Postur yang telah ditentukan sebelumnya untuk aman secara default, diperluas

Halaman ini menjelaskan kebijakan pencegahan yang disertakan dalam versi v1.0 postur yang telah ditentukan sebelumnya untuk aman secara default, diperluas. Postur yang telah ditentukan sebelumnya ini membantu mencegah kesalahan konfigurasi umum dan masalah keamanan umum yang disebabkan oleh setelan default.

Anda dapat menggunakan postur standar ini untuk mengonfigurasi postur keamanan yang membantu melindungi resource Google Cloud. Jika ingin men-deploy postur standar ini, Anda harus menyesuaikan beberapa kebijakan agar berlaku untuk lingkungan Anda.

Kebijakan Deskripsi Standar kepatuhan
iam.disableServiceAccountKeyCreation

Batasan ini mencegah pengguna membuat kunci persisten untuk akun layanan guna mengurangi risiko kredensial akun layanan yang terekspos.

Nilainya adalah true untuk menonaktifkan pembuatan kunci akun layanan.

Kontrol NIST SP 800-53: AC-2
iam.automaticIamGrantsForDefaultServiceAccounts

Batasan ini mencegah akun layanan default menerima peran Editor Identity and Access Management (IAM) yang terlalu permisif saat pembuatan.

Nilainya adalah false untuk menonaktifkan pemberian IAM otomatis untuk akun layanan default.

Kontrol NIST SP 800-53: AC-3
iam.disableServiceAccountKeyUpload

Batasan ini menghindari risiko kebocoran dan penggunaan kembali materi kunci kustom dalam kunci akun layanan.

Nilainya adalah true untuk menonaktifkan upload kunci akun layanan.

Kontrol NIST SP 800-53: AC-6
storage.publicAccessPrevention

Kebijakan ini mencegah bucket Cloud Storage terbuka untuk akses publik yang tidak diautentikasi.

Nilainya adalah true untuk mencegah akses publik ke bucket.

Kontrol NIST SP 800-53: AC-3 dan AC-6
iam.allowedPolicyMemberDomains

Kebijakan ini membatasi kebijakan IAM agar hanya mengizinkan identitas pengguna terkelola di domain yang dipilih untuk mengakses resource di dalam organisasi ini.

Nilainya adalah directoryCustomerId untuk membatasi berbagi antar-domain.

Kontrol NIST SP 800-53: AC-3, AC-6, dan IA-2
essentialcontacts.allowedContactDomains

Kebijakan ini membatasi Kontak Penting agar hanya mengizinkan identitas pengguna terkelola di domain yang dipilih untuk menerima notifikasi platform.

Nilainya adalah @google.com. Anda harus mengubah nilai agar cocok dengan domain Anda.

Kontrol NIST SP 800-53: AC-3, AC-6, dan IA-2
storage.uniformBucketLevelAccess

Kebijakan ini mencegah bucket Cloud Storage menggunakan ACL per objek (sistem terpisah dari kebijakan IAM) untuk memberikan akses, sehingga menerapkan konsistensi untuk pengelolaan dan audit akses.

Nilainya adalah true untuk menerapkan akses level bucket yang seragam.

Kontrol NIST SP 800-53: AC-3 dan AC-6
compute.requireOsLogin

Kebijakan ini memerlukan Login OS di VM yang baru dibuat untuk mengelola kunci SSH dengan lebih mudah, memberikan izin level resource dengan kebijakan IAM, dan mencatat akses pengguna.

Nilainya adalah true untuk mewajibkan Login OS.

Kontrol NIST SP 800-53: AC-3 dan AU-12
compute.disableSerialPortAccess

Kebijakan ini mencegah pengguna mengakses port serial VM yang dapat digunakan untuk akses backdoor dari platform kontrol Compute Engine API.

Nilainya adalah true untuk menonaktifkan akses port serial VM.

Kontrol NIST SP 800-53: AC-3 dan AC-6
compute.restrictXpnProjectLienRemoval

Kebijakan ini mencegah penghapusan project host VPC Bersama secara tidak sengaja dengan membatasi penghapusan lien project.

Nilainya adalah true untuk membatasi penghapusan lien project VPC Bersama.

Kontrol NIST SP 800-53: AC-3 dan AC-6
compute.vmExternalIpAccess

Kebijakan ini mencegah pembuatan instance Compute Engine dengan alamat IP publik, yang dapat mengeksposnya ke traffic internet masuk dan traffic internet keluar.

Nilainya adalah denyAll untuk menonaktifkan semua akses dari alamat IP publik.

Kontrol NIST SP 800-53: AC-3 dan AC-6
compute.skipDefaultNetworkCreation

Kebijakan ini menonaktifkan pembuatan otomatis jaringan VPC default dan aturan firewall default di setiap project baru, sehingga memastikan bahwa jaringan dan aturan firewall dibuat secara sengaja.

Nilainya adalah true untuk menghindari pembuatan jaringan VPC default.

Kontrol NIST SP 800-53: AC-3 dan AC-6
compute.setNewProjectDefaultToZonalDNSOnly

Kebijakan ini membatasi developer aplikasi agar tidak memilih setelan DNS lama untuk instance Compute Engine yang memiliki keandalan layanan yang lebih rendah daripada setelan DNS modern.

Nilainya adalah Zonal DNS only untuk project baru.

Kontrol NIST SP 800-53: AC-3 dan AC-6
sql.restrictPublicIp

Kebijakan ini mencegah pembuatan instance Cloud SQL dengan alamat IP publik, yang dapat mengeksposnya ke traffic internet masuk dan traffic internet keluar.

Nilainya adalah true untuk membatasi akses ke instance Cloud SQL berdasarkan alamat IP publik.

Kontrol NIST SP 800-53: AC-3 dan AC-6
sql.restrictAuthorizedNetworks

Kebijakan ini mencegah rentang jaringan publik atau non-RFC 1918 mengakses database Cloud SQL.

Nilainya adalah true untuk membatasi jaringan yang diizinkan di instance Cloud SQL.

Kontrol NIST SP 800-53: AC-3 dan AC-6
compute.restrictProtocolForwardingCreationForTypes

Kebijakan ini memungkinkan penerusan protokol VM hanya untuk alamat IP internal.

Nilainya adalah INTERNAL untuk membatasi penerusan protokol berdasarkan jenis alamat IP.

Kontrol NIST SP 800-53: AC-3 dan AC-6
compute.disableVpcExternalIpv6

Kebijakan ini mencegah pembuatan subnet IPv6 eksternal, yang dapat terkena traffic internet masuk dan keluar.

Nilainya adalah true untuk menonaktifkan subnet IPv6 eksternal.

Kontrol NIST SP 800-53: AC-3 dan AC-6
compute.disableNestedVirtualization

Kebijakan ini menonaktifkan virtualisasi bertingkat untuk mengurangi risiko keamanan karena instance bertingkat yang tidak dipantau.

Nilainya adalah true untuk menonaktifkan virtualisasi bertingkat VM.

Kontrol NIST SP 800-53: AC-3 dan AC-6

Melihat template postur

Untuk melihat template postur untuk aman secara default, diperluas, lakukan tindakan berikut:

gcloud

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • ORGANIZATION_ID: ID numerik organisasi

Jalankan perintah gcloud scc posture-templates describe:

Linux, macOS, atau Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Respons berisi template postur.

REST

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • ORGANIZATION_ID: ID numerik organisasi

Metode HTTP dan URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Untuk mengirim permintaan, perluas salah satu opsi berikut:

Respons berisi template postur.

Langkah selanjutnya