Cette page décrit les stratégies de prévention et de détection incluses dans la version 1.0 de la stratégie prédéfinie pour Cloud Storage. Cette stratégie comprend deux ensembles de règles:
Un ensemble de règles qui inclut les règles d'administration qui s'appliquent à Cloud Storage.
Un ensemble de règles qui inclut les détecteurs Security Health Analytics qui s'appliquent à Cloud Storage.
Vous pouvez utiliser cette stratégie prédéfinie pour configurer une stratégie de sécurité qui contribue à protéger Cloud Storage. Vous pouvez déployer cette stratégie prédéfinie sans apporter aucune modification.
Contraintes liées aux règles d'administration
Le tableau suivant décrit les règles d'administration incluses dans cette stratégie.
Stratégie | Description | Norme de conformité |
---|---|---|
storage.publicAccessPrevention |
Cette règle empêche les buckets Cloud Storage d'être ouverts à un accès public non authentifié. La valeur est |
Contrôles NIST SP 800-53: AC-3, AC-17 et AC-20 |
storage.uniformBucketLevelAccess |
Cette règle empêche les buckets Cloud Storage d'utiliser une LCA par objet (un système distinct des stratégies IAM) pour fournir les accès, ce qui renforce la cohérence de la gestion des accès et de l'audit. La valeur est |
Contrôles NIST SP 800-53: AC-3, AC-17 et AC-20 |
Détecteurs Security Health Analytics
Le tableau suivant décrit les détecteurs Security Health Analytics inclus dans la stratégie prédéfinie. Pour en savoir plus sur ces détecteurs, consultez la page Recherche de failles.
Nom du détecteur | Description |
---|---|
BUCKET_LOGGING_DISABLED |
Ce détecteur vérifie si la journalisation est activée sur un bucket de stockage. |
LOCKED_RETENTION_POLICY_NOT_SET |
Ce détecteur vérifie si une règle de conservation verrouillée est définie pour les journaux. |
OBJECT_VERSIONING_DISABLED |
Ce détecteur vérifie si la gestion des versions des objets est activée sur les buckets de stockage dotés de récepteurs. |
BUCKET_CMEK_DISABLED |
Ce détecteur vérifie si les buckets sont chiffrés à l'aide de clés de chiffrement gérées par le client (CMEK). |
BUCKET_POLICY_ONLY_DISABLED |
Ce détecteur vérifie si l'accès uniforme au niveau du bucket est configuré. |
PUBLIC_BUCKET_ACL |
Ce détecteur vérifie si un bucket est accessible publiquement. |
PUBLIC_LOG_BUCKET |
Ce détecteur vérifie si un bucket doté d'un récepteur de journaux est accessible publiquement. |
ORG_POLICY_LOCATION_RESTRICTION |
Ce détecteur vérifie si une ressource Compute Engine n'est pas conforme à la contrainte |
Définition YAML
Voici la définition YAML de la stratégie prédéfinie pour Cloud Storage.
name: organizations/123/locations/global/postureTemplates/cloud_storage_essential
description: Posture Template to make your Cloud storage workload secure.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: Cloud storage preventative policy set
description: 2 org policies that new customers can automatically enable.
policies:
- policy_id: Enforce Public Access Prevention
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-17
- standard: NIST SP 800-53
control: AC-20
constraint:
org_policy_constraint:
canned_constraint_id: storage.publicAccessPrevention
policy_rules:
- enforce: true
description: This governance policy prevents access to existing and future resources via the public internet by disabling and blocking Access Control Lists (ACLs) and IAM permissions that grant access to allUsers and allAuthenticatedUsers.
- policy_id: Enforce uniform bucket-level access
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-17
- standard: NIST SP 800-53
control: AC-20
constraint:
org_policy_constraint:
canned_constraint_id: storage.uniformBucketLevelAccess
policy_rules:
- enforce: true
description: This boolean constraint requires buckets to use uniform bucket-level access where this constraint is set to TRUE.
- policy_set_id: Cloud storage detective policy set
description: 8 SHA modules that new customers can automatically enable.
policies:
- policy_id: Bucket logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_LOGGING_DISABLED
- policy_id: Locked retention policy not set
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LOCKED_RETENTION_POLICY_NOT_SET
- policy_id: Object versioning disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OBJECT_VERSIONING_DISABLED
- policy_id: Bucket CMEK disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_CMEK_DISABLED
- policy_id: Bucket policy only disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_POLICY_ONLY_DISABLED
- policy_id: Public bucket ACL
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_BUCKET_ACL
- policy_id: Public log bucket
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_LOG_BUCKET
- policy_id: Org policy location restriction
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ORG_POLICY_LOCATION_RESTRICTION