Cette page a été traduite par l'API Cloud Translation.

Stratégie prédéfinie pour la sécurité par défaut, étendue

Cette page décrit les règles préventives incluses dans la version 1.0 de la stratégie prédéfinie étendue pour "Sécurisé par défaut". Ce une stratégie prédéfinie aide à prévenir les erreurs de configuration courantes en cas de problème lié aux paramètres par défaut.

Vous pouvez utiliser cette stratégie prédéfinie pour configurer une stratégie de sécurité protéger aux ressources Google Cloud. Si vous souhaitez déployer cette stratégie prédéfinie, vous devez personnaliser certaines stratégies afin qu'elles s'appliquent à votre environnement.

Règle	Description	Normes de conformité
`iam.disableServiceAccountKeyCreation`	Cette contrainte empêche les utilisateurs de créer des clés persistantes pour réduire le risque d'exposition des identifiants de compte de service. La La valeur est `true` pour désactiver la création de clés de compte de service.	Contrôle NIST SP 800-53: AC-2
`iam.automaticIamGrantsForDefaultServiceAccounts`	Cette contrainte empêche les comptes de service par défaut de recevoir Éditeur du rôle IAM (Identity and Access Management) trop permissif lors de la création. La la valeur est `false` pour désactiver l'attribution automatique de rôles IAM pour le service par défaut Google Cloud.	Contrôle NIST SP 800-53: AC-3
`iam.disableServiceAccountKeyUpload`	Cette contrainte évite le risque de fuite et de réutilisation de matériel de clé personnalisée dans le compte de service clés. La valeur est `true` pour désactiver la clé de compte de service mises en ligne.	Contrôle NIST SP 800-53: AC-6
`storage.publicAccessPrevention`	Cette règle empêche les buckets Cloud Storage ne sont plus ouverts au public non authentifié ; y accéder. La valeur est `true` pour empêcher l'accès public Cloud Storage.	Contrôle NIST SP 800-53: AC-3 et AC-6
`iam.allowedPolicyMemberDomains`	Cette règle limite Stratégies IAM permettant d'autoriser uniquement les identités utilisateur gérées dans les régions sélectionnées pour accéder aux ressources de cette organisation. La valeur est `directoryCustomerId` pour limiter le partage entre les domaines.	Contrôles NIST SP 800-53: AC-3, AC-6 et IA-2
`essentialcontacts.allowedContactDomains`	Ces règles limite les contacts essentiels de manière à n'autoriser que les identités d'utilisateur gérées dans les domaines sélectionnés qui recevront des notifications de la plate-forme. La valeur est `@google.com` Vous devez modifier cette valeur pour qu'elle corresponde à votre domaine.	Contrôles NIST SP 800-53: AC-3, AC-6 et IA-2
`storage.uniformBucketLevelAccess`	Ces règles empêche les buckets Cloud Storage d'utiliser une LCA par objet (un système distinct des stratégies IAM) pour fournir un accès, en assurant la cohérence des la gestion des accès et l'audit. La valeur est `true` pour appliquer accès uniforme au niveau du bucket.	Contrôle NIST SP 800-53: AC-3 et AC-6
