Questa pagina è stata tradotta dall'API Cloud Translation.

Postura predefinita per Cloud Storage, estesa

Questa pagina descrive i criteri di prevenzione e rilevamento inclusi nella versione v1.0 della postura predefinita per Cloud Storage estesa. Questa postura include due set di criteri:

Un set di criteri che include i criteri dell'organizzazione applicabili a Cloud Storage.
Un set di criteri che include i rilevatori di Security Health Analytics applicabili a Cloud Storage.

Puoi utilizzare questa postura predefinita per configurare una postura di sicurezza che aiuti a proteggere Cloud Storage. Se vuoi eseguire il deployment di questa postura predefinita, devi personalizzare alcuni criteri in modo da applicarli al tuo ambiente.

Vincoli dei criteri dell'organizzazione

La tabella seguente descrive i criteri dell'organizzazione inclusi in questa postura.

Criterio Descrizione Standard di conformità

Criterio	Descrizione	Standard di conformità
`storage.publicAccessPrevention`	Questo criterio impedisce ai bucket Cloud Storage di essere aperti all'accesso pubblico non autenticato. Il valore è `true` per impedire l'accesso pubblico ai bucket.	Controllo NIST SP 800-53: AC-3, AC-17 e AC-20
`storage.uniformBucketLevelAccess`	Questo criterio impedisce ai bucket Cloud Storage di utilizzare ACL per singolo oggetto (un sistema separato dai criteri IAM) per fornire l'accesso, applicando coerenza per la gestione e il controllo degli accessi. Il valore è `true` per applicare l'accesso uniforme a livello di bucket.	Controllo NIST SP 800-53: AC-3, AC-17 e AC-20
`storage.retentionPolicySeconds`	Questo vincolo definisce la durata (in secondi) del criterio di conservazione per i bucket. Devi configurare questo valore quando adotti questa postura predefinita.	Controllo NIST SP 800-53: SI-12

storage.publicAccessPrevention

Questo criterio impedisce ai bucket Cloud Storage di essere aperti all'accesso pubblico non autenticato.

Il valore è true per impedire l'accesso pubblico ai bucket.

Controllo NIST SP 800-53: AC-3, AC-17 e AC-20

storage.uniformBucketLevelAccess

Questo criterio impedisce ai bucket Cloud Storage di utilizzare ACL per singolo oggetto (un sistema separato dai criteri IAM) per fornire l'accesso, applicando coerenza per la gestione e il controllo degli accessi.

Il valore è true per applicare l'accesso uniforme a livello di bucket.

Controllo NIST SP 800-53: AC-3, AC-17 e AC-20

storage.retentionPolicySeconds

Questo vincolo definisce la durata (in secondi) del criterio di conservazione per i bucket.

Devi configurare questo valore quando adotti questa postura predefinita.

Controllo NIST SP 800-53: SI-12

Rilevatori Security Health Analytics

La tabella seguente descrive i rilevatori di Security Health Analytics inclusi nella postura predefinita. Per ulteriori informazioni su questi rilevatori, consulta Risultati di vulnerabilità.

Nome rilevatore	Descrizione
`BUCKET_LOGGING_DISABLED`	Questo rilevatore controlla se esiste un bucket di archiviazione senza il logging abilitato.
`LOCKED_RETENTION_POLICY_NOT_SET`	Questo rilevatore controlla se il criterio di conservazione bloccata è impostato per i log.
`OBJECT_VERSIONING_DISABLED`	Questo rilevatore verifica se il controllo delle versioni degli oggetti è abilitato sui bucket di archiviazione con sink.
`BUCKET_CMEK_DISABLED`	Questo rilevatore controlla se i bucket sono criptati utilizzando chiavi di crittografia gestite dal cliente (CMEK).
`BUCKET_POLICY_ONLY_DISABLED`	Questo rilevatore verifica se è configurato un accesso uniforme a livello di bucket.
`PUBLIC_BUCKET_ACL`	Questo rilevatore verifica se un bucket è accessibile pubblicamente.
`PUBLIC_LOG_BUCKET`	Questo rilevatore verifica se un bucket con un sink di log è accessibile pubblicamente.
`ORG_POLICY_LOCATION_RESTRICTION`	Questo rilevatore controlla se una risorsa Compute Engine non è conforme al vincolo `constraints/gcp.resourceLocations`.

Definizione YAML

Di seguito è riportata la definizione YAML per la postura predefinita per Cloud Storage.

name: organizations/123/locations/global/postureTemplates/cloud_storage_extended
description: Posture Template to make your Cloud storage workload secure.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: Cloud storage preventative policy set
  description: 3 org policies that new customers can automatically enable.
  policies:
  - policy_id: Enforce Public Access Prevention
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-17
    - standard: NIST SP 800-53
      control: AC-20
    constraint:
      org_policy_constraint:
        canned_constraint_id: storage.publicAccessPrevention
        policy_rules:
        - enforce: true
    description: This governance policy prevents access to existing and future resources via the public internet by disabling and blocking Access Control Lists (ACLs) and IAM permissions that grant access to allUsers and allAuthenticatedUsers.
  - policy_id: Enforce uniform bucket-level access
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-17
    - standard: NIST SP 800-53
      control: AC-20
    constraint:
      org_policy_constraint:
        canned_constraint_id: storage.uniformBucketLevelAccess
        policy_rules:
        - enforce: true
    description: This boolean constraint requires buckets to use uniform bucket-level access where this constraint is set to TRUE.
  - policy_id: Retention policy duration in seconds
    compliance_standards:
    - standard: NIST SP 800-53
      control: SI-12
    constraint:
      org_policy_constraint:
        canned_constraint_id: storage.retentionPolicySeconds
        policy_rules:
        - enforce: true
    description: This list constraint defines the set of durations for retention policies that can be set on Cloud Storage buckets. By default, if no organization policy is specified, a Cloud Storage bucket can have a retention policy of any duration. The list of allowed durations must be specified as a positive integer value greater than zero, representing the retention policy in seconds. Any insert, update, or patch operation on a bucket in the organization resource must have a retention policy duration that matches the constraint. Enforcement of this constraint is not retroactive. When a new organization policy is enforced, the retention policy of existing buckets remains unchanged and valid.
- policy_set_id: Cloud storage detective policy set
  description: 8 SHA modules that new customers can automatically enable.
  policies:
  - policy_id: Bucket logging disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: BUCKET_LOGGING_DISABLED
  - policy_id: Locked retention policy not set
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: LOCKED_RETENTION_POLICY_NOT_SET
  - policy_id: Object versioning disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: OBJECT_VERSIONING_DISABLED
  - policy_id: Bucket CMEK disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: BUCKET_CMEK_DISABLED
  - policy_id: Bucket policy only disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: BUCKET_POLICY_ONLY_DISABLED
  - policy_id: Public bucket ACL
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: PUBLIC_BUCKET_ACL
  - policy_id: Public log bucket
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: PUBLIC_LOG_BUCKET
  - policy_id: Org policy location restriction
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: ORG_POLICY_LOCATION_RESTRICTION

Passaggi successivi

Crea una postura di sicurezza utilizzando questa postura predefinita.