デフォルトでセキュリティを確保するための事前定義されたポスチャー、拡張事項

このページでは、デフォルトでセキュリティを確保するための事前定義されたポスチャー v1.0 バージョンに含まれる予防的ポリシーの拡張事項について説明します。この事前定義されたポスチャーは、デフォルト設定に起因する一般的な構成ミスや一般的なセキュリティ問題を防ぐのに役立ちます。

この事前定義されたポスチャーを使用して、Google Cloud リソースの保護に役立つセキュリティポスチャーを構成できます。この事前定義されたポスチャーをデプロイする場合は、環境に適用されるようにポリシーの一部をカスタマイズする必要があります。

ポリシー	説明	コンプライアンス標準
`iam.disableServiceAccountKeyCreation`	この制約により、ユーザーはサービスアカウントに永続的なキーを作成できなくなり、サービスアカウントの認証情報が公開されるリスクが軽減されます。サービスアカウントキーの作成を無効にする場合、値は `true` です。	NIST SP 800-53 コントロール: AC-2
`iam.automaticIamGrantsForDefaultServiceAccounts`	この制約により、デフォルトのサービスアカウントの作成時に、過剰な権限を持つ Identity and Access Management（IAM）ロール編集者が付与されなくなります。デフォルトのサービスアカウントに対する IAM の自動付与を無効にする場合、値は `false` です。	NIST SP 800-53 コントロール: AC-3
`iam.disableServiceAccountKeyUpload`	この制約により、サービスアカウントキーのカスタムキーマテリアルの漏洩や再利用のリスクを回避できます。サービスアカウントキーのアップロードを無効にする場合、値は `true` です。	NIST SP 800-53 コントロール: AC-6
`storage.publicAccessPrevention`	このポリシーは、Cloud Storage バケットが未認証の公開アクセスに対して開かれることを防ぎます。バケットへの公開アクセスが防止する場合、値は `true` です。	NIST SP 800-53 コントロール: AC-3 および AC-6
`iam.allowedPolicyMemberDomains`	この IAM ポリシーへの制限により、選択したドメイン内の管理対象ユーザー ID のみがこの組織内のリソースにアクセスできるようになります。ドメイン間の共有を制限する場合、値は `directoryCustomerId` です。	NIST SP 800-53 コントロール: AC-3、AC-6、IA-2
`essentialcontacts.allowedContactDomains`	このポリシーでは、重要な連絡先が、選択したドメイン内の管理対象ユーザー ID のみにプラットフォーム通知の受信を許可するように制限します。値は `@google.com` です。ドメインと一致するように値を変更する必要があります。	NIST SP 800-53 コントロール: AC-3、AC-6、IA-2
`storage.uniformBucketLevelAccess`	このポリシーは、オブジェクトごとの ACL（IAM ポリシーとは別のシステム）を使用して Cloud Storage バケットへのアクセスが提供されるのを防ぎ、アクセス管理と監査に整合性をもたらします。均一なバケットレベルのアクセスを適用する場合、値は `true` です。	NIST SP 800-53 コントロール: AC-3 および AC-6
`compute.requireOsLogin`	このポリシーでは、SSH 認証鍵の管理、IAM ポリシーでのリソースレベルの権限の付与、ユーザーアクセスのロギングをより簡単にするために、新しく作成された VM に OS Login が必要です。 OS Login が必要な場合、値は `true` です。	NIST SP 800-53 コントロール: AC-3 および AU-12
`compute.disableSerialPortAccess`	このポリシーにより、Compute Engine API コントロールプレーンからのバックドアアクセスに使用できる VM シリアルポートに、ユーザーがアクセスできないようにします。 VM シリアルポートアクセスを無効にする場合、値は `true` です。	NIST SP 800-53 コントロール: AC-3 および AC-6
`compute.restrictXpnProjectLienRemoval`	このポリシーは、プロジェクトリーエンの削除を制限することで、共有 VPC ホストプロジェクトが誤って削除されるのを防ぎます。共有 VPC プロジェクトリーエンの削除を制限する場合、値は `true` です。	NIST SP 800-53 コントロール: AC-3 および AC-6
`compute.vmExternalIpAccess`	このポリシーは、受信インターネットトラフィックと送信インターネットトラフィックに公開される可能性があるパブリック IP アドレスを持つ Compute Engine インスタンスの作成を禁止します。パブリック IP アドレスからのすべてのアクセスを無効にする場合、値は `denyAll` です。	NIST SP 800-53 コントロール: AC-3 および AC-6
`compute.skipDefaultNetworkCreation`	このポリシーにより、新しい各プロジェクトでのデフォルトの VPC ネットワークとデフォルトのファイアウォールルールの自動作成が無効になり、ネットワークとファイアウォールのルールが意図したとおりに作成されます。デフォルトの VPC ネットワークが作成されないようにする場合、値は `true` になります。	NIST SP 800-53 コントロール: AC-3 および AC-6
`compute.setNewProjectDefaultToZonalDNSOnly`	このポリシーにより、アプリケーションデベロッパーは、最新の DNS 設定よりもサービスの信頼性が低い Compute Engine インスタンスに対して、以前の DNS 設定を選択できなくなります。新しいプロジェクトの場合、値は `Zonal DNS only` です。	NIST SP 800-53 コントロール: AC-3 および AC-6
`sql.restrictPublicIp`	このポリシーは、パブリック IP アドレスが受信インターネットトラフィックと送信インターネットトラフィックに公開される可能性があるパブリック IP アドレスを持つ Cloud SQL インスタンスの作成を禁止します。パブリック IP アドレスによる Cloud SQL インスタンスへのアクセスを制限する場合、値は `true` です。	NIST SP 800-53 コントロール: AC-3 および AC-6
`sql.restrictAuthorizedNetworks`	このポリシーにより、パブリックまたは RFC 1918 以外のネットワーク範囲が Cloud SQL データベースにアクセスできなくなります。 Cloud SQL インスタンス上の承認済みネットワークを制限する場合、値は `true` です。	NIST SP 800-53 コントロール: AC-3 および AC-6
`compute.restrictProtocolForwardingCreationForTypes`	このポリシーでは、内部 IP アドレスに対してのみ VM プロトコル転送を許可します。 IP アドレスのタイプに基づいてプロトコル転送を制限する場合、値は `INTERNAL` です。	NIST SP 800-53 コントロール: AC-3 および AC-6
`compute.disableVpcExternalIpv6`	このポリシーにより、受信と送信のインターネットトラフィックに公開される可能性のある外部 IPv6 サブネットを作成できなくなります。外部 IPv6 サブネットを無効にする場合、値は `true` です。	NIST SP 800-53 コントロール: AC-3 および AC-6
`compute.disableNestedVirtualization`	このポリシーは、ネストされた仮想化を無効にして、モニタリングされていないネストされたインスタンスによるセキュリティリスクを軽減します。 VM ネストされた仮想化を無効にする場合、値は `true` です。	NIST SP 800-53 コントロール: AC-3 および AC-6

