Questa pagina è stata tradotta dall'API Cloud Translation.

Postura predefinita per Cloud Storage, nozioni di base

In questa pagina vengono descritte le norme di prevenzione e indagine incluse in la versione v1.0 della postura predefinita per Cloud Storage, elementi essenziali. Questa postura include due set di criteri:

Un set di criteri che include i criteri dell'organizzazione che si applicano a di archiviazione ideale in Cloud Storage.
Un set di criteri che include i rilevatori di Security Health Analytics applicabili a di archiviazione ideale in Cloud Storage.

Puoi utilizzare questa postura predefinita per configurare una postura di sicurezza che aiuti e proteggere Cloud Storage. Puoi eseguire il deployment di questa postura predefinita senza modifiche.

Vincoli dei criteri dell'organizzazione

La tabella seguente descrive i criteri dell'organizzazione inclusi in per questa postura.

Norme Descrizione Standard di conformità

Norme	Descrizione	Standard di conformità
`storage.publicAccessPrevention`	Questo criterio impedisce Apertura al pubblico non autenticato dei bucket Cloud Storage l'accesso. Il valore è `true` per impedire l'accesso pubblico a bucket.	Controllo NIST SP 800-53: AC-3, AC-17 e AC-20
`storage.uniformBucketLevelAccess`	Queste norme impedisce ai bucket Cloud Storage di utilizzare l'ACL per ogni oggetto (un sistema separato dai criteri IAM) per fornire l'accesso, applicando la coerenza la gestione e il controllo degli accessi. Il valore è `true` da applicare accesso uniforme a livello di bucket.	Controllo NIST SP 800-53: AC-3, AC-17 e AC-20

storage.publicAccessPrevention

Questo criterio impedisce Apertura al pubblico non autenticato dei bucket Cloud Storage l'accesso.

Il valore è true per impedire l'accesso pubblico a bucket.

Controllo NIST SP 800-53: AC-3, AC-17 e AC-20

storage.uniformBucketLevelAccess

Queste norme impedisce ai bucket Cloud Storage di utilizzare l'ACL per ogni oggetto (un sistema separato dai criteri IAM) per fornire l'accesso, applicando la coerenza la gestione e il controllo degli accessi.

Il valore è true da applicare accesso uniforme a livello di bucket.

Controllo NIST SP 800-53: AC-3, AC-17 e AC-20

Rilevatori Security Health Analytics

La tabella seguente descrive i rilevatori di Security Health Analytics inclusi in la postura predefinita. Per ulteriori informazioni su questi rilevatori, vedi Vulnerabilità rilevate.

Nome rilevatore	Descrizione
`BUCKET_LOGGING_DISABLED`	Questo rilevatore controlla se esiste un bucket di archiviazione senza il logging abilitato.
`LOCKED_RETENTION_POLICY_NOT_SET`	Questo rilevatore controlla se il criterio di conservazione bloccata è impostato per i log.
`OBJECT_VERSIONING_DISABLED`	Questo rilevatore verifica se il controllo delle versioni degli oggetti è abilitato sui bucket di archiviazione con sink.
`BUCKET_CMEK_DISABLED`	Questo rilevatore controlla se i bucket sono criptati utilizzando chiavi di crittografia gestite dal cliente (CMEK).
`BUCKET_POLICY_ONLY_DISABLED`	Questo rilevatore verifica se è configurato un accesso uniforme a livello di bucket.
`PUBLIC_BUCKET_ACL`	Questo rilevatore verifica se un bucket è accessibile pubblicamente.
`PUBLIC_LOG_BUCKET`	Questo rilevatore verifica se un bucket con un sink di log è accessibile pubblicamente.
`ORG_POLICY_LOCATION_RESTRICTION`	Questo rilevatore controlla se una risorsa Compute Engine non è conforme al vincolo `constraints/gcp.resourceLocations`.

Visualizza il modello di postura

Per visualizzare il modello di postura per Cloud Storage (elementi essenziali):

gcloud

Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

ORGANIZATION_ID: l'ID numerico dell'organizzazione

Esegui la gcloud scc posture-templates describe :

Linux, macOS o Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

La risposta contiene il modello di postura.

REST

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

ORGANIZATION_ID: l'ID numerico dell'organizzazione

Metodo HTTP e URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

Per inviare la richiesta, espandi una delle seguenti opzioni:

curl (Linux, macOS o Cloud Shell)

Nota: Il comando seguente presuppone che tu abbia eseguito l'accesso a l'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che ti consente di accedere automaticamente all'interfaccia a riga di comando gcloud di Google. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list

Esegui questo comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential"

PowerShell (Windows)

Esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential" | Select-Object -Expand Content

La risposta contiene il modello di postura.

Passaggi successivi

Crea una postura di sicurezza utilizzando questa postura predefinita.