Esta página descreve as políticas preventivas e de detecção incluídas no a versão v1.0 da postura predefinida do Cloud Storage estendida. Esta postura inclui dois conjuntos de políticas:
Um conjunto de políticas que inclui as políticas da organização Cloud Storage.
Um conjunto de políticas que inclui detectores da Análise de integridade da segurança aplicáveis a Cloud Storage.
É possível usar essa postura predefinida para configurar uma postura de segurança que ajude proteger o Cloud Storage. Se você quiser implantar essa postura predefinida, precisa personalizar algumas das políticas para que elas se apliquem ao seu ambiente.
Restrições da política da organização
A tabela a seguir descreve as políticas da organização incluídas em essa postura.
| Política | Descrição | Padrão de conformidade |
|---|---|---|
storage.publicAccessPrevention |
Essa política impede que os buckets do Cloud Storage sejam abertos ao público não autenticado acesso. O valor é |
Controle do NIST SP 800-53: AC-3, AC-17 e AC-20 |
storage.uniformBucketLevelAccess |
Esta política impede que os buckets do Cloud Storage usem ACL por objeto (um sistema separado das políticas do IAM) para fornecer acesso, aplicando consistência para o gerenciamento e a auditoria do acesso. O valor é |
Controle do NIST SP 800-53: AC-3, AC-17 e AC-20 |
storage.retentionPolicySeconds |
Essa restrição define a duração (em segundos) da política de retenção para buckets. Configure esse valor ao adotar essa postura predefinida. |
Controle do NIST SP 800-53: SI-12 |
Detectores do Security Health Analytics
A tabela a seguir descreve os detectores da Análise de integridade da segurança incluídos em a postura predefinida. Para mais informações sobre esses detectores, consulte Descobertas de vulnerabilidades.
| Nome do detector | Descrição |
|---|---|
BUCKET_LOGGING_DISABLED |
Este detector verifica se há um bucket de armazenamento sem a geração de registros ativada. |
LOCKED_RETENTION_POLICY_NOT_SET |
Este detector verifica se a política de retenção bloqueada está definida para registros. |
OBJECT_VERSIONING_DISABLED |
Este detector verifica se o controle de versões de objetos está ativado em buckets de armazenamento com coletores. |
BUCKET_CMEK_DISABLED |
Esse detector verifica se os buckets estão criptografados usando chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês). |
BUCKET_POLICY_ONLY_DISABLED |
Este detector verifica se o acesso uniforme no nível do bucket está configurado. |
PUBLIC_BUCKET_ACL |
Este detector verifica se um bucket está acessível publicamente. |
PUBLIC_LOG_BUCKET |
Esse detector verifica se um bucket com um coletor de registros está acessível publicamente. |
ORG_POLICY_LOCATION_RESTRICTION |
Este detector verifica se um recurso do Compute Engine não está em compliance com a restrição |
Conferir o modelo de postura
Para acessar o modelo de postura do Cloud Storage estendido, faça o seguinte:
gcloud
Antes de usar os dados do comando abaixo, faça estas substituições:
-
ORGANIZATION_ID: o ID numérico da organização
Execute o
gcloud scc posture-templates
describe
comando:
Linux, macOS ou Cloud Shell
gcloud scc posture-templates describe \
organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended
Windows (PowerShell)
gcloud scc posture-templates describe `
organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended
Windows (cmd.exe)
gcloud scc posture-templates describe ^
organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended
A resposta contém o modelo de postura.
REST
Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:
-
ORGANIZATION_ID: o ID numérico da organização
Método HTTP e URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended
Para enviar a solicitação, expanda uma destas opções:
A resposta contém o modelo de postura.