本页介绍了 Cloud Storage 预定义状态(已扩展)v1.0 版本中包含的预防性和检测性政策。此安全状况 包含两个政策集:
一组政策,其中包含应用于 Cloud Storage
一组政策,其中包含适用于 Cloud Storage
您可以使用此预定义的安全状况来配置安全状况,以帮助 保护 Cloud Storage。如果您想部署此预定义状态,则必须自定义某些政策,以便将其应用于您的环境。
组织政策限制条件
下表介绍了 这种安全状况。
| 政策 | 说明 | 合规标准 |
|---|---|---|
storage.publicAccessPrevention |
此政策可防止 Cloud Storage 存储桶向未经身份验证的公众开放。 值为 |
NIST SP 800-53 对照组:AC-3、AC-17 和 AC-20 |
storage.uniformBucketLevelAccess |
本政策 可防止 Cloud Storage 存储分区使用对象 ACL(一个独立的系统 来自 IAM 政策)以提供访问权限,从而对 访问管理和审核。 值为 |
NIST SP 800-53 控制措施:AC-3、AC-17 和 AC-20 |
storage.retentionPolicySeconds |
此限制条件定义了存储分区保留政策的时长(以秒为单位)。 采用此预定义状态时,您必须配置此值。 |
NIST SP 800-53 控制措施:SI-12 |
Security Health Analytics 检测器
下表介绍了预定义状态中包含的 Security Health Analytics 检测器。如需详细了解这些检测器,请参阅 漏洞发现结果。
| 检测器名称 | 说明 |
|---|---|
BUCKET_LOGGING_DISABLED |
此检测器会检查是否存在未启用日志记录功能的存储桶。 |
LOCKED_RETENTION_POLICY_NOT_SET |
此检测器会检查是否为日志设置了已锁定的保留政策。 |
OBJECT_VERSIONING_DISABLED |
此检测器会检查对于具有接收器的存储分区,是否启用了对象版本控制。 |
BUCKET_CMEK_DISABLED |
此检测器会检查存储分区是否使用客户管理的加密密钥 (CMEK) 进行了加密。 |
BUCKET_POLICY_ONLY_DISABLED |
此检测器会检查是否已配置统一存储桶级访问权限。 |
PUBLIC_BUCKET_ACL |
此检测器会检查存储桶是否可公开访问。 |
PUBLIC_LOG_BUCKET |
此检测器会检查具有日志接收器的存储桶是否可公开访问。 |
ORG_POLICY_LOCATION_RESTRICTION |
此检测器会检查 Compute Engine 资源是否违反了 |
查看安全状况模板
如需查看 Cloud Storage(已扩展)的配置状态模板,请执行以下操作:
gcloud
在使用下面的命令数据之前,请先进行以下替换:
-
ORGANIZATION_ID:组织的数字 ID
执行
gcloud scc posture-templates
describe
命令:
Linux、macOS 或 Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended
响应包含配置文件模板。
REST
在使用任何请求数据之前,请先进行以下替换:
-
ORGANIZATION_ID:组织的数字 ID
HTTP 方法和网址:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended
如需发送您的请求,请展开以下选项之一:
响应包含状况模板。