デフォルトでセキュリティを確保するための事前定義されたポスチャー、拡張事項

このページでは、デフォルトでセキュリティを確保するための事前定義されたポスチャー v1.0 バージョンに含まれる予防的ポリシーの拡張事項について説明します。この事前定義されたポスチャーは、デフォルト設定に起因する一般的な構成ミスや一般的なセキュリティ問題を防ぐのに役立ちます。

この事前定義されたポスチャーを使用して、Google Cloud リソースの保護に役立つセキュリティポスチャーを構成できます。この事前定義されたポスチャーをデプロイする場合は、環境に適用されるようにポリシーの一部をカスタマイズする必要があります。

ポリシー	説明	コンプライアンス標準
`iam.disableServiceAccountKeyCreation`	この制約により、ユーザーはサービスアカウントに永続的なキーを作成できなくなり、サービスアカウントの認証情報が公開されるリスクが軽減します。サービスアカウントキーの作成を無効にする場合、値は `true` です。	NIST SP 800-53 管理策: AC-2
`iam.automaticIamGrantsForDefaultServiceAccounts`	この制約により、デフォルトのサービスアカウントの作成時に、過剰な権限を持つ Identity and Access Management（IAM）ロール編集者が付与されなくなります。デフォルトのサービスアカウントに対する IAM の自動付与を無効にする場合、値は `true` です。	NIST SP 800-53 管理策: AC-3
`iam.disableServiceAccountKeyUpload`	この制約により、サービスアカウントキーのカスタムキーマテリアルの漏洩や再利用のリスクを回避できます。サービスアカウントキーのアップロードを無効にする場合、値は `true` です。	NIST SP 800-53 管理策: AC-6
`storage.publicAccessPrevention`	このポリシーにより、未認証のパブリックアクセスによる Cloud Storage バケットへの接続を防ぎます。バケットへのパブリックアクセスを防ぐ場合、値は `true` です。	NIST SP 800-53 管理策: AC-3、AC-6
`iam.allowedPolicyMemberDomains`	この IAM ポリシーへの制限により、選択したドメイン内の管理対象ユーザー ID のみがこの組織内のリソースにアクセスできるようになります。値が `directoryCustomerId` の場合は、ドメイン間の共有が制限されます。	NIST SP 800-53 管理策: AC-3、AC-6、IA-2
`essentialcontacts.allowedContactDomains`	このポリシーでは、重要な連絡先が、選択したドメイン内の管理対象ユーザー ID のみにプラットフォーム通知の受信を許可するように制限します。値は `@google.com` です。ドメインと一致するように値を変更する必要があります。	NIST SP 800-53 管理策: AC-3、AC-6、IA-2
`storage.uniformBucketLevelAccess`	このポリシーは、オブジェクトごとの ACL（IAM ポリシーとは別のシステム）を使用して Cloud Storage バケットに対するアクセスを防ぎ、アクセス管理と監査に整合性をもたらします。均一なバケットレベルのアクセスを適用する場合、値は `true` です。	NIST SP 800-53 管理策: AC-3、AC-6
`compute.requireOsLogin`	このポリシーでは、SSH 認証鍵の管理、IAM ポリシーでのリソースレベルの権限の付与、ユーザーアクセスのロギングをより簡単にするために、新しく作成された VM に OS Login が必要です。 OS Login が必要な場合、値は `true` です。	NIST SP 800-53 管理策: AC-3、AU-12
`compute.disableSerialPortAccess`	このポリシーにより、Compute Engine API コントロールプレーンからのバックドアアクセスに使用できる VM シリアルポートに、ユーザーがアクセスできないようにします。 VM シリアルポートアクセスを無効にする場合、値は `true` です。	NIST SP 800-53 管理策: AC-3、AC-6
`compute.restrictXpnProjectLienRemoval`	このポリシーは、プロジェクトリーエンの削除を制限することで、共有 VPC ホストプロジェクトが誤って削除されるのを防ぎます。共有 VPC プロジェクトリーエンの削除を制限する場合、値は `true` です。	NIST SP 800-53 管理策: AC-3、AC-6
`compute.vmExternalIpAccess`	このポリシーは、受信インターネットトラフィックと送信インターネットトラフィックに公開される可能性があるパブリック IP アドレスを持つ Compute Engine インスタンスの作成を防ぎます。パブリック IP アドレスからのすべてのアクセスを無効にする場合、値は `denyAll` です。	NIST SP 800-53 管理策: AC-3、AC-6
`compute.skipDefaultNetworkCreation`	このポリシーにより、新しい各プロジェクトでのデフォルトの VPC ネットワークとデフォルトのファイアウォールルールの自動作成が無効になり、ネットワークとファイアウォールのルールが意図したとおりに作成されます。デフォルトの VPC ネットワークが作成されないようにする場合、値は `true` になります。	NIST SP 800-53 管理策: AC-3、AC-6
`compute.setNewProjectDefaultToZonalDNSOnly`	このポリシーにより、アプリケーションデベロッパーは、最新の DNS 設定よりもサービスの信頼性が低い Compute Engine インスタンスに対して、以前の DNS 設定を選択できなくなります。新しいプロジェクトの場合、値は `Zonal DNS only` です。	NIST SP 800-53 管理策: AC-3、AC-6
`sql.restrictPublicIp`	このポリシーは、受信インターネットトラフィックと送信インターネットトラフィックに公開される可能性があるパブリック IP アドレスを持つ Cloud SQL インスタンスの作成を防止します。パブリック IP アドレスによる Cloud SQL インスタンスへのアクセスを制限する場合、値は `true` です。	NIST SP 800-53 管理策: AC-3、AC-6
`sql.restrictAuthorizedNetworks`	このポリシーにより、パブリック、または RFC 1918 以外のネットワーク範囲が Cloud SQL データベースにアクセスできなくなります。 Cloud SQL インスタンス上の承認済みネットワークを制限する場合、値は `true` です。	NIST SP 800-53 管理策: AC-3、AC-6
`compute.restrictProtocolForwardingCreationForTypes`	このポリシーでは、内部 IP アドレスに対してのみ VM プロトコル転送を許可します。 IP アドレスのタイプに基づいてプロトコル転送を制限する場合、値は `INTERNAL` です。	NIST SP 800-53 管理策: AC-3、AC-6
`compute.disableVpcExternalIpv6`	このポリシーにより、受信と送信のインターネットトラフィックに公開される可能性のある外部 IPv6 サブネットを作成できなくなります。外部 IPv6 サブネットを無効にする場合、値は `true` です。	NIST SP 800-53 管理策: AC-3、AC-6
`compute.disableNestedVirtualization`	このポリシーは、ネストされた仮想化を無効にして、モニタリングされていないネストされたインスタンスによるセキュリティリスクを軽減します。 VM のネストされた仮想化を無効にする場合、値は `true` です。	NIST SP 800-53 管理策: AC-3、AC-6

