Halaman ini menjelaskan kebijakan pencegahan dan detektif yang disertakan dalam postur yang telah ditentukan sebelumnya untuk Cloud Storage, diperluas, versi v1.0. Postur ini mencakup dua kumpulan kebijakan:
Kumpulan kebijakan yang mencakup kebijakan organisasi yang berlaku untuk Cloud Storage.
Kumpulan kebijakan yang menyertakan deteksi Security Health Analytics yang berlaku untuk Cloud Storage.
Anda dapat menggunakan postur standar ini untuk mengonfigurasi postur keamanan yang membantu melindungi Cloud Storage. Jika ingin men-deploy postur standar ini, Anda harus menyesuaikan beberapa kebijakan agar berlaku untuk lingkungan Anda.
Batasan kebijakan organisasi
Tabel berikut menjelaskan kebijakan organisasi yang disertakan dalam postur ini.
| Kebijakan | Deskripsi | Standar kepatuhan |
|---|---|---|
storage.publicAccessPrevention |
Kebijakan ini mencegah bucket Cloud Storage terbuka untuk akses publik yang tidak diautentikasi. Nilainya adalah |
Kontrol NIST SP 800-53: AC-3, AC-17, dan AC-20 |
storage.uniformBucketLevelAccess |
Kebijakan ini mencegah bucket Cloud Storage menggunakan ACL per objek (sistem terpisah dari kebijakan IAM) untuk memberikan akses, sehingga menerapkan konsistensi untuk pengelolaan dan audit akses. Nilainya adalah |
Kontrol NIST SP 800-53: AC-3, AC-17, dan AC-20 |
storage.retentionPolicySeconds |
Batasan ini menentukan durasi (dalam detik) untuk kebijakan retensi bucket. Anda harus mengonfigurasi nilai ini saat menggunakan postur standar ini. |
Kontrol NIST SP 800-53: SI-12 |
Detektor Security Health Analytics
Tabel berikut menjelaskan detektor Security Health Analytics yang disertakan dalam postur yang telah ditentukan. Untuk informasi selengkapnya tentang pendeteksi ini, lihat Temuan kerentanan.
| Nama pendeteksi | Deskripsi |
|---|---|
BUCKET_LOGGING_DISABLED |
Detektor ini memeriksa apakah ada bucket penyimpanan tanpa logging yang diaktifkan. |
LOCKED_RETENTION_POLICY_NOT_SET |
Detektor ini memeriksa apakah kebijakan retensi terkunci ditetapkan untuk log. |
OBJECT_VERSIONING_DISABLED |
Detektor ini memeriksa apakah pembuatan versi objek diaktifkan di bucket penyimpanan dengan sink. |
BUCKET_CMEK_DISABLED |
Detektor ini memeriksa apakah bucket dienkripsi menggunakan kunci enkripsi yang dikelola pelanggan (CMEK). |
BUCKET_POLICY_ONLY_DISABLED |
Detektor ini memeriksa apakah akses level bucket yang seragam dikonfigurasi. |
PUBLIC_BUCKET_ACL |
Detektor ini memeriksa apakah bucket dapat diakses secara publik. |
PUBLIC_LOG_BUCKET |
Detektor ini memeriksa apakah bucket dengan sink log dapat diakses secara publik. |
ORG_POLICY_LOCATION_RESTRICTION |
Detektor ini memeriksa apakah resource Compute Engine tidak mematuhi batasan |
Melihat template postur
Untuk melihat template postur untuk Cloud Storage, yang diperluas, lakukan hal berikut:
gcloud
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
-
ORGANIZATION_ID: ID numerik organisasi
Jalankan perintah
gcloud scc posture-templates
describe:
Linux, macOS, atau Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended
Respons berisi template postur.
REST
Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
-
ORGANIZATION_ID: ID numerik organisasi
Metode HTTP dan URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended
Untuk mengirim permintaan, perluas salah satu opsi berikut:
Respons berisi template postur.