Postur yang telah ditentukan sebelumnya untuk Cloud Storage, diperluas

Halaman ini menjelaskan kebijakan pencegahan dan detektif yang disertakan dalam versi v1.0 postur yang telah ditentukan untuk Cloud Storage, yang diperluas. Postur ini mencakup dua set kebijakan:

  • Kumpulan kebijakan yang mencakup kebijakan organisasi yang berlaku untuk Cloud Storage.

  • Kumpulan kebijakan yang mencakup detektor Security Health Analytics yang berlaku untuk Cloud Storage.

Anda dapat menggunakan postur yang telah ditentukan ini untuk mengonfigurasi postur keamanan yang membantu melindungi Cloud Storage. Jika ingin men-deploy postur yang telah ditentukan ini, Anda harus menyesuaikan beberapa kebijakan sehingga berlaku untuk lingkungan Anda.

Batasan kebijakan organisasi

Tabel berikut menjelaskan kebijakan organisasi yang disertakan dalam postur ini.

Kebijakan Deskripsi Standar kepatuhan
storage.publicAccessPrevention

Kebijakan ini mencegah bucket Cloud Storage dibuka untuk akses publik yang tidak diautentikasi.

Nilainya adalah true untuk mencegah akses publik ke bucket.

Kontrol NIST SP 800-53: AC-3, AC-17, dan AC-20
storage.uniformBucketLevelAccess

Kebijakan ini mencegah bucket Cloud Storage menggunakan ACL per objek (sistem yang terpisah dari kebijakan IAM) untuk memberikan akses, sehingga menerapkan konsistensi untuk pengelolaan dan pengauditan akses.

Nilainya adalah true untuk menerapkan akses level bucket seragam.

Kontrol NIST SP 800-53: AC-3, AC-17, dan AC-20
storage.retentionPolicySeconds

Batasan ini menentukan durasi (dalam detik) kebijakan retensi untuk bucket.

Anda harus mengonfigurasi nilai ini saat menggunakan postur yang telah ditentukan ini.

Kontrol NIST SP 800-53: SI-12

Pendeteksi Security Health Analytics

Tabel berikut menjelaskan detektor Security Health Analytics yang disertakan dalam postur yang telah ditentukan. Untuk mengetahui informasi lebih lanjut tentang detektor ini, lihat Temuan kerentanan.

Nama pendeteksi Deskripsi
BUCKET_LOGGING_DISABLED

Pendeteksi ini memeriksa apakah ada bucket penyimpanan tanpa mengaktifkan logging.

LOCKED_RETENTION_POLICY_NOT_SET

Pendeteksi ini memeriksa apakah kebijakan retensi yang terkunci disetel untuk log.

OBJECT_VERSIONING_DISABLED

Detektor ini memeriksa apakah pembuatan versi objek diaktifkan pada bucket penyimpanan dengan sink.

BUCKET_CMEK_DISABLED

Detektor ini memeriksa apakah bucket dienkripsi menggunakan kunci enkripsi yang dikelola pelanggan (CMEK).

BUCKET_POLICY_ONLY_DISABLED

Pendeteksi ini memeriksa apakah akses level bucket yang seragam dikonfigurasi.

PUBLIC_BUCKET_ACL

Pendeteksi ini memeriksa apakah bucket dapat diakses secara publik.

PUBLIC_LOG_BUCKET

Pendeteksi ini memeriksa apakah bucket dengan sink log dapat diakses secara publik.

ORG_POLICY_LOCATION_RESTRICTION

Detektor ini memeriksa apakah resource Compute Engine tidak sesuai dengan batasan constraints/gcp.resourceLocations.

Definisi YAML

Berikut adalah definisi YAML untuk postur yang telah ditentukan untuk Cloud Storage.

name: organizations/123/locations/global/postureTemplates/cloud_storage_extended
description: Posture Template to make your Cloud storage workload secure.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: Cloud storage preventative policy set
  description: 3 org policies that new customers can automatically enable.
  policies:
  - policy_id: Enforce Public Access Prevention
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-17
    - standard: NIST SP 800-53
      control: AC-20
    constraint:
      org_policy_constraint:
        canned_constraint_id: storage.publicAccessPrevention
        policy_rules:
        - enforce: true
    description: This governance policy prevents access to existing and future resources via the public internet by disabling and blocking Access Control Lists (ACLs) and IAM permissions that grant access to allUsers and allAuthenticatedUsers.
  - policy_id: Enforce uniform bucket-level access
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-17
    - standard: NIST SP 800-53
      control: AC-20
    constraint:
      org_policy_constraint:
        canned_constraint_id: storage.uniformBucketLevelAccess
        policy_rules:
        - enforce: true
    description: This boolean constraint requires buckets to use uniform bucket-level access where this constraint is set to TRUE.
  - policy_id: Retention policy duration in seconds
    compliance_standards:
    - standard: NIST SP 800-53
      control: SI-12
    constraint:
      org_policy_constraint:
        canned_constraint_id: storage.retentionPolicySeconds
        policy_rules:
        - enforce: true
    description: This list constraint defines the set of durations for retention policies that can be set on Cloud Storage buckets. By default, if no organization policy is specified, a Cloud Storage bucket can have a retention policy of any duration. The list of allowed durations must be specified as a positive integer value greater than zero, representing the retention policy in seconds. Any insert, update, or patch operation on a bucket in the organization resource must have a retention policy duration that matches the constraint. Enforcement of this constraint is not retroactive. When a new organization policy is enforced, the retention policy of existing buckets remains unchanged and valid.
- policy_set_id: Cloud storage detective policy set
  description: 8 SHA modules that new customers can automatically enable.
  policies:
  - policy_id: Bucket logging disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: BUCKET_LOGGING_DISABLED
  - policy_id: Locked retention policy not set
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: LOCKED_RETENTION_POLICY_NOT_SET
  - policy_id: Object versioning disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: OBJECT_VERSIONING_DISABLED
  - policy_id: Bucket CMEK disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: BUCKET_CMEK_DISABLED
  - policy_id: Bucket policy only disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: BUCKET_POLICY_ONLY_DISABLED
  - policy_id: Public bucket ACL
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: PUBLIC_BUCKET_ACL
  - policy_id: Public log bucket
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: PUBLIC_LOG_BUCKET
  - policy_id: Org policy location restriction
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: ORG_POLICY_LOCATION_RESTRICTION

Langkah selanjutnya