预定义的默认安全扩展的状况

本页面介绍了预定义状况 v1.0 版中包含的默认安全扩展的预防性政策。这种预定义的状况有助于防止由默认设置导致的常见配置错误和常见安全问题。

您可以使用此预定义状况来配置有助于保护Google Cloud 资源的安全状况。如果您想部署此预定义的状况,必须自定义部分政策,使其适用于您的环境。

政策 说明 合规性标准
iam.disableServiceAccountKeyCreation

此限制条件可防止用户为服务账号创建永久密钥,从而降低服务账号凭证泄露的风险。

值为 true 时,表示停用服务账号密钥创建。

 NIST SP 800-53 控制措施:AC-2
iam.automaticIamGrantsForDefaultServiceAccounts

此限制条件可防止默认服务账号在创建时接收过于宽松的 Identity and Access Management (IAM) 角色 Editor。

值为 true 时,表示停用默认服务账号的自动 IAM 授权。

 NIST SP 800-53 控制措施:AC-3
iam.disableServiceAccountKeyUpload

此限制条件可避免服务账号密钥中泄露和重复使用自定义密钥材料的风险。

值为 true 时,表示停用服务账号密钥上传。

 NIST SP 800-53 控制措施:AC-6
storage.publicAccessPrevention

此政策可防止 Cloud Storage 存储桶向未经身份验证的公共访问开放。

值为 true 时,表示防止公开访问存储桶。

 NIST SP 800-53 控制措施:AC-3 和 AC-6
iam.allowedPolicyMemberDomains

此政策会限制 IAM 政策,从而仅允许所选网域中受管理的用户身份访问此组织内的资源。

值为 directoryCustomerId 时,表示限制网域之间的共享。

 NIST SP 800-53 控制措施:AC-3、AC-6 和 IA-2
essentialcontacts.allowedContactDomains

此政策会限制“重要联系人”,从而仅允许所选网域中受管理的用户身份接收平台通知。

值为 @google.com。您必须更改该值以匹配您的网域。

 NIST SP 800-53 控制措施:AC-3、AC-6 和 IA-2
storage.uniformBucketLevelAccess

此政策可防止 Cloud Storage 存储桶使用按对象 ACL(与 IAM 政策分开的系统)来提供访问权限,从而确保访问管理和审核的一致性。

值为 true 时,表示强制执行统一存储桶级访问权限

 NIST SP 800-53 控制措施:AC-3 和 AC-6
compute.requireOsLogin

此政策要求在新创建的虚拟机上启用 OS Login,以便更轻松地管理 SSH 密钥、通过 IAM 政策提供资源级权限,以及记录用户访问权限。

值为 true 时,表示需要 OS Login。

 NIST SP 800-53 控制措施:AC-3 和 AU-12
compute.disableSerialPortAccess

此政策可防止用户访问虚拟机串行端口,该端口可用于通过 Compute Engine API 控制平面进行后门访问。

值为 true 时,表示停用虚拟机串行端口访问权限。

 NIST SP 800-53 控制措施:AC-3 和 AC-6
compute.restrictXpnProjectLienRemoval

此政策通过限制项目安全锁的移除,来防止意外删除共享 VPC 宿主项目。

值为 true 时,表示限制共享 VPC 项目安全锁移除。

 NIST SP 800-53 控制措施:AC-3 和 AC-6
compute.vmExternalIpAccess

此政策可防止创建具有公共 IP 地址的 Compute Engine 实例,此类地址可能会向传入网络流量和传出网络流量开放实例。

值为 denyAll 时,表示关闭来自公共 IP 地址的所有访问权限。

 NIST SP 800-53 控制措施:AC-3 和 AC-6
compute.skipDefaultNetworkCreation

此政策会禁止在每个新项目中自动创建默认 VPC 网络和默认防火墙规则,从而确保网络和防火墙规则是特意创建的。

值为 true 时,表示避免创建默认 VPC 网络。

 NIST SP 800-53 控制措施:AC-3 和 AC-6
compute.setNewProjectDefaultToZonalDNSOnly

此政策会限制应用开发者为 Compute Engine 实例选择旧版 DNS 设置,因为这些设置的服务可靠性低于新版 DNS 设置。

对于新项目,此值为 Zonal DNS only

 NIST SP 800-53 控制措施:AC-3 和 AC-6
sql.restrictPublicIp

此政策可防止创建具有公共 IP 地址的 Cloud SQL 实例,此类地址可能会向传入网络流量和传出网络流量开放实例。

值为 true 时,表示限制通过公共 IP 地址对 Cloud SQL 实例的访问。

 NIST SP 800-53 控制措施:AC-3 和 AC-6
sql.restrictAuthorizedNetworks

此政策可防止公共或非 RFC 1918 网络范围访问 Cloud SQL 数据库。

值为 true 时,表示限制 Cloud SQL 实例上的授权网络。

 NIST SP 800-53 控制措施:AC-3 和 AC-6
compute.restrictProtocolForwardingCreationForTypes

此政策仅允许为内部 IP 地址转发虚拟机协议。

值为 INTERNAL 时,表示根据 IP 地址类型限制协议转发。

 NIST SP 800-53 控制措施:AC-3 和 AC-6
compute.disableVpcExternalIpv6

此政策会阻止创建外部 IPv6 子网,此类子网可能会暴露给传入和传出网络流量。

值为 true 时,表示停用外部 IPv6 子网。

 NIST SP 800-53 控制措施:AC-3 和 AC-6
compute.disableNestedVirtualization

此政策会停用嵌套虚拟化,以降低因不受监控的嵌套实例而导致的安全风险。

值为 true 时,表示关闭虚拟机嵌套虚拟化。

 NIST SP 800-53 控制措施:AC-3 和 AC-6

查看安全状况模板

如需查看默认安全扩展的状况模板,请执行以下操作:

gcloud

在使用下面的命令数据之前,请先进行以下替换:

  • ORGANIZATION_ID:组织的数字 ID

执行 gcloud scc posture-templates describe 命令:

Linux、macOS 或 Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

响应包含安全状况模板。

REST

在使用任何请求数据之前,请先进行以下替换:

  • ORGANIZATION_ID:组织的数字 ID

HTTP 方法和网址:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

如需发送您的请求,请展开以下选项之一:

响应包含安全状况模板。

后续步骤