Esta página descreve as políticas preventivas incluídas na versão v1.0 da postura predefinida para a configuração "seguro por padrão" estendida. Essa postura predefinida ajuda a evitar configurações incorretas e problemas de segurança comuns causados por configurações padrão.
É possível usar essa postura predefinida para configurar uma postura de segurança que ajude a proteger os recursos do Google Cloud. Se você quiser implantar essa postura predefinida, será necessário personalizar algumas das políticas para que elas sejam aplicadas ao seu ambiente.
Política | Descrição | Padrões de compliance |
---|---|---|
iam.disableServiceAccountKeyCreation |
Essa restrição impede que os usuários criem chaves permanentes para contas de serviço para diminuir o risco de exposição de credenciais de conta de serviço. O
valor é |
Controle NIST SP 800-53: AC-2 |
iam.automaticIamGrantsForDefaultServiceAccounts |
Essa restrição impede que as contas de serviço padrão recebam o papel de editor do IAM excessivamente permissivo na criação. O valor é |
Controle NIST SP 800-53: AC-3 |
iam.disableServiceAccountKeyUpload |
Essa restrição evita o risco de vazamento e reutilização do material de chave personalizada nas chaves de conta de serviço. O valor é |
Controle NIST SP 800-53: AC-6 |
storage.publicAccessPrevention |
Essa política impede que os buckets do Cloud Storage sejam abertos para acesso público não autenticado. O valor é |
Controle NIST SP 800-53: AC-3 e AC-6 |
iam.allowedPolicyMemberDomains |
Essa política limita as políticas do IAM para permitir que apenas identidades de usuário gerenciadas em domínios selecionados acessem recursos dentro dessa organização. O valor é
|
Controle NIST SP 800-53: AC-3, AC-6 e IA-2 |
essentialcontacts.allowedContactDomains |
Essa política limita os contatos essenciais para permitir que apenas identidades de usuário gerenciadas em domínios selecionados recebam notificações da plataforma. O valor é
|
Controle NIST SP 800-53: AC-3, AC-6 e IA-2 |
storage.uniformBucketLevelAccess |
Essa política impede que os buckets do Cloud Storage usem ACLs por objeto (um sistema separado das políticas do IAM) para fornecer acesso, aplicando a consistência para gerenciamento de acesso e auditoria. O valor é |
Controle NIST SP 800-53: AC-3 e AC-6 |
compute.requireOsLogin |
Essa política exige o Login do SO em VMs recém-criadas para gerenciar chaves SSH com mais facilidade, fornecer permissão no nível do recurso com políticas do IAM e registrar o acesso do usuário. O valor é
|
Controle NIST SP 800-53: AC-3 e AU-12 |
compute.disableSerialPortAccess |
Essa política impede que os usuários acessem a porta serial da VM, que pode ser usada para acesso backdoor do plano de controle da API Compute Engine. O valor é |
Controle NIST SP 800-53: AC-3 e AC-6 |
compute.restrictXpnProjectLienRemoval |
Essa política impede a exclusão acidental de projetos host da VPC compartilhada restringindo a remoção de garantias do projeto. O valor é
|
Controle NIST SP 800-53: AC-3 e AC-6 |
compute.vmExternalIpAccess |
Essa política impede a criação de instâncias do Compute Engine com um endereço IP público, que pode expô-las ao tráfego de entrada e saída da Internet. O valor é |
Controle NIST SP 800-53: AC-3 e AC-6 |
compute.skipDefaultNetworkCreation |
Essa política desativa a criação automática de uma rede VPC padrão e regras de firewall padrão em cada novo projeto, garantindo que as regras de rede e firewall sejam criadas intencionalmente. O valor é |
Controle NIST SP 800-53: AC-3 e AC-6 |
compute.setNewProjectDefaultToZonalDNSOnly |
Essa política restringe os desenvolvedores de aplicativos a escolher configurações de DNS legadas para instâncias do Compute Engine que têm confiabilidade de serviço inferior às configurações de DNS modernas. O valor é |
Controle NIST SP 800-53: AC-3 e AC-6 |
sql.restrictPublicIp |
Essa política impede a criação de instâncias do Cloud SQL com endereços IP públicos, que podem expô-las ao tráfego de entrada e de saída da Internet. O valor é |
Controle NIST SP 800-53: AC-3 e AC-6 |
sql.restrictAuthorizedNetworks |
Essa política impede que intervalos de rede públicos ou não RFC 1918 acessem os bancos de dados do Cloud SQL. O valor é |
Controle NIST SP 800-53: AC-3 e AC-6 |
compute.restrictProtocolForwardingCreationForTypes |
Essa política permite o encaminhamento de protocolo da VM apenas para endereços IP internos. O valor é |
Controle NIST SP 800-53: AC-3 e AC-6 |
compute.disableVpcExternalIpv6 |
Essa política impede a criação de sub-redes IPv6 externas, que podem ser expostas ao tráfego de entrada e saída da Internet. O valor é
|
Controle NIST SP 800-53: AC-3 e AC-6 |
compute.disableNestedVirtualization |
Essa política desativa a virtualização aninhada para diminuir o risco de segurança devido a instâncias aninhadas não monitoradas. O valor é |
Controle NIST SP 800-53: AC-3 e AC-6 |
Conferir o modelo de postura
Para conferir o modelo de postura de "seguro por padrão" estendido, faça o seguinte:
gcloud
Antes de usar os dados do comando abaixo, faça estas substituições:
-
ORGANIZATION_ID
: o ID numérico da organização
Execute o comando
gcloud scc posture-templates
describe
:
Linux, macOS ou Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended
A resposta contém o modelo de postura.
REST
Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:
-
ORGANIZATION_ID
: o ID numérico da organização
Método HTTP e URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended
Para enviar a solicitação, expanda uma destas opções:
A resposta contém o modelo de postura.