Postura predefinita per sicurezza per impostazione predefinita, estesa

In questa pagina vengono descritte le norme preventive incluse nella versione 1.0 della postura predefinita per la sicurezza per impostazione predefinita, estesa. Questo la postura predefinita aiuta a prevenire gli errori di configurazione più comuni e la sicurezza problemi causati dalle impostazioni predefinite.

Puoi utilizzare questa postura predefinita per configurare una postura di sicurezza che contribuisca a proteggere le risorse Google Cloud. Se vuoi implementare questa postura predefinita, devi personalizzare alcuni criteri in modo che si applichino al tuo ambiente.

Norme Descrizione Standard di conformità
iam.disableServiceAccountKeyCreation

Questo vincolo impedisce agli utenti di creare chiavi permanenti per il servizio per ridurre il rischio di compromissione delle credenziali degli account di servizio.

Il valore è true per disattivare la creazione di chiavi dell'account di servizio.

Controllo NIST SP 800-53: AC-2
iam.automaticIamGrantsForDefaultServiceAccounts

Questo vincolo impedisce agli account di servizio predefiniti di ricevere Editor del ruolo Identity and Access Management (IAM) eccessivamente permissivo al momento della creazione.

La il valore è false per disabilitare le concessioni IAM automatiche per il servizio predefinito .

Controllo NIST SP 800-53: AC-3
iam.disableServiceAccountKeyUpload

Questo vincolo evita il rischio di perdita e riutilizzo del materiale delle chiavi personalizzate nell'account di servizio chiave.

Il valore è true per disattivare i caricamenti delle chiavi dell'account di servizio.

Controllo NIST SP 800-53: AC-6
storage.publicAccessPrevention

Questo criterio impedisce Apertura al pubblico non autenticato dei bucket Cloud Storage l'accesso.

Il valore è true per impedire l'accesso pubblico a bucket.

Controllo NIST SP 800-53: AC-3 e AC-6
iam.allowedPolicyMemberDomains

Questo criterio limita i criteri IAM in modo da consentire solo alle identità utente gestite nei domini selezionati di accedere alle risorse all'interno di questa organizzazione.

Il valore è directoryCustomerId per limitare la condivisione tra domini.

Controllo NIST SP 800-53: AC-3, AC-6 e IA-2
essentialcontacts.allowedContactDomains

Questo criterio limita i contatti necessari in modo da consentire solo alle identità utente gestite nei domini selezionati di ricevere notifiche della piattaforma.

Il valore è @google.com. Devi modificare il valore in modo che corrisponda al tuo dominio.

Controllo NIST SP 800-53: AC-3, AC-6 e IA-2
storage.uniformBucketLevelAccess

Queste norme impedisce ai bucket Cloud Storage di utilizzare l'ACL per ogni oggetto (un sistema separato dai criteri IAM) per fornire l'accesso, applicando la coerenza la gestione e il controllo degli accessi.

Il valore è true da applicare accesso uniforme a livello di bucket.

Controllo NIST SP 800-53: AC-3 e AC-6
compute.requireOsLogin

Questo il criterio richiede OS Login sui server VM per gestire più facilmente le chiavi SSH e fornire autorizzazioni a livello di risorsa i criteri IAM e l'accesso degli utenti di log.

Il valore è true per richiedere OS Login.

Controllo NIST SP 800-53: AC-3 e AU-12
compute.disableSerialPortAccess

Queste norme impedisce agli utenti di accedere alla porta seriale della VM che può essere utilizzata per la backdoor dal piano di controllo dell'API Compute Engine.

Il valore è true per disattivare l'accesso alla porta seriale della VM.

Controllo NIST SP 800-53: AC-3 e AC-6
compute.restrictXpnProjectLienRemoval

Questo criterio impedisce l'eliminazione accidentale dell'host del VPC condiviso limitando la rimozione dei blocchi.

Il valore è true per limitare la rimozione dei blocchi sul progetto del VPC condiviso.

Controllo NIST SP 800-53: AC-3 e AC-6
compute.vmExternalIpAccess

Questo criterio impedisce la creazione di istanze Compute Engine con un indirizzo IP pubblico, con conseguente rischio di esposizione al traffico internet in entrata e in uscita.

Il valore è denyAll per disattivare tutto l'accesso da indirizzi IP pubblici.

Controllo NIST SP 800-53: AC-3 e AC-6
compute.skipDefaultNetworkCreation

Questo disattiva la creazione automatica di una rete VPC predefinita e di regole firewall predefinite in ogni nuovo progetto, garantendo che le regole di rete e firewall vengano create intenzionalmente.

Il valore è true per evitare di creare la rete VPC predefinita.

Controllo NIST SP 800-53: AC-3 e AC-6
compute.setNewProjectDefaultToZonalDNSOnly

Questo criterio impedisce agli sviluppatori di applicazioni di scegliere impostazioni DNS legacy per le istanze Compute Engine con un'affidabilità del servizio inferiore rispetto alle impostazioni DNS moderne.

Il valore è Zonal DNS only per i nuovi in modo programmatico a gestire i progetti.

Controllo NIST SP 800-53: AC-3 e AC-6
sql.restrictPublicIp

Questo criterio impedisce la creazione di istanze Cloud SQL con indirizzi IP pubblici, con conseguente rischio di esposizione al traffico internet in entrata e in uscita.

Il valore è true per limitare l'accesso alle istanze Cloud SQL in base agli indirizzi IP pubblici.

Controllo NIST SP 800-53: AC-3 e AC-6
sql.restrictAuthorizedNetworks

Questo criterio impedisce di reti pubbliche o non RFC 1918, dall'accesso a Cloud SQL o Microsoft SQL Server.

Il valore è true per limitare le reti autorizzate sulle istanze Cloud SQL.

Controllo NIST SP 800-53: AC-3 e AC-6
compute.restrictProtocolForwardingCreationForTypes

Questo criterio consente l'inoltro del protocollo VM solo per gli indirizzi IP interni.

Il valore è INTERNAL per limitare il forwarding di protocollo in base al tipo di indirizzo IP.

Controllo NIST SP 800-53: AC-3 e AC-6
compute.disableVpcExternalIpv6

Questo criterio impedisce la creazione di subnet IPv6 esterne, che possono essere esposte al traffico internet in entrata e in uscita.

Il valore è true per disattivare le subnet IPv6 esterne.

Controllo NIST SP 800-53: AC-3 e AC-6
compute.disableNestedVirtualization

Queste norme disabilita la virtualizzazione nidificata per ridurre i rischi per la sicurezza a causa di eventi nidificate.

Il valore è true per disattivare la VM nidificata la virtualizzazione.

Controllo NIST SP 800-53: AC-3 e AC-6

Visualizza il modello di postura

Per visualizzare il modello di conformità per la sicurezza per impostazione predefinita, esteso:

gcloud

Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

  • ORGANIZATION_ID: l'ID numerico dell'organizzazione

Esegui la gcloud scc posture-templates describe :

Linux, macOS o Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

La risposta contiene il modello di postura.

REST

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • ORGANIZATION_ID: l'ID numerico dell'organizzazione

Metodo HTTP e URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Per inviare la richiesta, espandi una delle seguenti opzioni:

La risposta contiene il modello di postura.

Passaggi successivi