Vordefinierter Sicherheitsstatus für Cloud Storage, erweitert

Auf dieser Seite werden die präventiven und detektivischen Richtlinien beschrieben, die in Version 1.0 des vordefinierten Sicherheitsstatus für Cloud Storage (erweitert) enthalten sind. Dieser Sicherheitsstatus umfasst zwei Richtliniensätze:

  • Eine Richtlinie mit Organisationsrichtlinien, die für Cloud Storage gelten.

  • Eine Richtlinie, die Security Health Analytics-Detektoren enthält, die für Cloud Storage gelten.

Sie können diesen vordefinierten Sicherheitsstatus verwenden, um einen Sicherheitsstatus zum Schutz von Cloud Storage zu konfigurieren. Wenn Sie diesen vordefinierten Sicherheitsstatus bereitstellen möchten, müssen Sie einige Richtlinien so anpassen, dass sie für Ihre Umgebung gelten.

Einschränkungen für Organisationsrichtlinien

In der folgenden Tabelle werden die Organisationsrichtlinien beschrieben, die in diesem Sicherheitsstatus enthalten sind.

Richtlinie Beschreibung Compliancestandard
storage.publicAccessPrevention

Diese Richtlinie verhindert, dass Cloud Storage-Buckets für nicht authentifizierte öffentliche Zugriffe zugänglich sind.

Der Wert ist true, um den öffentlichen Zugriff auf Buckets zu verhindern.

 NIST SP 800-53-Steuerung: AC-3, AC-17 und AC-20
storage.uniformBucketLevelAccess

Diese Richtlinie verhindert, dass Cloud Storage-Buckets eine ACL pro Objekt (ein separates System von IAM-Richtlinien) verwenden, um Zugriff zu gewähren. Dadurch wird Konsistenz für die Zugriffsverwaltung und -prüfung erzwungen.

Der Wert ist true, um einen einheitlichen Zugriff auf Bucket-Ebene zu erzwingen.

 NIST SP 800-53-Steuerung: AC-3, AC-17 und AC-20
storage.retentionPolicySeconds

Diese Einschränkung definiert die Dauer der Aufbewahrungsrichtlinie für Buckets in Sekunden.

Sie müssen diesen Wert konfigurieren, wenn Sie diesen vordefinierten Sicherheitsstatus übernehmen.

 NIST SP 800-53-Steuerung: SI-12

Security Health Analytics – Detektoren

In der folgenden Tabelle werden die Security Health Analytics-Detektoren beschrieben, die im vordefinierten Sicherheitsstatus enthalten sind. Weitere Informationen zu diesen Detektoren finden Sie unter Ergebnisse von Sicherheitslücken.

Detektorname Beschreibung
BUCKET_LOGGING_DISABLED

Dieser Detektor prüft, ob ein Storage-Bucket ohne aktiviertes Logging vorhanden ist.
LOCKED_RETENTION_POLICY_NOT_SET

Dieser Detektor prüft, ob die gesperrte Aufbewahrungsrichtlinie für Logs festgelegt ist.
OBJECT_VERSIONING_DISABLED

Dieser Detektor prüft, ob die Objektversionsverwaltung für Storage-Buckets mit Senken aktiviert ist.
BUCKET_CMEK_DISABLED

Dieser Detektor prüft, ob Buckets mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt sind.
BUCKET_POLICY_ONLY_DISABLED

Dieser Detektor prüft, ob ein einheitlicher Zugriff auf Bucket-Ebene konfiguriert ist.
PUBLIC_BUCKET_ACL

Dieser Detektor prüft, ob ein Bucket öffentlich zugänglich ist.
PUBLIC_LOG_BUCKET

Dieser Detektor prüft, ob ein Bucket mit einer Logsenke öffentlich zugänglich ist.
ORG_POLICY_LOCATION_RESTRICTION

Dieser Detektor prüft, ob eine Compute Engine-Ressource die Einschränkung constraints/gcp.resourceLocations nicht erfüllt.

YAML-Definition

Im Folgenden finden Sie die YAML-Definition für den vordefinierten Sicherheitsstatus für Cloud Storage.

name: organizations/123/locations/global/postureTemplates/cloud_storage_extended
description: Posture Template to make your Cloud storage workload secure.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: Cloud storage preventative policy set
  description: 3 org policies that new customers can automatically enable.
  policies:
  - policy_id: Enforce Public Access Prevention
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-17
    - standard: NIST SP 800-53
      control: AC-20
    constraint:
      org_policy_constraint:
        canned_constraint_id: storage.publicAccessPrevention
        policy_rules:
        - enforce: true
    description: This governance policy prevents access to existing and future resources via the public internet by disabling and blocking Access Control Lists (ACLs) and IAM permissions that grant access to allUsers and allAuthenticatedUsers.
  - policy_id: Enforce uniform bucket-level access
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-17
    - standard: NIST SP 800-53
      control: AC-20
    constraint:
      org_policy_constraint:
        canned_constraint_id: storage.uniformBucketLevelAccess
        policy_rules:
        - enforce: true
    description: This boolean constraint requires buckets to use uniform bucket-level access where this constraint is set to TRUE.
  - policy_id: Retention policy duration in seconds
    compliance_standards:
    - standard: NIST SP 800-53
      control: SI-12
    constraint:
      org_policy_constraint:
        canned_constraint_id: storage.retentionPolicySeconds
        policy_rules:
        - enforce: true
    description: This list constraint defines the set of durations for retention policies that can be set on Cloud Storage buckets. By default, if no organization policy is specified, a Cloud Storage bucket can have a retention policy of any duration. The list of allowed durations must be specified as a positive integer value greater than zero, representing the retention policy in seconds. Any insert, update, or patch operation on a bucket in the organization resource must have a retention policy duration that matches the constraint. Enforcement of this constraint is not retroactive. When a new organization policy is enforced, the retention policy of existing buckets remains unchanged and valid.
- policy_set_id: Cloud storage detective policy set
  description: 8 SHA modules that new customers can automatically enable.
  policies:
  - policy_id: Bucket logging disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: BUCKET_LOGGING_DISABLED
  - policy_id: Locked retention policy not set
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: LOCKED_RETENTION_POLICY_NOT_SET
  - policy_id: Object versioning disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: OBJECT_VERSIONING_DISABLED
  - policy_id: Bucket CMEK disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: BUCKET_CMEK_DISABLED
  - policy_id: Bucket policy only disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: BUCKET_POLICY_ONLY_DISABLED
  - policy_id: Public bucket ACL
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: PUBLIC_BUCKET_ACL
  - policy_id: Public log bucket
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: PUBLIC_LOG_BUCKET
  - policy_id: Org policy location restriction
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: ORG_POLICY_LOCATION_RESTRICTION

Nächste Schritte