Postura predefinida para seguridad de forma predeterminada, elementos esenciales

En esta página, se describen las políticas preventivas que se incluyen en la versión 1.0 de la postura predefinida para brindar seguridad de forma predeterminada. Esta postura ayuda a evitar errores de configuración y problemas de seguridad comunes causados por la configuración predeterminada.

Puedes usar esta postura predefinida para configurar una postura de seguridad que ayude proteger recursos de Google Cloud. Puedes implementar esta postura predefinida sin realizar ningún cambio.

Política Descripción Estándares de cumplimiento
iam.disableServiceAccountKeyCreation

Esta restricción impide que los usuarios creen claves persistentes para las cuentas de servicio para disminuir el riesgo de que se expongan credenciales de cuenta de servicio.

El valor es true para inhabilitar la creación de claves de cuentas de servicio.

Control de la SP 800-53 del NIST: AC-2
iam.automaticIamGrantsForDefaultServiceAccounts

Esta restricción evita que las cuentas de servicio predeterminadas reciban el rol de editor de Identity and Access Management (IAM) demasiado permisivo en el momento de su creación.

El El valor es false para inhabilitar los otorgamientos automáticos de IAM para el servicio predeterminado. cuentas de servicio.

Control de NIST SP 800-53: AC-3
iam.disableServiceAccountKeyUpload

Esta restricción evita el riesgo de filtración y reutilización de material de claves personalizadas en las claves de la cuenta de servicio.

El valor es true para inhabilitar la clave de la cuenta de servicio. cargas.

Control de la SP 800-53 del NIST: AC-6
storage.publicAccessPrevention

Esta política impide que los buckets de Cloud Storage estén abiertos a datos públicos no autenticados el acceso a los datos.

El valor es true para evitar el acceso público a buckets.

Control de la SP 800-53 del NIST: AC-3 y AC-6
storage.uniformBucketLevelAccess

Esta política impide que los buckets de Cloud Storage usen LCA por objeto (un sistema independiente de las políticas de IAM) para proporcionar acceso, lo que aplica coherencia a la administración y auditoría de acceso.

El valor es true para aplicar acceso uniforme a nivel de bucket.

Control de la SP 800-53 del NIST: AC-3 y AC-6
compute.requireOsLogin

Esta requiere Acceso al SO en las aplicaciones las VMs para administrar las claves SSH con más facilidad, otorguen permisos a nivel del recurso con políticas de IAM y registros del acceso de los usuarios.

El valor es true para requerir Acceso al SO.

Control de NIST SP 800-53: AC-3 y AU-12
compute.disableSerialPortAccess

Esta política impide que los usuarios accedan al puerto en serie de la VM, que se puede usar para el acceso a puertas traseras desde el plano de control de la API de Compute Engine.

El valor es true para inhabilitar el acceso al puerto en serie de la VM.

Control de NIST SP 800-53: AC-3 y AC-6
compute.restrictXpnProjectLienRemoval

Esta política evita la eliminación accidental de proyectos host de VPC compartida, ya que restringe la eliminación de las retenciones de los proyectos.

El valor es true para restringir la eliminación de la retención del proyecto de VPC compartida.

Control de la SP 800-53 del NIST: AC-3 y AC-6
compute.vmExternalIpAccess

Esta política evita que las crear instancias de Compute Engine con una dirección IP pública, que puede Exponerlos al tráfico de Internet entrante y saliente tráfico.

El valor es denyAll para desactivar todo el acceso. direcciones IP públicas. Si quieres cambiarlo para permitir que ciertas instancias de VM tengan acceso público, configura los valores permitidos:

policy_rules:
    - values:
      allowed_values:
      - is:projects/PROJECT_ID/zones/ZONE/instances/INSTANCE
Control de la SP 800-53 del NIST: AC-3 y AC-6
compute.skipDefaultNetworkCreation

Esta inhabilita la creación automática de una red de VPC predeterminada reglas de firewall en cada proyecto nuevo, lo que garantiza que las reglas intencionalmente.

El valor es true para evitar crear la red de VPC predeterminada.

Control de NIST SP 800-53: AC-3 y AC-6
compute.setNewProjectDefaultToZonalDNSOnly

Esta política no permite que los desarrolladores de aplicaciones elijan DNS heredado predeterminada para las instancias de Compute Engine que tienen una confiabilidad de servicio menor que configuración de DNS moderna.

El valor es Zonal DNS only para nuevos. proyectos.

Control de la SP 800-53 del NIST: AC-3 y AC-6
sql.restrictPublicIp

Esta política evita que las la creación de instancias de Cloud SQL con direcciones IP públicas, que pueden Exponerlos al tráfico de Internet entrante y saliente tráfico.

El valor es true para restringir el acceso a las instancias de Cloud SQL por direcciones IP públicas.

Control de la SP 800-53 del NIST: AC-3 y AC-6
sql.restrictAuthorizedNetworks

Esta política evita que los rangos de red públicos o no RFC 1918 accedan a las bases de datos de Cloud SQL.

El valor es true para restringir las redes autorizadas en las instancias de Cloud SQL.

Control de NIST SP 800-53: AC-3 y AC-6
compute.restrictProtocolForwardingCreationForTypes

Esta política permite el reenvío de protocolos de VM solo para direcciones IP internas.

El valor es INTERNAL para restringir el reenvío de protocolo según el tipo de dirección IP.

Control de la SP 800-53 del NIST: AC-3 y AC-6
compute.disableVpcExternalIpv6

Esta política impide la creación de subredes IPv6 externas, que se pueden exponer al tráfico de Internet entrante y saliente.

El valor es true para inhabilitar las subredes IPv6 externas.

Control de la SP 800-53 del NIST: AC-3 y AC-6
compute.disableNestedVirtualization

Esta política inhabilita la virtualización anidada para todas las VMs de Compute Engine para disminuir el riesgo de seguridad relacionado con las instancias anidadas sin supervisión.

El valor es true para desactivar la virtualización anidada de la VM.

Control de la SP 800-53 del NIST: AC-3 y AC-6

Visualiza la plantilla de postura

Para ver la plantilla de postura de seguridad predeterminada, haz lo siguiente:

gcloud

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

  • ORGANIZATION_ID: El ID numérico de la organización

Ejecuta el gcloud scc posture-templates describe :

Linux, macOS o Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential

La respuesta contiene la plantilla de postura.

REST

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • ORGANIZATION_ID: El ID numérico de la organización

Método HTTP y URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential

Para enviar tu solicitud, expande una de estas opciones:

La respuesta contiene la plantilla de postura.

¿Qué sigue?