Auf dieser Seite werden die präventiven Richtlinien beschrieben, die in der Version 1.0 der vordefinierten Standard-Sicherheitsposition für „Sicher per Standardeinstellung“ enthalten sind. So lassen sich häufige Fehlkonfigurationen und Sicherheitsprobleme vermeiden, die durch Standardeinstellungen verursacht werden.
Sie können diese vordefinierte Sicherheitskonfiguration verwenden, um einen Sicherheitsstatus zu konfigurieren, der zum Schutz von Google Cloud-Ressourcen beiträgt. Sie können diesen vordefinierten Sicherheitsstatus bereitstellen, ohne Änderungen vorzunehmen.
Policy | Beschreibung | Compliancestandards |
---|---|---|
iam.disableServiceAccountKeyCreation |
Durch diese Einschränkung wird verhindert, dass Nutzer nichtflüchtige Schlüssel für Dienstkonten erstellen, um das Risiko von freigelegten Anmeldedaten für Dienstkonten zu verringern. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-2 |
iam.automaticIamGrantsForDefaultServiceAccounts |
Diese Einschränkung verhindert, dass Standarddienstkonten beim Erstellen die übermäßig permissive IAM-Rolle „Editor“ (Identity and Access Management) erhalten. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-3 |
iam.disableServiceAccountKeyUpload |
So wird das Risiko verringert, dass benutzerdefiniertes Schlüsselmaterial in Dienstkontoschlüsseln gehackt und wiederverwendet wird. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-6 |
storage.publicAccessPrevention |
Mit dieser Richtlinie wird verhindert, dass Cloud Storage-Buckets für den nicht authentifizierten öffentlichen Zugriff geöffnet werden. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-3 und AC-6 |
storage.uniformBucketLevelAccess |
Diese Richtlinie verhindert, dass für Cloud Storage-Buckets objektspezifische ACLs (ein separates System von IAM-Richtlinien) verwendet werden, um Zugriff zu gewähren. So wird für die Zugriffsverwaltung und ‑prüfung für mehr Einheitlichkeit gesorgt. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-3 und AC-6 |
compute.requireOsLogin |
Für diese Richtlinie ist OS Login auf neu erstellten VMs erforderlich, um SSH-Schlüssel einfacher zu verwalten, Berechtigungen auf Ressourcenebene mit IAM-Richtlinien bereitzustellen und den Nutzerzugriff zu protokollieren. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-3 und AU-12 |
compute.disableSerialPortAccess |
Diese Richtlinie verhindert, dass Nutzer auf den seriellen Port der VM zugreifen, der für den Backdoor-Zugriff über die Compute Engine API-Kontrollebene verwendet werden kann. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-3 und AC-6 |
compute.restrictXpnProjectLienRemoval |
Diese Richtlinie verhindert das versehentliche Löschen von Hostprojekten für freigegebene VPC, indem das Entfernen von Projektsperren eingeschränkt wird. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-3 und AC-6 |
compute.vmExternalIpAccess |
Diese Richtlinie verhindert das Erstellen von Compute Engine-Instanzen mit einer öffentlichen IP-Adresse, die sie für eingehenden und ausgehenden Internet-Traffic zugänglich machen kann. Der Wert ist policy_rules: - values: allowed_values: - is:projects/PROJECT_ID/zones/ZONE/instances/INSTANCE |
NIST SP 800-53-Kontrolle: AC-3 und AC-6 |
compute.skipDefaultNetworkCreation |
Mit dieser Richtlinie wird das automatische Erstellen eines Standard-VPC-Netzwerk und von Standard-Firewallregeln in jedem neuen Projekt deaktiviert. So wird sichergestellt, dass Netzwerk- und Firewallregeln bewusst erstellt werden. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-3 und AC-6 |
compute.setNewProjectDefaultToZonalDNSOnly |
Diese Richtlinie schränkt die Auswahl von Legacy-DNS-Einstellungen für Compute Engine-Instanzen ein, die eine geringere Dienstzuverlässigkeit als moderne DNS-Einstellungen haben. Bei neuen Projekten ist der Wert |
NIST SP 800-53-Kontrolle: AC-3 und AC-6 |
sql.restrictPublicIp |
Diese Richtlinie verhindert das Erstellen von Cloud SQL-Instanzen mit öffentlichen IP-Adressen, die sie für eingehenden und ausgehenden Internet-Traffic zugänglich machen können. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-3 und AC-6 |
sql.restrictAuthorizedNetworks |
Mit dieser Richtlinie wird der Zugriff auf Cloud SQL-Datenbanken aus öffentlichen oder nicht RFC 1918-Netzwerkbereichen verhindert. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-3 und AC-6 |
compute.restrictProtocolForwardingCreationForTypes |
Mit dieser Richtlinie ist die VM-Protokollweiterleitung nur für interne IP-Adressen zulässig. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-3 und AC-6 |
compute.disableVpcExternalIpv6 |
Diese Richtlinie verhindert das Erstellen externer IPv6-Subnetze, die eingehendem und ausgehendem Internetverkehr ausgesetzt sein können. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-3 und AC-6 |
compute.disableNestedVirtualization |
Mit dieser Richtlinie wird die verschachtelte Virtualisierung für alle Compute Engine-VMs deaktiviert, um das Sicherheitsrisiko im Zusammenhang mit nicht überwachten verschachtelten Instanzen zu verringern. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-3 und AC-6 |
Vorlage für den Sicherheitsstatus ansehen
So rufen Sie die Vorlage für die Bewertung der Sicherheit für „Standardmäßig sicher“ (Essentials) auf:
gcloud
Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
-
ORGANIZATION_ID
: die numerische ID der Organisation
Führen Sie den Befehl gcloud scc posture-templates
describe
aus:
Linux, macOS oder Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
Die Antwort enthält die Vorlage für die Bewertung.
REST
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
-
ORGANIZATION_ID
: die numerische ID der Organisation
HTTP-Methode und URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Die Antwort enthält die Vorlage für die Bewertung.