Auf dieser Seite werden die präventiven Richtlinien beschrieben, die in der Version 1.0 des vordefinierten Sicherheitsstatus für „standardmäßige erweiterte Sicherheit“ enthalten sind. Mit dieser vordefinierten Einstellung lassen sich häufige Fehlkonfigurationen und Sicherheitsprobleme vermeiden, die durch Standardeinstellungen verursacht werden.
Mit diesem vordefinierten Sicherheitsstatus können Sie einen Sicherheitsstatus konfigurieren, der zum Schutz von Google Cloud-Ressourcen beiträgt. Wenn Sie diesen vordefinierten Sicherheitsstatus bereitstellen möchten, müssen Sie einige Richtlinien so anpassen, dass sie für Ihre Umgebung gelten.
Richtlinie | Beschreibung | Compliancestandards |
---|---|---|
iam.disableServiceAccountKeyCreation |
Diese Einschränkung verhindert, dass Nutzer persistente Schlüssel für Dienstkonten erstellen, um das Risiko zu verringern, dass Anmeldedaten für Dienstkonten offengelegt werden. Der Wert ist |
NIST SP 800-53-Steuerung: AC-2 |
iam.automaticIamGrantsForDefaultServiceAccounts |
Diese Einschränkung verhindert, dass Standarddienstkonten beim Erstellen die IAM-Rolle „Bearbeiter“ mit zu umfangreichen Berechtigungen erhalten. Der Wert ist |
NIST SP 800-53-Steuerung: AC-3 |
iam.disableServiceAccountKeyUpload |
Durch diese Einschränkung wird das Risiko vermieden, dass benutzerdefiniertes Schlüsselmaterial in Dienstkontoschlüsseln gestohlen und wiederverwendet wird. Der Wert ist |
NIST SP 800-53-Steuerung: AC-6 |
storage.publicAccessPrevention |
Diese Richtlinie verhindert, dass Cloud Storage-Buckets für nicht authentifizierte öffentliche Zugriffe zugänglich sind. Der Wert ist |
NIST SP 800-53-Steuerung: AC-3 und AC-6 |
iam.allowedPolicyMemberDomains |
Diese Richtlinie beschränkt IAM-Richtlinien, sodass nur verwaltete Nutzeridentitäten in ausgewählten Domains auf Ressourcen innerhalb dieser Organisation zugreifen können. Der Wert ist |
NIST SP 800-53-Steuerung: AC-3, AC-6 und IA-2 |
essentialcontacts.allowedContactDomains |
Diese Richtlinie beschränkt „Wichtige Kontakte“ so, dass nur verwaltete Nutzeridentitäten in ausgewählten Domains Plattformbenachrichtigungen erhalten können. Der Wert ist |
NIST SP 800-53-Steuerung: AC-3, AC-6 und IA-2 |
storage.uniformBucketLevelAccess |
Diese Richtlinie verhindert, dass Cloud Storage-Buckets eine ACL pro Objekt (ein separates System von IAM-Richtlinien) verwenden, um Zugriff zu gewähren. Dadurch wird Konsistenz für die Zugriffsverwaltung und -prüfung erzwungen. Der Wert ist |
NIST SP 800-53-Steuerung: AC-3 und AC-6 |
compute.requireOsLogin |
Für diese Richtlinie ist OS Login auf neu erstellten VMs erforderlich, um SSH-Schlüssel einfacher verwalten, Berechtigungen auf Ressourcenebene mit IAM-Richtlinien bereitstellen und den Nutzerzugriff protokollieren zu können. Der Wert ist |
NIST SP 800-53-Steuerung: AC-3 und AU-12 |
compute.disableSerialPortAccess |
Diese Richtlinie verhindert, dass Nutzer auf den seriellen VM-Port zugreifen, der für den Backdoor-Zugriff von der Compute Engine API-Steuerungsebene aus verwendet werden kann. Der Wert ist |
NIST SP 800-53-Steuerung: AC-3 und AC-6 |
compute.restrictXpnProjectLienRemoval |
Diese Richtlinie verhindert das versehentliche Löschen von freigegebene VPC-Hostprojekten, indem das Entfernen von Projektsperren eingeschränkt wird. Der Wert lautet |