`compute.requireOsLogin`	Ce requiert la connexion au système d'exploitation sur les les VM pour gérer plus facilement les clés SSH, accorder des autorisations au niveau des ressources avec les stratégies IAM et l'accès des utilisateurs. La valeur est `true` pour exiger OS Login.	Contrôle NIST SP 800-53: AC-3 et AU-12
`compute.disableSerialPortAccess`	Ces règles empêche les utilisateurs d'accéder au port série de la VM qui peut être utilisé pour le backdoor à partir du plan de contrôle de l'API Compute Engine. La valeur est `true` pour désactiver l'accès au port série des VM.	Contrôle NIST SP 800-53: AC-3 et AC-6
`compute.restrictXpnProjectLienRemoval`	Cette règle empêche la suppression accidentelle d'un hôte VPC partagé projets en limitant la suppression des privilèges de projet. La valeur est `true` pour limiter la suppression des privilèges liés aux projets VPC partagés	Contrôle NIST SP 800-53: AC-3 et AC-6
`compute.vmExternalIpAccess`	Cette règle empêche d'instances Compute Engine avec une adresse IP publique, les exposer au trafic Internet entrant et sortant du trafic. La valeur est `denyAll` pour désactiver tous les accès depuis des adresses IP publiques.	Contrôle NIST SP 800-53: AC-3 et AC-6
`compute.skipDefaultNetworkCreation`	Ce désactive la création automatique d'un réseau VPC par défaut des règles de pare-feu dans chaque nouveau projet, garantissant que les règles de réseau et de pare-feu sont intentionnellement. La valeur est `true` pour éviter de créer le réseau VPC par défaut.	Contrôle NIST SP 800-53: AC-3 et AC-6
`compute.setNewProjectDefaultToZonalDNSOnly`	Cette règle empêche les développeurs d'applications de choisir l'ancien DNS pour les instances Compute Engine dont la fiabilité de service est inférieure les paramètres DNS modernes. La valeur est `Zonal DNS only` pour les nouvelles projets.	Contrôle NIST SP 800-53: AC-3 et AC-6
`sql.restrictPublicIp`	Cette règle empêche la création d'instances Cloud SQL avec des adresses IP publiques, les exposer au trafic Internet entrant et sortant du trafic. La valeur est `true` pour restreindre l'accès Instances Cloud SQL par adresses IP publiques.	Contrôle NIST SP 800-53: AC-3 et AC-6
`sql.restrictAuthorizedNetworks`	Cette règle empêche aux plages réseau publiques ou non-RFC 1918 les bases de données. La valeur est `true` pour limiter les réseaux autorisés sur les instances Cloud SQL.	Contrôle NIST SP 800-53: AC-3 et AC-6
`compute.restrictProtocolForwardingCreationForTypes`	Cette règle autorise le transfert de protocole de VM pour les adresses IP internes uniquement. La valeur est `INTERNAL` pour limiter le transfert de protocole en fonction du type d'adresse IP.	Contrôle NIST SP 800-53: AC-3 et AC-6
`compute.disableVpcExternalIpv6`	Cette règle empêche la création de sous-réseaux IPv6 externes, exposés au trafic Internet entrant et sortant. La valeur est `true` pour désactiver les sous-réseaux IPv6 externes.	Contrôle NIST SP 800-53: AC-3 et AC-6
`compute.disableNestedVirtualization`	Ces règles désactive la virtualisation imbriquée pour réduire les risques de sécurité liés à l'absence de surveillance des instances imbriquées. La valeur est `true` pour désactiver la VM imbriquée la virtualisation.	Contrôle NIST SP 800-53: AC-3 et AC-6

