Postur yang telah ditentukan sebelumnya untuk aman secara default, diperluas

Halaman ini menjelaskan kebijakan pencegahan yang disertakan dalam postur yang telah ditentukan sebelumnya agar aman secara default dan diperluas. Postur yang telah ditentukan ini membantu mencegah kesalahan konfigurasi dan masalah keamanan umum yang disebabkan oleh setelan default.

Anda dapat menggunakan postur yang telah ditentukan ini untuk mengonfigurasi postur keamanan yang membantu melindungi resource Google Cloud. Jika ingin men-deploy postur yang telah ditentukan ini, Anda harus menyesuaikan beberapa kebijakan agar berlaku untuk lingkungan Anda.

Kebijakan Deskripsi Standar kepatuhan
iam.disableServiceAccountKeyCreation

Batasan ini mencegah pengguna membuat kunci persisten untuk akun layanan guna mengurangi risiko kredensial akun layanan terekspos.

Nilainya adalah true untuk menonaktifkan pembuatan kunci akun layanan.

Kontrol NIST SP 800-53: AC-2
iam.automaticIamGrantsForDefaultServiceAccounts

Batasan ini mencegah akun layanan default menerima Editor peran Identity and Access Management (IAM) yang terlalu permisif saat pembuatan.

Nilainya adalah false untuk menonaktifkan pemberian IAM otomatis bagi akun layanan default.

Kontrol NIST SP 800-53: AC-3
iam.disableServiceAccountKeyUpload

Batasan ini menghindari risiko kebocoran dan penggunaan kembali materi kunci kustom di kunci akun layanan.

Nilainya adalah true untuk menonaktifkan upload kunci akun layanan.

Kontrol NIST SP 800-53: AC-6
storage.publicAccessPrevention

Kebijakan ini mencegah bucket Cloud Storage dibuka untuk akses publik yang tidak diautentikasi.

Nilainya adalah true untuk mencegah akses publik ke bucket.

Kontrol NIST SP 800-53: AC-3 dan AC-6
iam.allowedPolicyMemberDomains

Kebijakan ini membatasi kebijakan IAM hanya mengizinkan identitas pengguna terkelola di domain tertentu untuk mengakses resource di dalam organisasi ini.

Nilainya adalah directoryCustomerId untuk membatasi berbagi antar-domain.

Kontrol NIST SP 800-53: AC-3, AC-6, dan IA-2
essentialcontacts.allowedContactDomains

Kebijakan ini membatasi Kontak Penting agar hanya mengizinkan identitas pengguna terkelola di domain tertentu untuk menerima notifikasi platform.

Nilainya adalah @google.com. Anda harus mengubah nilainya agar cocok dengan domain Anda.

Kontrol NIST SP 800-53: AC-3, AC-6, dan IA-2
storage.uniformBucketLevelAccess

Kebijakan ini mencegah bucket Cloud Storage menggunakan ACL per objek (sistem yang terpisah dari kebijakan IAM) untuk memberikan akses, sehingga menerapkan konsistensi untuk pengelolaan dan pengauditan akses.

Nilainya adalah true untuk menerapkan akses level bucket seragam.

Kontrol NIST SP 800-53: AC-3 dan AC-6
compute.requireOsLogin

Kebijakan ini mengharuskan Login OS pada VM yang baru dibuat agar lebih mudah mengelola kunci SSH, memberikan izin tingkat resource dengan kebijakan IAM, dan mencatat akses pengguna ke dalam log.

Nilainya adalah true untuk mewajibkan Login OS.

Kontrol NIST SP 800-53: AC-3 dan AU-12
compute.disableSerialPortAccess

Kebijakan ini mencegah pengguna mengakses port serial VM yang dapat digunakan untuk akses backdoor dari bidang kontrol Compute Engine API.

Nilainya adalah true untuk menonaktifkan akses port serial VM.

Kontrol NIST SP 800-53: AC-3 dan AC-6
compute.restrictXpnProjectLienRemoval

Kebijakan ini mencegah penghapusan project host VPC Bersama secara tidak sengaja dengan membatasi penghapusan lien project.

