Postura predefinita per Cloud Storage, estesa

Questa pagina descrive i criteri preventivi e di rilevamento inclusi nella versione 1.0 della postura predefinita per Cloud Storage, estesa. Questa postura include due insiemi di criteri:

Un set di criteri che include i criteri dell'organizzazione che si applicano a Cloud Storage.
Un insieme di criteri che include rilevatori di Security Health Analytics che si applicano a Cloud Storage.

Puoi utilizzare questa postura predefinita per configurare una postura di sicurezza che aiuti a proteggere Cloud Storage. Se vuoi eseguire il deployment di questa postura predefinita, devi personalizzare alcuni dei criteri in modo che vengano applicati al tuo ambiente.

Vincoli dei criteri dell'organizzazione

La tabella seguente descrive i criteri dell'organizzazione inclusi in questa postura.

Norme Descrizione Standard di conformità

Norme	Descrizione	Standard di conformità
`storage.publicAccessPrevention`	Questo criterio impedisce ai bucket Cloud Storage di essere aperti all'accesso pubblico non autenticato. Il valore è `true` per impedire l'accesso pubblico ai bucket.	Controllo NIST SP 800-53: AC-3, AC-17 e AC-20
`storage.uniformBucketLevelAccess`	Questo criterio impedisce ai bucket Cloud Storage di utilizzare l'ACL per oggetto (un sistema separato dai criteri IAM) per fornire l'accesso, garantendo coerenza per la gestione e il controllo degli accessi. Il valore è `true` per applicare l'accesso uniforme a livello di bucket.	Controllo NIST SP 800-53: AC-3, AC-17 e AC-20
`storage.retentionPolicySeconds`	Questo vincolo definisce la durata (in secondi) del criterio di conservazione per i bucket. Devi configurare questo valore quando adotti questa postura predefinita.	Controllo NIST SP 800-53: SI-12

storage.publicAccessPrevention

Questo criterio impedisce ai bucket Cloud Storage di essere aperti all'accesso pubblico non autenticato.

Il valore è true per impedire l'accesso pubblico ai bucket.

Controllo NIST SP 800-53: AC-3, AC-17 e AC-20

storage.uniformBucketLevelAccess

Questo criterio impedisce ai bucket Cloud Storage di utilizzare l'ACL per oggetto (un sistema separato dai criteri IAM) per fornire l'accesso, garantendo coerenza per la gestione e il controllo degli accessi.

Il valore è true per applicare l'accesso uniforme a livello di bucket.

Controllo NIST SP 800-53: AC-3, AC-17 e AC-20

storage.retentionPolicySeconds

Questo vincolo definisce la durata (in secondi) del criterio di conservazione per i bucket.

Devi configurare questo valore quando adotti questa postura predefinita.

Controllo NIST SP 800-53: SI-12

Rilevatori di Security Health Analytics

La seguente tabella descrive i rilevatori di Security Health Analytics inclusi nella postura predefinita. Per ulteriori informazioni su questi rilevatori, consulta Rilevamenti di vulnerabilità.

Nome rilevatore	Descrizione
`BUCKET_LOGGING_DISABLED`	Questo rilevatore verifica se esiste un bucket di archiviazione senza logging abilitato.
`LOCKED_RETENTION_POLICY_NOT_SET`	Questo rilevatore verifica se il criterio di conservazione bloccato è impostato per i log.
`OBJECT_VERSIONING_DISABLED`	Questo rilevatore verifica se il controllo delle versioni degli oggetti è abilitato nei bucket di archiviazione con sink.
`BUCKET_CMEK_DISABLED`	Questo rilevatore verifica se i bucket sono criptati mediante chiavi di crittografia gestite dal cliente (CMEK).
`BUCKET_POLICY_ONLY_DISABLED`	Questo rilevatore verifica se è configurato un accesso uniforme a livello di bucket.
`PUBLIC_BUCKET_ACL`	Questo rilevatore verifica se un bucket è accessibile pubblicamente.
`PUBLIC_LOG_BUCKET`	Questo rilevatore verifica se un bucket con un sink di log è accessibile pubblicamente.
`ORG_POLICY_LOCATION_RESTRICTION`	Questo rilevatore verifica se una risorsa Compute Engine non è conforme al vincolo `constraints/gcp.resourceLocations`.

Definizione YAML

Di seguito è riportata la definizione YAML per la postura predefinita per Cloud Storage.

name: organizations/123/locations/global/postureTemplates/cloud_storage_extended
description: Posture Template to make your Cloud storage workload secure.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: Cloud storage preventative policy set
  description: 3 org policies that new customers can automatically enable.
  policies:
  - policy_id: Enforce Public Access Prevention
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-17
    - standard: NIST SP 800-53
      control: AC-20
    constraint:
      org_policy_constraint:
        canned_constraint_id: storage.publicAccessPrevention
        policy_rules:
        - enforce: true
    description: This governance policy prevents access to existing and future resources via the public internet by disabling and blocking Access Control Lists (ACLs) and IAM permissions that grant access to allUsers and allAuthenticatedUsers.
  - policy_id: Enforce uniform bucket-level access
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-17
    - standard: NIST SP 800-53
      control: AC-20
    constraint:
      org_policy_constraint:
        canned_constraint_id: storage.uniformBucketLevelAccess
        policy_rules:
        - enforce: true
    description: This boolean constraint requires buckets to use uniform bucket-level access where this constraint is set to TRUE.
  - policy_id: Retention policy duration in seconds
    compliance_standards:
    - standard: NIST SP 800-53
      control: SI-12
    constraint:
      org_policy_constraint:
        canned_constraint_id: storage.retentionPolicySeconds
        policy_rules:
        - enforce: true
    description: This list constraint defines the set of durations for retention policies that can be set on Cloud Storage buckets. By default, if no organization policy is specified, a Cloud Storage bucket can have a retention policy of any duration. The list of allowed durations must be specified as a positive integer value greater than zero, representing the retention policy in seconds. Any insert, update, or patch operation on a bucket in the organization resource must have a retention policy duration that matches the constraint. Enforcement of this constraint is not retroactive. When a new organization policy is enforced, the retention policy of existing buckets remains unchanged and valid.
- policy_set_id: Cloud storage detective policy set
  description: 8 SHA modules that new customers can automatically enable.
  policies:
  - policy_id: Bucket logging disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: BUCKET_LOGGING_DISABLED
  - policy_id: Locked retention policy not set
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: LOCKED_RETENTION_POLICY_NOT_SET
  - policy_id: Object versioning disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: OBJECT_VERSIONING_DISABLED
  - policy_id: Bucket CMEK disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: BUCKET_CMEK_DISABLED
  - policy_id: Bucket policy only disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: BUCKET_POLICY_ONLY_DISABLED
  - policy_id: Public bucket ACL
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: PUBLIC_BUCKET_ACL
  - policy_id: Public log bucket
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: PUBLIC_LOG_BUCKET
  - policy_id: Org policy location restriction
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: ORG_POLICY_LOCATION_RESTRICTION

Passaggi successivi

Crea una postura di sicurezza utilizzando questa postura predefinita.