio di esposizione delle credenziali deiaccount di serviziot. Il valore
è |
Controllo NIST SP 800-53: AC-2 |
iam.automaticIamGrantsForDefaultServiceAccounts |
Questo vincolo impedisce che agli account di servizio predefiniti venga assegnato il ruolo Editor di Identity and Access Management (IAM) eccessivamente permissivo al momento della creazione. Il
valore è |
Controllo NIST SP 800-53: AC-3 |
iam.disableServiceAccountKeyUpload |
Questo vincolo evita il rischio di perdita e riutilizzo del materiale delle chiavi personalizzate nelle chiavi deaccount di serviziont. Il valore è |
Controllo NIST SP 800-53: AC-6 |
storage.publicAccessPrevention |
Questo criterio impedisce che i bucket Cloud Storage siano aperti all'accesso pubblico non autenticato. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
storage.uniformBucketLevelAccess |
Questo criterio impedisce ai bucket Cloud Storage di utilizzare ACL per oggetto (un sistema separato dai criteri IAM) per fornire l'accesso, garantendo la coerenza per la gestione e il controllo dell'accesso. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
compute.requireOsLogin |
Questo criterio richiede OS Login sulle VM appena create per gestire più facilmente le chiavi SSH, fornire autorizzazioni a livello di risorsa con i criteri IAM e registrare l'accesso degli utenti. Il valore è
|
Controllo NIST SP 800-53: AC-3 e AU-12 |
compute.disableSerialPortAccess |
Questa norma impedisce agli utenti di accedere alla porta seriale della VM, che può essere utilizzata per l'accesso backdoor dal piano di controllo dell'API Compute Engine. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
compute.restrictXpnProjectLienRemoval |
Questa policy impedisce l'eliminazione accidentale dei progetti host del VPC condiviso limitando la rimozione dei blocchi sul progetto. Il valore è
|
Controllo NIST SP 800-53: AC-3 e AC-6 |
compute.vmExternalIpAccess |
Questo criterio impedisce la creazione di istanze Compute Engine con un indirizzo IP pubblico, che può esporle al traffico internet in entrata e in uscita. Il valore è
policy_rules:
- values:
allowed_values:
- is:projects/PROJECT_ID/zones/ZONE/instances/INSTANCE
|
Controllo NIST SP 800-53: AC-3 e AC-6 |
compute.skipDefaultNetworkCreation |
Questo policy disabilita la creazione automatica di una rete VPC predefinita e di regole firewall predefinite in ogni nuovo progetto, garantendo che le regole di rete e firewall vengano create intenzionalmente. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
compute.setNewProjectDefaultToZonalDNSOnly |
Questa policy impedisce agli sviluppatori di applicazioni di scegliere impostazioni DNS legacy per le istanze Compute Engine che hanno un'affidabilità del servizio inferiore rispetto alle impostazioni DNS moderne. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
sql.restrictPublicIp |
Questo criterio impedisce la creazione di istanze Cloud SQL con indirizzi IP pubblici, che possono esporle al traffico internet in entrata e in uscita. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
sql.restrictAuthorizedNetworks |
Questo criterio impedisce agli intervalli di reti pubbliche o non RFC 1918 di accedere ai database Cloud SQL. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
compute.restrictProtocolForwardingCreationForTypes |
Questo criterio consente l'inoltro del protocollo VM solo per gli indirizzi IP interni. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
compute.disableVpcExternalIpv6 |
Questo criterio impedisce la creazione di subnet IPv6 esterne che potrebbero essere esposte al traffico internet in entrata e in uscita. Il valore è
|
Controllo NIST SP 800-53: AC-3 e AC-6 |
compute.disableNestedVirtualization |
Questa policy disabilita la virtualizzazione nidificata per tutte le VM di Compute Engine per ridurre il rischio per la sicurezza correlato a istanze nidificate non monitorate. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
Visualizza il modello di postura
Per visualizzare il modello di postura per la sicurezza per impostazione predefinita, essentials:
gcloud
Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
-
ORGANIZATION_ID: l'ID numerico dell'organizzazione
Esegui il comando
gcloud scc posture-templates
describe:
Linux, macOS o Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
La risposta contiene il modello di postura.
REST
Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
-
ORGANIZATION_ID: l'ID numerico dell'organizzazione
Metodo HTTP e URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
Per inviare la richiesta, espandi una di queste opzioni:
La risposta contiene il modello di postura.