Cette page a été traduite par l'API Cloud Translation.

Posture prédéfinie pour Cloud Storage, éléments essentiels

Cette page décrit les règles préventives et détectives incluses dans la version 1.0 de la posture prédéfinie pour Cloud Storage, essentiels. Cette stratégie comprend deux jeux de règles:

Un ensemble de règles qui inclut les règles d'administration qui s'appliquent à Cloud Storage.
Un ensemble de stratégies qui inclut les détecteurs Security Health Analytics qui s'appliquent à Cloud Storage.

Vous pouvez utiliser cette stratégie prédéfinie pour configurer une stratégie de sécurité protéger Cloud Storage. Vous pouvez déployer cette posture prédéfinie sans apporter de modifications.

Contraintes liées aux règles d'administration

Le tableau suivant décrit les règles d'administration de l'organisation incluses dans cette posture.

Règle Description Norme de conformité

Règle	Description	Norme de conformité
`storage.publicAccessPrevention`	Cette règle empêche les buckets Cloud Storage ne sont plus ouverts au public non authentifié ; y accéder. La valeur est `true` pour empêcher l'accès public aux buckets.	Contrôle NIST SP 800-53 : AC-3, AC-17 et AC-20
`storage.uniformBucketLevelAccess`	Cette stratégie empêche les buckets Cloud Storage d'utiliser des LCA par objet (un système distinct des stratégies IAM) pour fournir un accès, ce qui renforce la cohérence de la gestion et de l'audit des accès. La valeur est `true` pour appliquer l'accès uniforme au niveau du bucket.	Contrôle NIST SP 800-53 : AC-3, AC-17 et AC-20

storage.publicAccessPrevention

Cette règle empêche les buckets Cloud Storage ne sont plus ouverts au public non authentifié ; y accéder.

La valeur est true pour empêcher l'accès public aux buckets.

Contrôle NIST SP 800-53 : AC-3, AC-17 et AC-20

storage.uniformBucketLevelAccess

Cette stratégie empêche les buckets Cloud Storage d'utiliser des LCA par objet (un système distinct des stratégies IAM) pour fournir un accès, ce qui renforce la cohérence de la gestion et de l'audit des accès.

La valeur est true pour appliquer l'accès uniforme au niveau du bucket.

Contrôle NIST SP 800-53 : AC-3, AC-17 et AC-20

Détecteurs Security Health Analytics

Le tableau suivant décrit les détecteurs Security Health Analytics inclus dans la stratégie prédéfinie. Pour en savoir plus sur ces détecteurs, consultez Résultats de failles.

Nom du détecteur	Description
`BUCKET_LOGGING_DISABLED`	Ce détecteur vérifie si un bucket de stockage est présent sans journalisation activée.
`LOCKED_RETENTION_POLICY_NOT_SET`	Ce détecteur vérifie si une règle de conservation verrouillée est définie pour les journaux.
`OBJECT_VERSIONING_DISABLED`	Ce détecteur vérifie si la gestion des versions d'objets est activée sur les buckets de stockage avec des récepteurs.
`BUCKET_CMEK_DISABLED`	Ce détecteur vérifie si les buckets sont chiffrés à l'aide de clés de chiffrement gérées par le client (CMEK).
`BUCKET_POLICY_ONLY_DISABLED`	Ce détecteur vérifie si l'accès uniforme au niveau du bucket est configuré.
`PUBLIC_BUCKET_ACL`	Ce détecteur vérifie si un bucket est accessible publiquement.
`PUBLIC_LOG_BUCKET`	Ce détecteur vérifie si un bucket avec un récepteur de journaux est accessible au public.
`ORG_POLICY_LOCATION_RESTRICTION`	Ce détecteur vérifie si une ressource Compute Engine ne respecte pas la contrainte `constraints/gcp.resourceLocations`.

Afficher le modèle de posture

Pour afficher le modèle d'évaluation de la posture pour Cloud Storage, éléments essentiels, procédez comme suit :

gcloud

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

ORGANIZATION_ID: ID numérique de l'organisation

Exécutez la gcloud scc posture-templates describe commande:

Linux, macOS ou Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

La réponse contient le modèle de stratégie.

REST

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

ORGANIZATION_ID: ID numérique de l'organisation

Méthode HTTP et URL :

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

Pour envoyer votre requête, développez l'une des options suivantes :

curl (Linux, macOS ou Cloud Shell)

Remarque : La commande suivante suppose que vous êtes connecté à la CLI gcloud avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login, ou en utilisant Cloud Shell, qui vous connecte automatiquement à la CLI gcloud. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Exécutez la commande suivante :

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential"

PowerShell (Windows)

Remarque : La commande suivante suppose que vous vous êtes connecté à la CLI gcloud avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Exécutez la commande suivante :

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential" | Select-Object -Expand Content

La réponse contient le modèle de stratégie.

Étape suivante

Créez une stratégie de sécurité à l'aide de cette stratégie prédéfinie.