Questa pagina descrive i criteri preventivi inclusi nella versione 1.0 della posizione predefinita per la sicurezza per impostazione predefinita, elementi essenziali. Questo postura aiuta a prevenire gli errori di configurazione più comuni e i problemi di sicurezza più comuni causati per impostazione predefinita.
Puoi utilizzare questa postura predefinita per configurare una postura di sicurezza che contribuisca a proteggere le risorse Google Cloud. Puoi implementare questa postura predefinita senza apportare modifiche.
| Norme | Descrizione | Standard di conformità |
|---|---|---|
iam.disableServiceAccountKeyCreation |
Questo vincolo impedisce agli utenti di creare chiavi permanenti per il servizio per ridurre il rischio di compromissione delle credenziali degli account di servizio. Il valore è |
Controllo NIST SP 800-53: AC-2 |
iam.automaticIamGrantsForDefaultServiceAccounts |
Questo vincolo impedisce agli account di servizio predefiniti di ricevere Editor del ruolo Identity and Access Management (IAM) eccessivamente permissivo al momento della creazione. Il valore è |
Controllo NIST SP 800-53: AC-3 |
iam.disableServiceAccountKeyUpload |
Questo vincolo consente di evitare il rischio di fuga e riutilizzo del materiale delle chiavi personalizzate nelle chiavi degli account di servizio. Il valore è |
Controllo NIST SP 800-53: AC-6 |
storage.publicAccessPrevention |
Questo criterio impedisce che i bucket Cloud Storage siano aperti all'accesso pubblico non autenticato. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
storage.uniformBucketLevelAccess |
Queste norme impedisce ai bucket Cloud Storage di utilizzare l'ACL per ogni oggetto (un sistema separato dai criteri IAM) per fornire l'accesso, applicando la coerenza la gestione e il controllo degli accessi. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
compute.requireOsLogin |
Questo criterio richiede l'accesso all'OS sulle VM appena create per gestire più facilmente le chiavi SSH, fornire autorizzazioni a livello di risorsa con i criteri IAM e registrare l'accesso degli utenti. Il valore è
|
Controllo NIST SP 800-53: AC-3 e AU-12 |
compute.disableSerialPortAccess |
Questo criterio impedisce agli utenti di accedere alla porta seriale della VM, che può essere utilizzata per l'accesso backdoor dal piano di controllo dell'API Compute Engine. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
compute.restrictXpnProjectLienRemoval |
Questo criterio impedisce l'eliminazione accidentale dei progetti host con VPC condivise limitando la rimozione dei blocchi sul progetto. Il valore è
|
Controllo NIST SP 800-53: AC-3 e AC-6 |
compute.vmExternalIpAccess |
Questo criterio impedisce di istanze Compute Engine con un indirizzo IP pubblico, esporli al traffico internet in entrata e a internet in uscita per via del traffico. Il valore è
policy_rules:
- values:
allowed_values:
- is:projects/PROJECT_ID/zones/ZONE/instances/INSTANCE
|
Controllo NIST SP 800-53: AC-3 e AC-6 |
compute.skipDefaultNetworkCreation |
Questo disattiva la creazione automatica di una rete VPC predefinita e di regole firewall predefinite in ogni nuovo progetto, garantendo che le regole di rete e firewall vengano create intenzionalmente. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
compute.setNewProjectDefaultToZonalDNSOnly |
Questo criterio impedisce agli sviluppatori di applicazioni di scegliere DNS legacy le impostazioni per le istanze di Compute Engine con minore affidabilità del servizio rispetto le moderne impostazioni DNS. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
sql.restrictPublicIp |
Questo criterio impedisce di istanze Cloud SQL con indirizzi IP pubblici, in modo da esporli al traffico internet in entrata e a internet in uscita per via del traffico. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
sql.restrictAuthorizedNetworks |
Questo criterio impedisce agli intervalli di reti pubbliche o non RFC 1918 di accedere ai database Cloud SQL. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
compute.restrictProtocolForwardingCreationForTypes |
Questo criterio consente il forwarding del protocollo delle VM per gli indirizzi IP interni . Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
compute.disableVpcExternalIpv6 |
Questo criterio impedisce la creazione di subnet IPv6 esterne, che possono essere esposte al traffico internet in entrata e in uscita. Il valore è
|
Controllo NIST SP 800-53: AC-3 e AC-6 |
compute.disableNestedVirtualization |
Questo criterio disattiva la virtualizzazione nidificata per tutte le VM Compute Engine per ridurre il rischio alla sicurezza correlato alle istanze nidificate non monitorate. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
Visualizza il modello di postura
Per visualizzare il modello di conformità per la sicurezza per impostazione predefinita, di base:
gcloud
Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
-
ORGANIZATION_ID: l'ID numerico dell'organizzazione
Esegui il comando
gcloud scc posture-templates
describe
:
Linux, macOS o Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
La risposta contiene il modello di postura.
REST
Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
-
ORGANIZATION_ID: l'ID numerico dell'organizzazione
Metodo HTTP e URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
Per inviare la richiesta, espandi una di queste opzioni:
La risposta contiene il modello di postura.