Auf dieser Seite werden die präventiven Richtlinien beschrieben, die in Version 1.0 des vordefinierten Sicherheitsstatus für standardmäßig erweiterte Sicherheit enthalten sind. Dieser vordefinierte Sicherheitsstatus hilft, häufige Fehlkonfigurationen und häufige Sicherheitsprobleme zu vermeiden, die durch Standardeinstellungen verursacht werden.
Mit diesem vordefinierten Sicherheitsstatus können Sie einen Sicherheitsstatus konfigurieren, der zum Schutz von Google Cloud-Ressourcen dient. Wenn Sie diesen vordefinierten Sicherheitsstatus bereitstellen möchten, müssen Sie einige Richtlinien so anpassen, dass sie für Ihre Umgebung gelten.
Richtlinien | Beschreibung | Compliancestandards |
---|---|---|
iam.disableServiceAccountKeyCreation |
Diese Einschränkung hindert Nutzer daran, persistente Schlüssel für Dienstkonten zu erstellen, um das Risiko der Offenlegung von Anmeldedaten für Dienstkonten zu verringern. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-2 |
iam.automaticIamGrantsForDefaultServiceAccounts |
Diese Einschränkung verhindert, dass Standarddienstkonten bei der Erstellung die IAM-Rollenbearbeiter mit zu umfangreichen Berechtigungen erhalten. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-3 |
iam.disableServiceAccountKeyUpload |
Durch diese Einschränkung wird das Risiko von gehackten und wiederverwendeten benutzerdefinierten Schlüsselmaterialien in Dienstkontoschlüsseln vermieden. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-6 |
storage.publicAccessPrevention |
Diese Richtlinie verhindert, dass Cloud Storage-Buckets für den nicht authentifizierten öffentlichen Zugriff geöffnet sind. Der Wert lautet |
NIST SP 800-53-Kontrolle: AC-3 und AC-6 |
iam.allowedPolicyMemberDomains |
Diese Richtlinie schränkt IAM-Richtlinien so ein, dass nur verwaltete Nutzeridentitäten in ausgewählten Domains auf Ressourcen in dieser Organisation zugreifen können. Der Wert lautet |
NIST SP 800-53-Kontrolle: AC-3, AC-6 und IA-2 |
essentialcontacts.allowedContactDomains |
Diese Richtlinie beschränkt „Wichtige Kontakte“ so, dass nur verwaltete Nutzeridentitäten in ausgewählten Domains Plattformbenachrichtigungen erhalten. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-3, AC-6 und IA-2 |
storage.uniformBucketLevelAccess |
Diese Richtlinie verhindert, dass Cloud Storage-Buckets eine ACL pro Objekt verwenden (ein unabhängiges System von IAM-Richtlinien), um Zugriff bereitzustellen und damit Konsistenz für die Zugriffsverwaltung und das Auditing zu erzwingen. Der Wert lautet |
NIST SP 800-53-Kontrolle: AC-3 und AC-6 |
compute.requireOsLogin |
Diese Richtlinie erfordert OS Login auf neu erstellten VMs, um SSH-Schlüssel einfacher zu verwalten, Berechtigungen auf Ressourcenebene mit IAM-Richtlinien bereitzustellen und den Nutzerzugriff zu protokollieren. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-3 und AU-12 |
compute.disableSerialPortAccess |
Diese Richtlinie verhindert, dass Nutzer auf den seriellen VM-Port zugreifen, der für den Backdoor-Zugriff über die Compute Engine API-Steuerungsebene verwendet werden kann. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-3 und AC-6 |
compute.restrictXpnProjectLienRemoval |
Diese Richtlinie verhindert das versehentliche Löschen von freigegebene VPC-Hostprojekten, indem sie das Entfernen von Projektsperren einschränkt. Der Wert lautet |
NIST SP 800-53-Kontrolle: AC-3 und AC-6 |
compute.vmExternalIpAccess |
Diese Richtlinie verhindert, dass Compute Engine-Instanzen mit einer öffentlichen IP-Adresse erstellt werden, die sie für eingehenden und ausgehenden Internettraffic freigeben kann. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-3 und AC-6 |
compute.skipDefaultNetworkCreation |
Diese Richtlinie deaktiviert die automatische Erstellung eines VPC-Netzwerk und von Standardfirewallregeln in jedem neuen Projekt. So wird sichergestellt, dass Netzwerk- und Firewallregeln absichtlich erstellt werden. Der Wert lautet |
NIST SP 800-53-Kontrolle: AC-3 und AC-6 |
compute.setNewProjectDefaultToZonalDNSOnly |
Diese Richtlinie hindert Anwendungsentwickler daran, Legacy-DNS-Einstellungen für Compute Engine-Instanzen auszuwählen, die eine geringere Dienstzuverlässigkeit als moderne DNS-Einstellungen haben. Für neue Projekte lautet der Wert |
NIST SP 800-53-Kontrolle: AC-3 und AC-6 |
sql.restrictPublicIp |
Diese Richtlinie verhindert, dass Cloud SQL-Instanzen mit öffentlichen IP-Adressen erstellt werden, die sie dem eingehenden und ausgehenden Internettraffic aussetzen können. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-3 und AC-6 |
sql.restrictAuthorizedNetworks |
Diese Richtlinie verhindert, dass öffentliche oder nicht RFC 1918-Netzwerkbereiche auf Cloud SQL-Datenbanken zugreifen. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-3 und AC-6 |
compute.restrictProtocolForwardingCreationForTypes |
Diese Richtlinie ermöglicht die VM-Protokollweiterleitung nur für interne IP-Adressen. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-3 und AC-6 |
compute.disableVpcExternalIpv6 |
Diese Richtlinie verhindert das Erstellen externer IPv6-Subnetze, die dem ein- und ausgehenden Internettraffic ausgesetzt werden können. Der Wert lautet |
NIST SP 800-53-Kontrolle: AC-3 und AC-6 |
compute.disableNestedVirtualization |
Diese Richtlinie deaktiviert die verschachtelte Virtualisierung, um das Sicherheitsrisiko aufgrund nicht überwachter verschachtelter Instanzen zu verringern. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-3 und AC-6 |
YAML-Definition
Im Folgenden finden Sie die YAML-Definition für den vordefinierten Status für Standardeinstellungen.
