Se usó la API de Cloud Translation para traducir esta página.

Postura predefinida para Cloud Storage, extendida

En esta página, se describen las políticas preventivas y de detección que se incluyen en la versión v1.0 de la postura predefinida para Cloud Storage, extendida. Esta postura incluye dos conjuntos de políticas:

Un conjunto de políticas que incluye políticas de la organización que se aplican a Cloud Storage.
Un conjunto de políticas que incluye detectores de las estadísticas del estado de la seguridad que se aplican a Cloud Storage.

Puedes usar esta postura predefinida para configurar una postura de seguridad que ayude a proteger Cloud Storage. Si deseas implementar esta postura predefinida, debes personalizar algunas de las políticas para que se apliquen a tu entorno.

Restricciones de las políticas de la organización

En la siguiente tabla, se describen las políticas de la organización que se incluyen en esta postura.

Política Descripción Estándar de cumplimiento

Política	Descripción	Estándar de cumplimiento
`storage.publicAccessPrevention`	Esta política evita que los buckets de Cloud Storage estén abiertos al acceso público no autenticado. El valor es `true` para evitar el acceso público a los buckets.	Control de la SP 800-53 del NIST: AC-3, AC-17 y AC-20
`storage.uniformBucketLevelAccess`	Esta política impide que los buckets de Cloud Storage usen LCA por objeto (un sistema independiente de las políticas de IAM) para proporcionar acceso, lo que aplica coherencia a la administración y auditoría de acceso. El valor es `true` para aplicar el acceso uniforme a nivel de bucket.	Control de la SP 800-53 del NIST: AC-3, AC-17 y AC-20
`storage.retentionPolicySeconds`	Esta restricción define la duración (en segundos) de la política de retención de los buckets. Debes configurar este valor cuando adoptes esta postura predefinida.	Control de la SP 800-53 del NIST: SI-12

storage.publicAccessPrevention

Esta política evita que los buckets de Cloud Storage estén abiertos al acceso público no autenticado.

El valor es true para evitar el acceso público a los buckets.

Control de la SP 800-53 del NIST: AC-3, AC-17 y AC-20

storage.uniformBucketLevelAccess

Esta política impide que los buckets de Cloud Storage usen LCA por objeto (un sistema independiente de las políticas de IAM) para proporcionar acceso, lo que aplica coherencia a la administración y auditoría de acceso.

El valor es true para aplicar el acceso uniforme a nivel de bucket.

Control de la SP 800-53 del NIST: AC-3, AC-17 y AC-20

storage.retentionPolicySeconds

Esta restricción define la duración (en segundos) de la política de retención de los buckets.

Debes configurar este valor cuando adoptes esta postura predefinida.

Control de la SP 800-53 del NIST: SI-12

Detectores de estadísticas de estado de seguridad

En la siguiente tabla, se describen los detectores de Security Health Analytics que se incluyen en la postura predefinida. Para obtener más información sobre estos detectores, consulta Hallazgos de vulnerabilidades.

Nombre del detector	Descripción
`BUCKET_LOGGING_DISABLED`	Este detector verifica si hay un bucket de almacenamiento sin registro habilitado.
`LOCKED_RETENTION_POLICY_NOT_SET`	Este detector verifica si la política de retención bloqueada está configurada para los registros.
`OBJECT_VERSIONING_DISABLED`	Este detector verifica si el control de versiones de objetos está habilitado en los buckets de almacenamiento con receptores.
`BUCKET_CMEK_DISABLED`	Este detector verifica si los buckets están encriptados con claves de encriptación administradas por el cliente (CMEK).
`BUCKET_POLICY_ONLY_DISABLED`	Este detector verifica si el acceso uniforme a nivel de bucket está configurado.
`PUBLIC_BUCKET_ACL`	Este detector verifica si se puede acceder públicamente a un bucket.
`PUBLIC_LOG_BUCKET`	Este detector verifica si se puede acceder públicamente a un bucket con un receptor de registros.
`ORG_POLICY_LOCATION_RESTRICTION`	Este detector verifica si un recurso de Compute Engine no cumple con la restricción `constraints/gcp.resourceLocations`.

Cómo ver la plantilla de postura

Para ver la plantilla de postura de Cloud Storage extendida, haz lo siguiente:

gcloud

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

ORGANIZATION_ID: El ID numérico de la organización

Ejecuta el comando gcloud scc posture-templates describe: :

Linux, macOS o Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

La respuesta contiene la plantilla de postura.

REST

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

ORGANIZATION_ID: El ID numérico de la organización

Método HTTP y URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

Para enviar tu solicitud, expande una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Nota: Con el siguiente comando, se supone que accediste a la CLI de gcloud con tu cuenta de usuario a través de la ejecución de gcloud init o gcloud auth login, o a través del uso de Cloud Shell, que accede de forma automática a la CLI de gcloud. Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Ejecuta el siguiente comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended"

PowerShell (Windows)

Nota: El siguiente comando supone que accediste a la CLI de gcloud con tu cuenta de usuario mediante la ejecución de gcloud init o gcloud auth login. Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended" | Select-Object -Expand Content

La respuesta contiene la plantilla de postura.

¿Qué sigue?

Crea una postura de seguridad con esta postura predefinida.