Postura predefinida para o Cloud Storage, recursos essenciais

Esta página descreve as políticas preventivas e de detecção incluídas na versão v1.0 da postura predefinida para o Cloud Storage, Essentials. Essa postura inclui dois conjuntos de políticas:

  • Um conjunto de políticas que inclui políticas da organização aplicáveis ao Cloud Storage.

  • Um conjunto de políticas que inclui detectores da Análise de integridade da segurança que se aplicam ao Cloud Storage.

É possível usar essa postura predefinida para configurar uma postura de segurança que ajude a proteger o Cloud Storage. É possível implantar essa postura predefinida sem fazer nenhuma mudança.

Restrições da política da organização

A tabela a seguir descreve as políticas da organização incluídas nesta postura.

Política Descrição Padrão de conformidade
storage.publicAccessPrevention

Essa política impede que os buckets do Cloud Storage sejam abertos para acesso público não autenticado.

O valor é true para impedir o acesso público aos buckets.

Controle NIST SP 800-53: AC-3, AC-17 e AC-20
storage.uniformBucketLevelAccess

Essa política impede que os buckets do Cloud Storage usem ACLs por objeto (um sistema separado das políticas do IAM) para fornecer acesso, aplicando a consistência para gerenciamento de acesso e auditoria.

O valor é true para aplicar o acesso uniforme no nível do bucket.

Controle NIST SP 800-53: AC-3, AC-17 e AC-20

Detectores do Security Health Analytics

A tabela a seguir descreve os detectores da Security Health Analytics incluídos na postura predefinida. Para mais informações sobre esses detectores, consulte Descobertas de vulnerabilidade.

Nome do detector Descrição
BUCKET_LOGGING_DISABLED

Esse detector verifica se há um bucket de armazenamento sem a geração de registros ativada.

LOCKED_RETENTION_POLICY_NOT_SET

Esse detector verifica se a política de retenção bloqueada está definida para os registros.

OBJECT_VERSIONING_DISABLED

Esse detector verifica se o controle de versão de objeto está ativado em buckets de armazenamento com coletores.

BUCKET_CMEK_DISABLED

Esse detector verifica se os buckets são criptografados usando chaves de criptografia gerenciadas pelo cliente (CMEK).

BUCKET_POLICY_ONLY_DISABLED

Esse detector verifica se o acesso uniforme no nível do bucket está configurado.

PUBLIC_BUCKET_ACL

Esse detector verifica se um bucket está acessível ao público.

PUBLIC_LOG_BUCKET

Esse detector verifica se um bucket com um coletor de registros está acessível publicamente.

ORG_POLICY_LOCATION_RESTRICTION

Esse detector verifica se um recurso do Compute Engine não está em conformidade com a restrição constraints/gcp.resourceLocations.

Conferir o modelo de postura

Para conferir o modelo de postura do Cloud Storage, siga estas etapas:

gcloud

Antes de usar os dados do comando abaixo, faça estas substituições:

  • ORGANIZATION_ID: o ID numérico da organização

Execute o comando gcloud scc posture-templates describe:

Linux, macOS ou Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

A resposta contém o modelo de postura.

REST

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • ORGANIZATION_ID: o ID numérico da organização

Método HTTP e URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

Para enviar a solicitação, expanda uma destas opções:

A resposta contém o modelo de postura.

A seguir