Diese Seite wurde von der Cloud Translation API übersetzt.

Vordefinierter Sicherheitsstatus für standardmäßige Sicherheitsfunktionen

Auf dieser Seite werden die präventiven Richtlinien beschrieben, die in Version 1.0 des vordefinierten Sicherheitsstatus für die standardmäßige Sicherheitsstufe (Essentials) enthalten sind. Dieser Sicherheitsstatus hilft, häufige Fehlkonfigurationen und häufige Sicherheitsprobleme zu vermeiden, die durch Standardeinstellungen verursacht werden.

Mit diesem vordefinierten Sicherheitsstatus können Sie einen Sicherheitsstatus konfigurieren, der zum Schutz von Google Cloud-Ressourcen dient. Sie können diesen vordefinierten Sicherheitsstatus bereitstellen, ohne Änderungen vorzunehmen.

Richtlinien	Beschreibung	Compliancestandards
`iam.disableServiceAccountKeyCreation`	Diese Einschränkung hindert Nutzer daran, persistente Schlüssel für Dienstkonten zu erstellen, um das Risiko der Offenlegung von Anmeldedaten für Dienstkonten zu verringern. Der Wert ist `true`, um das Erstellen von Dienstkontoschlüsseln zu deaktivieren.	NIST SP 800-53-Kontrolle: AC-2
`iam.automaticIamGrantsForDefaultServiceAccounts`	Diese Einschränkung verhindert, dass Standarddienstkonten bei der Erstellung die IAM-Rollenbearbeiter mit zu umfangreichen Berechtigungen erhalten. Der Wert ist `false`, um automatische IAM-Zuweisungen für Standarddienstkonten zu deaktivieren.	NIST SP 800-53-Kontrolle: AC-3
`iam.disableServiceAccountKeyUpload`	Durch diese Einschränkung wird das Risiko von gehackten und wiederverwendeten benutzerdefinierten Schlüsselmaterialien in Dienstkontoschlüsseln vermieden. Der Wert ist `true`, um das Hochladen von Dienstkontoschlüsseln zu deaktivieren.	NIST SP 800-53-Kontrolle: AC-6
`storage.publicAccessPrevention`	Diese Richtlinie verhindert, dass Cloud Storage-Buckets für den nicht authentifizierten öffentlichen Zugriff geöffnet sind. Der Wert lautet `true`, um den öffentlichen Zugriff auf Buckets zu verhindern.	NIST SP 800-53-Kontrolle: AC-3 und AC-6
`storage.uniformBucketLevelAccess`	Diese Richtlinie verhindert, dass Cloud Storage-Buckets eine ACL pro Objekt verwenden (ein unabhängiges System von IAM-Richtlinien), um Zugriff bereitzustellen und damit Konsistenz für die Zugriffsverwaltung und das Auditing zu erzwingen. Der Wert lautet `true`, um den einheitlichen Zugriff auf Bucket-Ebene zu erzwingen.	NIST SP 800-53-Kontrolle: AC-3 und AC-6
`compute.requireOsLogin`	Diese Richtlinie erfordert OS Login auf neu erstellten VMs, um SSH-Schlüssel einfacher zu verwalten, Berechtigungen auf Ressourcenebene mit IAM-Richtlinien bereitzustellen und den Nutzerzugriff zu protokollieren. Der Wert ist `true`, um OS Login zu verlangen.	NIST SP 800-53-Kontrolle: AC-3 und AU-12
`compute.disableSerialPortAccess`	Diese Richtlinie verhindert, dass Nutzer auf den seriellen VM-Port zugreifen, der für den Backdoor-Zugriff über die Compute Engine API-Steuerungsebene verwendet werden kann. Der Wert ist `true`, um den Zugriff auf den seriellen VM-Port zu deaktivieren.	NIST SP 800-53-Kontrolle: AC-3 und AC-6
