Esta página foi traduzida pela API Cloud Translation.

Postura predefinida para Cloud Storage, elementos essenciais

Esta página descreve as políticas preventivas e de detecção incluídas na versão v1.0 da postura predefinida para o Cloud Storage, Essentials. Essa postura inclui dois conjuntos de políticas:

Um conjunto de políticas que inclui políticas da organização aplicáveis ao Cloud Storage.
Um conjunto de políticas que inclui detectores da Análise de integridade da segurança aplicáveis a Cloud Storage.

É possível usar essa postura predefinida para configurar uma postura de segurança que ajude proteger o Cloud Storage. É possível implantar essa postura predefinida sem fazer nenhuma mudança.

Restrições da política da organização

A tabela a seguir descreve as políticas da organização incluídas em essa postura.

Política Descrição Padrão de conformidade

Política	Descrição	Padrão de conformidade
`storage.publicAccessPrevention`	Essa política impede que os buckets do Cloud Storage sejam abertos para acesso público não autenticado. O valor é `true` para impedir o acesso público a buckets de armazenamento.	Controles do NIST SP 800-53: AC-3, AC-17 e AC-20
`storage.uniformBucketLevelAccess`	Essa política impede que os buckets do Cloud Storage usem ACLs por objeto (um sistema separado das políticas do IAM) para fornecer acesso, aplicando a consistência para gerenciamento de acesso e auditoria. O valor é `true` para aplicar o acesso uniforme no nível do bucket.	Controles do NIST SP 800-53: AC-3, AC-17 e AC-20

storage.publicAccessPrevention

Essa política impede que os buckets do Cloud Storage sejam abertos para acesso público não autenticado.

O valor é true para impedir o acesso público a buckets de armazenamento.

Controles do NIST SP 800-53: AC-3, AC-17 e AC-20

storage.uniformBucketLevelAccess

Essa política impede que os buckets do Cloud Storage usem ACLs por objeto (um sistema separado das políticas do IAM) para fornecer acesso, aplicando a consistência para gerenciamento de acesso e auditoria.

O valor é true para aplicar o acesso uniforme no nível do bucket.

Controles do NIST SP 800-53: AC-3, AC-17 e AC-20

Detectores do Security Health Analytics

A tabela a seguir descreve os detectores da Análise de integridade da segurança incluídos em a postura predefinida. Para mais informações sobre esses detectores, consulte Descobertas de vulnerabilidade.

Nome do detector	Descrição
`BUCKET_LOGGING_DISABLED`	Esse detector verifica se há um bucket de armazenamento sem a geração de registros ativada.
`LOCKED_RETENTION_POLICY_NOT_SET`	Este detector verifica se a política de retenção bloqueada está definida para registros.
`OBJECT_VERSIONING_DISABLED`	Esse detector verifica se o controle de versão de objeto está ativado em buckets de armazenamento com coletores.
`BUCKET_CMEK_DISABLED`	Esse detector verifica se os buckets estão criptografados usando chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês).
`BUCKET_POLICY_ONLY_DISABLED`	Este detector verifica se o acesso uniforme no nível do bucket está configurado.
`PUBLIC_BUCKET_ACL`	Este detector verifica se um bucket está acessível publicamente.
`PUBLIC_LOG_BUCKET`	Esse detector verifica se um bucket com um coletor de registros está acessível publicamente.
`ORG_POLICY_LOCATION_RESTRICTION`	Esse detector verifica se um recurso do Compute Engine não está em conformidade com a restrição `constraints/gcp.resourceLocations`.

Conferir o modelo de postura

Para conferir o modelo de postura do Cloud Storage, siga estas etapas:

gcloud

Antes de usar os dados do comando abaixo, faça estas substituições:

ORGANIZATION_ID: o ID numérico da organização

Execute o gcloud scc posture-templates describe comando:

Linux, macOS ou Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

A resposta contém o modelo de postura.

REST

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

ORGANIZATION_ID: o ID numérico da organização

Método HTTP e URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Observação: o comando a seguir pressupõe que você fez login na CLI gcloud com sua conta de usuário executando gcloud init ou gcloud auth login, ou usando o Cloud Shell, que faz login automaticamente na CLI gcloud. . É possível verificar a conta ativa atual executando gcloud auth list.

execute o seguinte comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential"

PowerShell (Windows)

Observação: o comando a seguir pressupõe que você fez login na CLI gcloud com sua conta de usuário executando gcloud init ou gcloud auth login . É possível verificar a conta ativa atual executando gcloud auth list.

execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential" | Select-Object -Expand Content

A resposta contém o modelo de postura.

A seguir

Crie uma postura de segurança usando essa postura predefinida.