En esta página, se describen las políticas preventivas que se incluyen en la versión 1.0 de la postura predefinida para la seguridad predeterminada y los elementos esenciales. Esta postura ayuda a evitar errores de configuración y problemas de seguridad comunes causados por la configuración predeterminada.
Puedes usar esta postura predefinida para configurar una postura de seguridad que ayude a proteger los recursos de Google Cloud. Puedes implementar esta postura predefinida sin realizar ningún cambio.
| Política | Descripción | Estándares de cumplimiento |
|---|---|---|
iam.disableServiceAccountKeyCreation |
Esta restricción impide que los usuarios creen claves persistentes para las cuentas de servicio para disminuir el riesgo de que se expongan credenciales de cuenta de servicio. El valor es |
Control de la SP 800-53 del NIST: AC-2 |
iam.automaticIamGrantsForDefaultServiceAccounts |
Esta restricción evita que las cuentas de servicio predeterminadas reciban el rol de editor de Identity and Access Management (IAM) demasiado permisivo en el momento de su creación. El valor es |
Control de la SP 800-53 del NIST: AC-3 |
iam.disableServiceAccountKeyUpload |
Esta restricción evita el riesgo de filtración y reutilización de material de claves personalizadas en las claves de la cuenta de servicio. El valor es |
Control de la SP 800-53 del NIST: AC-6 |
storage.publicAccessPrevention |
Esta política evita que los buckets de Cloud Storage estén abiertos al acceso público no autenticado. El valor es |
Control de la SP 800-53 del NIST: AC-3 y AC-6 |
storage.uniformBucketLevelAccess |
Esta política impide que los buckets de Cloud Storage usen LCA por objeto (un sistema independiente de las políticas de IAM) para proporcionar acceso, lo que aplica coherencia a la administración y auditoría de acceso. El valor es |
Control de la SP 800-53 del NIST: AC-3 y AC-6 |
compute.requireOsLogin |
Esta política requiere Acceso al SO en las VMs creadas recientemente para administrar las claves SSH con mayor facilidad, proporcionar permisos a nivel de recursos con políticas de IAM y registrar el acceso de los usuarios. El valor es |
Control de la SP 800-53 del NIST: AC-3 y AU-12 |
compute.disableSerialPortAccess |
Esta política impide que los usuarios accedan al puerto en serie de la VM, que se puede usar para el acceso de puerta trasera desde el plano de control de la API de Compute Engine. El valor es |
Control de la SP 800-53 del NIST: AC-3 y AC-6 |
compute.restrictXpnProjectLienRemoval |
Esta política evita la eliminación accidental de proyectos host de VPC compartida, ya que restringe la eliminación de las retenciones de los proyectos. El valor es |
Control de la SP 800-53 del NIST: AC-3 y AC-6 |
compute.vmExternalIpAccess |
Esta política evita la creación de instancias de Compute Engine con una dirección IP pública, lo que puede exponerlas al tráfico entrante y saliente de Internet. El valor es
policy_rules:
- values:
allowed_values:
- is:projects/PROJECT_ID/zones/ZONE/instances/INSTANCE
|
Control de la SP 800-53 del NIST: AC-3 y AC-6 |
compute.skipDefaultNetworkCreation |
Esta política inhabilita la creación automática de una red de VPC predeterminada y reglas de firewall predeterminadas en cada proyecto nuevo, lo que garantiza que las reglas de red y firewall se creen de forma intencional. El valor es |
Control de la SP 800-53 del NIST: AC-3 y AC-6 |
compute.setNewProjectDefaultToZonalDNSOnly |
Esta política restringe a los desarrolladores de aplicaciones a elegir la configuración de DNS heredada para las instancias de Compute Engine que tienen una confiabilidad del servicio más baja que la configuración de DNS moderna. El valor es |
Control de la SP 800-53 del NIST: AC-3 y AC-6 |
sql.restrictPublicIp |
Esta política evita la creación de instancias de Cloud SQL con direcciones IP públicas, lo que puede exponerlas al tráfico de Internet entrante y saliente. El valor es |
Control de la SP 800-53 del NIST: AC-3 y AC-6 |
sql.restrictAuthorizedNetworks |
Esta política evita que los rangos de red públicos o no RFC 1918 accedan a las bases de datos de Cloud SQL. El valor es |
Control de la SP 800-53 del NIST: AC-3 y AC-6 |
compute.restrictProtocolForwardingCreationForTypes |
Esta política permite el reenvío de protocolos de VM solo para direcciones IP internas. El valor es |
Control de la SP 800-53 del NIST: AC-3 y AC-6 |
compute.disableVpcExternalIpv6 |
Esta política impide la creación de subredes IPv6 externas, que se pueden exponer al tráfico de Internet entrante y saliente. El valor es |
Control de la SP 800-53 del NIST: AC-3 y AC-6 |
compute.disableNestedVirtualization |
Esta política inhabilita la virtualización anidada para todas las VMs de Compute Engine para disminuir el riesgo de seguridad relacionado con las instancias anidadas sin supervisión. El valor es |
Control de la SP 800-53 del NIST: AC-3 y AC-6 |
Cómo ver la plantilla de postura
Para ver la plantilla de postura de seguridad predeterminada, haz lo siguiente:
gcloud
Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:
-
ORGANIZATION_ID: El ID numérico de la organización
Ejecuta el comando
gcloud scc posture-templates
describe:
:
Linux, macOS o Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
La respuesta contiene la plantilla de postura.
REST
Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:
-
ORGANIZATION_ID: El ID numérico de la organización
Método HTTP y URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
Para enviar tu solicitud, expande una de estas opciones:
La respuesta contiene la plantilla de postura.