Diese Seite wurde von der Cloud Translation API übersetzt.

Vordefinierter Sicherheitsstatus für standardmäßige, erweiterte Sicherheitsfunktionen

Auf dieser Seite werden die vorbeugenden Richtlinien in Version 1.0 beschrieben. Version des vordefinierten Sicherheitsstatus, standardmäßig erweitert. Dieses Vordefinierter Sicherheitsstatus hilft, häufige Fehlkonfigurationen und Sicherheitsfunktionen zu vermeiden die durch Standardeinstellungen verursacht werden.

Sie können diese vordefinierte Sicherheitskonfiguration verwenden, um einen Sicherheitsstatus zu konfigurieren, der zum Schutz von Google Cloud-Ressourcen beiträgt. Wenn Sie diesen vordefinierten Sicherheitsstatus bereitstellen möchten, müssen Sie einige der Richtlinien anpassen, damit sie für Ihre Umgebung gelten.

Policy	Beschreibung	Compliancestandards
`iam.disableServiceAccountKeyCreation`	Diese Einschränkung hindert Nutzer daran, persistente Schlüssel für den Dienst zu erstellen Konten, um das Risiko zu verringern, dass Anmeldedaten für Dienstkonten offengelegt werden. Die ist `true`, um das Erstellen von Dienstkontoschlüsseln zu deaktivieren.	NIST SP 800-53-Kontrolle: AC-2
`iam.automaticIamGrantsForDefaultServiceAccounts`	Diese Einschränkung verhindert, dass Standarddienstkonten beim Erstellen die übermäßig permissive IAM-Rolle „Editor“ (Identity and Access Management) erhalten. Der Wert ist `false`, um automatische IAM-Zuweisungen für Standarddienstkonten zu deaktivieren.	NIST SP 800-53-Kontrolle: AC-3
`iam.disableServiceAccountKeyUpload`	So wird das Risiko verringert, dass benutzerdefiniertes Schlüsselmaterial in Dienstkontoschlüsseln gehackt und wiederverwendet wird. Der Wert ist `true`, um Uploads von Dienstkontoschlüsseln zu deaktivieren.	NIST SP 800-53-Kontrolle: AC-6
`storage.publicAccessPrevention`	Mit dieser Richtlinie wird verhindert, dass Cloud Storage-Buckets für den nicht authentifizierten öffentlichen Zugriff geöffnet werden. Der Wert lautet `true`, um den öffentlichen Zugriff auf Buckets.	NIST SP 800-53-Kontrolle: AC-3 und AC-6
`iam.allowedPolicyMemberDomains`	Durch diese Richtlinie wird eingeschränkt IAM-Richtlinien, um nur verwaltete Nutzeridentitäten in ausgewählten Domains, um auf Ressourcen in dieser Organisation zuzugreifen. Der Wert ist `directoryCustomerId`, um die Freigabe zwischen Domains einzuschränken.	NIST SP 800-53-Kontrolle: AC-3, AC-6 und IA-2
`essentialcontacts.allowedContactDomains`	Durch diese Einschränkung von „Wichtige Kontakte“ erhalten nur verwaltete Nutzeridentitäten in den ausgewählten Domains Plattformbenachrichtigungen. Der Wert ist `@google.com` Sie müssen den Wert so ändern, dass er .	NIST SP 800-53 Control (Kontrollgruppe): AC-3, AC-6 und IA-2
`storage.uniformBucketLevelAccess`	Diese Richtlinie verhindert, dass für Cloud Storage-Buckets objektspezifische ACLs (ein separates System von IAM-Richtlinien) verwendet werden, um Zugriff zu gewähren. So wird für die Zugriffsverwaltung und ‑prüfung für mehr Einheitlichkeit gesorgt. Der Wert ist `true`, um einen einheitlichen Zugriff auf Bucket-Ebene zu erzwingen.	NIST SP 800-53-Kontrolle: AC-3 und AC-6
`compute.requireOsLogin`	Für diese Richtlinie ist OS Login auf neu erstellten VMs erforderlich, um SSH-Schlüssel einfacher zu verwalten, Berechtigungen auf Ressourcenebene mit IAM-Richtlinien bereitzustellen und den Nutzerzugriff zu protokollieren. Der Wert ist `true`, um OS Login zu verlangen.	NIST SP 800-53-Kontrolle: AC-3 und AU-12
`compute.disableSerialPortAccess`	Diese Richtlinie verhindert, dass Nutzer auf den seriellen Port der VM zugreifen, der für den Backdoor-Zugriff über die Compute Engine API-Kontrollebene verwendet werden kann. Der Wert ist `true`, um den Zugriff auf serielle Ports der VM zu deaktivieren.	NIST SP 800-53-Kontrolle: AC-3 und AC-6
`compute.restrictXpnProjectLienRemoval`	Diese Richtlinie verhindert das versehentliche Löschen des freigegebene VPC-Hosts indem Sie das Entfernen von Projektsperren einschränken. Der Wert ist `true`, um das Entfernen von Sperren für freigegebene VPC-Projekte einzuschränken.	NIST SP 800-53-Kontrolle: AC-3 und AC-6
