Posição predefinida do Cloud Storage estendida

Nesta página, descrevemos as políticas preventivas e de detetive incluídas na versão v1.0 da postura predefinida do Cloud Storage, estendida. Essa postura inclui dois conjuntos de políticas:

Um conjunto de políticas que inclui políticas da organização que se aplicam ao Cloud Storage.
Um conjunto de políticas que inclui detectores da Análise de integridade da segurança que se aplicam ao Cloud Storage.

É possível usar essa postura predefinida para configurar uma postura de segurança que ajude a proteger o Cloud Storage. Se você quiser implantar essa postura predefinida, personalize algumas das políticas para que se apliquem ao seu ambiente.

Restrições das políticas da organização

A tabela a seguir descreve as políticas da organização incluídas nessa postura.

Política Descrição Padrão de conformidade

Política	Descrição	Padrão de conformidade
`storage.publicAccessPrevention`	Essa política impede que os buckets do Cloud Storage sejam abertos para acesso público não autenticado. O valor é `true` para impedir o acesso público aos buckets.	Controle do NIST SP 800-53: AC-3, AC-17 e AC-20
`storage.uniformBucketLevelAccess`	Essa política impede que os buckets do Cloud Storage usem a ACL por objeto (um sistema separado das políticas do IAM) para fornecer acesso, aplicando consistência ao gerenciamento e à auditoria de acesso. O valor é `true` para aplicar o acesso uniforme no nível do bucket.	Controle do NIST SP 800-53: AC-3, AC-17 e AC-20
`storage.retentionPolicySeconds`	Essa restrição define a duração (em segundos) da política de retenção para buckets. É preciso configurar esse valor ao adotar essa postura predefinida.	Controle do NIST SP 800-53: SI-12

storage.publicAccessPrevention

Essa política impede que os buckets do Cloud Storage sejam abertos para acesso público não autenticado.

O valor é true para impedir o acesso público aos buckets.

Controle do NIST SP 800-53: AC-3, AC-17 e AC-20

storage.uniformBucketLevelAccess

Essa política impede que os buckets do Cloud Storage usem a ACL por objeto (um sistema separado das políticas do IAM) para fornecer acesso, aplicando consistência ao gerenciamento e à auditoria de acesso.

O valor é true para aplicar o acesso uniforme no nível do bucket.

Controle do NIST SP 800-53: AC-3, AC-17 e AC-20

storage.retentionPolicySeconds

Essa restrição define a duração (em segundos) da política de retenção para buckets.

É preciso configurar esse valor ao adotar essa postura predefinida.

Controle do NIST SP 800-53: SI-12

Detectores do Security Health Analytics

A tabela a seguir descreve os detectores da Análise de integridade da segurança que estão incluídos na postura predefinida. Para mais informações sobre esses detectores, consulte Descobertas de vulnerabilidade.

Nome do detector	Descrição
`BUCKET_LOGGING_DISABLED`	Esse detector verifica se há um bucket de armazenamento sem geração de registros ativada.
`LOCKED_RETENTION_POLICY_NOT_SET`	Este detector verifica se a política de retenção bloqueada está definida para registros.
`OBJECT_VERSIONING_DISABLED`	Esse detector verifica se o controle de versões de objetos está ativado em buckets de armazenamento com coletores.
`BUCKET_CMEK_DISABLED`	Esse detector verifica se os buckets estão criptografados usando chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês).
`BUCKET_POLICY_ONLY_DISABLED`	Este detector verifica se o acesso uniforme no nível do bucket está configurado.
`PUBLIC_BUCKET_ACL`	Esse detector verifica se um bucket é acessível publicamente.
`PUBLIC_LOG_BUCKET`	Esse detector verifica se um bucket com um coletor de registros está acessível publicamente.
`ORG_POLICY_LOCATION_RESTRICTION`	Esse detector verifica se um recurso do Compute Engine está fora de conformidade com a restrição `constraints/gcp.resourceLocations`.

Definição de YAML

Veja a seguir a definição YAML para a postura predefinida do Cloud Storage.

name: organizations/123/locations/global/postureTemplates/cloud_storage_extended
description: Posture Template to make your Cloud storage workload secure.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: Cloud storage preventative policy set
  description: 3 org policies that new customers can automatically enable.
  policies:
  - policy_id: Enforce Public Access Prevention
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-17
    - standard: NIST SP 800-53
      control: AC-20
    constraint:
      org_policy_constraint:
        canned_constraint_id: storage.publicAccessPrevention
        policy_rules:
        - enforce: true
    description: This governance policy prevents access to existing and future resources via the public internet by disabling and blocking Access Control Lists (ACLs) and IAM permissions that grant access to allUsers and allAuthenticatedUsers.
  - policy_id: Enforce uniform bucket-level access
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-17
    - standard: NIST SP 800-53
      control: AC-20
    constraint:
      org_policy_constraint:
        canned_constraint_id: storage.uniformBucketLevelAccess
        policy_rules:
        - enforce: true
    description: This boolean constraint requires buckets to use uniform bucket-level access where this constraint is set to TRUE.
  - policy_id: Retention policy duration in seconds
    compliance_standards:
    - standard: NIST SP 800-53
      control: SI-12
    constraint:
      org_policy_constraint:
        canned_constraint_id: storage.retentionPolicySeconds
        policy_rules:
        - enforce: true
    description: This list constraint defines the set of durations for retention policies that can be set on Cloud Storage buckets. By default, if no organization policy is specified, a Cloud Storage bucket can have a retention policy of any duration. The list of allowed durations must be specified as a positive integer value greater than zero, representing the retention policy in seconds. Any insert, update, or patch operation on a bucket in the organization resource must have a retention policy duration that matches the constraint. Enforcement of this constraint is not retroactive. When a new organization policy is enforced, the retention policy of existing buckets remains unchanged and valid.
- policy_set_id: Cloud storage detective policy set
  description: 8 SHA modules that new customers can automatically enable.
  policies:
  - policy_id: Bucket logging disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: BUCKET_LOGGING_DISABLED
  - policy_id: Locked retention policy not set
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: LOCKED_RETENTION_POLICY_NOT_SET
  - policy_id: Object versioning disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: OBJECT_VERSIONING_DISABLED
  - policy_id: Bucket CMEK disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: BUCKET_CMEK_DISABLED
  - policy_id: Bucket policy only disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: BUCKET_POLICY_ONLY_DISABLED
  - policy_id: Public bucket ACL
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: PUBLIC_BUCKET_ACL
  - policy_id: Public log bucket
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: PUBLIC_LOG_BUCKET
  - policy_id: Org policy location restriction
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: ORG_POLICY_LOCATION_RESTRICTION

A seguir

Crie uma postura de segurança usando esta postura predefinida.