Définition YAML

Voici la définition YAML de la stratégie prédéfinie pour les paramètres par défaut.

name: organizations/123/locations/global/postureTemplates/secure_by_default
description: Posture Template to make your cloud environment more secure.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: Secure-By-Default policy_set
  description: 18 org policies that new customers can automatically enable.
  policies:
  - policy_id: Disable service account key creation
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-2
    constraint:
      org_policy_constraint:
        canned_constraint_id: iam.disableServiceAccountKeyCreation
        policy_rules:
        - enforce: true
    description: Prevent users from creating persistent keys for service accounts to decrease the risk of exposed service account credentials.
  - policy_id: Disable Automatic IAM Grants for Default Service Accounts
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    constraint:
      org_policy_constraint:
        canned_constraint_id: iam.automaticIamGrantsForDefaultServiceAccounts
        policy_rules:
        - enforce: true
    description: Prevent default service accounts from receiving the overly-permissive IAM role Editor at creation.
  - policy_id: Disable Service Account Key Upload
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: iam.disableServiceAccountKeyUpload
        policy_rules:
        - enforce: true
    description: Avoid the risk of leaked and reused custom key material in service account keys.
  - policy_id: Enforce Public Access Prevention
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: storage.publicAccessPrevention
        policy_rules:
        - enforce: true
    description: Enforce that Storage Buckets cannot be configured as open to unauthenticated public access.
  - policy_id: Domain restricted sharing
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    - standard: NIST SP 800-53
      control: IA-2
    constraint:
      org_policy_constraint:
        canned_constraint_id: iam.allowedPolicyMemberDomains
        policy_rules:
        - values:
            allowed_values:
            - directoryCustomerId
    description: Limit IAM policies to only allow managed user identities in my selected domain(s) to access resources inside this organization.
  - policy_id: Domain restricted contacts
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    - standard: NIST SP 800-53
      control: IA-2
    constraint:
      org_policy_constraint:
        canned_constraint_id: essentialcontacts.allowedContactDomains
        policy_rules:
        - values:
            allowed_values:
            - "@google.com"
    description: Limit Essential Contacts to only allow managed user identities in my selected domain(s) to receive platform notifications.
  - policy_id: Enforce uniform bucket-level access
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: storage.uniformBucketLevelAccess
        policy_rules:
        - enforce: true
    description: Prevent GCS buckets from using per-object ACL (a separate system from IAM policies) to provide access, enforcing a consistency for access management and auditing.
  - policy_id: Require OS Login
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AU-12
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.requireOsLogin
        policy_rules:
        - enforce: true
    description: Require OS Login on newly created VMs to more easily manage SSH keys, provide resource-level permission with IAM policies, and log user access.
  - policy_id: Disable VM serial port access
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.disableSerialPortAccess
        policy_rules:
        - enforce: true
    description: Prevent users from accessing the VM serial port which can be used for backdoor access from the Compute Engine API control plane
  - policy_id: Restrict shared VPC project lien removal
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.restrictXpnProjectLienRemoval
        policy_rules:
        - enforce: true
    description: Prevent the accidental deletion of Shared VPC host projects by restricting the removal of project liens.
  - policy_id: Define allowed external IPs for VM instances
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.vmExternalIpAccess
        policy_rules:
        - deny_all: true
    description: Prevent the creation of Compute instances with a public IP, which can expose them to internet ingress and egress.
  - policy_id: Skip default network creation
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.skipDefaultNetworkCreation
        policy_rules:
        - enforce: true
    description: Disable the automatic creation of a default VPC network and default firewall rules in each new project, ensuring that my network and firewall rules are intentionally created.
  - policy_id: Sets the internal DNS setting for new projects to Zonal DNS Only
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.setNewProjectDefaultToZonalDNSOnly
        policy_rules:
        - enforce: true
    description: Set guardrails that application developers cannot choose legacy DNS settings for compute instances that have lower service reliability than modern DNS settings.
  - policy_id: Restrict Public IP access on Cloud SQL instances
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: sql.restrictPublicIp
        policy_rules:
        - enforce: true
    description: Prevent the creation of Cloud SQL instances with a public IP, which can expose them to internet ingress and egress.
  - policy_id: Restrict Authorized Networks on Cloud SQL instances
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: sql.restrictAuthorizedNetworks
        policy_rules:
        - enforce: true
    description: Prevent public or non-RFC 1918 network ranges from accessing my Cloud SQL databases.
  - policy_id: Restrict Protocol Forwarding Based on type of IP Address
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.restrictProtocolForwardingCreationForTypes
        policy_rules:
        - values:
            allowed_values:
            - INTERNAL
    description: Allow VM protocol forwarding for internal IP addresses only.
  - policy_id: Disable VPC External IPv6 usage
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.disableVpcExternalIpv6
        policy_rules:
        - enforce: true
    description: Prevent the creation of external IPv6 subnets, which can be exposed to internet ingress and egress.
  - policy_id: Disable VM nested virtualization
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.disableNestedVirtualization
        policy_rules:
        - enforce: true
    description: Disable nested virtualization to decrease my security risk due to unmonitored nested instances.

Étape suivante

Créez une stratégie de sécurité à l'aide de cette stratégie prédéfinie.