Cloud Storage の事前定義されたポスチャー、基本事項

このページでは、Cloud Storage の事前定義された対策の v1.0 バージョンに含まれる予防的ポリシーと検出ポリシーの基本事項について説明します。この対策には、次の 2 つのポリシーセットが含まれています。

Cloud Storage に適用される組織のポリシーを含むポリシーセット。
Cloud Storage に適用される Security Health Analytics 検出機能を含むポリシーセット。

この事前定義された対策を使用して、Cloud Storage の保護に役立つセキュリティ対策を構成できます。この事前定義済みの対策は、変更を加えることなくデプロイできます。

組織ポリシーの制約

次の表は、この対策に含まれる組織のポリシーを示しています。

ポリシー説明コンプライアンスの標準

ポリシー	説明	コンプライアンスの標準
`storage.publicAccessPrevention`	このポリシーは、Cloud Storage バケットが未認証の公開アクセスに対して開かれることを防止します。値は `true` に設定され、バケットへの公開アクセスが防止されます。	NIST SP 800-53 コントロール: AC-3、AC-17、AC-20
`storage.uniformBucketLevelAccess`	このポリシーは、オブジェクトごとの ACL（IAM ポリシーとは別のシステム）を使用して Cloud Storage バケットへのアクセスが提供されるのを防ぎ、アクセス管理と監査に整合性をもたらします。均一なバケットレベルのアクセスを適用する場合、値は `true` です。	NIST SP 800-53 コントロール: AC-3、AC-17、AC-20

storage.publicAccessPrevention

このポリシーは、Cloud Storage バケットが未認証の公開アクセスに対して開かれることを防止します。

値は true に設定され、バケットへの公開アクセスが防止されます。

NIST SP 800-53 コントロール: AC-3、AC-17、AC-20

storage.uniformBucketLevelAccess

このポリシーは、オブジェクトごとの ACL（IAM ポリシーとは別のシステム）を使用して Cloud Storage バケットへのアクセスが提供されるのを防ぎ、アクセス管理と監査に整合性をもたらします。

均一なバケットレベルのアクセスを適用する場合、値は true です。

NIST SP 800-53 コントロール: AC-3、AC-17、AC-20

Security Health Analytics の検出機能

次の表に、事前定義された対策に含まれる Security Health Analytics 検出機能を示します。これらの検出機能の詳細については、脆弱性の検出結果をご覧ください。

検出項目の名前	説明
`BUCKET_LOGGING_DISABLED`	この検出機能は、ロギングが有効になっていないストレージバケットがあるかどうかを確認します。
`LOCKED_RETENTION_POLICY_NOT_SET`	この検出機能は、ロックされた保持ポリシーがログに設定されているかどうかを確認します。
`OBJECT_VERSIONING_DISABLED`	この検出機能は、シンクがあるストレージバケットでオブジェクトのバージョニングが有効になっているかどうかを確認します。
`BUCKET_CMEK_DISABLED`	この検出機能は、顧客管理の暗号鍵（CMEK）を使用してバケットが暗号化されているかどうかを確認します。
`BUCKET_POLICY_ONLY_DISABLED`	この検出機能は、均一なバケットレベルのアクセスが構成されているかどうかを確認します。
`PUBLIC_BUCKET_ACL`	この検出機能は、バケットが一般公開されているかどうかを確認します。
`PUBLIC_LOG_BUCKET`	この検出機能は、ログシンクを含むバケットが一般公開されているかどうかを確認します。
`ORG_POLICY_LOCATION_RESTRICTION`	この検出機能は、Compute Engine リソースが `constraints/gcp.resourceLocations` 制約に準拠していないかどうかを確認します。

YAML の定義

Cloud Storage の事前定義された対策の YAML 定義は次のとおりです。

name: organizations/123/locations/global/postureTemplates/cloud_storage_essential
description: Posture Template to make your Cloud storage workload secure.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: Cloud storage preventative policy set
  description: 2 org policies that new customers can automatically enable.
  policies:
  - policy_id: Enforce Public Access Prevention
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-17
    - standard: NIST SP 800-53
      control: AC-20
    constraint:
      org_policy_constraint:
        canned_constraint_id: storage.publicAccessPrevention
        policy_rules:
        - enforce: true
    description: This governance policy prevents access to existing and future resources via the public internet by disabling and blocking Access Control Lists (ACLs) and IAM permissions that grant access to allUsers and allAuthenticatedUsers.
  - policy_id: Enforce uniform bucket-level access
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-17
    - standard: NIST SP 800-53
      control: AC-20
    constraint:
      org_policy_constraint:
        canned_constraint_id: storage.uniformBucketLevelAccess
        policy_rules:
        - enforce: true
    description: This boolean constraint requires buckets to use uniform bucket-level access where this constraint is set to TRUE.
- policy_set_id: Cloud storage detective policy set
  description: 8 SHA modules that new customers can automatically enable.
  policies:
  - policy_id: Bucket logging disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: BUCKET_LOGGING_DISABLED
  - policy_id: Locked retention policy not set
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: LOCKED_RETENTION_POLICY_NOT_SET
  - policy_id: Object versioning disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: OBJECT_VERSIONING_DISABLED
  - policy_id: Bucket CMEK disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: BUCKET_CMEK_DISABLED
  - policy_id: Bucket policy only disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: BUCKET_POLICY_ONLY_DISABLED
  - policy_id: Public bucket ACL
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: PUBLIC_BUCKET_ACL
  - policy_id: Public log bucket
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: PUBLIC_LOG_BUCKET
  - policy_id: Org policy location restriction
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: ORG_POLICY_LOCATION_RESTRICTION

次のステップ

この事前定義されたポスチャーを使用してセキュリティポスチャーを作成する。