Auf dieser Seite werden die Richtlinien zur Prävention und Erkennung von Bedrohungen beschrieben, die in Version 1.0 des vordefinierten Sicherheitsstatus für Cloud Storage, Essentials. Diese Position enthält zwei Richtliniensätze:
Ein Richtliniensatz, der Organisationsrichtlinien enthält, die für Cloud Storage
Ein Richtliniensatz, der Security Health Analytics-Detektoren enthält, die für Cloud Storage
Mit diesem vordefinierten Status können Sie einen Sicherheitsstatus konfigurieren, der um Cloud Storage zu schützen. Sie können diesen vordefinierten Sicherheitsstatus bereitstellen, Änderungen vornehmen.
Einschränkungen für Organisationsrichtlinien
In der folgenden Tabelle werden die Organisationsrichtlinien beschrieben, die in diese Haltung.
Policy | Beschreibung | Compliancestandard |
---|---|---|
storage.publicAccessPrevention |
Diese Richtlinie verhindert, Offen für nicht authentifizierte Cloud Storage-Buckets Zugriff haben. Der Wert lautet |
NIST SP 800-53-Steuerung: AC-3, AC-17 und AC-20 |
storage.uniformBucketLevelAccess |
Diese Richtlinie verhindert, dass Cloud Storage-Buckets eine ACL pro Objekt verwenden (ein separates System aus IAM-Richtlinien, um Zugriff zu gewähren und Konsistenz für Zugriffsverwaltung und Auditing. Der zu erzwingende Wert ist |
NIST SP 800-53-Steuerung: AC-3, AC-17 und AC-20 |
Security Health Analytics – Detektoren
In der folgenden Tabelle werden die Detektoren von Security Health Analytics beschrieben, die in vordefinierter Sicherheitsstatus. Weitere Informationen zu diesen Detektoren finden Sie unter Sicherheitslücke Ergebnisse.
Detektorname | Beschreibung |
---|---|
BUCKET_LOGGING_DISABLED |
Dieser Detektor prüft, ob ein Storage-Bucket ohne aktiviertes Logging vorhanden ist. |
LOCKED_RETENTION_POLICY_NOT_SET |
Dieser Detektor prüft, ob die gesperrte Aufbewahrungsrichtlinie für Logs festgelegt ist. |
OBJECT_VERSIONING_DISABLED |
Dieser Detektor prüft, ob die Objektversionsverwaltung für Storage-Buckets mit Senken aktiviert ist. |
BUCKET_CMEK_DISABLED |
Dieser Detektor prüft, ob Buckets mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEKs) verschlüsselt sind. |
BUCKET_POLICY_ONLY_DISABLED |
Dieser Detektor prüft, ob ein einheitlicher Zugriff auf Bucket-Ebene konfiguriert ist. |
PUBLIC_BUCKET_ACL |
Dieser Detektor prüft, ob ein Bucket öffentlich zugänglich ist. |
PUBLIC_LOG_BUCKET |
Dieser Detektor prüft, ob ein Bucket mit einer Logsenke öffentlich zugänglich ist. |
ORG_POLICY_LOCATION_RESTRICTION |
Dieser Detektor prüft, ob eine Compute Engine-Ressource nicht der Einschränkung |
YAML-Definition
Im Folgenden finden Sie die YAML-Definition für den vordefinierten Sicherheitsstatus für Cloud Storage.
name: organizations/123/locations/global/postureTemplates/cloud_storage_essential
description: Posture Template to make your Cloud storage workload secure.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: Cloud storage preventative policy set
description: 2 org policies that new customers can automatically enable.
policies:
- policy_id: Enforce Public Access Prevention
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-17
- standard: NIST SP 800-53
control: AC-20
constraint:
org_policy_constraint:
canned_constraint_id: storage.publicAccessPrevention
policy_rules:
- enforce: true
description: This governance policy prevents access to existing and future resources via the public internet by disabling and blocking Access Control Lists (ACLs) and IAM permissions that grant access to allUsers and allAuthenticatedUsers.
- policy_id: Enforce uniform bucket-level access
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-17
- standard: NIST SP 800-53
control: AC-20
constraint:
org_policy_constraint:
canned_constraint_id: storage.uniformBucketLevelAccess
policy_rules:
- enforce: true
description: This boolean constraint requires buckets to use uniform bucket-level access where this constraint is set to TRUE.
- policy_set_id: Cloud storage detective policy set
description: 8 SHA modules that new customers can automatically enable.
policies:
- policy_id: Bucket logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_LOGGING_DISABLED
- policy_id: Locked retention policy not set
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LOCKED_RETENTION_POLICY_NOT_SET
- policy_id: Object versioning disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OBJECT_VERSIONING_DISABLED
- policy_id: Bucket CMEK disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_CMEK_DISABLED
- policy_id: Bucket policy only disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_POLICY_ONLY_DISABLED
- policy_id: Public bucket ACL
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_BUCKET_ACL
- policy_id: Public log bucket
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_LOG_BUCKET
- policy_id: Org policy location restriction
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ORG_POLICY_LOCATION_RESTRICTION