Cloud Storage의 사전 정의된 상황, 확장 요소

이 페이지에서는 Cloud Storage를 위한 사전 정의된 상황(확장 요소)의 v1.0 버전에 포함된 예방 및 감지 정책에 대해 설명합니다. 이 상황에는 두 가지 정책 집합이 포함됩니다.

  • Cloud Storage에 적용되는 조직 정책을 포함하는 정책 집합

  • Cloud Storage에 적용되는 Security Health Analytics 감지기를 포함하는 정책 집합

이 사전 정의된 상황을 사용해서 Cloud Storage 보호에 도움이 되는 보안 상황을 구성할 수 있습니다. 이 사전 정의된 상황을 배포하려면 환경에 적용되도록 일부 정책을 맞춤설정해야 합니다.

조직 정책 제약조건

다음 표에서는 이 상황에 포함된 조직 정책에 대해 설명합니다.

정책 설명 규정 준수 표준
storage.publicAccessPrevention

이 정책은 Cloud Storage 버킷이 인증되지 않은 공개 액세스에 개방되지 않도록 방지합니다.

값은 true이며 버킷에 대한 공개 액세스를 방지합니다.

NIST SP 800-53 제어: AC-3, AC-17, AC-20
storage.uniformBucketLevelAccess

이 정책은 Cloud Storage 버킷이 객체별 ACL(IAM 정책 이외의 별개 시스템)을 사용해서 액세스를 제공하지 못하도록 방지하여 액세스 관리 및 감사의 일관성을 강화합니다.

값은 true이며 균일한 버킷 수준 액세스를 적용합니다.

NIST SP 800-53 제어: AC-3, AC-17, AC-20
storage.retentionPolicySeconds

이 제약조건은 버킷의 보관 정책 기간(초)을 정의합니다.

이 사전 정의된 상황을 채택할 때 이 값을 구성해야 합니다.

NIST SP 800-53 제어: SI-12

Security Health Analytics 감지기

다음 표에서는 사전 정의된 상황에 포함된 Security Health Analytics 감지기에 대해 설명합니다. 이러한 감지기에 대한 자세한 내용은 취약점 발견 항목을 참조하세요.

검사 프로그램 이름 설명
BUCKET_LOGGING_DISABLED

이 감지기는 로깅이 사용 설정되지 않은 스토리지 버킷이 있는지 확인합니다.

LOCKED_RETENTION_POLICY_NOT_SET

이 감지기는 잠금 보관 정책이 로그에 설정되었는지 확인합니다.

OBJECT_VERSIONING_DISABLED

이 감지기는 객체 버전 관리가 싱크에 연결된 스토리지 버킷에 사용 설정되었는지 확인합니다.

BUCKET_CMEK_DISABLED

이 감지기는 버킷이 고객 관리 암호화 키(CMEK)를 사용하여 암호화되었는지 확인합니다.

BUCKET_POLICY_ONLY_DISABLED

이 감지기는 균일한 버킷 수준 액세스가 구성되었는지 확인합니다.

PUBLIC_BUCKET_ACL

이 감지기는 버킷에 공개적으로 액세스할 수 있는지 확인합니다.

PUBLIC_LOG_BUCKET

이 감지기는 로그 싱크에 연결된 버킷에 공개적으로 액세스할 수 있는지 확인합니다.

ORG_POLICY_LOCATION_RESTRICTION

이 감지기는 Compute Engine 리소스가 constraints/gcp.resourceLocations 제약조건을 준수하지 않는지 확인합니다.

YAML 정의

다음은 Cloud Storage의 사전 정의된 상황에 대한 YAML 정의입니다.

name: organizations/123/locations/global/postureTemplates/cloud_storage_extended
description: Posture Template to make your Cloud storage workload secure.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: Cloud storage preventative policy set
  description: 3 org policies that new customers can automatically enable.
  policies:
  - policy_id: Enforce Public Access Prevention
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-17
    - standard: NIST SP 800-53
      control: AC-20
    constraint:
      org_policy_constraint:
        canned_constraint_id: storage.publicAccessPrevention
        policy_rules:
        - enforce: true
    description: This governance policy prevents access to existing and future resources via the public internet by disabling and blocking Access Control Lists (ACLs) and IAM permissions that grant access to allUsers and allAuthenticatedUsers.
  - policy_id: Enforce uniform bucket-level access
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-17
    - standard: NIST SP 800-53
      control: AC-20
    constraint:
      org_policy_constraint:
        canned_constraint_id: storage.uniformBucketLevelAccess
        policy_rules:
        - enforce: true
    description: This boolean constraint requires buckets to use uniform bucket-level access where this constraint is set to TRUE.
  - policy_id: Retention policy duration in seconds
    compliance_standards:
    - standard: NIST SP 800-53
      control: SI-12
    constraint:
      org_policy_constraint:
        canned_constraint_id: storage.retentionPolicySeconds
        policy_rules:
        - enforce: true
    description: This list constraint defines the set of durations for retention policies that can be set on Cloud Storage buckets. By default, if no organization policy is specified, a Cloud Storage bucket can have a retention policy of any duration. The list of allowed durations must be specified as a positive integer value greater than zero, representing the retention policy in seconds. Any insert, update, or patch operation on a bucket in the organization resource must have a retention policy duration that matches the constraint. Enforcement of this constraint is not retroactive. When a new organization policy is enforced, the retention policy of existing buckets remains unchanged and valid.
- policy_set_id: Cloud storage detective policy set
  description: 8 SHA modules that new customers can automatically enable.
  policies:
  - policy_id: Bucket logging disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: BUCKET_LOGGING_DISABLED
  - policy_id: Locked retention policy not set
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: LOCKED_RETENTION_POLICY_NOT_SET
  - policy_id: Object versioning disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: OBJECT_VERSIONING_DISABLED
  - policy_id: Bucket CMEK disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: BUCKET_CMEK_DISABLED
  - policy_id: Bucket policy only disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: BUCKET_POLICY_ONLY_DISABLED
  - policy_id: Public bucket ACL
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: PUBLIC_BUCKET_ACL
  - policy_id: Public log bucket
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: PUBLIC_LOG_BUCKET
  - policy_id: Org policy location restriction
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: ORG_POLICY_LOCATION_RESTRICTION

다음 단계