Halaman ini menjelaskan kebijakan pencegahan yang disertakan dalam versi v1.0 postur yang telah ditentukan sebelumnya untuk aman secara default, diperluas. Postur yang telah ditentukan sebelumnya ini membantu mencegah kesalahan konfigurasi umum dan masalah keamanan umum yang disebabkan oleh setelan default.
Anda dapat menggunakan postur standar ini untuk mengonfigurasi postur keamanan yang membantu melindungi resource Google Cloud. Jika ingin men-deploy postur standar ini, Anda harus menyesuaikan beberapa kebijakan agar berlaku untuk lingkungan Anda.
Kebijakan | Deskripsi | Standar kepatuhan |
---|---|---|
iam.disableServiceAccountKeyCreation |
Batasan ini mencegah pengguna membuat kunci persisten untuk akun layanan guna mengurangi risiko kredensial akun layanan yang terekspos. Nilainya adalah |
Kontrol NIST SP 800-53: AC-2 |
iam.automaticIamGrantsForDefaultServiceAccounts |
Batasan ini mencegah akun layanan default menerima peran Editor Identity and Access Management (IAM) yang terlalu permisif saat pembuatan. Nilainya adalah |
Kontrol NIST SP 800-53: AC-3 |
iam.disableServiceAccountKeyUpload |
Batasan ini menghindari risiko kebocoran dan penggunaan kembali materi kunci kustom dalam kunci akun layanan. Nilainya adalah |
Kontrol NIST SP 800-53: AC-6 |
storage.publicAccessPrevention |
Kebijakan ini mencegah bucket Cloud Storage terbuka untuk akses publik yang tidak diautentikasi. Nilainya adalah |
Kontrol NIST SP 800-53: AC-3 dan AC-6 |
iam.allowedPolicyMemberDomains |
Kebijakan ini membatasi kebijakan IAM agar hanya mengizinkan identitas pengguna terkelola di domain yang dipilih untuk mengakses resource di dalam organisasi ini. Nilainya adalah
|
Kontrol NIST SP 800-53: AC-3, AC-6, dan IA-2 |
essentialcontacts.allowedContactDomains |
Kebijakan ini membatasi Kontak Penting agar hanya mengizinkan identitas pengguna terkelola di domain yang dipilih untuk menerima notifikasi platform. Nilainya adalah
|
Kontrol NIST SP 800-53: AC-3, AC-6, dan IA-2 |
storage.uniformBucketLevelAccess |
Kebijakan ini mencegah bucket Cloud Storage menggunakan ACL per objek (sistem terpisah dari kebijakan IAM) untuk memberikan akses, sehingga menerapkan konsistensi untuk pengelolaan dan audit akses. Nilainya adalah |
Kontrol NIST SP 800-53: AC-3 dan AC-6 |
compute.requireOsLogin |
Kebijakan ini memerlukan Login OS di VM yang baru dibuat untuk mengelola kunci SSH dengan lebih mudah, memberikan izin level resource dengan kebijakan IAM, dan mencatat akses pengguna. Nilainya adalah
|
Kontrol NIST SP 800-53: AC-3 dan AU-12 |
compute.disableSerialPortAccess |
Kebijakan ini mencegah pengguna mengakses port serial VM yang dapat digunakan untuk akses backdoor dari platform kontrol Compute Engine API. Nilainya adalah |
Kontrol NIST SP 800-53: AC-3 dan AC-6 |
compute.restrictXpnProjectLienRemoval |
Kebijakan ini mencegah penghapusan project host VPC Bersama secara tidak sengaja dengan membatasi penghapusan lien project. Nilainya adalah
|
Kontrol NIST SP 800-53: AC-3 dan AC-6 |
compute.vmExternalIpAccess |
Kebijakan ini mencegah pembuatan instance Compute Engine dengan alamat IP publik, yang dapat mengeksposnya ke traffic internet masuk dan traffic internet keluar. Nilainya adalah |
Kontrol NIST SP 800-53: AC-3 dan AC-6 |
compute.skipDefaultNetworkCreation |
Kebijakan ini menonaktifkan pembuatan otomatis jaringan VPC default dan aturan firewall default di setiap project baru, sehingga memastikan bahwa jaringan dan aturan firewall dibuat secara sengaja. Nilainya adalah |
Kontrol NIST SP 800-53: AC-3 dan AC-6 |
compute.setNewProjectDefaultToZonalDNSOnly |
Kebijakan ini membatasi developer aplikasi agar tidak memilih setelan DNS lama untuk instance Compute Engine yang memiliki keandalan layanan yang lebih rendah daripada setelan DNS modern. Nilainya adalah |
Kontrol NIST SP 800-53: AC-3 dan AC-6 |
sql.restrictPublicIp |
Kebijakan ini mencegah pembuatan instance Cloud SQL dengan alamat IP publik, yang dapat mengeksposnya ke traffic internet masuk dan traffic internet keluar. Nilainya adalah |
Kontrol NIST SP 800-53: AC-3 dan AC-6 |
sql.restrictAuthorizedNetworks |
Kebijakan ini mencegah rentang jaringan publik atau non-RFC 1918 mengakses database Cloud SQL. Nilainya adalah |
Kontrol NIST SP 800-53: AC-3 dan AC-6 |
compute.restrictProtocolForwardingCreationForTypes |
Kebijakan ini memungkinkan penerusan protokol VM hanya untuk alamat IP internal. Nilainya adalah |
Kontrol NIST SP 800-53: AC-3 dan AC-6 |
compute.disableVpcExternalIpv6 |
Kebijakan ini mencegah pembuatan subnet IPv6 eksternal, yang dapat terkena traffic internet masuk dan keluar. Nilainya adalah
|
Kontrol NIST SP 800-53: AC-3 dan AC-6 |
compute.disableNestedVirtualization |
Kebijakan ini menonaktifkan virtualisasi bertingkat untuk mengurangi risiko keamanan karena instance bertingkat yang tidak dipantau. Nilainya adalah |
Kontrol NIST SP 800-53: AC-3 dan AC-6 |
Melihat template postur
Untuk melihat template postur untuk aman secara default, diperluas, lakukan tindakan berikut:
gcloud
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
-
ORGANIZATION_ID
: ID numerik organisasi
Jalankan perintah
gcloud scc posture-templates
describe
:
Linux, macOS, atau Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended
Respons berisi template postur.
REST
Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
-
ORGANIZATION_ID
: ID numerik organisasi
Metode HTTP dan URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended
Untuk mengirim permintaan, perluas salah satu opsi berikut:
Respons berisi template postur.