Questa pagina descrive i criteri preventivi inclusi nella versione v1.0 della postura predefinita per la sicurezza, estesa per impostazione predefinita. Questa postura predefinita aiuta a prevenire gli errori di configurazione comuni e i problemi di sicurezza più comuni causati dalle impostazioni predefinite.
Puoi utilizzare questa postura predefinita per configurare una postura di sicurezza che aiuti a proteggere le risorse Google Cloud. Se vuoi eseguire il deployment di questa postura predefinita, devi personalizzare alcuni dei criteri in modo che vengano applicati al tuo ambiente.
Norme | Descrizione | Standard di conformità |
---|---|---|
iam.disableServiceAccountKeyCreation |
Questo vincolo impedisce agli utenti di creare chiavi permanenti per gli account di servizio per ridurre il rischio di compromissione delle credenziali degli account di servizio. Il valore è |
Controllo NIST SP 800-53: AC-2 |
iam.automaticIamGrantsForDefaultServiceAccounts |
Questo vincolo impedisce agli account di servizio predefiniti di ricevere il ruolo EditorIdentity and Access Managementi (IAM) eccessivamente permissivo al momento della creazione. Il valore è |
Controllo NIST SP 800-53: AC-3 |
iam.disableServiceAccountKeyUpload |
Questo vincolo evita il rischio di perdita e riutilizzo del materiale delle chiavi personalizzate nelle chiavi degli account di servizio. Il valore è |
Controllo NIST SP 800-53: AC-6 |
storage.publicAccessPrevention |
Questo criterio impedisce ai bucket Cloud Storage di essere aperti all'accesso pubblico non autenticato. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
iam.allowedPolicyMemberDomains |
Questo criterio limita i criteri IAM in modo da consentire solo alle identità utente gestite nei domini selezionati di accedere alle risorse all'interno di questa organizzazione. Il valore è |
Controllo NIST SP 800-53: AC-3, AC-6 e IA-2 |
essentialcontacts.allowedContactDomains |
Questo criterio limita i contatti necessari a consentire solo alle identità utente gestite nei domini selezionati di ricevere notifiche della piattaforma. Il valore è |
Controllo NIST SP 800-53: AC-3, AC-6 e IA-2 |
storage.uniformBucketLevelAccess |
Questo criterio impedisce ai bucket Cloud Storage di utilizzare l'ACL per oggetto (un sistema separato dai criteri IAM) per fornire l'accesso, garantendo coerenza per la gestione e il controllo degli accessi. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
compute.requireOsLogin |
Questo criterio richiede OS Login sulle VM appena create per gestire più facilmente le chiavi SSH, fornire autorizzazioni a livello di risorsa con i criteri IAM e registrare l'accesso degli utenti. Il valore è |
Controllo NIST SP 800-53: AC-3 e AU-12 |
compute.disableSerialPortAccess |
Questo criterio impedisce agli utenti di accedere alla porta seriale della VM che può essere utilizzata per l'accesso backdoor dal piano di controllo dell'API Compute Engine. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
compute.restrictXpnProjectLienRemoval |
Questo criterio impedisce l'eliminazione accidentale dei progetti host del VPC condiviso limitando la rimozione dei blocchi sui progetti. Il valore è
|
Controllo NIST SP 800-53: AC-3 e AC-6 |
compute.vmExternalIpAccess |
Questo criterio impedisce la creazione di istanze Compute Engine con un indirizzo IP pubblico, che potrebbe esporle al traffico internet in entrata e al traffico internet in uscita. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
compute.skipDefaultNetworkCreation |
Questo criterio disattiva la creazione automatica di una rete VPC predefinita e di regole firewall predefinite in ogni nuovo progetto, garantendo che le regole di rete e firewall vengano create intenzionalmente. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
compute.setNewProjectDefaultToZonalDNSOnly |
Questo criterio impedisce agli sviluppatori di applicazioni di scegliere impostazioni DNS legacy per le istanze di Compute Engine con affidabilità del servizio inferiore rispetto alle impostazioni DNS moderne. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
sql.restrictPublicIp |
Questo criterio impedisce la creazione di istanze Cloud SQL con indirizzi IP pubblici, che possono esporle al traffico internet in entrata e al traffico internet in uscita. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
sql.restrictAuthorizedNetworks |
Questo criterio impedisce agli intervalli di rete pubbliche o non conformi alla RFC 1918 di accedere ai database Cloud SQL. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
compute.restrictProtocolForwardingCreationForTypes |
Questo criterio consente l'inoltro del protocollo VM solo per gli indirizzi IP interni. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
compute.disableVpcExternalIpv6 |
Questo criterio impedisce la creazione di subnet IPv6 esterne, che possono essere esposte al traffico internet in entrata e in uscita. Il valore è
|
Controllo NIST SP 800-53: AC-3 e AC-6 |
compute.disableNestedVirtualization |
Questo criterio disabilita la virtualizzazione nidificata per ridurre i rischi per la sicurezza dovuti a istanze nidificate non monitorate. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
Definizione YAML
Di seguito è riportata la definizione YAML per la postura predefinita per le impostazioni predefinite.
name: organizations/123/locations/global/postureTemplates/secure_by_default
description: Posture Template to make your cloud environment more secure.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: Secure-By-Default policy_set
description: 18 org policies that new customers can automatically enable.
policies:
- policy_id: Disable service account key creation
compliance_standards:
- standard: NIST SP 800-53
control: AC-2
constraint:
org_policy_constraint:
canned_constraint_id: iam.disableServiceAccountKeyCreation
policy_rules:
- enforce: true
description: Prevent users from creating persistent keys for service accounts to decrease the risk of exposed service account credentials.
