Questa pagina descrive i criteri preventivi e di rilevamento inclusi nella versione 1.0 della postura predefinita per Cloud Storage, estesa. Questa postura include due insiemi di criteri:
Un set di criteri che include i criteri dell'organizzazione che si applicano a Cloud Storage.
Un insieme di criteri che include rilevatori di Security Health Analytics che si applicano a Cloud Storage.
Puoi utilizzare questa postura predefinita per configurare una postura di sicurezza che aiuti a proteggere Cloud Storage. Se vuoi eseguire il deployment di questa postura predefinita, devi personalizzare alcuni dei criteri in modo che vengano applicati al tuo ambiente.
Vincoli dei criteri dell'organizzazione
La tabella seguente descrive i criteri dell'organizzazione inclusi in questa postura.
Norme | Descrizione | Standard di conformità |
---|---|---|
storage.publicAccessPrevention |
Questo criterio impedisce ai bucket Cloud Storage di essere aperti all'accesso pubblico non autenticato. Il valore è |
Controllo NIST SP 800-53: AC-3, AC-17 e AC-20 |
storage.uniformBucketLevelAccess |
Questo criterio impedisce ai bucket Cloud Storage di utilizzare l'ACL per oggetto (un sistema separato dai criteri IAM) per fornire l'accesso, garantendo coerenza per la gestione e il controllo degli accessi. Il valore è |
Controllo NIST SP 800-53: AC-3, AC-17 e AC-20 |
storage.retentionPolicySeconds |
Questo vincolo definisce la durata (in secondi) del criterio di conservazione per i bucket. Devi configurare questo valore quando adotti questa postura predefinita. |
Controllo NIST SP 800-53: SI-12 |
Rilevatori di Security Health Analytics
La seguente tabella descrive i rilevatori di Security Health Analytics inclusi nella postura predefinita. Per ulteriori informazioni su questi rilevatori, consulta Rilevamenti di vulnerabilità.
Nome rilevatore | Descrizione |
---|---|
BUCKET_LOGGING_DISABLED |
Questo rilevatore verifica se esiste un bucket di archiviazione senza logging abilitato. |
LOCKED_RETENTION_POLICY_NOT_SET |
Questo rilevatore verifica se il criterio di conservazione bloccato è impostato per i log. |
OBJECT_VERSIONING_DISABLED |
Questo rilevatore verifica se il controllo delle versioni degli oggetti è abilitato nei bucket di archiviazione con sink. |
BUCKET_CMEK_DISABLED |
Questo rilevatore verifica se i bucket sono criptati mediante chiavi di crittografia gestite dal cliente (CMEK). |
BUCKET_POLICY_ONLY_DISABLED |
Questo rilevatore verifica se è configurato un accesso uniforme a livello di bucket. |
PUBLIC_BUCKET_ACL |
Questo rilevatore verifica se un bucket è accessibile pubblicamente. |
PUBLIC_LOG_BUCKET |
Questo rilevatore verifica se un bucket con un sink di log è accessibile pubblicamente. |
ORG_POLICY_LOCATION_RESTRICTION |
Questo rilevatore verifica se una risorsa Compute Engine non è conforme al vincolo |
Definizione YAML
Di seguito è riportata la definizione YAML per la postura predefinita per Cloud Storage.
name: organizations/123/locations/global/postureTemplates/cloud_storage_extended
description: Posture Template to make your Cloud storage workload secure.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: Cloud storage preventative policy set
description: 3 org policies that new customers can automatically enable.
policies:
- policy_id: Enforce Public Access Prevention
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-17
- standard: NIST SP 800-53
control: AC-20
constraint:
org_policy_constraint:
canned_constraint_id: storage.publicAccessPrevention
policy_rules:
- enforce: true
description: This governance policy prevents access to existing and future resources via the public internet by disabling and blocking Access Control Lists (ACLs) and IAM permissions that grant access to allUsers and allAuthenticatedUsers.
- policy_id: Enforce uniform bucket-level access
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-17
- standard: NIST SP 800-53
control: AC-20
constraint:
org_policy_constraint:
canned_constraint_id: storage.uniformBucketLevelAccess
policy_rules:
- enforce: true
description: This boolean constraint requires buckets to use uniform bucket-level access where this constraint is set to TRUE.
- policy_id: Retention policy duration in seconds
compliance_standards:
- standard: NIST SP 800-53
control: SI-12
constraint:
org_policy_constraint:
canned_constraint_id: storage.retentionPolicySeconds
policy_rules:
- enforce: true
description: This list constraint defines the set of durations for retention policies that can be set on Cloud Storage buckets. By default, if no organization policy is specified, a Cloud Storage bucket can have a retention policy of any duration. The list of allowed durations must be specified as a positive integer value greater than zero, representing the retention policy in seconds. Any insert, update, or patch operation on a bucket in the organization resource must have a retention policy duration that matches the constraint. Enforcement of this constraint is not retroactive. When a new organization policy is enforced, the retention policy of existing buckets remains unchanged and valid.
- policy_set_id: Cloud storage detective policy set
description: 8 SHA modules that new customers can automatically enable.
policies:
- policy_id: Bucket logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_LOGGING_DISABLED
- policy_id: Locked retention policy not set
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LOCKED_RETENTION_POLICY_NOT_SET
- policy_id: Object versioning disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OBJECT_VERSIONING_DISABLED
- policy_id: Bucket CMEK disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_CMEK_DISABLED
- policy_id: Bucket policy only disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_POLICY_ONLY_DISABLED
- policy_id: Public bucket ACL
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_BUCKET_ACL
- policy_id: Public log bucket
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_LOG_BUCKET
- policy_id: Org policy location restriction
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ORG_POLICY_LOCATION_RESTRICTION