Questa pagina descrive i criteri di prevenzione e rilevamento inclusi nella versione 1.0 della postura predefinita per Cloud Storage, estesa. Questa strategia include due insiemi di criteri:
Un insieme di criteri che include i criteri dell'organizzazione applicati a Cloud Storage.
Un set di criteri che include i rilevatori di Security Health Analytics applicabili a di archiviazione ideale in Cloud Storage.
Puoi utilizzare questa postura predefinita per configurare una postura di sicurezza che aiuti e proteggere Cloud Storage. Se vuoi eseguire il deployment di questa postura predefinita, devi personalizzare alcuni criteri in modo che vengano applicati al tuo ambiente.
Vincoli dei criteri dell'organizzazione
La tabella seguente descrive i criteri dell'organizzazione inclusi in questa posizione.
| Norme | Descrizione | Standard di conformità |
|---|---|---|
storage.publicAccessPrevention |
Questo criterio impedisce che i bucket Cloud Storage siano aperti all'accesso pubblico non autenticato. Il valore è |
Controllo NIST SP 800-53: AC-3, AC-17 e AC-20 |
storage.uniformBucketLevelAccess |
Questo criterio impedisce ai bucket Cloud Storage di utilizzare ACL per oggetto (un sistema distinto dai criteri IAM) per fornire l'accesso, garantendo la coerenza per la gestione e il controllo dell'accesso. Il valore è |
Controllo NIST SP 800-53: AC-3, AC-17 e AC-20 |
storage.retentionPolicySeconds |
Questo vincolo definisce la durata (in secondi) del criterio di conservazione per i bucket. Devi configurare questo valore quando adotti questa postura predefinita. |
Controllo NIST SP 800-53: SI-12 |
Rilevatori Security Health Analytics
La tabella seguente descrive i rilevatori di Security Health Analytics inclusi in la postura predefinita. Per ulteriori informazioni su questi rilevatori, vedi Vulnerabilità rilevate.
| Nome rilevatore | Descrizione |
|---|---|
BUCKET_LOGGING_DISABLED |
Questo rilevatore controlla se è presente un bucket di archiviazione senza il logging abilitato. |
LOCKED_RETENTION_POLICY_NOT_SET |
Questo rilevatore controlla se il criterio di conservazione bloccato è impostato per i log. |
OBJECT_VERSIONING_DISABLED |
Questo rilevatore verifica se il controllo delle versioni degli oggetti è abilitato sui bucket di archiviazione con sink. |
BUCKET_CMEK_DISABLED |
Questo rilevatore controlla se i bucket sono criptati utilizzando chiavi di crittografia gestite dal cliente (CMEK). |
BUCKET_POLICY_ONLY_DISABLED |
Questo rilevatore verifica se è configurato un accesso uniforme a livello di bucket. |
PUBLIC_BUCKET_ACL |
Questo rilevatore controlla se un bucket è accessibile pubblicamente. |
PUBLIC_LOG_BUCKET |
Questo rilevatore controlla se un bucket con un sink di log è accessibile pubblicamente. |
ORG_POLICY_LOCATION_RESTRICTION |
Questo rilevatore controlla se una risorsa Compute Engine non è conforme al vincolo |
Visualizza il modello di postura
Per visualizzare il modello di conformità per Cloud Storage, esteso, segui questi passaggi:
gcloud
Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
-
ORGANIZATION_ID: l'ID numerico dell'organizzazione
Esegui il comando
gcloud scc posture-templates
describe
:
Linux, macOS o Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended
La risposta contiene il modello di postura.
REST
Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
-
ORGANIZATION_ID: l'ID numerico dell'organizzazione
Metodo HTTP e URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended
Per inviare la richiesta, espandi una di queste opzioni:
La risposta contiene il modello di postura.