`compute.vmExternalIpAccess`	Diese Richtlinie verhindert das Erstellen von Compute Engine-Instanzen mit einer öffentlichen IP-Adresse, die sie für eingehenden und ausgehenden Internet-Traffic zugänglich machen kann. Der Wert ist `denyAll`, um den Zugriff von allen öffentlichen IP-Adressen zu deaktivieren.	NIST SP 800-53-Kontrolle: AC-3 und AC-6
`compute.skipDefaultNetworkCreation`	Mit dieser Richtlinie wird das automatische Erstellen eines Standard-VPC-Netzwerks und von Standard-Firewallregeln in jedem neuen Projekt deaktiviert. So wird sichergestellt, dass Netzwerk- und Firewallregeln bewusst erstellt werden. Der Wert lautet `true`, damit keine dem Standard-VPC-Netzwerk.	NIST SP 800-53-Kontrolle: AC-3 und AC-6
`compute.setNewProjectDefaultToZonalDNSOnly`	Diese Richtlinie hindert Anwendungsentwickler daran, Legacy-DNS zu wählen Einstellungen für Compute Engine-Instanzen mit einer geringeren Dienstzuverlässigkeit als modernen DNS-Einstellungen. Der Wert ist `Zonal DNS only` für neue Projekten.	NIST SP 800-53-Kontrolle: AC-3 und AC-6
`sql.restrictPublicIp`	Diese Richtlinie verhindert das Erstellen von Cloud SQL-Instanzen mit öffentlichen IP-Adressen, die sie für eingehenden und ausgehenden Internet-Traffic zugänglich machen können. Der Wert ist `true`, um den Zugriff auf Cloud SQL-Instanzen über öffentliche IP-Adressen einzuschränken.	NIST SP 800-53-Kontrolle: AC-3 und AC-6
`sql.restrictAuthorizedNetworks`	Diese Richtlinie verhindert, öffentliche oder nicht-RFC 1918-Netzwerkbereiche für den Zugriff auf Cloud SQL Datenbanken. Der Wert ist `true`, um autorisierte Netzwerke einzuschränken. auf Cloud SQL-Instanzen.	NIST SP 800-53-Kontrolle: AC-3 und AC-6
`compute.restrictProtocolForwardingCreationForTypes`	Diese Richtlinie ermöglicht die VM-Protokollweiterleitung für interne IP-Adressen . Der Wert ist `INTERNAL`, um die Protokollweiterleitung basierend auf dem Typ der IP-Adresse einzuschränken.	NIST SP 800-53-Kontrolle: AC-3 und AC-6
`compute.disableVpcExternalIpv6`	Diese Richtlinie verhindert das Erstellen externer IPv6-Subnetze, die eingehendem und ausgehendem Internetverkehr ausgesetzt sein können. Der Wert ist `true`, um externe IPv6-Subnetze zu deaktivieren.	NIST SP 800-53-Kontrolle: AC-3 und AC-6
`compute.disableNestedVirtualization`	Mit dieser Richtlinie wird die verschachtelte Virtualisierung deaktiviert, um das Sicherheitsrisiko durch nicht überwachte verschachtelte Instanzen zu verringern. Der Wert ist `true`, um die verschachtelte VM zu deaktivieren Virtualisierung.	NIST SP 800-53-Kontrolle: AC-3 und AC-6

Vorlage für den Sicherheitsstatus ansehen

So rufen Sie die Vorlage für den Sicherheitsstatus für „Standardmäßig sicher, erweitert“ auf:

gcloud

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

ORGANIZATION_ID: die numerische ID der Organisation

Führen Sie den gcloud scc posture-templates describe Befehl:

Linux, macOS oder Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Die Antwort enthält die Posture-Vorlage.

REST

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

ORGANIZATION_ID: die numerische ID der Organisation

HTTP-Methode und URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto bei der gcloud-Befehlszeile angemeldet haben. Dazu haben Sie gcloud init oder gcloud auth login ausgeführt oder die Cloud Shell genutzt, die Sie automatisch bei der gcloud-Befehlszeile anmeldet. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Führen Sie folgenden Befehl aus:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended"

PowerShell (Windows)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto bei der gcloud-Befehlszeile angemeldet haben. Dazu führen Sie gcloud init oder gcloud auth login aus. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Führen Sie folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended" | Select-Object -Expand Content

Die Antwort enthält die Vorlage für die Bewertung.

Nächste Schritte

Erstellen Sie einen Sicherheitsstatus mit dieser vordefinierten Ausrichtung.