Auf dieser Seite werden die präventiven und erkennungsbezogenen Richtlinien beschrieben, die in der Version 1.0 der vordefinierten Haltung für Cloud Storage, Essentials, enthalten sind. Diese Haltung umfasst zwei Richtliniensätze:
Eine Richtliniengruppe mit Organisationsrichtlinien, die für Cloud Storage gelten.
Eine Richtliniengruppe mit Security Health Analytics-Detektoren, die für Cloud Storage gelten.
Sie können diese vordefinierte Haltung verwenden, um eine Sicherheitshaltung zu konfigurieren, die zum Schutz von Cloud Storage beiträgt. Sie können diese vordefinierte Haltung bereitstellen, ohne Änderungen vorzunehmen.
Einschränkungen für Organisationsrichtlinien
In der folgenden Tabelle werden die Richtlinien der Organisation beschrieben, die in dieser Haltung enthalten sind.
Policy | Beschreibung | Compliancestandard |
---|---|---|
storage.publicAccessPrevention |
Mit dieser Richtlinie wird verhindert, dass Cloud Storage-Buckets für den nicht authentifizierten öffentlichen Zugriff geöffnet werden. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-3, AC-17 und AC-20 |
storage.uniformBucketLevelAccess |
Diese Richtlinie verhindert, dass für Cloud Storage-Buckets objektspezifische ACLs (ein separates System von IAM-Richtlinien) verwendet werden, um Zugriff zu gewähren. So wird für die Zugriffsverwaltung und ‑prüfung für mehr Einheitlichkeit gesorgt. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-3, AC-17 und AC-20 |
Security Health Analytics – Detektoren
In der folgenden Tabelle werden die Security Health Analytics-Detektoren beschrieben, die in der vordefinierten Haltung enthalten sind. Weitere Informationen zu diesen Detektoren finden Sie unter Erfasste Sicherheitslücken.
Detektorname | Beschreibung |
---|---|
BUCKET_LOGGING_DISABLED |
Dieser Detektor prüft, ob ein Storage-Bucket vorhanden ist, für den kein Logging aktiviert ist. |
LOCKED_RETENTION_POLICY_NOT_SET |
Dieser Detektor prüft, ob die gesperrte Aufbewahrungsrichtlinie für Protokolle festgelegt ist. |
OBJECT_VERSIONING_DISABLED |
Dieser Detektor prüft, ob die Objektversionsverwaltung für Storage-Buckets mit Senken aktiviert ist. |
BUCKET_CMEK_DISABLED |
Dieser Detector prüft, ob Buckets mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt sind. |
BUCKET_POLICY_ONLY_DISABLED |
Dieser Detektor prüft, ob der einheitliche Zugriff auf Bucket-Ebene konfiguriert ist. |
PUBLIC_BUCKET_ACL |
Dieser Detektor prüft, ob ein Bucket öffentlich zugänglich ist. |
PUBLIC_LOG_BUCKET |
Dieser Detektor prüft, ob ein Bucket mit einer Logsenke öffentlich zugänglich ist. |
ORG_POLICY_LOCATION_RESTRICTION |
Dieser Detektor prüft, ob eine Compute Engine-Ressource gegen die Einschränkung |
Vorlage für den Sicherheitsstatus ansehen
So rufen Sie die Vorlage für die Bewertung der Sicherheit für Cloud Storage, Essentials, auf:
gcloud
Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
-
ORGANIZATION_ID
: die numerische ID der Organisation
Führen Sie den Befehl gcloud scc posture-templates
describe
aus:
Linux, macOS oder Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential
Die Antwort enthält die Vorlage für die Bewertung.
REST
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
-
ORGANIZATION_ID
: die numerische ID der Organisation
HTTP-Methode und URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Die Antwort enthält die Vorlage für die Bewertung.