이 페이지에서는 Cloud Storage를 위한 사전 정의된 상황(필수 요소)의 v1.0 버전에 포함된 예방 및 감지 정책에 대해 설명합니다. 이 상황에는 두 가지 정책 집합이 포함됩니다.
Cloud Storage에 적용되는 조직 정책을 포함하는 정책 집합
Cloud Storage에 적용되는 Security Health Analytics 감지기를 포함하는 정책 집합
이 사전 정의된 상황을 사용해서 Cloud Storage 보호에 도움이 되는 보안 상황을 구성할 수 있습니다. 이 사전 정의된 상황은 변경하지 않고 배포할 수 있습니다.
조직 정책 제약 조건
다음 표에서는 이 상황에 포함된 조직 정책에 대해 설명합니다.
정책 | 설명 | 규정 준수 표준 |
---|---|---|
storage.publicAccessPrevention |
이 정책은 Cloud Storage 버킷이 인증되지 않은 공개 액세스에 개방되지 않도록 방지합니다. 값은 |
NIST SP 800-53 제어: AC-3, AC-17, AC-20 |
storage.uniformBucketLevelAccess |
이 정책은 Cloud Storage 버킷이 객체별 ACL(IAM 정책 이외의 별개 시스템)을 사용해서 액세스를 제공하지 못하도록 방지하여 액세스 관리 및 감사의 일관성을 강화합니다. 값은 |
NIST SP 800-53 제어: AC-3, AC-17, AC-20 |
Security Health Analytics 감지기
다음 표에서는 사전 정의된 상황에 포함된 Security Health Analytics 감지기에 대해 설명합니다. 이러한 감지기에 대한 자세한 내용은 취약점 발견 항목을 참조하세요.
검사 프로그램 이름 | 설명 |
---|---|
BUCKET_LOGGING_DISABLED |
이 감지기는 로깅이 사용 설정되지 않은 스토리지 버킷이 있는지 확인합니다. |
LOCKED_RETENTION_POLICY_NOT_SET |
이 감지기는 잠금 보관 정책이 로그에 설정되었는지 확인합니다. |
OBJECT_VERSIONING_DISABLED |
이 감지기는 객체 버전 관리가 싱크에 연결된 스토리지 버킷에 사용 설정되었는지 확인합니다. |
BUCKET_CMEK_DISABLED |
이 감지기는 버킷이 고객 관리 암호화 키(CMEK)를 사용하여 암호화되었는지 확인합니다. |
BUCKET_POLICY_ONLY_DISABLED |
이 감지기는 균일한 버킷 수준 액세스가 구성되었는지 확인합니다. |
PUBLIC_BUCKET_ACL |
이 감지기는 버킷에 공개적으로 액세스할 수 있는지 확인합니다. |
PUBLIC_LOG_BUCKET |
이 감지기는 로그 싱크에 연결된 버킷에 공개적으로 액세스할 수 있는지 확인합니다. |
ORG_POLICY_LOCATION_RESTRICTION |
이 감지기는 Compute Engine 리소스가 |
상황 템플릿 보기
Cloud Storage(필수 요소)의 상황 템플릿을 보려면 다음 안내를 따르세요.
gcloud
아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.
-
ORGANIZATION_ID
: 조직의 숫자 ID
gcloud scc posture-templates
describe
명령어를 실행합니다.
Linux, macOS 또는 Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential
Windows(PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential
Windows(cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential
응답에 상황 템플릿이 포함됩니다.
REST
요청 데이터를 사용하기 전에 다음을 바꿉니다.
-
ORGANIZATION_ID
: 조직의 숫자 ID
HTTP 메서드 및 URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential
요청을 보내려면 다음 옵션 중 하나를 펼칩니다.
응답에 상황 템플릿이 포함됩니다.