Auf dieser Seite werden die präventiven und detektivischen Richtlinien beschrieben, die in Version 1.0 des vordefinierten Sicherheitsstatus für Cloud Storage, Grundlagen, enthalten sind. Dieser Sicherheitsstatus umfasst zwei Richtliniensätze:
Eine Richtlinie mit Organisationsrichtlinien, die für Cloud Storage gelten.
Eine Richtlinie, die Security Health Analytics-Detektoren enthält, die für Cloud Storage gelten.
Sie können diesen vordefinierten Sicherheitsstatus verwenden, um einen Sicherheitsstatus zum Schutz von Cloud Storage zu konfigurieren. Sie können diesen vordefinierten Sicherheitsstatus bereitstellen, ohne Änderungen vorzunehmen.
Einschränkungen für Organisationsrichtlinien
In der folgenden Tabelle werden die Organisationsrichtlinien beschrieben, die in diesem Sicherheitsstatus enthalten sind.
Richtlinie | Beschreibung | Compliancestandard |
---|---|---|
storage.publicAccessPrevention |
Diese Richtlinie verhindert, dass Cloud Storage-Buckets für nicht authentifizierte öffentliche Zugriffe zugänglich sind. Der Wert ist |
NIST SP 800-53-Steuerung: AC-3, AC-17 und AC-20 |
storage.uniformBucketLevelAccess |
Diese Richtlinie verhindert, dass Cloud Storage-Buckets eine ACL pro Objekt (ein separates System von IAM-Richtlinien) verwenden, um Zugriff zu gewähren. Dadurch wird Konsistenz für die Zugriffsverwaltung und -prüfung erzwungen. Der Wert ist |
NIST SP 800-53-Steuerung: AC-3, AC-17 und AC-20 |
Security Health Analytics – Detektoren
In der folgenden Tabelle werden die Security Health Analytics-Detektoren beschrieben, die im vordefinierten Sicherheitsstatus enthalten sind. Weitere Informationen zu diesen Detektoren finden Sie unter Ergebnisse von Sicherheitslücken.
Detektorname | Beschreibung |
---|---|
BUCKET_LOGGING_DISABLED |
Dieser Detektor prüft, ob ein Storage-Bucket ohne aktiviertes Logging vorhanden ist. |
LOCKED_RETENTION_POLICY_NOT_SET |
Dieser Detektor prüft, ob die gesperrte Aufbewahrungsrichtlinie für Logs festgelegt ist. |
OBJECT_VERSIONING_DISABLED |
Dieser Detektor prüft, ob die Objektversionsverwaltung für Storage-Buckets mit Senken aktiviert ist. |
BUCKET_CMEK_DISABLED |
Dieser Detektor prüft, ob Buckets mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt sind. |
BUCKET_POLICY_ONLY_DISABLED |
Dieser Detektor prüft, ob ein einheitlicher Zugriff auf Bucket-Ebene konfiguriert ist. |
PUBLIC_BUCKET_ACL |
Dieser Detektor prüft, ob ein Bucket öffentlich zugänglich ist. |
PUBLIC_LOG_BUCKET |
Dieser Detektor prüft, ob ein Bucket mit einer Logsenke öffentlich zugänglich ist. |
ORG_POLICY_LOCATION_RESTRICTION |
Dieser Detektor prüft, ob eine Compute Engine-Ressource die Einschränkung |
YAML-Definition
Im Folgenden finden Sie die YAML-Definition für den vordefinierten Sicherheitsstatus für Cloud Storage.
name: organizations/123/locations/global/postureTemplates/cloud_storage_essential
description: Posture Template to make your Cloud storage workload secure.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: Cloud storage preventative policy set
description: 2 org policies that new customers can automatically enable.
policies:
- policy_id: Enforce Public Access Prevention
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-17
- standard: NIST SP 800-53
control: AC-20
constraint:
org_policy_constraint:
canned_constraint_id: storage.publicAccessPrevention
policy_rules:
- enforce: true
description: This governance policy prevents access to existing and future resources via the public internet by disabling and blocking Access Control Lists (ACLs) and IAM permissions that grant access to allUsers and allAuthenticatedUsers.
- policy_id: Enforce uniform bucket-level access
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-17
- standard: NIST SP 800-53
control: AC-20
constraint:
org_policy_constraint:
canned_constraint_id: storage.uniformBucketLevelAccess
policy_rules:
- enforce: true
description: This boolean constraint requires buckets to use uniform bucket-level access where this constraint is set to TRUE.
- policy_set_id: Cloud storage detective policy set
description: 8 SHA modules that new customers can automatically enable.
policies:
- policy_id: Bucket logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_LOGGING_DISABLED
- policy_id: Locked retention policy not set
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LOCKED_RETENTION_POLICY_NOT_SET
- policy_id: Object versioning disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OBJECT_VERSIONING_DISABLED
- policy_id: Bucket CMEK disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_CMEK_DISABLED
- policy_id: Bucket policy only disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_POLICY_ONLY_DISABLED
- policy_id: Public bucket ACL
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_BUCKET_ACL
- policy_id: Public log bucket
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_LOG_BUCKET
- policy_id: Org policy location restriction
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ORG_POLICY_LOCATION_RESTRICTION