Esta página descreve as políticas preventivas e de detecção incluídas na versão v1.0 da postura predefinida para o Cloud Storage, estendida. Essa postura inclui dois conjuntos de políticas:
Um conjunto de políticas que inclui políticas da organização aplicáveis ao Cloud Storage.
Um conjunto de políticas que inclui detectores da Análise de integridade da segurança que se aplicam ao Cloud Storage.
É possível usar essa postura predefinida para configurar uma postura de segurança que ajude a proteger o Cloud Storage. Se você quiser implantar essa postura predefinida, personalize algumas das políticas para que elas sejam aplicadas ao seu ambiente.
Restrições da política da organização
A tabela a seguir descreve as políticas da organização incluídas nesta postura.
| Política | Descrição | Padrão de conformidade |
|---|---|---|
storage.publicAccessPrevention |
Essa política impede que os buckets do Cloud Storage sejam abertos para acesso público não autenticado. O valor é |
Controle NIST SP 800-53: AC-3, AC-17 e AC-20 |
storage.uniformBucketLevelAccess |
Essa política impede que os buckets do Cloud Storage usem ACLs por objeto (um sistema separado das políticas do IAM) para fornecer acesso, aplicando a consistência para gerenciamento de acesso e auditoria. O valor é |
Controle NIST SP 800-53: AC-3, AC-17 e AC-20 |
storage.retentionPolicySeconds |
Essa restrição define a duração (em segundos) da política de retenção para buckets. Você precisa configurar esse valor ao adotar essa postura predefinida. |
Controle NIST SP 800-53: SI-12 |
Detectores do Security Health Analytics
A tabela a seguir descreve os detectores da Security Health Analytics incluídos na postura predefinida. Para mais informações sobre esses detectores, consulte Descobertas de vulnerabilidade.
| Nome do detector | Descrição |
|---|---|
BUCKET_LOGGING_DISABLED |
Esse detector verifica se há um bucket de armazenamento sem a geração de registros ativada. |
LOCKED_RETENTION_POLICY_NOT_SET |
Esse detector verifica se a política de retenção bloqueada está definida para os registros. |
OBJECT_VERSIONING_DISABLED |
Esse detector verifica se o controle de versão de objeto está ativado em buckets de armazenamento com coletores. |
BUCKET_CMEK_DISABLED |
Esse detector verifica se os buckets são criptografados usando chaves de criptografia gerenciadas pelo cliente (CMEK). |
BUCKET_POLICY_ONLY_DISABLED |
Esse detector verifica se o acesso uniforme no nível do bucket está configurado. |
PUBLIC_BUCKET_ACL |
Esse detector verifica se um bucket está acessível ao público. |
PUBLIC_LOG_BUCKET |
Esse detector verifica se um bucket com um coletor de registros está acessível publicamente. |
ORG_POLICY_LOCATION_RESTRICTION |
Esse detector verifica se um recurso do Compute Engine não está em conformidade com a restrição |
Conferir o modelo de postura
Para conferir o modelo de postura do Cloud Storage estendido, faça o seguinte:
gcloud
Antes de usar os dados do comando abaixo, faça estas substituições:
-
ORGANIZATION_ID: o ID numérico da organização
Execute o
comando gcloud scc posture-templates
describe:
Linux, macOS ou Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended
A resposta contém o modelo de postura.
REST
Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:
-
ORGANIZATION_ID: o ID numérico da organização
Método HTTP e URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended
Para enviar a solicitação, expanda uma destas opções:
A resposta contém o modelo de postura.