Organisationsrichtlinien

Die folgenden Richtlinien für die Mindestsicherheitsplattform entsprechen der Säule „Organisation“ des Sicherheitskonzepts.

Richtlinien für die Mittelstufe

Nachdem Sie die grundlegenden Richtlinien implementiert haben, implementieren Sie die folgenden Organisationsrichtlinien.

Element	Autorisierte Identitäten einschränken
Beschreibung	Sorgen Sie dafür, dass nur Identitäten aus Ihrer Organisation in Ihrer Google Cloud Umgebung zugelassen sind. Verwenden Sie die Organisationsrichtlinieneinschränkung Domaineingeschränkte Freigabe (`iam.allowedPolicyMemberDomains`) oder `iam.managed.allowedPolicyMembers`, um mindestens eine Cloud Identity- oder Google Workspace-Kundennummer zu definieren, deren Hauptkonten IAM-Richtlinien (Identity and Access Management) hinzugefügt werden können. Diese Einschränkungen helfen, zu verhindern, dass Mitarbeiter Zugriff auf externe Konten außerhalb der Kontrolle Ihrer Organisation gewähren, die nicht Ihren Sicherheitsrichtlinien für die Multi-Faktor-Authentifizierung (MFA) oder die Passwortverwaltung entsprechen. Diese Einstellung ist entscheidend, um unbefugten Zugriff zu verhindern und dafür zu sorgen, dass nur vertrauenswürdige, verwaltete Unternehmensidentitäten verwendet werden können.
Weitere Informationen	Identitäten nach Domain einschränken
Artikel-ID	MVSP-CO-1.21
Zuordnung	Zugehörige NIST-800-53-Kontrollen: AC-3 AC-17 AC-20 Zugehörige CRI-Profilsteuerungen: PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.PT-3.1 PR.PT-4.1 Compliance Manager-Kontrolle: Domaineingeschränkte Freigabe erzwingen

Nachdem Sie die Zwischenrichtlinien implementiert haben, implementieren Sie die folgenden Organisationsrichtlinien.

Element	Ressourcenstandorte einschränken
Beschreibung	Die Einschränkung „Beschränkung des Ressourcenstandorts“ (`gcp.resourceLocations`) sorgt dafür, dass nur Ihre genehmigten Google Cloud Regionen zum Speichern von Daten verwendet werden. Der Wert ist spezifisch für Ihre Systeme und entspricht der genehmigten Liste der Regionen Ihrer Organisation für den Datenstandort. Mit dieser Einschränkung kann Ihre Organisation erzwingen, dass Ihre Ressourcen und Daten nur in bestimmten, genehmigten geografischen Regionen erstellt und gespeichert werden.
Weitere Informationen	Ressourcenstandorte einschränken
Artikel-ID	MVSP-CO-1.22
Zuordnung	Zugehörige NIST-800-53-Kontrollen: AC-3 AC-17 AC-20 Zugehörige CRI-Profilsteuerungen: PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.PT-3.1 PR.PT-4.1

Element	Nutzung von Ressourcendiensten einschränken
Beschreibung	Die Einschränkung `gcp.restrictServiceUsage`sorgt dafür, dass nur Ihre genehmigten Google Cloud Dienste an den richtigen Stellen verwendet werden. Beispiel: Ein Produktions- oder sehr vertraulicher Ordner hat eine kleine Liste von Google Cloud Diensten, die zum Speichern von Daten zugelassen sind. Ein Sandbox-Ordner kann eine längere Liste von Diensten und zugehörigen Datensicherheitskontrollen enthalten, um Daten-Exfiltration zu verhindern. Der Wert ist spezifisch für Ihre Systeme und entspricht Ihrer genehmigten Liste von Diensten und Abhängigkeiten für bestimmte Ordner und Projekte. Mit dieser Einschränkung kann Ihre Organisation eine Zulassungsliste mit genehmigten Diensten erstellen, um zu verhindern, dass Mitarbeiter nicht geprüfte Dienste verwenden.
Weitere Informationen	Ressourcennutzung einschränken
Artikel-ID	MVSP-CO-1.23
Zuordnung	Zugehörige NIST-800-53-Kontrollen: AC-3 AC-17 AC-20 Zugehörige CRI-Profilsteuerungen: PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.PT-3.1 PR.PT-4.1 Compliance Manager-Kontrolle: Nutzung von Ressourcendiensten einschränken