Posture prédéfinie pour Cloud Storage, étendue

Cette page décrit les règles de prévention et de détection incluses dans la version 1.0 de la stratégie prédéfinie pour Cloud Storage étendue. Cette stratégie comprend deux jeux de règles:

  • Ensemble de règles qui inclut des règles d'administration qui s'appliquent à Cloud Storage.

  • Un ensemble de règles qui inclut les détecteurs Security Health Analytics qui s'appliquent à Cloud Storage.

Vous pouvez utiliser cette posture prédéfinie pour configurer une posture de sécurité qui aide à protéger Cloud Storage. Pour déployer cette stratégie prédéfinie, vous devez personnaliser certaines stratégies pour qu'elles s'appliquent à votre environnement.

Contraintes liées aux règles d'administration

Le tableau suivant décrit les règles d'administration incluses dans cette stratégie.

Règle Description Norme de conformité
storage.publicAccessPrevention

Cette règle empêche les buckets Cloud Storage d'être ouverts à un accès public non authentifié.

La valeur est true pour empêcher l'accès public aux buckets.

Contrôles NIST SP 800-53: AC-3, AC-17 et AC-20
storage.uniformBucketLevelAccess

Ces règles empêche les buckets Cloud Storage d'utiliser une LCA par objet (un système distinct des stratégies IAM) pour fournir un accès, en assurant la cohérence des la gestion des accès et l'audit.

La valeur est true pour appliquer l'accès uniforme au niveau du bucket.

Contrôle NIST SP 800-53 : AC-3, AC-17 et AC-20
storage.retentionPolicySeconds

Cette contrainte définit la durée (en secondes) de la règle de conservation des buckets.

Vous devez configurer cette valeur lorsque vous adoptez cette stratégie prédéfinie.

Contrôle NIST SP 800-53 : SI-12

Détecteurs Security Health Analytics

Le tableau suivant décrit les détecteurs Security Health Analytics inclus dans l'état prédéfini. Pour en savoir plus sur ces détecteurs, consultez Résultats de failles.

Nom du détecteur Description
BUCKET_LOGGING_DISABLED

Ce détecteur vérifie si un bucket de stockage est présent sans journalisation activée.

LOCKED_RETENTION_POLICY_NOT_SET

Ce détecteur vérifie si une règle de conservation verrouillée est définie pour les journaux.

OBJECT_VERSIONING_DISABLED

Ce détecteur vérifie si la gestion des versions d'objets est activée sur les buckets de stockage avec des récepteurs.

BUCKET_CMEK_DISABLED

Ce détecteur vérifie si les buckets sont chiffrés à l'aide de clés de chiffrement gérées par le client (CMEK).

BUCKET_POLICY_ONLY_DISABLED

Ce détecteur vérifie si l'accès uniforme au niveau du bucket est configuré.

PUBLIC_BUCKET_ACL

Ce détecteur vérifie si un bucket est accessible au public.

PUBLIC_LOG_BUCKET

Ce détecteur vérifie si un bucket doté d'un récepteur de journaux est accessible publiquement.

ORG_POLICY_LOCATION_RESTRICTION

Ce détecteur vérifie si une ressource Compute Engine ne respecte pas la contrainte constraints/gcp.resourceLocations.

Afficher le modèle de posture

Pour afficher le modèle de stratégie pour Cloud Storage étendu, procédez comme suit:

gcloud

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

  • ORGANIZATION_ID: ID numérique de l'organisation

Exécutez la gcloud scc posture-templates describe commande:

Linux, macOS ou Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

La réponse contient le modèle de posture.

REST

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

  • ORGANIZATION_ID : ID numérique de l'organisation

Méthode HTTP et URL :

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

Pour envoyer votre requête, développez l'une des options suivantes :

La réponse contient le modèle de posture.

Étape suivante