En esta página, se describen las políticas de detección y prevención que se incluyen en la versión v1.0 de la postura predefinida para Cloud Storage, extendida. Esta postura incluye dos conjuntos de políticas:
Un conjunto de políticas que incluye políticas de la organización que se aplican a en Google Cloud Storage.
Un conjunto de políticas que incluye detectores de las estadísticas del estado de la seguridad que se aplican a Cloud Storage.
Puedes usar esta postura predefinida para configurar una postura de seguridad que ayude proteger Cloud Storage. Si quieres implementar esta postura predefinida, puedes debes personalizar algunas de las políticas para que se apliquen a tu entorno.
Restricciones de las políticas de la organización
En la siguiente tabla, se describen las políticas de la organización que se incluyen en esta postura.
Política | Descripción | Estándar de cumplimiento |
---|---|---|
storage.publicAccessPrevention |
Esta política evita que los buckets de Cloud Storage estén abiertos al acceso público no autenticado. El valor es |
Control de NIST SP 800-53: AC-3, AC-17 y AC-20 |
storage.uniformBucketLevelAccess |
Esta política impide que los buckets de Cloud Storage usen LCA por objeto (un sistema de políticas de IAM) para proporcionar acceso y aplicar coherencia a la administración y auditoría de accesos. El valor es |
Control de la SP 800-53 del NIST: AC-3, AC-17 y AC-20 |
storage.retentionPolicySeconds |
Esta restricción define la duración (en segundos) de la política de retención de los buckets. Debes configurar este valor cuando adoptes esta postura predefinida. |
Control de la SP 800-53 del NIST: SI-12 |
Detectores de estadísticas de estado de seguridad
En la siguiente tabla, se describen los detectores de Security Health Analytics que se incluyen en la postura predefinida. Para obtener más información sobre estos detectores, consulta Hallazgos de vulnerabilidades.
Nombre del detector | Descripción |
---|---|
BUCKET_LOGGING_DISABLED |
Este detector verifica si hay un bucket de almacenamiento sin registro habilitado. |
LOCKED_RETENTION_POLICY_NOT_SET |
Este detector verifica si la política de retención bloqueada se configuró para los registros. |
OBJECT_VERSIONING_DISABLED |
Este detector verifica si el control de versiones de objetos está habilitado en los buckets de almacenamiento con receptores. |
BUCKET_CMEK_DISABLED |
Este detector verifica si los buckets están encriptados con claves de encriptación administradas por el cliente (CMEK). |
BUCKET_POLICY_ONLY_DISABLED |
Este detector verifica si se configuró el acceso uniforme a nivel de bucket. |
PUBLIC_BUCKET_ACL |
Este detector verifica si un bucket es de acceso público. |
PUBLIC_LOG_BUCKET |
Este detector verifica si un bucket con un receptor de registros es de acceso público. |
ORG_POLICY_LOCATION_RESTRICTION |
Este detector verifica si un recurso de Compute Engine no cumple con la restricción |
Visualiza la plantilla de postura
Para ver la plantilla de postura de Cloud Storage extendida, haz lo siguiente:
gcloud
Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:
-
ORGANIZATION_ID
: El ID numérico de la organización
Ejecuta el
gcloud scc posture-templates
describe
:
Linux, macOS o Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended
La respuesta contiene la plantilla de postura.
REST
Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:
-
ORGANIZATION_ID
: El ID numérico de la organización
Método HTTP y URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended
Para enviar tu solicitud, expande una de estas opciones:
La respuesta contiene la plantilla de postura.