Nesta página, descrevemos as políticas preventivas e de detetive incluídas na versão v1.0 da postura predefinida do Cloud Storage. Essa postura inclui dois conjuntos de políticas:
Um conjunto de políticas que inclui políticas da organização que se aplicam ao Cloud Storage.
Um conjunto de políticas que inclui detectores da Análise de integridade da segurança que se aplicam ao Cloud Storage.
É possível usar essa postura predefinida para configurar uma postura de segurança que ajude a proteger o Cloud Storage. É possível implantar essa postura predefinida sem fazer qualquer alteração.
Restrições das políticas da organização
A tabela a seguir descreve as políticas da organização incluídas nessa postura.
Política | Descrição | Padrão de conformidade |
---|---|---|
storage.publicAccessPrevention |
Essa política impede que os buckets do Cloud Storage sejam abertos para acesso público não autenticado. O valor é |
Controle do NIST SP 800-53: AC-3, AC-17 e AC-20 |
storage.uniformBucketLevelAccess |
Essa política impede que os buckets do Cloud Storage usem a ACL por objeto (um sistema separado das políticas do IAM) para fornecer acesso, aplicando consistência ao gerenciamento e à auditoria de acesso. O valor é |
Controle do NIST SP 800-53: AC-3, AC-17 e AC-20 |
Detectores do Security Health Analytics
A tabela a seguir descreve os detectores da Análise de integridade da segurança que estão incluídos na postura predefinida. Para mais informações sobre esses detectores, consulte Descobertas de vulnerabilidade.
Nome do detector | Descrição |
---|---|
BUCKET_LOGGING_DISABLED |
Esse detector verifica se há um bucket de armazenamento sem geração de registros ativada. |
LOCKED_RETENTION_POLICY_NOT_SET |
Este detector verifica se a política de retenção bloqueada está definida para registros. |
OBJECT_VERSIONING_DISABLED |
Esse detector verifica se o controle de versões de objetos está ativado em buckets de armazenamento com coletores. |
BUCKET_CMEK_DISABLED |
Esse detector verifica se os buckets estão criptografados usando chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês). |
BUCKET_POLICY_ONLY_DISABLED |
Este detector verifica se o acesso uniforme no nível do bucket está configurado. |
PUBLIC_BUCKET_ACL |
Esse detector verifica se um bucket é acessível publicamente. |
PUBLIC_LOG_BUCKET |
Esse detector verifica se um bucket com um coletor de registros está acessível publicamente. |
ORG_POLICY_LOCATION_RESTRICTION |
Esse detector verifica se um recurso do Compute Engine está fora de conformidade com a restrição |
Definição de YAML
Veja a seguir a definição YAML para a postura predefinida do Cloud Storage.
name: organizations/123/locations/global/postureTemplates/cloud_storage_essential
description: Posture Template to make your Cloud storage workload secure.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: Cloud storage preventative policy set
description: 2 org policies that new customers can automatically enable.
policies:
- policy_id: Enforce Public Access Prevention
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-17
- standard: NIST SP 800-53
control: AC-20
constraint:
org_policy_constraint:
canned_constraint_id: storage.publicAccessPrevention
policy_rules:
- enforce: true
description: This governance policy prevents access to existing and future resources via the public internet by disabling and blocking Access Control Lists (ACLs) and IAM permissions that grant access to allUsers and allAuthenticatedUsers.
- policy_id: Enforce uniform bucket-level access
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-17
- standard: NIST SP 800-53
control: AC-20
constraint:
org_policy_constraint:
canned_constraint_id: storage.uniformBucketLevelAccess
policy_rules:
- enforce: true
description: This boolean constraint requires buckets to use uniform bucket-level access where this constraint is set to TRUE.
- policy_set_id: Cloud storage detective policy set
description: 8 SHA modules that new customers can automatically enable.
policies:
- policy_id: Bucket logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_LOGGING_DISABLED
- policy_id: Locked retention policy not set
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LOCKED_RETENTION_POLICY_NOT_SET
- policy_id: Object versioning disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OBJECT_VERSIONING_DISABLED
- policy_id: Bucket CMEK disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_CMEK_DISABLED
- policy_id: Bucket policy only disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_POLICY_ONLY_DISABLED
- policy_id: Public bucket ACL
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_BUCKET_ACL
- policy_id: Public log bucket
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_LOG_BUCKET
- policy_id: Org policy location restriction
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ORG_POLICY_LOCATION_RESTRICTION