- policy_id: Disable Automatic IAM Grants for Default Service Accounts
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
constraint:
org_policy_constraint:
canned_constraint_id: iam.automaticIamGrantsForDefaultServiceAccounts
policy_rules:
- enforce: true
description: Prevent default service accounts from receiving the overly-permissive IAM role Editor at creation.
- policy_id: Disable Service Account Key Upload
compliance_standards:
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: iam.disableServiceAccountKeyUpload
policy_rules:
- enforce: true
description: Avoid the risk of leaked and reused custom key material in service account keys.
- policy_id: Enforce Public Access Prevention
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: storage.publicAccessPrevention
policy_rules:
- enforce: true
description: Enforce that Storage Buckets cannot be configured as open to unauthenticated public access.
- policy_id: Domain restricted sharing
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
- standard: NIST SP 800-53
control: IA-2
constraint:
org_policy_constraint:
canned_constraint_id: iam.allowedPolicyMemberDomains
policy_rules:
- values:
allowed_values:
- directoryCustomerId
description: Limit IAM policies to only allow managed user identities in my selected domain(s) to access resources inside this organization.
- policy_id: Domain restricted contacts
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
- standard: NIST SP 800-53
control: IA-2
constraint:
org_policy_constraint:
canned_constraint_id: essentialcontacts.allowedContactDomains
policy_rules:
- values:
allowed_values:
- "@google.com"
description: Limit Essential Contacts to only allow managed user identities in my selected domain(s) to receive platform notifications.
- policy_id: Enforce uniform bucket-level access
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: storage.uniformBucketLevelAccess
policy_rules:
- enforce: true
description: Prevent GCS buckets from using per-object ACL (a separate system from IAM policies) to provide access, enforcing a consistency for access management and auditing.
- policy_id: Require OS Login
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AU-12
constraint:
org_policy_constraint:
canned_constraint_id: compute.requireOsLogin
policy_rules:
- enforce: true
description: Require OS Login on newly created VMs to more easily manage SSH keys, provide resource-level permission with IAM policies, and log user access.
- policy_id: Disable VM serial port access
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.disableSerialPortAccess
policy_rules:
- enforce: true
description: Prevent users from accessing the VM serial port which can be used for backdoor access from the Compute Engine API control plane
- policy_id: Restrict shared VPC project lien removal
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.restrictXpnProjectLienRemoval
policy_rules:
- enforce: true
description: Prevent the accidental deletion of Shared VPC host projects by restricting the removal of project liens.
- policy_id: Define allowed external IPs for VM instances
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.vmExternalIpAccess
policy_rules:
- deny_all: true
description: Prevent the creation of Compute instances with a public IP, which can expose them to internet ingress and egress.
- policy_id: Skip default network creation
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.skipDefaultNetworkCreation
policy_rules:
- enforce: true
description: Disable the automatic creation of a default VPC network and default firewall rules in each new project, ensuring that my network and firewall rules are intentionally created.
- policy_id: Sets the internal DNS setting for new projects to Zonal DNS Only
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.setNewProjectDefaultToZonalDNSOnly
policy_rules:
- enforce: true
description: Set guardrails that application developers cannot choose legacy DNS settings for compute instances that have lower service reliability than modern DNS settings.
- policy_id: Restrict Public IP access on Cloud SQL instances
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: sql.restrictPublicIp
policy_rules:
- enforce: true
description: Prevent the creation of Cloud SQL instances with a public IP, which can expose them to internet ingress and egress.
- policy_id: Restrict Authorized Networks on Cloud SQL instances
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: sql.restrictAuthorizedNetworks
policy_rules:
- enforce: true
description: Prevent public or non-RFC 1918 network ranges from accessing my Cloud SQL databases.
- policy_id: Restrict Protocol Forwarding Based on type of IP Address
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.restrictProtocolForwardingCreationForTypes
policy_rules:
- values:
allowed_values:
- INTERNAL
description: Allow VM protocol forwarding for internal IP addresses only.
- policy_id: Disable VPC External IPv6 usage
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.disableVpcExternalIpv6
policy_rules:
- enforce: true
description: Prevent the creation of external IPv6 subnets, which can be exposed to internet ingress and egress.
- policy_id: Disable VM nested virtualization
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.disableNestedVirtualization
policy_rules:
- enforce: true
description: Disable nested virtualization to decrease my security risk due to unmonitored nested instances.