Esta página descreve as políticas preventivas incluídas na versão v1.0 da postura predefinida para segurança estendida padrão. Isso A postura predefinida ajuda a evitar configurações incorretas e problemas problemas causados pelas configurações padrão.
É possível usar essa postura predefinida para configurar uma postura de segurança que ajude proteger recursos do Google Cloud. Se você quiser implantar essa postura predefinida, personalizar algumas das políticas para que elas se apliquem ao seu ambiente.
| Política | Descrição | Padrões de compliance |
|---|---|---|
iam.disableServiceAccountKeyCreation |
Essa restrição impede que os usuários criem chaves persistentes para contas de serviço para diminuir o risco de credenciais expostas da conta de serviço. O
o valor é |
Controle NIST SP 800-53: AC-2 |
iam.automaticIamGrantsForDefaultServiceAccounts |
Essa restrição impede que contas de serviço padrão recebam editor de papéis excessivamente permissivo do Identity and Access Management (IAM) na criação. O
valor é |
Controle NIST SP 800-53: AC-3 |
iam.disableServiceAccountKeyUpload |
Essa restrição evita o risco de vazamento e reutilização do material de chave personalizada nas chaves de contas de serviço. O valor é |
Controle NIST SP 800-53: AC-6 |
storage.publicAccessPrevention |
Essa política impede que os buckets do Cloud Storage sejam abertos para acesso público não autenticado. O valor é |
Controle NIST SP 800-53: AC-3 e AC-6 |
iam.allowedPolicyMemberDomains |
Essa política limita as políticas do IAM para permitir que apenas identidades de usuário gerenciadas em domínios selecionados acessem recursos dentro dessa organização. O valor é
|
Controle do NIST SP 800-53: AC-3, AC-6 e IA-2 |
essentialcontacts.allowedContactDomains |
Essa política limita os contatos essenciais para permitir que apenas identidades de usuário gerenciadas em domínios selecionados recebam notificações da plataforma. O valor é
|
Controle do NIST SP 800-53: AC-3, AC-6 e IA-2 |
storage.uniformBucketLevelAccess |
Essa política impede que os buckets do Cloud Storage usem ACLs por objeto (um sistema separado das políticas do IAM) para fornecer acesso, aplicando a consistência para gerenciamento de acesso e auditoria. O valor é |
Controle do NIST SP 800-53: AC-3 e AC-6 |
compute.requireOsLogin |
Essa política exige o Login do SO em VMs recém-criadas para gerenciar chaves SSH com mais facilidade, fornecer permissão no nível do recurso com políticas do IAM e registrar o acesso do usuário. O valor é
|
Controle do NIST SP 800-53: AC-3 e AU-12 |
compute.disableSerialPortAccess |
Esta política impede que os usuários acessem a porta serial da VM, que pode ser usada para backdoor no plano de controle da API Compute Engine. O valor é |
Controle NIST SP 800-53: AC-3 e AC-6 |
compute.restrictXpnProjectLienRemoval |
Esta política evita a exclusão acidental do host da VPC compartilhada projetos, restringindo a remoção de garantias do projeto. O valor é
|
Controle NIST SP 800-53: AC-3 e AC-6 |
compute.vmExternalIpAccess |
Essa política evita que os criação de instâncias do Compute Engine com um endereço IP público, que pode Expor o tráfego de entrada e a saída da Internet do tráfego de entrada. O valor é |
Controle do NIST SP 800-53: AC-3 e AC-6 |
compute.skipDefaultNetworkCreation |
Essa política desativa a criação automática de uma rede VPC padrão e regras de firewall padrão em cada novo projeto, garantindo que as regras de rede e firewall sejam criadas intencionalmente. O valor é |
Controle NIST SP 800-53: AC-3 e AC-6 |
compute.setNewProjectDefaultToZonalDNSOnly |
Esta política impede que os desenvolvedores de aplicativos escolham o DNS legado para instâncias do Compute Engine com menor confiabilidade de serviço configurações modernas de DNS. O valor é |
Controle do NIST SP 800-53: AC-3 e AC-6 |
sql.restrictPublicIp |
Essa política impede a criação de instâncias do Cloud SQL com endereços IP públicos, que podem expô-las ao tráfego de entrada e de saída da Internet. O valor é |
Controle NIST SP 800-53: AC-3 e AC-6 |
sql.restrictAuthorizedNetworks |
Essa política impede que intervalos de rede públicos ou não RFC 1918 acessem os bancos de dados do Cloud SQL. O valor é |
Controle NIST SP 800-53: AC-3 e AC-6 |
compute.restrictProtocolForwardingCreationForTypes |
Essa política permite o encaminhamento de protocolo da VM apenas para endereços IP internos. O valor é |
Controle do NIST SP 800-53: AC-3 e AC-6 |
compute.disableVpcExternalIpv6 |
Essa política impede a criação de sub-redes IPv6 externas, que podem ser ao tráfego de entrada e saída da Internet. O valor é
|
Controle do NIST SP 800-53: AC-3 e AC-6 |
compute.disableNestedVirtualization |
Essa política desativa a virtualização aninhada para diminuir o risco de segurança devido a instâncias aninhadas não monitoradas. O valor é |
Controle NIST SP 800-53: AC-3 e AC-6 |
Conferir o modelo de postura
Para conferir o modelo de postura de "seguro por padrão" estendido, faça o seguinte:
gcloud
Antes de usar os dados do comando abaixo, faça estas substituições:
-
ORGANIZATION_ID: o ID numérico da organização
Execute o
gcloud scc posture-templates
describe
comando:
Linux, macOS ou Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended
A resposta contém o modelo de postura.
REST
Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:
-
ORGANIZATION_ID: o ID numérico da organização
Método HTTP e URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended
Para enviar a solicitação, expanda uma destas opções:
A resposta contém o modelo de postura.