Postura predefinida para Cloud Storage, aspectos esenciales

En esta página, se describen las políticas de detección y prevención que se incluyen en la versión v1.0 de la postura predefinida para Cloud Storage, esencial. Esta postura incluye dos conjuntos de políticas:

  • Un conjunto de políticas que incluye políticas de la organización que se aplican a en Google Cloud Storage.

  • Un conjunto de políticas que incluye detectores de las estadísticas del estado de la seguridad que se aplican a Cloud Storage.

Puedes usar esta postura predefinida para configurar una postura de seguridad que ayude a proteger Cloud Storage. Puedes implementar esta postura predefinida sin hacer los cambios.

Restricciones de las políticas de la organización

En la siguiente tabla, se describen las políticas de la organización que se incluyen en esta postura.

Política Descripción Estándar de cumplimiento
storage.publicAccessPrevention

Esta política impide que los buckets de Cloud Storage estén abiertos a datos públicos no autenticados el acceso a los datos.

El valor es true para evitar el acceso público a los buckets.

Control de NIST SP 800-53: AC-3, AC-17 y AC-20
storage.uniformBucketLevelAccess

Esta política impide que los buckets de Cloud Storage usen LCA por objeto (un sistema de políticas de IAM) para proporcionar acceso y aplicar coherencia a la administración y auditoría de accesos.

El valor es true para aplicar acceso uniforme a nivel de bucket.

Control de NIST SP 800-53: AC-3, AC-17 y AC-20

Detectores de estadísticas de estado de seguridad

En la siguiente tabla, se describen los detectores de Security Health Analytics que se incluyen en la postura predefinida. Para obtener más información sobre estos detectores, consulte Hallazgos de vulnerabilidades.

Nombre del detector Descripción
BUCKET_LOGGING_DISABLED

Este detector verifica si hay un bucket de almacenamiento sin registro habilitado.

LOCKED_RETENTION_POLICY_NOT_SET

Este detector verifica si la política de retención bloqueada está configurada para los registros.

OBJECT_VERSIONING_DISABLED

Este detector verifica si el control de versiones de objetos está habilitado en los buckets de almacenamiento con receptores.

BUCKET_CMEK_DISABLED

Este detector verifica si los buckets están encriptados con claves de encriptación administradas por el cliente (CMEK).

BUCKET_POLICY_ONLY_DISABLED

Este detector verifica si el acceso uniforme a nivel de bucket está configurado.

PUBLIC_BUCKET_ACL

Este detector verifica si un bucket es de acceso público.

PUBLIC_LOG_BUCKET

Este detector verifica si se puede acceder públicamente a un bucket con un receptor de registros.

ORG_POLICY_LOCATION_RESTRICTION

Este detector verifica si un recurso de Compute Engine no cumple con la restricción constraints/gcp.resourceLocations.

Visualiza la plantilla de postura

Para ver la plantilla de postura de Cloud Storage, sigue estos pasos:

gcloud

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

  • ORGANIZATION_ID: El ID numérico de la organización

Ejecuta el gcloud scc posture-templates describe :

Linux, macOS o Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

La respuesta contiene la plantilla de postura.

REST

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • ORGANIZATION_ID: El ID numérico de la organización

Método HTTP y URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

Para enviar tu solicitud, expande una de estas opciones:

La respuesta contiene la plantilla de postura.

¿Qué sigue?