Postura predefinida para a extensão da proteção sempre ativada

Esta página descreve as políticas preventivas incluídas na versão v1.0 da postura predefinida para a configuração "seguro por padrão" estendida. Essa postura predefinida ajuda a evitar configurações incorretas e problemas de segurança comuns causados por configurações padrão.

É possível usar essa postura predefinida para configurar uma postura de segurança que ajude a proteger os recursos do Google Cloud. Se você quiser implantar essa postura predefinida, será necessário personalizar algumas das políticas para que elas sejam aplicadas ao seu ambiente.

Política Descrição Padrões de compliance
iam.disableServiceAccountKeyCreation

Essa restrição impede que os usuários criem chaves permanentes para contas de serviço para diminuir o risco de exposição de credenciais de conta de serviço.

O valor é true para desativar a criação de chaves da conta de serviço.

Controle NIST SP 800-53: AC-2
iam.automaticIamGrantsForDefaultServiceAccounts

Essa restrição impede que as contas de serviço padrão recebam o papel de editor do IAM excessivamente permissivo na criação.

O valor é false para desativar as concessões automáticas do IAM para contas de serviço padrão.

Controle NIST SP 800-53: AC-3
iam.disableServiceAccountKeyUpload

Essa restrição evita o risco de vazamento e reutilização do material de chave personalizada nas chaves de conta de serviço.

O valor é true para desativar os uploads de chaves de conta de serviço.

Controle NIST SP 800-53: AC-6
storage.publicAccessPrevention

Essa política impede que os buckets do Cloud Storage sejam abertos para acesso público não autenticado.

O valor é true para impedir o acesso público aos buckets.

Controle NIST SP 800-53: AC-3 e AC-6
iam.allowedPolicyMemberDomains

Essa política limita as políticas do IAM para permitir que apenas identidades de usuário gerenciadas em domínios selecionados acessem recursos dentro dessa organização.

O valor é directoryCustomerId para restringir o compartilhamento entre domínios.

Controle NIST SP 800-53: AC-3, AC-6 e IA-2
essentialcontacts.allowedContactDomains

Essa política limita os contatos essenciais para permitir que apenas identidades de usuário gerenciadas em domínios selecionados recebam notificações da plataforma.

O valor é @google.com. Mude o valor para corresponder ao seu domínio.

Controle NIST SP 800-53: AC-3, AC-6 e IA-2
storage.uniformBucketLevelAccess

Essa política impede que os buckets do Cloud Storage usem ACLs por objeto (um sistema separado das políticas do IAM) para fornecer acesso, aplicando a consistência para gerenciamento de acesso e auditoria.

O valor é true para aplicar o acesso uniforme no nível do bucket.

Controle NIST SP 800-53: AC-3 e AC-6
compute.requireOsLogin

Essa política exige o Login do SO em VMs recém-criadas para gerenciar chaves SSH com mais facilidade, fornecer permissão no nível do recurso com políticas do IAM e registrar o acesso do usuário.

O valor é true para exigir o Login do SO.

Controle NIST SP 800-53: AC-3 e AU-12
compute.disableSerialPortAccess

Essa política impede que os usuários acessem a porta serial da VM, que pode ser usada para acesso backdoor do plano de controle da API Compute Engine.

O valor é true para desativar o acesso à porta serial da VM.

Controle NIST SP 800-53: AC-3 e AC-6
compute.restrictXpnProjectLienRemoval

Essa política impede a exclusão acidental de projetos host da VPC compartilhada restringindo a remoção de garantias do projeto.

O valor é true para restringir a remoção da garantia do projeto de VPC compartilhada.

Controle NIST SP 800-53: AC-3 e AC-6
compute.vmExternalIpAccess

Essa política impede a criação de instâncias do Compute Engine com um endereço IP público, que pode expô-las ao tráfego de entrada e saída da Internet.

O valor é denyAll para desativar todo o acesso de endereços IP públicos.

Controle NIST SP 800-53: AC-3 e AC-6
compute.skipDefaultNetworkCreation

Essa política desativa a criação automática de uma rede VPC padrão e regras de firewall padrão em cada novo projeto, garantindo que as regras de rede e firewall sejam criadas intencionalmente.

O valor é true para evitar a criação da rede VPC padrão.

Controle NIST SP 800-53: AC-3 e AC-6
compute.setNewProjectDefaultToZonalDNSOnly

Essa política restringe os desenvolvedores de aplicativos a escolher configurações de DNS legadas para instâncias do Compute Engine que têm confiabilidade de serviço inferior às configurações de DNS modernas.

O valor é Zonal DNS only para novos projetos.

Controle NIST SP 800-53: AC-3 e AC-6
sql.restrictPublicIp

Essa política impede a criação de instâncias do Cloud SQL com endereços IP públicos, que podem expô-las ao tráfego de entrada e de saída da Internet.

O valor é true para restringir o acesso a instâncias do Cloud SQL por endereços IP públicos.

Controle NIST SP 800-53: AC-3 e AC-6
sql.restrictAuthorizedNetworks

Essa política impede que intervalos de rede públicos ou não RFC 1918 acessem os bancos de dados do Cloud SQL.

O valor é true para restringir redes autorizadas em instâncias do Cloud SQL.

Controle NIST SP 800-53: AC-3 e AC-6
compute.restrictProtocolForwardingCreationForTypes

Essa política permite o encaminhamento de protocolo da VM apenas para endereços IP internos.

O valor é INTERNAL para restringir o encaminhamento de protocolo com base no tipo de endereço IP.

Controle NIST SP 800-53: AC-3 e AC-6
compute.disableVpcExternalIpv6

Essa política impede a criação de sub-redes IPv6 externas, que podem ser expostas ao tráfego de entrada e saída da Internet.

O valor é true para desativar sub-redes IPv6 externas.

Controle NIST SP 800-53: AC-3 e AC-6
compute.disableNestedVirtualization

Essa política desativa a virtualização aninhada para diminuir o risco de segurança devido a instâncias aninhadas não monitoradas.

O valor é true para desativar a virtualização aninhada da VM.

Controle NIST SP 800-53: AC-3 e AC-6

Conferir o modelo de postura

Para conferir o modelo de postura de "seguro por padrão" estendido, faça o seguinte:

gcloud

Antes de usar os dados do comando abaixo, faça estas substituições:

  • ORGANIZATION_ID: o ID numérico da organização

Execute o comando gcloud scc posture-templates describe:

Linux, macOS ou Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

A resposta contém o modelo de postura.

REST

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • ORGANIZATION_ID: o ID numérico da organização

Método HTTP e URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Para enviar a solicitação, expanda uma destas opções:

A resposta contém o modelo de postura.

A seguir