Postur yang telah ditentukan sebelumnya untuk Cloud Storage, esensial

Halaman ini menjelaskan kebijakan pencegahan dan detektif yang disertakan dalam postur yang telah ditentukan sebelumnya untuk Cloud Storage, esensial versi v1.0. Postur ini mencakup dua kumpulan kebijakan:

  • Kumpulan kebijakan yang mencakup kebijakan organisasi yang berlaku untuk Cloud Storage.

  • Kumpulan kebijakan yang menyertakan deteksi Security Health Analytics yang berlaku untuk Cloud Storage.

Anda dapat menggunakan postur standar ini untuk mengonfigurasi postur keamanan yang membantu melindungi Cloud Storage. Anda dapat men-deploy postur standar ini tanpa membuat perubahan apa pun.

Batasan kebijakan organisasi

Tabel berikut menjelaskan kebijakan organisasi yang disertakan dalam postur ini.

Kebijakan Deskripsi Standar kepatuhan
storage.publicAccessPrevention

Kebijakan ini mencegah bucket Cloud Storage terbuka untuk akses publik yang tidak diautentikasi.

Nilainya adalah true untuk mencegah akses publik ke bucket.

Kontrol NIST SP 800-53: AC-3, AC-17, dan AC-20
storage.uniformBucketLevelAccess

Kebijakan ini mencegah bucket Cloud Storage menggunakan ACL per objek (sistem terpisah dari kebijakan IAM) untuk memberikan akses, sehingga menerapkan konsistensi untuk pengelolaan dan audit akses.

Nilainya adalah true untuk menerapkan akses level bucket yang seragam.

Kontrol NIST SP 800-53: AC-3, AC-17, dan AC-20

Detektor Security Health Analytics

Tabel berikut menjelaskan detektor Security Health Analytics yang disertakan dalam postur yang telah ditentukan. Untuk informasi selengkapnya tentang pendeteksi ini, lihat Temuan kerentanan.

Nama pendeteksi Deskripsi
BUCKET_LOGGING_DISABLED

Detektor ini memeriksa apakah ada bucket penyimpanan tanpa logging yang diaktifkan.

LOCKED_RETENTION_POLICY_NOT_SET

Detektor ini memeriksa apakah kebijakan retensi terkunci ditetapkan untuk log.

OBJECT_VERSIONING_DISABLED

Detektor ini memeriksa apakah pembuatan versi objek diaktifkan di bucket penyimpanan dengan sink.

BUCKET_CMEK_DISABLED

Detektor ini memeriksa apakah bucket dienkripsi menggunakan kunci enkripsi yang dikelola pelanggan (CMEK).

BUCKET_POLICY_ONLY_DISABLED

Detektor ini memeriksa apakah akses level bucket yang seragam dikonfigurasi.

PUBLIC_BUCKET_ACL

Detektor ini memeriksa apakah bucket dapat diakses secara publik.

PUBLIC_LOG_BUCKET

Detektor ini memeriksa apakah bucket dengan sink log dapat diakses secara publik.

ORG_POLICY_LOCATION_RESTRICTION

Detektor ini memeriksa apakah resource Compute Engine tidak mematuhi batasan constraints/gcp.resourceLocations.

Melihat template postur

Untuk melihat template postur untuk Cloud Storage, esensial, lakukan tindakan berikut:

gcloud

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • ORGANIZATION_ID: ID numerik organisasi

Jalankan perintah gcloud scc posture-templates describe:

Linux, macOS, atau Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

Respons berisi template postur.

REST

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • ORGANIZATION_ID: ID numerik organisasi

Metode HTTP dan URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

Untuk mengirim permintaan, perluas salah satu opsi berikut:

Respons berisi template postur.

Langkah selanjutnya