En esta página se describen las políticas preventivas que se incluyen en la versión 1.0 de la postura predefinida de seguridad predeterminada y elementos esenciales. Esta postura ayuda a evitar errores de configuración y problemas de seguridad habituales causados por los ajustes predeterminados.
Puedes usar esta postura predefinida para configurar una postura de seguridad que ayude a proteger los recursos deGoogle Cloud . Puedes implementar esta postura predefinida sin hacer ningún cambio.
| Política | Descripción | Estándares de cumplimiento |
|---|---|---|
iam.disableServiceAccountKeyCreation |
Esta restricción impide que los usuarios creen claves persistentes para cuentas de servicio, lo que reduce el riesgo de que se expongan las credenciales de las cuentas de servicio. El valor es |
Control NIST SP 800-53: AC-2 |
iam.automaticIamGrantsForDefaultServiceAccounts |
Esta restricción impide que las cuentas de servicio predeterminadas reciban el rol Editor de Gestión de Identidades y Accesos (IAM), que tiene demasiados permisos, al crearse. El valor es |
Control NIST SP 800-53: AC-3 |
iam.disableServiceAccountKeyUpload |
Esta restricción evita el riesgo de que se filtre y se reutilice material de clave personalizada en las claves de cuentas de servicio. El valor es |
Control NIST SP 800-53: AC-6 |
storage.publicAccessPrevention |
Esta política impide que los segmentos de Cloud Storage estén abiertos al acceso público sin autenticar. El valor es |
Control NIST SP 800-53: AC-3 y AC-6 |
storage.uniformBucketLevelAccess |
Esta política impide que los segmentos de Cloud Storage usen LCA por objeto (un sistema independiente de las políticas de gestión de identidades y accesos) para proporcionar acceso, lo que garantiza la coherencia de la gestión de acceso y la auditoría. El valor es |
Control NIST SP 800-53: AC-3 y AC-6 |
compute.requireOsLogin |
Esta política requiere que se utilice Inicio de sesión con SO en las VMs recién creadas para gestionar las claves SSH más fácilmente, proporcionar permisos a nivel de recurso con políticas de gestión de identidades y accesos, y registrar el acceso de los usuarios. El valor es |
Control NIST SP 800-53: AC-3 y AU-12 |
compute.disableSerialPortAccess |
Esta política impide que los usuarios accedan al puerto serie de la VM, que se puede usar para acceder a la puerta trasera desde el plano de control de la API de Compute Engine. El valor es |
Control NIST SP 800-53: AC-3 y AC-6 |
compute.restrictXpnProjectLienRemoval |
Esta política evita que se eliminen accidentalmente proyectos host de VPC compartidas restringiendo la retirada de retenciones de proyectos. El valor es |
Control NIST SP 800-53: AC-3 y AC-6 |
compute.vmExternalIpAccess |
Esta política impide la creación de instancias de Compute Engine con una dirección IP pública, lo que puede exponerlas al tráfico de Internet entrante y saliente. El valor es
policy_rules:
- values:
allowed_values:
- is:projects/PROJECT_ID/zones/ZONE/instances/INSTANCE
|
Control NIST SP 800-53: AC-3 y AC-6 |
compute.skipDefaultNetworkCreation |
Esta política inhabilita la creación automática de una red de VPC predeterminada y de reglas de cortafuegos predeterminadas en cada proyecto nuevo, lo que asegura que las reglas de red y de cortafuegos se creen de forma intencionada. El valor es |
Control NIST SP 800-53: AC-3 y AC-6 |
compute.setNewProjectDefaultToZonalDNSOnly |
Esta política impide que los desarrolladores de aplicaciones elijan ajustes de DNS antiguos para las instancias de Compute Engine que tengan una fiabilidad de servicio inferior a la de los ajustes de DNS modernos. El valor es |
Control NIST SP 800-53: AC-3 y AC-6 |
sql.restrictPublicIp |
Esta política impide la creación de instancias de Cloud SQL con direcciones IP públicas, lo que puede exponerlas al tráfico de Internet entrante y saliente. El valor es |
Control NIST SP 800-53: AC-3 y AC-6 |
sql.restrictAuthorizedNetworks |
Esta política impide que los intervalos de redes públicas o que no sean RFC 1918 accedan a las bases de datos de Cloud SQL. El valor es |
Control NIST SP 800-53: AC-3 y AC-6 |
compute.restrictProtocolForwardingCreationForTypes |
Esta política solo permite el reenvío de protocolos de máquinas virtuales para direcciones IP internas. El valor es |
Control NIST SP 800-53: AC-3 y AC-6 |
compute.disableVpcExternalIpv6 |
Esta política impide la creación de subredes IPv6 externas, que pueden estar expuestas al tráfico de Internet entrante y saliente. El valor es
|
Control NIST SP 800-53: AC-3 y AC-6 |
compute.disableNestedVirtualization |
Esta política inhabilita la virtualización anidada en todas las VMs de Compute Engine para reducir el riesgo de seguridad relacionado con las instancias anidadas no monitorizadas. El valor es |
Control NIST SP 800-53: AC-3 y AC-6 |
Ver la plantilla de postura
Para ver la plantilla de postura de seguridad predeterminada y la plantilla de elementos esenciales, haga lo siguiente:
gcloud
Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:
-
ORGANIZATION_ID: el ID numérico de la organización
Ejecuta el comando
gcloud scc posture-templates
describe:
Linux, macOS o Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
La respuesta contiene la plantilla de postura.
REST
Antes de usar los datos de la solicitud, haz las siguientes sustituciones:
-
ORGANIZATION_ID: el ID numérico de la organización
Método HTTP y URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
Para enviar tu solicitud, despliega una de estas opciones:
La respuesta contiene la plantilla de postura.