Vordefinierter Sicherheitsstatus für „Von Grund auf sicher“, erweitert

Auf dieser Seite werden die präventiven Richtlinien beschrieben, die in der Version 1.0 der vordefinierten Sicherheitsstufe „Standardmäßig sicher, erweitert“ enthalten sind. Diese vordefinierte Haltung hilft, häufige Fehlkonfigurationen und häufige Sicherheitsprobleme zu vermeiden, die durch Standardeinstellungen verursacht werden.

Sie können diese vordefinierte Sicherheitskonfiguration verwenden, um einen Sicherheitsstatus zu konfigurieren, der zum Schutz von Google Cloud-Ressourcen beiträgt. Wenn Sie diese vordefinierte Haltung bereitstellen möchten, müssen Sie einige der Richtlinien so anpassen, dass sie auf Ihre Umgebung angewendet werden.

Policy Beschreibung Compliancestandards
iam.disableServiceAccountKeyCreation

Durch diese Einschränkung wird verhindert, dass Nutzer nichtflüchtige Schlüssel für Dienstkonten erstellen, um das Risiko von freigelegten Anmeldedaten für Dienstkonten zu verringern.

Der Wert ist true, um das Erstellen von Dienstkontoschlüsseln zu deaktivieren.

NIST SP 800-53-Kontrolle: AC-2
iam.automaticIamGrantsForDefaultServiceAccounts

Diese Einschränkung verhindert, dass Standarddienstkonten beim Erstellen die übermäßig permissive IAM-Rolle „Editor“ (Identity and Access Management) erhalten.

Der Wert ist false, um automatische IAM-Zuweisungen für Standarddienstkonten zu deaktivieren.

NIST SP 800-53-Kontrolle: AC-3
iam.disableServiceAccountKeyUpload

So wird das Risiko verringert, dass benutzerdefiniertes Schlüsselmaterial in Dienstkontoschlüsseln gehackt und wiederverwendet wird.

Der Wert ist true, um Uploads von Dienstkontoschlüsseln zu deaktivieren.

NIST SP 800-53-Kontrolle: AC-6
storage.publicAccessPrevention

Mit dieser Richtlinie wird verhindert, dass Cloud Storage-Buckets für den nicht authentifizierten öffentlichen Zugriff geöffnet werden.

Der Wert ist true, um den öffentlichen Zugriff auf Buckets zu verhindern.

NIST SP 800-53-Kontrolle: AC-3 und AC-6
iam.allowedPolicyMemberDomains

Durch diese Einschränkung der IAM-Richtlinien können nur verwaltete Nutzeridentitäten in ausgewählten Domains auf Ressourcen in dieser Organisation zugreifen.

Der Wert ist directoryCustomerId, um die Freigabe zwischen Domains einzuschränken.

NIST SP 800-53-Kontrolle: AC-3, AC-6 und IA-2
essentialcontacts.allowedContactDomains

Durch diese Einschränkung von „Wichtige Kontakte“ erhalten nur verwaltete Nutzeridentitäten in den ausgewählten Domains Plattformbenachrichtigungen.

Der Wert ist @google.com. Sie müssen den Wert an Ihre Domain anpassen.

NIST SP 800-53-Kontrolle: AC-3, AC-6 und IA-2
storage.uniformBucketLevelAccess

Diese Richtlinie verhindert, dass für Cloud Storage-Buckets objektspezifische ACLs (ein separates System von IAM-Richtlinien) verwendet werden, um Zugriff zu gewähren. So wird für die Zugriffsverwaltung und ‑prüfung für mehr Einheitlichkeit gesorgt.

Der Wert ist true, um einen einheitlichen Zugriff auf Bucket-Ebene zu erzwingen.

NIST SP 800-53-Kontrolle: AC-3 und AC-6
compute.requireOsLogin

Für diese Richtlinie ist OS Login auf neu erstellten VMs erforderlich, um SSH-Schlüssel einfacher zu verwalten, Berechtigungen auf Ressourcenebene mit IAM-Richtlinien bereitzustellen und den Nutzerzugriff zu protokollieren.

Der Wert ist true, wenn OS Login erforderlich ist.

NIST SP 800-53-Kontrolle: AC-3 und AU-12
compute.disableSerialPortAccess

Diese Richtlinie verhindert, dass Nutzer auf den seriellen Port der VM zugreifen, der für den Backdoor-Zugriff über die Compute Engine API-Kontrollebene verwendet werden kann.

