Esta página foi traduzida pela API Cloud Translation.

Postura predefinida para recursos essenciais e seguros por padrão

Esta página descreve as políticas preventivas incluídas na versão v1.0 da postura predefinida para recursos essenciais com segurança por padrão. Essa postura ajuda a evitar problemas de segurança e configurações incorretas comuns causados por configurações padrão.

É possível usar essa postura predefinida para configurar uma postura de segurança que ajude a proteger os recursos do Google Cloud. É possível implantar essa postura predefinida sem fazer nenhuma mudança.

Política	Descrição	Padrões de compliance
`iam.disableServiceAccountKeyCreation`	Essa restrição impede que os usuários criem chaves permanentes para contas de serviço para diminuir o risco de exposição de credenciais de conta de serviço. O valor é `true` para desativar a criação de chaves da conta de serviço.	Controle NIST SP 800-53: AC-2
`iam.automaticIamGrantsForDefaultServiceAccounts`	Essa restrição impede que as contas de serviço padrão recebam o papel de editor do IAM excessivamente permissivo na criação. O valor é `false` para desativar as concessões automáticas do IAM para contas de serviço padrão.	Controle NIST SP 800-53: AC-3
`iam.disableServiceAccountKeyUpload`	Essa restrição evita o risco de vazamento e reutilização do material de chave personalizada nas chaves de conta de serviço. O valor é `true` para desativar os uploads de chaves de conta de serviço.	Controle NIST SP 800-53: AC-6
`storage.publicAccessPrevention`	Essa política impede que os buckets do Cloud Storage sejam abertos para acesso público não autenticado. O valor é `true` para impedir o acesso público aos buckets.	Controle NIST SP 800-53: AC-3 e AC-6
`storage.uniformBucketLevelAccess`	Essa política impede que os buckets do Cloud Storage usem ACLs por objeto (um sistema separado das políticas do IAM) para fornecer acesso, aplicando a consistência para gerenciamento de acesso e auditoria. O valor é `true` para aplicar o acesso uniforme no nível do bucket.	Controle NIST SP 800-53: AC-3 e AC-6
`compute.requireOsLogin`	Essa política exige o Login do SO em VMs recém-criadas para gerenciar chaves SSH com mais facilidade, fornecer permissão no nível do recurso com políticas do IAM e registrar o acesso do usuário. O valor é `true` para exigir o Login do SO.	Controle NIST SP 800-53: AC-3 e AU-12
`compute.disableSerialPortAccess`	Essa política impede que os usuários acessem a porta serial da VM, que pode ser usada para acesso backdoor do plano de controle da API Compute Engine. O valor é `true` para desativar o acesso à porta serial da VM.	Controle NIST SP 800-53: AC-3 e AC-6
`compute.restrictXpnProjectLienRemoval`	Essa política impede a exclusão acidental de projetos host da VPC compartilhada restringindo a remoção de garantias do projeto. O valor é `true` para restringir a remoção da garantia do projeto de VPC compartilhada.	Controle NIST SP 800-53: AC-3 e AC-6
`compute.vmExternalIpAccess`	Essa política impede a criação de instâncias do Compute Engine com um endereço IP público, que pode expô-las ao tráfego de entrada e saída da Internet. O valor é `denyAll` para desativar todo o acesso de endereços IP públicos. Se você quiser mudar para permitir que determinadas instâncias de VM tenham acesso público, defina os valores permitidos: policy_rules: - values: allowed_values: - is:projects/`PROJECT_ID`/zones/`ZONE`/instances/`INSTANCE`	Controle NIST SP 800-53: AC-3 e AC-6
`compute.skipDefaultNetworkCreation`	Essa política desativa a criação automática de uma rede VPC padrão e regras de firewall padrão em cada novo projeto, garantindo que as regras de rede e firewall sejam criadas intencionalmente. O valor é `true` para evitar a criação da rede VPC padrão.	Controle NIST SP 800-53: AC-3 e AC-6
`compute.setNewProjectDefaultToZonalDNSOnly`	Essa política restringe os desenvolvedores de aplicativos a escolher configurações de DNS legadas para instâncias do Compute Engine que têm confiabilidade de serviço inferior às configurações de DNS modernas. O valor é `Zonal DNS only` para novos projetos.	Controle NIST SP 800-53: AC-3 e AC-6
`sql.restrictPublicIp`	Essa política impede a criação de instâncias do Cloud SQL com endereços IP públicos, que podem expô-las ao tráfego de entrada e de saída da Internet. O valor é `true` para restringir o acesso a instâncias do Cloud SQL por endereços IP públicos.	Controle NIST SP 800-53: AC-3 e AC-6
`sql.restrictAuthorizedNetworks`	Essa política impede que intervalos de rede públicos ou não RFC 1918 acessem os bancos de dados do Cloud SQL. O valor é `true` para restringir redes autorizadas em instâncias do Cloud SQL.	Controle NIST SP 800-53: AC-3 e AC-6
`compute.restrictProtocolForwardingCreationForTypes`	Essa política permite o encaminhamento de protocolo da VM apenas para endereços IP internos. O valor é `INTERNAL` para restringir o encaminhamento de protocolo com base no tipo de endereço IP.	Controle NIST SP 800-53: AC-3 e AC-6
`compute.disableVpcExternalIpv6`	Essa política impede a criação de sub-redes IPv6 externas, que podem ser expostas ao tráfego de entrada e saída da Internet. O valor é `true` para desativar sub-redes IPv6 externas.	Controle NIST SP 800-53: AC-3 e AC-6
`compute.disableNestedVirtualization`	Essa política desativa a virtualização aninhada para todas as VMs do Compute Engine para diminuir o risco de segurança relacionado a instâncias aninhadas não monitoradas. O valor é `true` para desativar a virtualização aninhada da VM.	Controle NIST SP 800-53: AC-3 e AC-6

Conferir o modelo de postura

Para conferir o modelo de postura para "seguro por padrão", siga estas etapas:

gcloud

Antes de usar os dados do comando abaixo, faça estas substituições:

ORGANIZATION_ID: o ID numérico da organização

Execute o comando gcloud scc posture-templates describe:

Linux, macOS ou Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential

A resposta contém o modelo de postura.

REST

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

ORGANIZATION_ID: o ID numérico da organização

Método HTTP e URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Observação: o comando a seguir pressupõe que você fez login na CLI gcloud com sua conta de usuário executando gcloud init ou gcloud auth login, ou usando o Cloud Shell, que faz login automaticamente na CLI gcloud. . É possível verificar a conta ativa atual executando gcloud auth list.

execute o seguinte comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential"

PowerShell (Windows)

Observação: o comando a seguir pressupõe que você fez login na CLI gcloud com sua conta de usuário executando gcloud init ou gcloud auth login . É possível verificar a conta ativa atual executando gcloud auth list.

Execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential" | Select-Object -Expand Content

A resposta contém o modelo de postura.

A seguir

Crie uma postura de segurança usando essa postura predefinida.