Vordefinierte Haltung für Cloud Storage, erweitert

Auf dieser Seite werden die präventiven und erkennungsbezogenen Richtlinien beschrieben, die in der Version 1.0 der erweiterten vordefinierten Haltung für Cloud Storage enthalten sind. Diese Haltung umfasst zwei Richtliniensätze:

  • Eine Richtliniengruppe mit Organisationsrichtlinien, die für Cloud Storage gelten.

  • Eine Richtliniengruppe mit Security Health Analytics-Detektoren, die für Cloud Storage gelten.

Sie können diese vordefinierte Haltung verwenden, um eine Sicherheitshaltung zu konfigurieren, die zum Schutz von Cloud Storage beiträgt. Wenn Sie diese vordefinierte Sicherheitskonfiguration bereitstellen möchten, müssen Sie einige der Richtlinien so anpassen, dass sie auf Ihre Umgebung zutreffen.

Einschränkungen für Organisationsrichtlinien

In der folgenden Tabelle werden die Richtlinien der Organisation beschrieben, die in dieser Haltung enthalten sind.

Policy Beschreibung Compliancestandard
storage.publicAccessPrevention

Mit dieser Richtlinie wird verhindert, dass Cloud Storage-Buckets für den nicht authentifizierten öffentlichen Zugriff geöffnet werden.

Der Wert ist true, um den öffentlichen Zugriff auf Buckets zu verhindern.

NIST SP 800-53-Kontrolle: AC-3, AC-17 und AC-20
storage.uniformBucketLevelAccess

Diese Richtlinie verhindert, dass für Cloud Storage-Buckets objektspezifische ACLs (ein separates System von IAM-Richtlinien) verwendet werden, um Zugriff zu gewähren. So wird für die Zugriffsverwaltung und ‑prüfung für mehr Einheitlichkeit gesorgt.

Der Wert ist true, um einen einheitlichen Zugriff auf Bucket-Ebene zu erzwingen.

NIST SP 800-53-Kontrolle: AC-3, AC-17 und AC-20
storage.retentionPolicySeconds

Mit dieser Einschränkung wird die Dauer (in Sekunden) der Aufbewahrungsrichtlinie für Buckets definiert.

Sie müssen diesen Wert konfigurieren, wenn Sie diese vordefinierte Haltung verwenden.

NIST SP 800-53-Kontrolle: SI-12

Security Health Analytics – Detektoren

In der folgenden Tabelle werden die Security Health Analytics-Detektoren beschrieben, die in der vordefinierten Haltung enthalten sind. Weitere Informationen zu diesen Detektoren finden Sie unter Erfasste Sicherheitslücken.

Detektorname Beschreibung
BUCKET_LOGGING_DISABLED

Dieser Detektor prüft, ob ein Storage-Bucket vorhanden ist, für den kein Logging aktiviert ist.

LOCKED_RETENTION_POLICY_NOT_SET

Dieser Detektor prüft, ob die gesperrte Aufbewahrungsrichtlinie für Protokolle festgelegt ist.

OBJECT_VERSIONING_DISABLED

Dieser Detektor prüft, ob die Objektversionsverwaltung für Storage-Buckets mit Senken aktiviert ist.

BUCKET_CMEK_DISABLED

Dieser Detector prüft, ob Buckets mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt sind.

BUCKET_POLICY_ONLY_DISABLED

Dieser Detektor prüft, ob der einheitliche Zugriff auf Bucket-Ebene konfiguriert ist.

PUBLIC_BUCKET_ACL

Dieser Detektor prüft, ob ein Bucket öffentlich zugänglich ist.

PUBLIC_LOG_BUCKET

Dieser Detektor prüft, ob ein Bucket mit einer Logsenke öffentlich zugänglich ist.

ORG_POLICY_LOCATION_RESTRICTION

Dieser Detektor prüft, ob eine Compute Engine-Ressource gegen die Einschränkung constraints/gcp.resourceLocations verstößt.

Vorlage für den Sicherheitsstatus ansehen

So rufen Sie die erweiterte Vorlage für die Bewertung der Sicherheit für Cloud Storage auf:

gcloud

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • ORGANIZATION_ID: die numerische ID der Organisation

Führen Sie den Befehl gcloud scc posture-templates describe aus:

Linux, macOS oder Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

Die Antwort enthält die Vorlage für die Bewertung.

REST

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • ORGANIZATION_ID: die numerische ID der Organisation

HTTP-Methode und URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort enthält die Vorlage für die Bewertung.

Nächste Schritte