Nilainya adalah true untuk membatasi penghapusan lien project VPC Bersama.

Kontrol NIST SP 800-53: AC-3 dan AC-6
compute.vmExternalIpAccess

Kebijakan ini mencegah pembuatan instance Compute Engine dengan alamat IP publik, yang dapat mengeksposnya ke traffic internet masuk dan traffic internet keluar.

Nilainya adalah denyAll untuk menonaktifkan semua akses dari alamat IP publik.

Kontrol NIST SP 800-53: AC-3 dan AC-6
compute.skipDefaultNetworkCreation

Kebijakan ini menonaktifkan pembuatan otomatis jaringan VPC default dan aturan firewall default di setiap project baru, yang memastikan bahwa aturan jaringan dan firewall sengaja dibuat.

Nilainya adalah true untuk menghindari pembuatan jaringan VPC default.

Kontrol NIST SP 800-53: AC-3 dan AC-6
compute.setNewProjectDefaultToZonalDNSOnly

Kebijakan ini membatasi developer aplikasi agar tidak memilih setelan DNS lama untuk instance Compute Engine yang memiliki keandalan layanan lebih rendah daripada setelan DNS modern.

Nilainya adalah Zonal DNS only untuk project baru.

Kontrol NIST SP 800-53: AC-3 dan AC-6
sql.restrictPublicIp

Kebijakan ini mencegah pembuatan instance Cloud SQL dengan alamat IP publik, yang dapat mengeksposnya ke traffic internet masuk dan traffic internet keluar.

Nilainya adalah true untuk membatasi akses ke instance Cloud SQL berdasarkan alamat IP publik.

Kontrol NIST SP 800-53: AC-3 dan AC-6
sql.restrictAuthorizedNetworks

Kebijakan ini mencegah rentang jaringan publik atau non-RFC 1918 mengakses database Cloud SQL.

Nilainya adalah true untuk membatasi jaringan yang diizinkan pada instance Cloud SQL.

Kontrol NIST SP 800-53: AC-3 dan AC-6
compute.restrictProtocolForwardingCreationForTypes

Kebijakan ini hanya mengizinkan penerusan protokol VM untuk alamat IP internal.

Nilainya adalah INTERNAL untuk membatasi penerusan protokol berdasarkan jenis alamat IP.

Kontrol NIST SP 800-53: AC-3 dan AC-6
compute.disableVpcExternalIpv6

Kebijakan ini mencegah pembuatan subnet IPv6 eksternal, yang dapat terekspos ke traffic internet masuk dan keluar.

Nilainya adalah true untuk menonaktifkan subnet IPv6 eksternal.

Kontrol NIST SP 800-53: AC-3 dan AC-6
compute.disableNestedVirtualization

Kebijakan ini menonaktifkan virtualisasi bertingkat untuk mengurangi risiko keamanan karena instance bertingkat yang tidak terpantau.

Nilainya adalah true untuk menonaktifkan virtualisasi bertingkat VM.

Kontrol NIST SP 800-53: AC-3 dan AC-6

Definisi YAML

Berikut adalah definisi YAML untuk postur standar untuk setelan default.

