Postura predefinita per Cloud Storage, elementi essenziali

In questa pagina vengono descritte le norme di prevenzione e indagine incluse in la versione v1.0 della postura predefinita per Cloud Storage, elementi essenziali. Questa strategia include due insiemi di criteri:

  • Un insieme di criteri che include i criteri dell'organizzazione applicati a Cloud Storage.

  • Un set di criteri che include i rilevatori di Security Health Analytics applicabili a di archiviazione ideale in Cloud Storage.

Puoi utilizzare questa postura predefinita per configurare una postura di sicurezza che contribuisca a proteggere Cloud Storage. Puoi eseguire il deployment di questa postura predefinita senza modifiche.

Vincoli dei criteri dell'organizzazione

La tabella seguente descrive i criteri dell'organizzazione inclusi in per questa postura.

Norme Descrizione Standard di conformità
storage.publicAccessPrevention

Questo criterio impedisce che i bucket Cloud Storage siano aperti all'accesso pubblico non autenticato.

Il valore è true per impedire l'accesso pubblico a bucket.

Controllo NIST SP 800-53: AC-3, AC-17 e AC-20
storage.uniformBucketLevelAccess

Queste norme impedisce ai bucket Cloud Storage di utilizzare l'ACL per ogni oggetto (un sistema separato dai criteri IAM) per fornire l'accesso, applicando la coerenza la gestione e il controllo degli accessi.

Il valore è true da applicare accesso uniforme a livello di bucket.

Controllo NIST SP 800-53: AC-3, AC-17 e AC-20

Rilevamento di Security Health Analytics

La tabella seguente descrive i rilevatori di Security Health Analytics inclusi in la postura predefinita. Per ulteriori informazioni su questi rilevatori, vedi Vulnerabilità rilevate.

Nome rilevatore Descrizione
BUCKET_LOGGING_DISABLED

Questo rilevatore controlla se esiste un bucket di archiviazione senza il logging abilitato.

LOCKED_RETENTION_POLICY_NOT_SET

Questo rilevatore controlla se il criterio di conservazione bloccato è impostato per i log.

OBJECT_VERSIONING_DISABLED

Questo rilevatore controlla se il controllo delle versioni degli oggetti è abilitato nei bucket di archiviazione con i sink.

BUCKET_CMEK_DISABLED

Questo rilevatore controlla se i bucket sono criptati utilizzando le chiavi di crittografia gestite dal cliente (CMEK).

BUCKET_POLICY_ONLY_DISABLED

Questo rilevatore verifica se è configurato un accesso uniforme a livello di bucket.

PUBLIC_BUCKET_ACL

Questo rilevatore controlla se un bucket è accessibile pubblicamente.

PUBLIC_LOG_BUCKET

Questo rilevatore controlla se un bucket con un'area di destinazione dei log è accessibile pubblicamente.

ORG_POLICY_LOCATION_RESTRICTION

Questo rilevatore controlla se una risorsa Compute Engine non è conforme al vincolo constraints/gcp.resourceLocations.

Visualizza il modello di postura

Per visualizzare il modello di postura per Cloud Storage (elementi essenziali):

gcloud

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

  • ORGANIZATION_ID: l'ID numerico dell'organizzazione

Esegui il comando gcloud scc posture-templates describe :

Linux, macOS o Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

La risposta contiene il modello di postura.

REST

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • ORGANIZATION_ID: l'ID numerico dell'organizzazione

Metodo HTTP e URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

Per inviare la richiesta, espandi una delle seguenti opzioni:

La risposta contiene il modello di postura.

Passaggi successivi