NIST SP 800-53-Steuerung: AC-3 und AC-6 |
compute.vmExternalIpAccess |
Diese Richtlinie verhindert das Erstellen von Compute Engine-Instanzen mit einer öffentlichen IP-Adresse, die sie für eingehenden und ausgehenden Internet-Traffic zur Verfügung stellen kann. Der Wert ist |
NIST SP 800-53-Steuerung: AC-3 und AC-6 |
compute.skipDefaultNetworkCreation |
Diese Richtlinie deaktiviert das automatische Erstellen eines Standard-VPC-Netzwerk und Standardfirewallregeln in jedem neuen Projekt, sodass Netzwerk- und Firewallregeln absichtlich erstellt werden. Der Wert ist |
NIST SP 800-53-Steuerung: AC-3 und AC-6 |
compute.setNewProjectDefaultToZonalDNSOnly |
Mit dieser Richtlinie können Anwendungsentwickler keine Legacy-DNS-Einstellungen für Compute Engine-Instanzen auswählen, die eine geringere Dienstzuverlässigkeit als moderne DNS-Einstellungen haben. Bei neuen Projekten lautet der Wert |
NIST SP 800-53-Steuerung: AC-3 und AC-6 |
sql.restrictPublicIp |
Diese Richtlinie verhindert das Erstellen von Cloud SQL-Instanzen mit öffentlichen IP-Adressen, die diese für eingehenden und ausgehenden Internet-Traffic freigeben können. Der Wert ist |
NIST SP 800-53-Steuerung: AC-3 und AC-6 |
sql.restrictAuthorizedNetworks |
Diese Richtlinie verhindert, dass öffentliche oder nicht RFC 1918-Netzwerkbereiche auf Cloud SQL-Datenbanken zugreifen. Der Wert ist |
NIST SP 800-53-Steuerung: AC-3 und AC-6 |
compute.restrictProtocolForwardingCreationForTypes |
Diese Richtlinie ermöglicht die VM-Protokollweiterleitung nur für interne IP-Adressen. Der Wert ist |
NIST SP 800-53-Steuerung: AC-3 und AC-6 |
compute.disableVpcExternalIpv6 |
Diese Richtlinie verhindert das Erstellen externer IPv6-Subnetze, die für ein- und ausgehenden Internettraffic verfügbar sein können. Der Wert ist |
NIST SP 800-53-Steuerung: AC-3 und AC-6 |
compute.disableNestedVirtualization |
Diese Richtlinie deaktiviert die verschachtelte Virtualisierung, um das Sicherheitsrisiko aufgrund nicht überwachter verschachtelter Instanzen zu verringern. Der Wert ist |
NIST SP 800-53-Steuerung: AC-3 und AC-6 |
YAML-Definition
Im Folgenden finden Sie die YAML-Definition für den vordefinierten Sicherheitsstatus für Standardeinstellungen.
name: organizations/123/locations/global/postureTemplates/secure_by_default
description: Posture Template to make your cloud environment more secure.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: Secure-By-Default policy_set
description: 18 org policies that new customers can automatically enable.
policies:
- policy_id: Disable service account key creation
compliance_standards:
- standard: NIST SP 800-53
control: AC-2
constraint:
org_policy_constraint:
canned_constraint_id: iam.disableServiceAccountKeyCreation
policy_rules:
- enforce: true
description: Prevent users from creating persistent keys for service accounts to decrease the risk of exposed service account credentials.
- policy_id: Disable Automatic IAM Grants for Default Service Accounts
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
constraint:
org_policy_constraint:
canned_constraint_id: iam.automaticIamGrantsForDefaultServiceAccounts
policy_rules:
- enforce: true
description: Prevent default service accounts from receiving the overly-permissive IAM role Editor at creation.
