En esta página, se describen las políticas preventivas que se incluyen en la versión 1.0 de la postura predefinida para la seguridad predeterminada extendida. Esta postura predefinida ayuda a evitar configuraciones incorrectas y problemas de seguridad comunes causados por la configuración predeterminada.
Puedes usar esta postura predefinida para configurar una postura de seguridad que ayude proteger recursos de Google Cloud. Si quieres implementar esta postura predefinida, debes personalizar algunas de las políticas para que se apliquen a tu entorno.
Política | Descripción | Estándares de cumplimiento |
---|---|---|
iam.disableServiceAccountKeyCreation |
Esta restricción impide que los usuarios creen claves persistentes para para disminuir el riesgo de que se expongan sus credenciales. El
el valor es |
Control de la SP 800-53 del NIST: AC-2 |
iam.automaticIamGrantsForDefaultServiceAccounts |
Esta restricción impide que las cuentas de servicio predeterminadas Editor de roles de Identity and Access Management (IAM) demasiado permisivo en la creación. El
El valor es |
Control de NIST SP 800-53: AC-3 |
iam.disableServiceAccountKeyUpload |
Esta restricción evita el riesgo de filtración y reutilización de material de claves personalizadas en las claves de la cuenta de servicio. El valor es |
Control de la SP 800-53 del NIST: AC-6 |
storage.publicAccessPrevention |
Esta política evita que los buckets de Cloud Storage estén abiertos al acceso público no autenticado. El valor es |
Control de NIST SP 800-53: AC-3 y AC-6 |
iam.allowedPolicyMemberDomains |
Esta política limita Las políticas de IAM solo permiten las identidades de usuario administradas en los grupos para acceder a los recursos de esta organización. El valor es |
Control de la SP 800-53 del NIST: AC-3, IA-6 y AC-6 |
essentialcontacts.allowedContactDomains |
Esta política limita a los contactos esenciales para que solo permitan identidades de usuario administradas en dominios seleccionados para recibir notificaciones de la plataforma. El valor es
|
Control de la SP 800-53 del NIST: AC-3, AC-6 y IA-2 |
storage.uniformBucketLevelAccess |
Esta política impide que los buckets de Cloud Storage usen LCA por objeto (un sistema de políticas de IAM) para proporcionar acceso y aplicar coherencia a la administración y auditoría de accesos. El valor es |
Control de la SP 800-53 del NIST: AC-3 y AC-6 |
compute.requireOsLogin |
Esta requiere Acceso al SO en las aplicaciones las VMs para administrar las claves SSH con más facilidad, otorguen permisos a nivel del recurso con políticas de IAM y registros del acceso de los usuarios. El valor es
|
Control de NIST SP 800-53: AC-3 y AU-12 |
compute.disableSerialPortAccess |
Esta política impide que los usuarios accedan al puerto en serie de la VM, que se puede usar para el acceso a puertas traseras desde el plano de control de la API de Compute Engine. El valor es |
Control de la SP 800-53 del NIST: AC-3 y AC-6 |
compute.restrictXpnProjectLienRemoval |
Esta política evita que se borre por accidente el host de la VPC compartida. proyectos restringiendo la eliminación de retenciones de proyectos. El valor es |
Control de la SP 800-53 del NIST: AC-3 y AC-6 |
compute.vmExternalIpAccess |
Esta política evita que las crear instancias de Compute Engine con una dirección IP pública, que puede Exponerlos al tráfico de Internet entrante y saliente tráfico. El valor es |
Control de NIST SP 800-53: AC-3 y AC-6 |
compute.skipDefaultNetworkCreation |
Esta política inhabilita la creación automática de una red de VPC predeterminada y reglas de firewall predeterminadas en cada proyecto nuevo, lo que garantiza que las reglas de red y firewall se creen de forma intencional. El valor es |
Control de la SP 800-53 del NIST: AC-3 y AC-6 |
compute.setNewProjectDefaultToZonalDNSOnly |
Esta política no permite que los desarrolladores de aplicaciones elijan DNS heredado predeterminada para las instancias de Compute Engine que tienen una confiabilidad de servicio menor que configuración de DNS moderna. El valor es |
Control de NIST SP 800-53: AC-3 y AC-6 |
sql.restrictPublicIp |
Esta política evita que las la creación de instancias de Cloud SQL con direcciones IP públicas, que pueden Exponerlos al tráfico de Internet entrante y saliente tráfico. El valor es |
Control de NIST SP 800-53: AC-3 y AC-6 |
sql.restrictAuthorizedNetworks |
Esta política impide rangos de red públicos o que no sean RFC 1918 desde el acceso a Cloud SQL bases de datos. El valor es |
Control de NIST SP 800-53: AC-3 y AC-6 |
compute.restrictProtocolForwardingCreationForTypes |
Esta política permite el reenvío de protocolos de VM solo para direcciones IP internas. El valor es |
Control de NIST SP 800-53: AC-3 y AC-6 |
compute.disableVpcExternalIpv6 |
Esta política impide la creación de subredes IPv6 externas, que se pueden exponer al tráfico de Internet entrante y saliente. El valor es |
Control de la SP 800-53 del NIST: AC-3 y AC-6 |
compute.disableNestedVirtualization |
Esta política inhabilita la virtualización anidada para disminuir el riesgo de seguridad debido a instancias anidadas sin supervisión. El valor es |
Control de la SP 800-53 del NIST: AC-3 y AC-6 |
Visualiza la plantilla de postura
Para ver la plantilla de postura de forma segura de forma predeterminada y extendida, haz lo siguiente:
gcloud
Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:
-
ORGANIZATION_ID
: El ID numérico de la organización
Ejecuta el comando
gcloud scc posture-templates
describe
:
:
Linux, macOS o Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended
La respuesta contiene la plantilla de postura.
REST
Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:
-
ORGANIZATION_ID
: El ID numérico de la organización
Método HTTP y URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended
Para enviar tu solicitud, expande una de estas opciones:
La respuesta contiene la plantilla de postura.