Cloud Storage の事前定義されたポスチャー、拡張事項

このページでは、Cloud Storage の事前定義された対策の v1.0 バージョンに含まれる予防的ポリシーと検出ポリシーの拡張事項について説明します。この対策には、次の 2 つのポリシーセットが含まれています。

  • Cloud Storage に適用される組織のポリシーを含むポリシーセット。

  • Cloud Storage に適用される Security Health Analytics 検出機能を含むポリシーセット。

この事前定義された対策を使用して、Cloud Storage の保護に役立つセキュリティ対策を構成できます。この事前定義された対策をデプロイする場合は、環境に適用されるようにポリシーの一部をカスタマイズする必要があります。

組織ポリシーの制約

次の表は、この対策に含まれる組織のポリシーを示しています。

ポリシー 説明 コンプライアンスの標準
storage.publicAccessPrevention

このポリシーにより、未認証の一般公開アクセスに対して Cloud Storage バケットが開かれることが防止されます。

バケットへの公開アクセスが防止する場合、値は true です。

 NIST SP 800-53 コントロール: AC-3、AC-17、AC-20
storage.uniformBucketLevelAccess

このポリシーは、オブジェクトごとの ACL(IAM ポリシーとは別のシステム)を使用して Cloud Storage バケットへのアクセスが提供されるのを防ぎ、アクセス管理と監査に整合性をもたらします。

均一なバケットレベルのアクセスを適用する場合、値は true です。

 NIST SP 800-53 コントロール: AC-3、AC-17、AC-20
storage.retentionPolicySeconds

この制約は、バケットの保持ポリシーの期間(秒単位)を定義します。

この事前定義された対策を採用する場合は、この値を構成する必要があります。

 NIST SP 800-53 コントロール: SI-12

Security Health Analytics の検出機能

次の表に、事前定義された対策に含まれる Security Health Analytics 検出機能を示します。これらの検出機能の詳細については、脆弱性の検出結果をご覧ください。

検出項目の名前 説明
BUCKET_LOGGING_DISABLED

この検出機能は、ロギングが有効になっていないストレージ バケットがあるかどうかを確認します。
LOCKED_RETENTION_POLICY_NOT_SET

この検出機能は、ロックされた保持ポリシーがログに設定されているかどうかを確認します。
OBJECT_VERSIONING_DISABLED

この検出機能は、シンクのあるストレージ バケットでオブジェクトのバージョニングが有効になっているかどうかを確認します。
BUCKET_CMEK_DISABLED

この検出機能は、顧客管理の暗号鍵(CMEK)を使用してバケットが暗号化されているかどうかを確認します。
BUCKET_POLICY_ONLY_DISABLED

この検出機能は、均一なバケットレベルのアクセスが構成されているかどうかを確認します。
PUBLIC_BUCKET_ACL

この検出機能は、バケットが一般公開されているかどうかを確認します。
PUBLIC_LOG_BUCKET

この検出機能は、ログシンクを含むバケットが一般公開されているかどうかを確認します。
ORG_POLICY_LOCATION_RESTRICTION

この検出機能は、Compute Engine リソースが constraints/gcp.resourceLocations 制約に準拠していないかどうかを確認します。

対策テンプレートを表示する

Cloud Storage の対策テンプレートの拡張事項を表示するには、次の操作を行います。

gcloud

後述のコマンドデータを使用する前に、次のように置き換えます。

  • ORGANIZATION_ID: 組織の数値 ID

gcloud scc posture-templates describe コマンドを実行します。

Linux、macOS、Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

Windows(PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

Windows(cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

レスポンスには、対策テンプレートが含まれます。

REST

リクエストのデータを使用する前に、次のように置き換えます。

  • ORGANIZATION_ID: 組織の数値 ID

HTTP メソッドと URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

リクエストを送信するには、次のいずれかのオプションを展開します。

レスポンスには、対策テンプレートが含まれます。

次のステップ