name: organizations/123/locations/global/postureTemplates/secure_by_default
description: Posture Template to make your cloud environment more secure.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: Secure-By-Default policy_set
description: 18 org policies that new customers can automatically enable.
policies:
- policy_id: Disable service account key creation
compliance_standards:
- standard: NIST SP 800-53
control: AC-2
constraint:
org_policy_constraint:
canned_constraint_id: iam.disableServiceAccountKeyCreation
policy_rules:
- enforce: true
description: Prevent users from creating persistent keys for service accounts to decrease the risk of exposed service account credentials.
- policy_id: Disable Automatic IAM Grants for Default Service Accounts
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
constraint:
org_policy_constraint:
canned_constraint_id: iam.automaticIamGrantsForDefaultServiceAccounts
policy_rules:
- enforce: true
description: Prevent default service accounts from receiving the overly-permissive IAM role Editor at creation.
- policy_id: Disable Service Account Key Upload
compliance_standards:
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: iam.disableServiceAccountKeyUpload
policy_rules:
- enforce: true
description: Avoid the risk of leaked and reused custom key material in service account keys.
- policy_id: Enforce Public Access Prevention
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: storage.publicAccessPrevention
policy_rules:
- enforce: true
description: Enforce that Storage Buckets cannot be configured as open to unauthenticated public access.
- policy_id: Domain restricted sharing
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
- standard: NIST SP 800-53
control: IA-2
constraint:
org_policy_constraint:
canned_constraint_id: iam.allowedPolicyMemberDomains
policy_rules:
- values:
allowed_values:
- directoryCustomerId
description: Limit IAM policies to only allow managed user identities in my selected domain(s) to access resources inside this organization.
- policy_id: Domain restricted contacts
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
- standard: NIST SP 800-53
control: IA-2
constraint:
org_policy_constraint:
canned_constraint_id: essentialcontacts.allowedContactDomains
policy_rules:
- values:
allowed_values:
- "@google.com"
description: Limit Essential Contacts to only allow managed user identities in my selected domain(s) to receive platform notifications.
- policy_id: Enforce uniform bucket-level access
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: storage.uniformBucketLevelAccess
policy_rules:
- enforce: true
description: Prevent GCS buckets from using per-object ACL (a separate system from IAM policies) to provide access, enforcing a consistency for access management and auditing.
- policy_id: Require OS Login
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AU-12
constraint:
org_policy_constraint:
canned_constraint_id: compute.requireOsLogin
policy_rules:
- enforce: true
description: Require OS Login on newly created VMs to more easily manage SSH keys, provide resource-level permission with IAM policies, and log user access.
- policy_id: Disable VM serial port access
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.disableSerialPortAccess
policy_rules:
- enforce: true
description: Prevent users from accessing the VM serial port which can be used for backdoor access from the Compute Engine API control plane
- policy_id: Restrict shared VPC project lien removal
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.restrictXpnProjectLienRemoval
policy_rules:
- enforce: true
description: Prevent the accidental deletion of Shared VPC host projects by restricting the removal of project liens.
- policy_id: Define allowed external IPs for VM instances
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.vmExternalIpAccess
policy_rules:
- deny_all: true
description: Prevent the creation of Compute instances with a public IP, which can expose them to internet ingress and egress.
- policy_id: Skip default network creation
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.skipDefaultNetworkCreation
policy_rules:
- enforce: true
description: Disable the automatic creation of a default VPC network and default firewall rules in each new project, ensuring that my network and firewall rules are intentionally created.
- policy_id: Sets the internal DNS setting for new projects to Zonal DNS Only
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.setNewProjectDefaultToZonalDNSOnly
policy_rules:
- enforce: true
description: Set guardrails that application developers cannot choose legacy DNS settings for compute instances that have lower service reliability than modern DNS settings.
- policy_id: Restrict Public IP access on Cloud SQL instances
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: sql.restrictPublicIp
policy_rules:
- enforce: true
description: Prevent the creation of Cloud SQL instances with a public IP, which can expose them to internet ingress and egress.
- policy_id: Restrict Authorized Networks on Cloud SQL instances
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: sql.restrictAuthorizedNetworks
policy_rules:
- enforce: true
description: Prevent public or non-RFC 1918 network ranges from accessing my Cloud SQL databases.
- policy_id: Restrict Protocol Forwarding Based on type of IP Address
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.restrictProtocolForwardingCreationForTypes
policy_rules:
- values:
allowed_values:
- INTERNAL
description: Allow VM protocol forwarding for internal IP addresses only.
- policy_id: Disable VPC External IPv6 usage
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.disableVpcExternalIpv6
policy_rules:
- enforce: true
description: Prevent the creation of external IPv6 subnets, which can be exposed to internet ingress and egress.
- policy_id: Disable VM nested virtualization
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.disableNestedVirtualization
policy_rules:
- enforce: true
description: Disable nested virtualization to decrease my security risk due to unmonitored nested instances.