Postur yang telah ditentukan sebelumnya untuk Cloud Storage, esensial

Halaman ini menjelaskan kebijakan preventif dan detektif yang disertakan dalam versi v1.0 postur yang telah ditentukan sebelumnya untuk Cloud Storage. Postur ini mencakup dua set kebijakan:

  • Kumpulan kebijakan yang mencakup kebijakan organisasi yang berlaku untuk Cloud Storage.

  • Kumpulan kebijakan yang mencakup detektor Security Health Analytics yang berlaku untuk Cloud Storage.

Anda dapat menggunakan postur yang telah ditentukan ini untuk mengonfigurasi postur keamanan yang membantu melindungi Cloud Storage. Anda dapat men-deploy postur yang telah ditentukan ini tanpa membuat perubahan apa pun.

Batasan kebijakan organisasi

Tabel berikut menjelaskan kebijakan organisasi yang disertakan dalam postur ini.

Kebijakan Deskripsi Standar kepatuhan
storage.publicAccessPrevention

Kebijakan ini mencegah bucket Cloud Storage dibuka untuk akses publik yang tidak diautentikasi.

Nilainya adalah true untuk mencegah akses publik ke bucket.

Kontrol NIST SP 800-53: AC-3, AC-17, dan AC-20
storage.uniformBucketLevelAccess

Kebijakan ini mencegah bucket Cloud Storage menggunakan ACL per objek (sistem yang terpisah dari kebijakan IAM) untuk memberikan akses, sehingga menerapkan konsistensi untuk pengelolaan dan pengauditan akses.

Nilainya adalah true untuk menerapkan akses level bucket seragam.

Kontrol NIST SP 800-53: AC-3, AC-17, dan AC-20

Pendeteksi Security Health Analytics

Tabel berikut menjelaskan detektor Security Health Analytics yang disertakan dalam postur yang telah ditentukan. Untuk mengetahui informasi lebih lanjut tentang detektor ini, lihat Temuan kerentanan.

Nama pendeteksi Deskripsi
BUCKET_LOGGING_DISABLED

Pendeteksi ini memeriksa apakah ada bucket penyimpanan tanpa mengaktifkan logging.

LOCKED_RETENTION_POLICY_NOT_SET

Pendeteksi ini memeriksa apakah kebijakan retensi yang terkunci disetel untuk log.

OBJECT_VERSIONING_DISABLED

Detektor ini memeriksa apakah pembuatan versi objek diaktifkan pada bucket penyimpanan dengan sink.

BUCKET_CMEK_DISABLED

Detektor ini memeriksa apakah bucket dienkripsi menggunakan kunci enkripsi yang dikelola pelanggan (CMEK).

BUCKET_POLICY_ONLY_DISABLED

Pendeteksi ini memeriksa apakah akses level bucket yang seragam dikonfigurasi.

PUBLIC_BUCKET_ACL

Pendeteksi ini memeriksa apakah bucket dapat diakses secara publik.

PUBLIC_LOG_BUCKET

Pendeteksi ini memeriksa apakah bucket dengan sink log dapat diakses secara publik.

ORG_POLICY_LOCATION_RESTRICTION

Detektor ini memeriksa apakah resource Compute Engine tidak sesuai dengan batasan constraints/gcp.resourceLocations.

Definisi YAML

Berikut adalah definisi YAML untuk postur yang telah ditentukan untuk Cloud Storage.

name: organizations/123/locations/global/postureTemplates/cloud_storage_essential
description: Posture Template to make your Cloud storage workload secure.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: Cloud storage preventative policy set
  description: 2 org policies that new customers can automatically enable.
  policies:
  - policy_id: Enforce Public Access Prevention
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-17
    - standard: NIST SP 800-53
      control: AC-20
    constraint:
      org_policy_constraint:
        canned_constraint_id: storage.publicAccessPrevention
        policy_rules:
        - enforce: true
    description: This governance policy prevents access to existing and future resources via the public internet by disabling and blocking Access Control Lists (ACLs) and IAM permissions that grant access to allUsers and allAuthenticatedUsers.
  - policy_id: Enforce uniform bucket-level access
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-17
    - standard: NIST SP 800-53
      control: AC-20
    constraint:
      org_policy_constraint:
        canned_constraint_id: storage.uniformBucketLevelAccess
        policy_rules:
        - enforce: true
    description: This boolean constraint requires buckets to use uniform bucket-level access where this constraint is set to TRUE.
- policy_set_id: Cloud storage detective policy set
  description: 8 SHA modules that new customers can automatically enable.
  policies:
  - policy_id: Bucket logging disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: BUCKET_LOGGING_DISABLED
  - policy_id: Locked retention policy not set
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: LOCKED_RETENTION_POLICY_NOT_SET
  - policy_id: Object versioning disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: OBJECT_VERSIONING_DISABLED
  - policy_id: Bucket CMEK disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: BUCKET_CMEK_DISABLED
  - policy_id: Bucket policy only disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: BUCKET_POLICY_ONLY_DISABLED
  - policy_id: Public bucket ACL
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: PUBLIC_BUCKET_ACL
  - policy_id: Public log bucket
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: PUBLIC_LOG_BUCKET
  - policy_id: Org policy location restriction
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: ORG_POLICY_LOCATION_RESTRICTION

Langkah selanjutnya