Stratégie prédéfinie pour Cloud Storage, stratégie étendue

Cette page décrit les règles de prévention et de détection incluses dans la version v1.0 de la stratégie prédéfinie étendue pour Cloud Storage. Cette stratégie comprend deux ensembles de règles:

Ensemble de règles comprenant les règles d'administration qui s'appliquent à Cloud Storage.
Un ensemble de règles qui inclut les détecteurs de Security Health Analytics qui s'appliquent à Cloud Storage.

Vous pouvez utiliser cette stratégie prédéfinie pour configurer une stratégie de sécurité qui contribue à protéger Cloud Storage. Si vous souhaitez déployer cette stratégie prédéfinie, vous devez personnaliser certaines règles afin qu'elles s'appliquent à votre environnement.

Contraintes liées aux règles d'administration

Le tableau suivant décrit les règles d'administration incluses dans cette stratégie.

Règle Description Norme de conformité

Règle	Description	Norme de conformité
`storage.publicAccessPrevention`	Cette règle empêche les buckets Cloud Storage d'être ouverts à un accès public non authentifié. La valeur est `true` pour empêcher l'accès public aux buckets.	Contrôle NIST SP 800-53: AC-3, AC-17 et AC-20
`storage.uniformBucketLevelAccess`	Cette règle empêche les buckets Cloud Storage d'utiliser des LCA par objet (un système distinct des stratégies IAM) pour fournir l'accès, assurant ainsi la cohérence de la gestion des accès et de l'audit. La valeur est `true` pour appliquer un accès uniforme au niveau du bucket.	Contrôle NIST SP 800-53: AC-3, AC-17 et AC-20
`storage.retentionPolicySeconds`	Cette contrainte définit la durée (en secondes) de la règle de conservation pour les buckets. Vous devez configurer cette valeur lorsque vous adoptez cette stratégie prédéfinie.	Contrôle NIST SP 800-53: SI-12

storage.publicAccessPrevention

Cette règle empêche les buckets Cloud Storage d'être ouverts à un accès public non authentifié.

La valeur est true pour empêcher l'accès public aux buckets.

Contrôle NIST SP 800-53: AC-3, AC-17 et AC-20

storage.uniformBucketLevelAccess

Cette règle empêche les buckets Cloud Storage d'utiliser des LCA par objet (un système distinct des stratégies IAM) pour fournir l'accès, assurant ainsi la cohérence de la gestion des accès et de l'audit.

La valeur est true pour appliquer un accès uniforme au niveau du bucket.

Contrôle NIST SP 800-53: AC-3, AC-17 et AC-20

storage.retentionPolicySeconds

Cette contrainte définit la durée (en secondes) de la règle de conservation pour les buckets.

Vous devez configurer cette valeur lorsque vous adoptez cette stratégie prédéfinie.

Contrôle NIST SP 800-53: SI-12

Détecteurs Security Health Analytics

Le tableau suivant décrit les détecteurs Security Health Analytics inclus dans la stratégie prédéfinie. Pour en savoir plus sur ces détecteurs, consultez la section Résultats de failles.

Nom du détecteur	Description
`BUCKET_LOGGING_DISABLED`	Ce détecteur vérifie s'il existe un bucket de stockage pour lequel la journalisation n'est pas activée.
`LOCKED_RETENTION_POLICY_NOT_SET`	Ce détecteur vérifie si la règle de conservation verrouillée est définie pour les journaux.
`OBJECT_VERSIONING_DISABLED`	Ce détecteur vérifie si la gestion des versions des objets est activée sur les buckets de stockage dotés de récepteurs.
`BUCKET_CMEK_DISABLED`	Ce détecteur vérifie si les buckets sont chiffrés à l'aide de clés de chiffrement gérées par le client (CMEK).
`BUCKET_POLICY_ONLY_DISABLED`	Ce détecteur vérifie si l'accès uniforme au niveau du bucket est configuré.
`PUBLIC_BUCKET_ACL`	Ce détecteur vérifie si un bucket est accessible publiquement.
`PUBLIC_LOG_BUCKET`	Ce détecteur vérifie si un bucket avec un récepteur de journaux est accessible publiquement.
`ORG_POLICY_LOCATION_RESTRICTION`	Ce détecteur vérifie si une ressource Compute Engine est non conforme à la contrainte `constraints/gcp.resourceLocations`.

Définition YAML

Voici la définition YAML de la stratégie prédéfinie pour Cloud Storage.

name: organizations/123/locations/global/postureTemplates/cloud_storage_extended
description: Posture Template to make your Cloud storage workload secure.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: Cloud storage preventative policy set
  description: 3 org policies that new customers can automatically enable.
  policies:
  - policy_id: Enforce Public Access Prevention
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-17
    - standard: NIST SP 800-53
      control: AC-20
    constraint:
      org_policy_constraint:
        canned_constraint_id: storage.publicAccessPrevention
        policy_rules:
        - enforce: true
    description: This governance policy prevents access to existing and future resources via the public internet by disabling and blocking Access Control Lists (ACLs) and IAM permissions that grant access to allUsers and allAuthenticatedUsers.
  - policy_id: Enforce uniform bucket-level access
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-17
    - standard: NIST SP 800-53
      control: AC-20
    constraint:
      org_policy_constraint:
        canned_constraint_id: storage.uniformBucketLevelAccess
        policy_rules:
        - enforce: true
    description: This boolean constraint requires buckets to use uniform bucket-level access where this constraint is set to TRUE.
  - policy_id: Retention policy duration in seconds
    compliance_standards:
    - standard: NIST SP 800-53
      control: SI-12
    constraint:
      org_policy_constraint:
        canned_constraint_id: storage.retentionPolicySeconds
        policy_rules:
        - enforce: true
    description: This list constraint defines the set of durations for retention policies that can be set on Cloud Storage buckets. By default, if no organization policy is specified, a Cloud Storage bucket can have a retention policy of any duration. The list of allowed durations must be specified as a positive integer value greater than zero, representing the retention policy in seconds. Any insert, update, or patch operation on a bucket in the organization resource must have a retention policy duration that matches the constraint. Enforcement of this constraint is not retroactive. When a new organization policy is enforced, the retention policy of existing buckets remains unchanged and valid.
- policy_set_id: Cloud storage detective policy set
  description: 8 SHA modules that new customers can automatically enable.
  policies:
  - policy_id: Bucket logging disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: BUCKET_LOGGING_DISABLED
  - policy_id: Locked retention policy not set
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: LOCKED_RETENTION_POLICY_NOT_SET
  - policy_id: Object versioning disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: OBJECT_VERSIONING_DISABLED
  - policy_id: Bucket CMEK disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: BUCKET_CMEK_DISABLED
  - policy_id: Bucket policy only disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: BUCKET_POLICY_ONLY_DISABLED
  - policy_id: Public bucket ACL
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: PUBLIC_BUCKET_ACL
  - policy_id: Public log bucket
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: PUBLIC_LOG_BUCKET
  - policy_id: Org policy location restriction
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: ORG_POLICY_LOCATION_RESTRICTION

Étapes suivantes

Créez une stratégie de sécurité à l'aide de cette stratégie prédéfinie.