対策テンプレートを表示する

デフォルトで安全なテンプレートの拡張事項を表示するには、次の操作を行います。

gcloud

後述のコマンドデータを使用する前に、次のように置き換えます。

ORGANIZATION_ID: 組織の数値 ID

gcloud scc posture-templates describe コマンドを実行します。

Linux、macOS、Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Windows（PowerShell）

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Windows（cmd.exe）

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

レスポンスには、対策テンプレートが含まれます。

REST

リクエストのデータを使用する前に、次のように置き換えます。

ORGANIZATION_ID: 組織の数値 ID

HTTP メソッドと URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

リクエストを送信するには、次のいずれかのオプションを展開します。

curl（Linux、macOS、Cloud Shell）

注: 次のコマンドは、gcloud init または gcloud auth login を実行して、ユーザーアカウントで gcloud CLI にログインしているか、Cloud Shell を使用して自動的に gcloud CLI にログインしていることを前提としています。gcloud auth list を実行すると、現在アクティブなアカウントを確認できます。

次のコマンドを実行します。

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended"

PowerShell（Windows）

注: 次のコマンドは、gcloud init または gcloud auth login を実行して、ご自分のユーザーアカウントで gcloud CLI にログインしていることを前提としています。gcloud auth list を実行すると、現在アクティブなアカウントを確認できます。

次のコマンドを実行します。

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended" | Select-Object -Expand Content

レスポンスには、対策テンプレートが含まれます。

次のステップ

この事前定義されたポスチャーを使用してセキュリティポスチャーを作成する。