Cloud Storage の事前定義されたポスチャー、基本事項

このページでは、Cloud Storage の事前定義された対策の v1.0 バージョンに含まれる予防的ポリシーと検出ポリシーの基本事項について説明します。この対策には、次の 2 つのポリシーセットが含まれています。

Cloud Storage に適用される組織のポリシーを含むポリシーセット。
Cloud Storage に適用される Security Health Analytics 検出機能を含むポリシーセット。

この事前定義された対策を使用して、Cloud Storage の保護に役立つセキュリティ対策を構成できます。この事前定義済みの対策は、変更を加えることなくデプロイできます。

組織ポリシーの制約

次の表は、この対策に含まれる組織のポリシーを示しています。

ポリシー説明コンプライアンスの標準

ポリシー	説明	コンプライアンスの標準
`storage.publicAccessPrevention`	このポリシーにより、未認証の一般公開アクセスに対して Cloud Storage バケットが開かれることが防止されます。バケットへの公開アクセスが防止する場合、値は `true` です。	NIST SP 800-53 コントロール: AC-3、AC-17、AC-20
`storage.uniformBucketLevelAccess`	このポリシーは、オブジェクトごとの ACL（IAM ポリシーとは別のシステム）を使用して Cloud Storage バケットへのアクセスが提供されるのを防ぎ、アクセス管理と監査に整合性をもたらします。均一なバケットレベルのアクセスを適用する場合、値は `true` です。	NIST SP 800-53 コントロール: AC-3、AC-17、AC-20

storage.publicAccessPrevention

このポリシーにより、未認証の一般公開アクセスに対して Cloud Storage バケットが開かれることが防止されます。

バケットへの公開アクセスが防止する場合、値は true です。

NIST SP 800-53 コントロール: AC-3、AC-17、AC-20

storage.uniformBucketLevelAccess

このポリシーは、オブジェクトごとの ACL（IAM ポリシーとは別のシステム）を使用して Cloud Storage バケットへのアクセスが提供されるのを防ぎ、アクセス管理と監査に整合性をもたらします。

均一なバケットレベルのアクセスを適用する場合、値は true です。

NIST SP 800-53 コントロール: AC-3、AC-17、AC-20

Security Health Analytics の検出機能

次の表に、事前定義された対策に含まれる Security Health Analytics 検出機能を示します。これらの検出機能の詳細については、脆弱性の検出結果をご覧ください。

検出項目の名前	説明
`BUCKET_LOGGING_DISABLED`	この検出機能は、ロギングが有効になっていないストレージバケットがあるかどうかを確認します。
`LOCKED_RETENTION_POLICY_NOT_SET`	この検出機能は、ロックされた保持ポリシーがログに設定されているかどうかを確認します。
`OBJECT_VERSIONING_DISABLED`	この検出機能は、シンクのあるストレージバケットでオブジェクトのバージョニングが有効になっているかどうかを確認します。
`BUCKET_CMEK_DISABLED`	この検出機能は、顧客管理の暗号鍵（CMEK）を使用してバケットが暗号化されているかどうかを確認します。
`BUCKET_POLICY_ONLY_DISABLED`	この検出機能は、均一なバケットレベルのアクセスが構成されているかどうかを確認します。
`PUBLIC_BUCKET_ACL`	この検出機能は、バケットが一般公開されているかどうかを確認します。
`PUBLIC_LOG_BUCKET`	この検出機能は、ログシンクを含むバケットが一般公開されているかどうかを確認します。
`ORG_POLICY_LOCATION_RESTRICTION`	この検出機能は、Compute Engine リソースが `constraints/gcp.resourceLocations` 制約を遵守していないかどうかを確認します。

対策テンプレートを表示する

Cloud Storage のポスチャーテンプレートを表示するには、次の操作を行います。

gcloud

後述のコマンドデータを使用する前に、次のように置き換えます。

ORGANIZATION_ID: 組織の数値 ID

gcloud scc posture-templates describe コマンドを実行します。

Linux、macOS、Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

Windows（PowerShell）

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

Windows（cmd.exe）

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

レスポンスには、対策テンプレートが含まれます。

REST

リクエストのデータを使用する前に、次のように置き換えます。

ORGANIZATION_ID: 組織の数値 ID

HTTP メソッドと URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

リクエストを送信するには、次のいずれかのオプションを展開します。

curl（Linux、macOS、Cloud Shell）

注: 次のコマンドは、gcloud init または gcloud auth login を実行して、ユーザーアカウントで gcloud CLI にログインしているか、Cloud Shell を使用して自動的に gcloud CLI にログインしていることを前提としています。gcloud auth list を実行すると、現在アクティブなアカウントを確認できます。

次のコマンドを実行します。

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential"

PowerShell（Windows）

注: 次のコマンドは、gcloud init または gcloud auth login を実行して、ご自分のユーザーアカウントで gcloud CLI にログインしていることを前提としています。gcloud auth list を実行すると、現在アクティブなアカウントを確認できます。

次のコマンドを実行します。

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential" | Select-Object -Expand Content

レスポンスには、対策テンプレートが含まれます。

次のステップ

この事前定義されたポスチャーを使用してセキュリティポスチャーを作成する。