- policy_id: Disable Service Account Key Upload
compliance_standards:
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: iam.disableServiceAccountKeyUpload
policy_rules:
- enforce: true
description: Avoid the risk of leaked and reused custom key material in service account keys.
- policy_id: Enforce Public Access Prevention
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: storage.publicAccessPrevention
policy_rules:
- enforce: true
description: Enforce that Storage Buckets cannot be configured as open to unauthenticated public access.
- policy_id: Domain restricted sharing
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
- standard: NIST SP 800-53
control: IA-2
constraint:
org_policy_constraint:
canned_constraint_id: iam.allowedPolicyMemberDomains
policy_rules:
- values:
allowed_values:
- directoryCustomerId
description: Limit IAM policies to only allow managed user identities in my selected domain(s) to access resources inside this organization.
- policy_id: Domain restricted contacts
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
- standard: NIST SP 800-53
control: IA-2
constraint:
org_policy_constraint:
canned_constraint_id: essentialcontacts.allowedContactDomains
policy_rules:
- values:
allowed_values:
- "@google.com"
description: Limit Essential Contacts to only allow managed user identities in my selected domain(s) to receive platform notifications.
- policy_id: Enforce uniform bucket-level access
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: storage.uniformBucketLevelAccess
policy_rules:
- enforce: true
description: Prevent GCS buckets from using per-object ACL (a separate system from IAM policies) to provide access, enforcing a consistency for access management and auditing.
- policy_id: Require OS Login
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AU-12
constraint:
org_policy_constraint:
canned_constraint_id: compute.requireOsLogin
policy_rules:
- enforce: true
description: Require OS Login on newly created VMs to more easily manage SSH keys, provide resource-level permission with IAM policies, and log user access.
- policy_id: Disable VM serial port access
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.disableSerialPortAccess
policy_rules:
- enforce: true
description: Prevent users from accessing the VM serial port which can be used for backdoor access from the Compute Engine API control plane
- policy_id: Restrict shared VPC project lien removal
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.restrictXpnProjectLienRemoval
policy_rules:
- enforce: true
description: Prevent the accidental deletion of Shared VPC host projects by restricting the removal of project liens.
- policy_id: Define allowed external IPs for VM instances
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.vmExternalIpAccess
policy_rules:
- deny_all: true
description: Prevent the creation of Compute instances with a public IP, which can expose them to internet ingress and egress.
- policy_id: Skip default network creation
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.skipDefaultNetworkCreation
policy_rules:
- enforce: true
description: Disable the automatic creation of a default VPC network and default firewall rules in each new project, ensuring that my network and firewall rules are intentionally created.
- policy_id: Sets the internal DNS setting for new projects to Zonal DNS Only
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.setNewProjectDefaultToZonalDNSOnly
policy_rules:
- enforce: true
description: Set guardrails that application developers cannot choose legacy DNS settings for compute instances that have lower service reliability than modern DNS settings.
- policy_id: Restrict Public IP access on Cloud SQL instances
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: sql.restrictPublicIp
policy_rules:
- enforce: true
description: Prevent the creation of Cloud SQL instances with a public IP, which can expose them to internet ingress and egress.
- policy_id: Restrict Authorized Networks on Cloud SQL instances
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: sql.restrictAuthorizedNetworks
policy_rules:
- enforce: true
description: Prevent public or non-RFC 1918 network ranges from accessing my Cloud SQL databases.
- policy_id: Restrict Protocol Forwarding Based on type of IP Address
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.restrictProtocolForwardingCreationForTypes
policy_rules:
- values:
allowed_values:
- INTERNAL
description: Allow VM protocol forwarding for internal IP addresses only.
- policy_id: Disable VPC External IPv6 usage
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.disableVpcExternalIpv6
policy_rules:
- enforce: true
description: Prevent the creation of external IPv6 subnets, which can be exposed to internet ingress and egress.
- policy_id: Disable VM nested virtualization
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.disableNestedVirtualization
policy_rules:
- enforce: true
description: Disable nested virtualization to decrease my security risk due to unmonitored nested instances.