name: organizations/123/locations/global/postureTemplates/secure_by_default
description: Posture Template to make your cloud environment more secure.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: Secure-By-Default policy_set
  description: 18 org policies that new customers can automatically enable.
  policies:
  - policy_id: Disable service account key creation
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-2
    constraint:
      org_policy_constraint:
        canned_constraint_id: iam.disableServiceAccountKeyCreation
        policy_rules:
        - enforce: true
    description: Prevent users from creating persistent keys for service accounts to decrease the risk of exposed service account credentials.
  - policy_id: Disable Automatic IAM Grants for Default Service Accounts
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    constraint:
      org_policy_constraint:
        canned_constraint_id: iam.automaticIamGrantsForDefaultServiceAccounts
        policy_rules:
        - enforce: true
    description: Prevent default service accounts from receiving the overly-permissive IAM role Editor at creation.
  - policy_id: Disable Service Account Key Upload
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: iam.disableServiceAccountKeyUpload
        policy_rules:
        - enforce: true
    description: Avoid the risk of leaked and reused custom key material in service account keys.
  - policy_id: Enforce Public Access Prevention
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: storage.publicAccessPrevention
        policy_rules:
        - enforce: true
    description: Enforce that Storage Buckets cannot be configured as open to unauthenticated public access.
  - policy_id: Domain restricted sharing
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    - standard: NIST SP 800-53
      control: IA-2
    constraint:
      org_policy_constraint:
        canned_constraint_id: iam.allowedPolicyMemberDomains
        policy_rules:
        - values:
            allowed_values:
            - directoryCustomerId
    description: Limit IAM policies to only allow managed user identities in my selected domain(s) to access resources inside this organization.
  - policy_id: Domain restricted contacts
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    - standard: NIST SP 800-53
      control: IA-2
    constraint:
      org_policy_constraint:
        canned_constraint_id: essentialcontacts.allowedContactDomains
        policy_rules:
        - values:
            allowed_values:
            - "@google.com"
    description: Limit Essential Contacts to only allow managed user identities in my selected domain(s) to receive platform notifications.
  - policy_id: Enforce uniform bucket-level access
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: storage.uniformBucketLevelAccess
        policy_rules:
        - enforce: true
    description: Prevent GCS buckets from using per-object ACL (a separate system from IAM policies) to provide access, enforcing a consistency for access management and auditing.
  - policy_id: Require OS Login
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AU-12
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.requireOsLogin
        policy_rules:
        - enforce: true
    description: Require OS Login on newly created VMs to more easily manage SSH keys, provide resource-level permission with IAM policies, and log user access.
  - policy_id: Disable VM serial port access
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.disableSerialPortAccess
        policy_rules:
        - enforce: true
    description: Prevent users from accessing the VM serial port which can be used for backdoor access from the Compute Engine API control plane
  - policy_id: Restrict shared VPC project lien removal
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.restrictXpnProjectLienRemoval
        policy_rules:
        - enforce: true
    description: Prevent the accidental deletion of Shared VPC host projects by restricting the removal of project liens.
  - policy_id: Define allowed external IPs for VM instances
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.vmExternalIpAccess
        policy_rules:
        - deny_all: true
    description: Prevent the creation of Compute instances with a public IP, which can expose them to internet ingress and egress.
  - policy_id: Skip default network creation
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.skipDefaultNetworkCreation
        policy_rules:
        - enforce: true
    description: Disable the automatic creation of a default VPC network and default firewall rules in each new project, ensuring that my network and firewall rules are intentionally created.
  - policy_id: Sets the internal DNS setting for new projects to Zonal DNS Only
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.setNewProjectDefaultToZonalDNSOnly
        policy_rules:
        - enforce: true
    description: Set guardrails that application developers cannot choose legacy DNS settings for compute instances that have lower service reliability than modern DNS settings.
  - policy_id: Restrict Public IP access on Cloud SQL instances
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: sql.restrictPublicIp
        policy_rules:
        - enforce: true
    description: Prevent the creation of Cloud SQL instances with a public IP, which can expose them to internet ingress and egress.
  - policy_id: Restrict Authorized Networks on Cloud SQL instances
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: sql.restrictAuthorizedNetworks
        policy_rules:
        - enforce: true
    description: Prevent public or non-RFC 1918 network ranges from accessing my Cloud SQL databases.
  - policy_id: Restrict Protocol Forwarding Based on type of IP Address
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.restrictProtocolForwardingCreationForTypes
        policy_rules:
        - values:
            allowed_values:
            - INTERNAL
    description: Allow VM protocol forwarding for internal IP addresses only.
  - policy_id: Disable VPC External IPv6 usage
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.disableVpcExternalIpv6
        policy_rules:
        - enforce: true
    description: Prevent the creation of external IPv6 subnets, which can be exposed to internet ingress and egress.
  - policy_id: Disable VM nested virtualization
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.disableNestedVirtualization
        policy_rules:
        - enforce: true
    description: Disable nested virtualization to decrease my security risk due to unmonitored nested instances.

Langkah selanjutnya