Diese Seite wurde von der Cloud Translation API übersetzt.

Vordefinierter Sicherheitsstatus für Cloud Storage, erweitert

Auf dieser Seite werden die Richtlinien zur Prävention und Erkennung von Bedrohungen beschrieben, die in Version v1.0 des vordefinierten Sicherheitsstatus für Cloud Storage, erweitert Diese Position enthält zwei Richtliniensätze:

Ein Richtliniensatz, der Organisationsrichtlinien enthält, die für Cloud Storage
Ein Richtliniensatz, der Security Health Analytics-Detektoren enthält, die für Cloud Storage

Sie können diese vordefinierte Haltung verwenden, um eine Sicherheitshaltung zu konfigurieren, die zum Schutz von Cloud Storage beiträgt. Wenn Sie diese vordefinierte Sicherheitsstufe bereitstellen möchten, müssen Sie einige der Richtlinien so anpassen, dass sie auf Ihre Umgebung zutreffen.

Einschränkungen für Organisationsrichtlinien

In der folgenden Tabelle werden die Richtlinien der Organisation beschrieben, die in dieser Haltung enthalten sind.

Policy Beschreibung Compliancestandard

Policy	Beschreibung	Compliancestandard
`storage.publicAccessPrevention`	Mit dieser Richtlinie wird verhindert, dass Cloud Storage-Buckets für den nicht authentifizierten öffentlichen Zugriff geöffnet werden. Der Wert ist `true`, um den öffentlichen Zugriff auf Buckets zu verhindern.	NIST SP 800-53-Kontrolle: AC-3, AC-17 und AC-20
`storage.uniformBucketLevelAccess`	Diese Richtlinie verhindert, dass Cloud Storage-Buckets eine ACL pro Objekt verwenden (ein separates System aus IAM-Richtlinien, um Zugriff zu gewähren und Konsistenz für Zugriffsverwaltung und Auditing. Der Wert ist `true`, um einen einheitlichen Zugriff auf Bucket-Ebene zu erzwingen.	NIST SP 800-53-Kontrolle: AC-3, AC-17 und AC-20
`storage.retentionPolicySeconds`	Mit dieser Einschränkung wird die Dauer der Aufbewahrungsrichtlinie für Buckets in Sekunden definiert. Sie müssen diesen Wert konfigurieren, wenn Sie diesen vordefinierten Sicherheitsstatus übernehmen.	NIST SP 800-53-Kontrolle: SI-12

storage.publicAccessPrevention

Mit dieser Richtlinie wird verhindert, dass Cloud Storage-Buckets für den nicht authentifizierten öffentlichen Zugriff geöffnet werden.

Der Wert ist true, um den öffentlichen Zugriff auf Buckets zu verhindern.

NIST SP 800-53-Kontrolle: AC-3, AC-17 und AC-20

storage.uniformBucketLevelAccess

Diese Richtlinie verhindert, dass Cloud Storage-Buckets eine ACL pro Objekt verwenden (ein separates System aus IAM-Richtlinien, um Zugriff zu gewähren und Konsistenz für Zugriffsverwaltung und Auditing.

Der Wert ist true, um einen einheitlichen Zugriff auf Bucket-Ebene zu erzwingen.

NIST SP 800-53-Kontrolle: AC-3, AC-17 und AC-20

storage.retentionPolicySeconds

Mit dieser Einschränkung wird die Dauer der Aufbewahrungsrichtlinie für Buckets in Sekunden definiert.

Sie müssen diesen Wert konfigurieren, wenn Sie diesen vordefinierten Sicherheitsstatus übernehmen.

NIST SP 800-53-Kontrolle: SI-12

Security Health Analytics – Detektoren

In der folgenden Tabelle werden die Detektoren von Security Health Analytics beschrieben, die in vordefinierter Sicherheitsstatus. Weitere Informationen zu diesen Detektoren finden Sie unter Erfasste Sicherheitslücken.

Detektorname	Beschreibung
`BUCKET_LOGGING_DISABLED`	Dieser Detektor prüft, ob ein Storage-Bucket vorhanden ist, für den kein Logging aktiviert ist.
`LOCKED_RETENTION_POLICY_NOT_SET`	Dieser Detektor prüft, ob die gesperrte Aufbewahrungsrichtlinie für Protokolle festgelegt ist.
`OBJECT_VERSIONING_DISABLED`	Dieser Detektor prüft, ob die Objektversionierung für Storage-Buckets mit Senken aktiviert ist.
`BUCKET_CMEK_DISABLED`	Dieser Detektor prüft, ob Buckets mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEKs) verschlüsselt sind.
`BUCKET_POLICY_ONLY_DISABLED`	Dieser Detektor prüft, ob ein einheitlicher Zugriff auf Bucket-Ebene konfiguriert ist.
`PUBLIC_BUCKET_ACL`	Dieser Detektor prüft, ob ein Bucket öffentlich zugänglich ist.
`PUBLIC_LOG_BUCKET`	Dieser Detektor prüft, ob ein Bucket mit einer Logsenke öffentlich zugänglich ist.
`ORG_POLICY_LOCATION_RESTRICTION`	Dieser Detektor prüft, ob eine Compute Engine-Ressource gegen die Einschränkung `constraints/gcp.resourceLocations` verstößt.

Posture-Vorlage ansehen

So rufen Sie die Statusvorlage für Cloud Storage erweitert auf:

gcloud

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

ORGANIZATION_ID: die numerische ID der Organisation

Führen Sie den gcloud scc posture-templates describe Befehl:

Linux, macOS oder Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

Die Antwort enthält die Vorlage für die Bewertung.

REST

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

ORGANIZATION_ID: die numerische ID der Organisation

HTTP-Methode und URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto bei der gcloud-Befehlszeile angemeldet haben. Dazu haben Sie gcloud init oder gcloud auth login ausgeführt oder die Cloud Shell genutzt, die Sie automatisch bei der gcloud-Befehlszeile anmeldet. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Führen Sie folgenden Befehl aus:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended"

PowerShell (Windows)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto bei der gcloud-Befehlszeile angemeldet haben. Dazu führen Sie gcloud init oder gcloud auth login aus. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Führen Sie folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended" | Select-Object -Expand Content

Die Antwort enthält die Posture-Vorlage.

Nächste Schritte

Erstellen Sie mit diesem vordefinierten Status einen Sicherheitsstatus.