Posição predefinida para o Cloud Storage, fundamentos

Nesta página, descrevemos as políticas preventivas e de detetive incluídas na versão v1.0 da postura predefinida do Cloud Storage. Essa postura inclui dois conjuntos de políticas:

  • Um conjunto de políticas que inclui políticas da organização que se aplicam ao Cloud Storage.

  • Um conjunto de políticas que inclui detectores da Análise de integridade da segurança que se aplicam ao Cloud Storage.

É possível usar essa postura predefinida para configurar uma postura de segurança que ajude a proteger o Cloud Storage. É possível implantar essa postura predefinida sem fazer qualquer alteração.

Restrições das políticas da organização

A tabela a seguir descreve as políticas da organização incluídas nessa postura.

Política Descrição Padrão de conformidade
storage.publicAccessPrevention

Essa política impede que os buckets do Cloud Storage sejam abertos para acesso público não autenticado.

O valor é true para impedir o acesso público aos buckets.

 Controle do NIST SP 800-53: AC-3, AC-17 e AC-20
storage.uniformBucketLevelAccess

Essa política impede que os buckets do Cloud Storage usem a ACL por objeto (um sistema separado das políticas do IAM) para fornecer acesso, aplicando consistência ao gerenciamento e à auditoria de acesso.

O valor é true para aplicar o acesso uniforme no nível do bucket.

 Controle do NIST SP 800-53: AC-3, AC-17 e AC-20

Detectores do Security Health Analytics

A tabela a seguir descreve os detectores da Análise de integridade da segurança que estão incluídos na postura predefinida. Para mais informações sobre esses detectores, consulte Descobertas de vulnerabilidade.

Nome do detector Descrição
BUCKET_LOGGING_DISABLED

Esse detector verifica se há um bucket de armazenamento sem geração de registros ativada.
LOCKED_RETENTION_POLICY_NOT_SET

Este detector verifica se a política de retenção bloqueada está definida para registros.
OBJECT_VERSIONING_DISABLED

Esse detector verifica se o controle de versões de objetos está ativado em buckets de armazenamento com coletores.
BUCKET_CMEK_DISABLED

Esse detector verifica se os buckets estão criptografados usando chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês).
BUCKET_POLICY_ONLY_DISABLED

Este detector verifica se o acesso uniforme no nível do bucket está configurado.
PUBLIC_BUCKET_ACL

Esse detector verifica se um bucket é acessível publicamente.
PUBLIC_LOG_BUCKET

Esse detector verifica se um bucket com um coletor de registros está acessível publicamente.
ORG_POLICY_LOCATION_RESTRICTION

Esse detector verifica se um recurso do Compute Engine está fora de conformidade com a restrição constraints/gcp.resourceLocations.

Definição de YAML

Veja a seguir a definição YAML para a postura predefinida do Cloud Storage.

name: organizations/123/locations/global/postureTemplates/cloud_storage_essential
description: Posture Template to make your Cloud storage workload secure.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: Cloud storage preventative policy set
  description: 2 org policies that new customers can automatically enable.
  policies:
  - policy_id: Enforce Public Access Prevention
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-17
    - standard: NIST SP 800-53
      control: AC-20
    constraint:
      org_policy_constraint:
        canned_constraint_id: storage.publicAccessPrevention
        policy_rules:
        - enforce: true
    description: This governance policy prevents access to existing and future resources via the public internet by disabling and blocking Access Control Lists (ACLs) and IAM permissions that grant access to allUsers and allAuthenticatedUsers.
  - policy_id: Enforce uniform bucket-level access
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-17
    - standard: NIST SP 800-53
      control: AC-20
    constraint:
      org_policy_constraint:
        canned_constraint_id: storage.uniformBucketLevelAccess
        policy_rules:
        - enforce: true
    description: This boolean constraint requires buckets to use uniform bucket-level access where this constraint is set to TRUE.
- policy_set_id: Cloud storage detective policy set
  description: 8 SHA modules that new customers can automatically enable.
  policies:
  - policy_id: Bucket logging disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: BUCKET_LOGGING_DISABLED
  - policy_id: Locked retention policy not set
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: LOCKED_RETENTION_POLICY_NOT_SET
  - policy_id: Object versioning disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: OBJECT_VERSIONING_DISABLED
  - policy_id: Bucket CMEK disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: BUCKET_CMEK_DISABLED
  - policy_id: Bucket policy only disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: BUCKET_POLICY_ONLY_DISABLED
  - policy_id: Public bucket ACL
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: PUBLIC_BUCKET_ACL
  - policy_id: Public log bucket
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: PUBLIC_LOG_BUCKET
  - policy_id: Org policy location restriction
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: ORG_POLICY_LOCATION_RESTRICTION

A seguir