Der Wert ist true, um den Zugriff auf serielle Ports der VM zu deaktivieren.

NIST SP 800-53-Kontrolle: AC-3 und AC-6
compute.restrictXpnProjectLienRemoval

Diese Richtlinie verhindert das versehentliche Löschen von Hostprojekten für freigegebene VPC, indem das Entfernen von Projektsperren eingeschränkt wird.

Der Wert ist true, um das Entfernen von Sperren für freigegebene VPC-Projekte einzuschränken.

NIST SP 800-53-Kontrolle: AC-3 und AC-6
compute.vmExternalIpAccess

Diese Richtlinie verhindert das Erstellen von Compute Engine-Instanzen mit einer öffentlichen IP-Adresse, die sie für eingehenden und ausgehenden Internet-Traffic zugänglich machen kann.

Der Wert ist denyAll, um den Zugriff von allen öffentlichen IP-Adressen zu deaktivieren.

NIST SP 800-53-Kontrolle: AC-3 und AC-6
compute.skipDefaultNetworkCreation

Mit dieser Richtlinie wird das automatische Erstellen eines Standard-VPC-Netzwerk und Standard-Firewallregeln in jedem neuen Projekt deaktiviert. So wird sichergestellt, dass Netzwerk- und Firewallregeln bewusst erstellt werden.

Der Wert ist true, um das Standard-VPC-Netzwerk zu vermeiden.

NIST SP 800-53-Kontrolle: AC-3 und AC-6
compute.setNewProjectDefaultToZonalDNSOnly

Diese Richtlinie schränkt die Auswahl von Legacy-DNS-Einstellungen für Compute Engine-Instanzen ein, die eine geringere Dienstzuverlässigkeit als moderne DNS-Einstellungen haben.

Bei neuen Projekten ist der Wert Zonal DNS only.

NIST SP 800-53-Kontrolle: AC-3 und AC-6
sql.restrictPublicIp

Diese Richtlinie verhindert das Erstellen von Cloud SQL-Instanzen mit öffentlichen IP-Adressen, die sie für eingehenden und ausgehenden Internet-Traffic zugänglich machen können.

Der Wert ist true, um den Zugriff auf Cloud SQL-Instanzen über öffentliche IP-Adressen einzuschränken.

NIST SP 800-53-Kontrolle: AC-3 und AC-6
sql.restrictAuthorizedNetworks

Mit dieser Richtlinie wird der Zugriff auf Cloud SQL-Datenbanken aus öffentlichen oder nicht RFC 1918-Netzwerkbereichen verhindert.

Der Wert ist true, um autorisierte Netzwerke auf Cloud SQL-Instanzen einzuschränken.

NIST SP 800-53-Kontrolle: AC-3 und AC-6
compute.restrictProtocolForwardingCreationForTypes

Mit dieser Richtlinie ist die VM-Protokollweiterleitung nur für interne IP-Adressen zulässig.

Der Wert ist INTERNAL, um die Protokollweiterleitung basierend auf dem Typ der IP-Adresse einzuschränken.

NIST SP 800-53-Kontrolle: AC-3 und AC-6
compute.disableVpcExternalIpv6

Diese Richtlinie verhindert das Erstellen externer IPv6-Subnetze, die eingehendem und ausgehendem Internetverkehr ausgesetzt sein können.

Der Wert ist true, um externe IPv6-Subnetze zu deaktivieren.

NIST SP 800-53-Kontrolle: AC-3 und AC-6
compute.disableNestedVirtualization

Mit dieser Richtlinie wird die verschachtelte Virtualisierung deaktiviert, um das Sicherheitsrisiko durch nicht überwachte verschachtelte Instanzen zu verringern.

Der Wert ist true, um die verschachtelte Virtualisierung von VMs zu deaktivieren.

NIST SP 800-53-Kontrolle: AC-3 und AC-6

Vorlage für den Sicherheitsstatus ansehen

So rufen Sie die Vorlage für den Sicherheitsstatus für „Standardmäßig sicher, erweitert“ auf:

gcloud

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • ORGANIZATION_ID: die numerische ID der Organisation

Führen Sie den Befehl gcloud scc posture-templates describe aus:

Linux, macOS oder Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Die Antwort enthält die Vorlage für die Bewertung.

REST

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • ORGANIZATION_ID: die numerische ID der Organisation

HTTP-Methode und URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort enthält die Vorlage für die Bewertung.

Nächste Schritte