Halaman ini menjelaskan kebijakan pencegahan dan detektif yang disertakan dalam versi v1.0 postur yang telah ditentukan untuk Cloud Storage, yang diperluas. Postur ini mencakup dua set kebijakan:
Kumpulan kebijakan yang mencakup kebijakan organisasi yang berlaku untuk Cloud Storage.
Kumpulan kebijakan yang mencakup detektor Security Health Analytics yang berlaku untuk Cloud Storage.
Anda dapat menggunakan postur yang telah ditentukan ini untuk mengonfigurasi postur keamanan yang membantu melindungi Cloud Storage. Jika ingin men-deploy postur yang telah ditentukan ini, Anda harus menyesuaikan beberapa kebijakan sehingga berlaku untuk lingkungan Anda.
Batasan kebijakan organisasi
Tabel berikut menjelaskan kebijakan organisasi yang disertakan dalam postur ini.
Kebijakan | Deskripsi | Standar kepatuhan |
---|---|---|
storage.publicAccessPrevention |
Kebijakan ini mencegah bucket Cloud Storage dibuka untuk akses publik yang tidak diautentikasi. Nilainya adalah |
Kontrol NIST SP 800-53: AC-3, AC-17, dan AC-20 |
storage.uniformBucketLevelAccess |
Kebijakan ini mencegah bucket Cloud Storage menggunakan ACL per objek (sistem yang terpisah dari kebijakan IAM) untuk memberikan akses, sehingga menerapkan konsistensi untuk pengelolaan dan pengauditan akses. Nilainya adalah |
Kontrol NIST SP 800-53: AC-3, AC-17, dan AC-20 |
storage.retentionPolicySeconds |
Batasan ini menentukan durasi (dalam detik) kebijakan retensi untuk bucket. Anda harus mengonfigurasi nilai ini saat menggunakan postur yang telah ditentukan ini. |
Kontrol NIST SP 800-53: SI-12 |
Pendeteksi Security Health Analytics
Tabel berikut menjelaskan detektor Security Health Analytics yang disertakan dalam postur yang telah ditentukan. Untuk mengetahui informasi lebih lanjut tentang detektor ini, lihat Temuan kerentanan.
Nama pendeteksi | Deskripsi |
---|---|
BUCKET_LOGGING_DISABLED |
Pendeteksi ini memeriksa apakah ada bucket penyimpanan tanpa mengaktifkan logging. |
LOCKED_RETENTION_POLICY_NOT_SET |
Pendeteksi ini memeriksa apakah kebijakan retensi yang terkunci disetel untuk log. |
OBJECT_VERSIONING_DISABLED |
Detektor ini memeriksa apakah pembuatan versi objek diaktifkan pada bucket penyimpanan dengan sink. |
BUCKET_CMEK_DISABLED |
Detektor ini memeriksa apakah bucket dienkripsi menggunakan kunci enkripsi yang dikelola pelanggan (CMEK). |
BUCKET_POLICY_ONLY_DISABLED |
Pendeteksi ini memeriksa apakah akses level bucket yang seragam dikonfigurasi. |
PUBLIC_BUCKET_ACL |
Pendeteksi ini memeriksa apakah bucket dapat diakses secara publik. |
PUBLIC_LOG_BUCKET |
Pendeteksi ini memeriksa apakah bucket dengan sink log dapat diakses secara publik. |
ORG_POLICY_LOCATION_RESTRICTION |
Detektor ini memeriksa apakah resource Compute Engine tidak sesuai dengan batasan |
Definisi YAML
Berikut adalah definisi YAML untuk postur yang telah ditentukan untuk Cloud Storage.
name: organizations/123/locations/global/postureTemplates/cloud_storage_extended
description: Posture Template to make your Cloud storage workload secure.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: Cloud storage preventative policy set
description: 3 org policies that new customers can automatically enable.
policies:
- policy_id: Enforce Public Access Prevention
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-17
- standard: NIST SP 800-53
control: AC-20
constraint:
org_policy_constraint:
canned_constraint_id: storage.publicAccessPrevention
policy_rules:
- enforce: true
description: This governance policy prevents access to existing and future resources via the public internet by disabling and blocking Access Control Lists (ACLs) and IAM permissions that grant access to allUsers and allAuthenticatedUsers.
- policy_id: Enforce uniform bucket-level access
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-17
- standard: NIST SP 800-53
control: AC-20
constraint:
org_policy_constraint:
canned_constraint_id: storage.uniformBucketLevelAccess
policy_rules:
- enforce: true
description: This boolean constraint requires buckets to use uniform bucket-level access where this constraint is set to TRUE.
- policy_id: Retention policy duration in seconds
compliance_standards:
- standard: NIST SP 800-53
control: SI-12
constraint:
org_policy_constraint:
canned_constraint_id: storage.retentionPolicySeconds
policy_rules:
- enforce: true
description: This list constraint defines the set of durations for retention policies that can be set on Cloud Storage buckets. By default, if no organization policy is specified, a Cloud Storage bucket can have a retention policy of any duration. The list of allowed durations must be specified as a positive integer value greater than zero, representing the retention policy in seconds. Any insert, update, or patch operation on a bucket in the organization resource must have a retention policy duration that matches the constraint. Enforcement of this constraint is not retroactive. When a new organization policy is enforced, the retention policy of existing buckets remains unchanged and valid.
- policy_set_id: Cloud storage detective policy set
description: 8 SHA modules that new customers can automatically enable.
policies:
- policy_id: Bucket logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_LOGGING_DISABLED
- policy_id: Locked retention policy not set
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LOCKED_RETENTION_POLICY_NOT_SET
- policy_id: Object versioning disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OBJECT_VERSIONING_DISABLED
- policy_id: Bucket CMEK disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_CMEK_DISABLED
- policy_id: Bucket policy only disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_POLICY_ONLY_DISABLED
- policy_id: Public bucket ACL
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_BUCKET_ACL
- policy_id: Public log bucket
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_LOG_BUCKET
- policy_id: Org policy location restriction
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ORG_POLICY_LOCATION_RESTRICTION