`compute.restrictXpnProjectLienRemoval`	Diese Richtlinie verhindert das versehentliche Löschen von freigegebene VPC-Hostprojekten, indem sie das Entfernen von Projektsperren einschränkt. Der Wert lautet `true`, um das Entfernen von Sperren eines freigegebene VPC-Projekts einzuschränken.	NIST SP 800-53-Kontrolle: AC-3 und AC-6
`compute.vmExternalIpAccess`	Diese Richtlinie verhindert, dass Compute Engine-Instanzen mit einer öffentlichen IP-Adresse erstellt werden, die sie für eingehenden und ausgehenden Internettraffic freigeben kann. Der Wert ist `denyAll`, um den gesamten Zugriff von öffentlichen IP-Adressen zu deaktivieren. Wenn Sie sie ändern möchten, damit bestimmte VM-Instanzen öffentlichen Zugriff haben, legen Sie die zulässigen Werte fest: policy_rules: - values: allowed_values: - is:projects/`PROJECT_ID`/zones/`ZONE`/instances/`INSTANCE`	NIST SP 800-53-Kontrolle: AC-3 und AC-6
`compute.skipDefaultNetworkCreation`	Diese Richtlinie deaktiviert die automatische Erstellung eines VPC-Netzwerk und von Standardfirewallregeln in jedem neuen Projekt. So wird sichergestellt, dass Netzwerk- und Firewallregeln absichtlich erstellt werden. Der Wert lautet `true`, damit nicht das VPC-Netzwerk erstellt wird.	NIST SP 800-53-Kontrolle: AC-3 und AC-6
`compute.setNewProjectDefaultToZonalDNSOnly`	Diese Richtlinie hindert Anwendungsentwickler daran, Legacy-DNS-Einstellungen für Compute Engine-Instanzen auszuwählen, die eine geringere Dienstzuverlässigkeit als moderne DNS-Einstellungen haben. Für neue Projekte lautet der Wert `Zonal DNS only`.	NIST SP 800-53-Kontrolle: AC-3 und AC-6
`sql.restrictPublicIp`	Diese Richtlinie verhindert, dass Cloud SQL-Instanzen mit öffentlichen IP-Adressen erstellt werden, die sie dem eingehenden und ausgehenden Internettraffic aussetzen können. Der Wert ist `true`, um den Zugriff auf Cloud SQL-Instanzen über öffentliche IP-Adressen einzuschränken.	NIST SP 800-53-Kontrolle: AC-3 und AC-6
`sql.restrictAuthorizedNetworks`	Diese Richtlinie verhindert, dass öffentliche oder nicht RFC 1918-Netzwerkbereiche auf Cloud SQL-Datenbanken zugreifen. Der Wert ist `true`, um autorisierte Netzwerke auf Cloud SQL-Instanzen einzuschränken.	NIST SP 800-53-Kontrolle: AC-3 und AC-6
`compute.restrictProtocolForwardingCreationForTypes`	Diese Richtlinie ermöglicht die VM-Protokollweiterleitung nur für interne IP-Adressen. Der Wert ist `INTERNAL`, um die Protokollweiterleitung basierend auf dem Typ der IP-Adresse einzuschränken.	NIST SP 800-53-Kontrolle: AC-3 und AC-6
`compute.disableVpcExternalIpv6`	Diese Richtlinie verhindert das Erstellen externer IPv6-Subnetze, die dem ein- und ausgehenden Internettraffic ausgesetzt werden können. Der Wert lautet `true`, um externe IPv6-Subnetze zu deaktivieren.	NIST SP 800-53-Kontrolle: AC-3 und AC-6
`compute.disableNestedVirtualization`	Diese Richtlinie deaktiviert die verschachtelte Virtualisierung für alle Compute Engine-VMs, um das Sicherheitsrisiko für nicht überwachte verschachtelte Instanzen zu verringern. Der Wert ist `true`, um die verschachtelte Virtualisierung der VM zu deaktivieren.	NIST SP 800-53-Kontrolle: AC-3 und AC-6

YAML-Definition

Im Folgenden finden Sie die YAML-Definition für den vordefinierten Status für Standardeinstellungen.