ポスチャーテンプレートを表示する

セキュアバイデフォルトのポスチャーテンプレート（拡張）を表示するには、次の操作を行います。

gcloud

後述のコマンドデータを使用する前に、次のように置き換えます。

ORGANIZATION_ID: 組織の数値 ID

gcloud scc posture-templates describe コマンドを実行します。

Linux、macOS、Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Windows（PowerShell）

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Windows（cmd.exe）

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

レスポンスには、ポスチャーテンプレートが含まれます。

REST

リクエストのデータを使用する前に、次のように置き換えます。

ORGANIZATION_ID: 組織の数値 ID

HTTP メソッドと URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

リクエストを送信するには、次のいずれかのオプションを展開します。

curl（Linux、macOS、Cloud Shell）

注: 次のコマンドは、gcloud init または gcloud auth login を実行して、ユーザーアカウントで gcloud CLI にログインしているか、Cloud Shell を使用して自動的に gcloud CLI にログインしていることを前提としています。gcloud auth list を実行すると、現在アクティブなアカウントを確認できます。

次のコマンドを実行します。

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended"

PowerShell（Windows）

注: 次のコマンドは、gcloud init または gcloud auth login を実行して、ご自分のユーザーアカウントで gcloud CLI にログインしていることを前提としています。gcloud auth list を実行すると、現在アクティブなアカウントを確認できます。

次のコマンドを実行します。

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended" | Select-Object -Expand Content

レスポンスには、ポスチャーテンプレートが含まれます。

次のステップ

この事前定義されたポスチャーを使用してセキュリティポスチャーを作成する。

デフォルトでセキュリティを確保するための事前定義されたポスチャー、拡張事項

ポスチャー テンプレートを表示する

gcloud

Linux、macOS、Cloud Shell

Windows（PowerShell）

Windows（cmd.exe）

REST

curl（Linux、macOS、Cloud Shell）

PowerShell（Windows）

次のステップ

ポスチャーテンプレートを表示する