Postura predefinida para Cloud Storage, elementos essenciais

Esta página descreve as políticas preventivas e de detecção incluídas na versão v1.0 da postura predefinida para o Cloud Storage, Essentials. Essa postura inclui dois conjuntos de políticas:

  • Um conjunto de políticas que inclui políticas da organização aplicáveis ao Cloud Storage.

  • Um conjunto de políticas que inclui detectores da Análise de integridade da segurança aplicáveis a Cloud Storage.

É possível usar essa postura predefinida para configurar uma postura de segurança que ajude proteger o Cloud Storage. É possível implantar essa postura predefinida sem fazer nenhuma mudança.

Restrições da política da organização

A tabela a seguir descreve as políticas da organização incluídas em essa postura.

Política Descrição Padrão de conformidade
storage.publicAccessPrevention

Essa política impede que os buckets do Cloud Storage sejam abertos para acesso público não autenticado.

O valor é true para impedir o acesso público a buckets de armazenamento.

Controles do NIST SP 800-53: AC-3, AC-17 e AC-20
storage.uniformBucketLevelAccess

Essa política impede que os buckets do Cloud Storage usem ACLs por objeto (um sistema separado das políticas do IAM) para fornecer acesso, aplicando a consistência para gerenciamento de acesso e auditoria.

O valor é true para aplicar o acesso uniforme no nível do bucket.

Controles do NIST SP 800-53: AC-3, AC-17 e AC-20

Detectores do Security Health Analytics

A tabela a seguir descreve os detectores da Análise de integridade da segurança incluídos em a postura predefinida. Para mais informações sobre esses detectores, consulte Descobertas de vulnerabilidade.

Nome do detector Descrição
BUCKET_LOGGING_DISABLED

Esse detector verifica se há um bucket de armazenamento sem a geração de registros ativada.

LOCKED_RETENTION_POLICY_NOT_SET

Este detector verifica se a política de retenção bloqueada está definida para registros.

OBJECT_VERSIONING_DISABLED

Esse detector verifica se o controle de versão de objeto está ativado em buckets de armazenamento com coletores.

BUCKET_CMEK_DISABLED

Esse detector verifica se os buckets estão criptografados usando chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês).

BUCKET_POLICY_ONLY_DISABLED

Este detector verifica se o acesso uniforme no nível do bucket está configurado.

PUBLIC_BUCKET_ACL

Este detector verifica se um bucket está acessível publicamente.

PUBLIC_LOG_BUCKET

Esse detector verifica se um bucket com um coletor de registros está acessível publicamente.

ORG_POLICY_LOCATION_RESTRICTION

Esse detector verifica se um recurso do Compute Engine não está em conformidade com a restrição constraints/gcp.resourceLocations.

Conferir o modelo de postura

Para conferir o modelo de postura do Cloud Storage, siga estas etapas:

gcloud

Antes de usar os dados do comando abaixo, faça estas substituições:

  • ORGANIZATION_ID: o ID numérico da organização

Execute o gcloud scc posture-templates describe comando:

Linux, macOS ou Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

A resposta contém o modelo de postura.

REST

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • ORGANIZATION_ID: o ID numérico da organização

Método HTTP e URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

Para enviar a solicitação, expanda uma destas opções:

A resposta contém o modelo de postura.

A seguir