name: organizations/123/locations/global/postureTemplates/secure_by_default_essential
description: Posture Template to make your cloud environment more secure.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: Secure-By-Default policy_set
  description: 18 org policies that new customers can automatically enable.
  policies:
  - policy_id: Disable service account key creation
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-2
    constraint:
      org_policy_constraint:
        canned_constraint_id: iam.disableServiceAccountKeyCreation
        policy_rules:
        - enforce: true
    description: Prevent users from creating persistent keys for service accounts to decrease the risk of exposed service account credentials.
  - policy_id: Disable Automatic IAM Grants for Default Service Accounts
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    constraint:
      org_policy_constraint:
        canned_constraint_id: iam.automaticIamGrantsForDefaultServiceAccounts
        policy_rules:
        - enforce: true
    description: Prevent default service accounts from receiving the overly-permissive IAM role Editor at creation.
  - policy_id: Disable Service Account Key Upload
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: iam.disableServiceAccountKeyUpload
        policy_rules:
        - enforce: true
    description: Avoid the risk of leaked and reused custom key material in service account keys.
  - policy_id: Enforce Public Access Prevention
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: storage.publicAccessPrevention
        policy_rules:
        - enforce: true
    description: Enforce that Storage Buckets cannot be configured as open to unauthenticated public access.
  - policy_id: Enforce uniform bucket-level access
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: storage.uniformBucketLevelAccess
        policy_rules:
        - enforce: true
    description: Prevent GCS buckets from using per-object ACL (a separate system from IAM policies) to provide access, enforcing a consistency for access management and auditing.
  - policy_id: Require OS Login
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AU-12
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.requireOsLogin
        policy_rules:
        - enforce: true
    description: Require OS Login on newly created VMs to more easily manage SSH keys, provide resource-level permission with IAM policies, and log user access.
  - policy_id: Disable VM serial port access
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.disableSerialPortAccess
        policy_rules:
        - enforce: true
    description: Prevent users from accessing the VM serial port which can be used for backdoor access from the Compute Engine API control plane
  - policy_id: Restrict shared VPC project lien removal
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.restrictXpnProjectLienRemoval
        policy_rules:
        - enforce: true
    description: Prevent the accidental deletion of Shared VPC host projects by restricting the removal of project liens.
  - policy_id: Define allowed external IPs for VM instances
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.vmExternalIpAccess
        policy_rules:
        - deny_all: true
    description: Prevent the creation of Compute instances with a public IP, which can expose them to internet ingress and egress.
  - policy_id: Skip default network creation
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.skipDefaultNetworkCreation
        policy_rules:
        - enforce: true
    description: Disable the automatic creation of a default VPC network and default firewall rules in each new project, ensuring that my network and firewall rules are intentionally created.
  - policy_id: Sets the internal DNS setting for new projects to Zonal DNS Only
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.setNewProjectDefaultToZonalDNSOnly
        policy_rules:
        - enforce: true
    description: Set guardrails that application developers cannot choose legacy DNS settings for compute instances that have lower service reliability than modern DNS settings.
  - policy_id: Restrict Public IP access on Cloud SQL instances
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: sql.restrictPublicIp
        policy_rules:
        - enforce: true
    description: Prevent the creation of Cloud SQL instances with a public IP, which can expose them to internet ingress and egress.
  - policy_id: Restrict Authorized Networks on Cloud SQL instances
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: sql.restrictAuthorizedNetworks
        policy_rules:
        - enforce: true
    description: Prevent public or non-RFC 1918 network ranges from accessing my Cloud SQL databases.
  - policy_id: Restrict Protocol Forwarding Based on type of IP Address
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.restrictProtocolForwardingCreationForTypes
        policy_rules:
        - values:
            allowed_values:
            - INTERNAL
    description: Allow VM protocol forwarding for internal IP addresses only.
  - policy_id: Disable VPC External IPv6 usage
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.disableVpcExternalIpv6
        policy_rules:
        - enforce: true
    description: Prevent the creation of external IPv6 subnets, which can be exposed to internet ingress and egress.
  - policy_id: Disable VM nested virtualization
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.disableNestedVirtualization
        policy_rules:
        - enforce: true
    description: Disable nested virtualization to decrease my security risk due to unmonitored nested instances.

Nächste Schritte

Erstellen Sie mit diesem vordefinierten Status einen Sicherheitsstatus.