Auf dieser Seite werden die präventiven und prüfenden Richtlinien beschrieben, die in der Version 1.0 der vordefinierten Haltung für Cloud Storage, Essentials, enthalten sind. Diese Position enthält zwei Richtliniensätze:
Ein Richtliniensatz, der Organisationsrichtlinien enthält, die für Cloud Storage
Eine Richtliniengruppe mit Security Health Analytics-Detektoren, die für Cloud Storage gelten.
Mit diesem vordefinierten Status können Sie einen Sicherheitsstatus konfigurieren, der um Cloud Storage zu schützen. Sie können diese vordefinierte Haltung bereitstellen, ohne Änderungen vorzunehmen.
Einschränkungen für Organisationsrichtlinien
In der folgenden Tabelle werden die Richtlinien der Organisation beschrieben, die in dieser Haltung enthalten sind.
| Policy | Beschreibung | Compliancestandard |
|---|---|---|
storage.publicAccessPrevention |
Mit dieser Richtlinie wird verhindert, dass Cloud Storage-Buckets für den nicht authentifizierten öffentlichen Zugriff geöffnet werden. Der Wert lautet |
NIST SP 800-53-Steuerung: AC-3, AC-17 und AC-20 |
storage.uniformBucketLevelAccess |
Diese Richtlinie verhindert, dass Cloud Storage-Buckets eine ACL pro Objekt verwenden (ein separates System aus IAM-Richtlinien, um Zugriff zu gewähren und Konsistenz für Zugriffsverwaltung und Auditing. Der zu erzwingende Wert ist |
NIST SP 800-53-Kontrolle: AC-3, AC-17 und AC-20 |
Security Health Analytics – Detektoren
In der folgenden Tabelle werden die Security Health Analytics-Detektoren beschrieben, die in der vordefinierten Haltung enthalten sind. Weitere Informationen zu diesen Detektoren finden Sie unter Erfasste Sicherheitslücken.
| Detektorname | Beschreibung |
|---|---|
BUCKET_LOGGING_DISABLED |
Dieser Detektor prüft, ob ein Storage-Bucket ohne aktiviertes Logging vorhanden ist. |
LOCKED_RETENTION_POLICY_NOT_SET |
Dieser Detektor prüft, ob die gesperrte Aufbewahrungsrichtlinie für Protokolle festgelegt ist. |
OBJECT_VERSIONING_DISABLED |
Dieser Detektor prüft, ob die Objektversionsverwaltung für Storage-Buckets mit Senken aktiviert ist. |
BUCKET_CMEK_DISABLED |
Dieser Detektor prüft, ob Buckets mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEKs) verschlüsselt sind. |
BUCKET_POLICY_ONLY_DISABLED |
Dieser Detektor prüft, ob der einheitliche Zugriff auf Bucket-Ebene konfiguriert ist. |
PUBLIC_BUCKET_ACL |
Dieser Detektor prüft, ob ein Bucket öffentlich zugänglich ist. |
PUBLIC_LOG_BUCKET |
Dieser Detektor prüft, ob ein Bucket mit einer Logsenke öffentlich zugänglich ist. |
ORG_POLICY_LOCATION_RESTRICTION |
Dieser Detektor prüft, ob eine Compute Engine-Ressource nicht der Einschränkung |
Vorlage für den Sicherheitsstatus ansehen
So rufen Sie die Posture-Vorlage für Cloud Storage Essentials auf:
gcloud
Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
-
ORGANIZATION_ID: die numerische ID der Organisation
Führen Sie den Befehl gcloud scc posture-templates
describe aus:
Linux, macOS oder Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential
Die Antwort enthält die Posture-Vorlage.
REST
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
-
ORGANIZATION_ID: die numerische ID der Organisation
HTTP-Methode und URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Die Antwort enthält die Posture-Vorlage.