Cloud Storage-Steuerelemente für Anwendungsfälle mit generativer KI

Die boolesche Einschränkung storage.publicAccessPrevention verhindert den Zugriff auf vorhandene und zukünftige Ressourcen über das Internet. Dabei werden ACLs und IAM-Berechtigungen deaktiviert und blockiert, die allUsers und allAuthenticatedUsers Zugriff gewähren.

Die boolesche Einschränkung storage.uniformBucketLevelAccess erfordert, dass Buckets einen einheitlichen Zugriff auf Bucket-Ebene verwenden. Mit dem einheitlichen Zugriff auf Bucket-Ebene können Sie nur IAM-Berechtigungen (Identity and Access Management) auf Bucket-Ebene verwenden, um Zugriff auf Ihre Cloud Storage-Ressourcen zu gewähren.

Ein HMAC-Schlüssel ist eine langlebige Art von Anmeldedaten, die mit einem Dienstkonto oder einem Nutzerkonto in Cloud Storage verknüpft ist. Mit einem HMAC-Schlüssel können Sie Signaturen erstellen, die in Anfragen an Cloud Storage aufgenommen werden. Eine Signatur beweist, dass ein Nutzer oder Dienstkonto eine Anfrage autorisiert hat.

Im Gegensatz zu kurzlebigen Anmeldedaten (z. B. OAuth 2.0-Tokens) laufen HMAC-Schlüssel nicht automatisch ab und bleiben gültig, bis sie manuell widerrufen werden. HMAC-Schlüssel sind Anmeldedaten mit hohem Risiko: Wenn sie manipuliert werden, ermöglichen sie dauerhaften Zugriff auf Ihre Ressourcen. Sie müssen für geeignete Mechanismen sorgen, um sie zu schützen.

Dienstkonten sind nicht menschliche Identitäten, die für Anwendungen entwickelt wurden. Ihr Verhalten ist vorhersehbar und automatisiert. Normalerweise müssen für Dienstkonten keine Buckets aufgeschlüsselt werden, da sie bereits zugeordnet sind. Wenn Sie also feststellen, dass ein Dienstkonto versucht, eine Liste aller Cloud Storage-Buckets abzurufen, sollten Sie dies sofort untersuchen. Die Aufzählung zur Informationsbeschaffung wird häufig von einem böswilligen Akteur verwendet, der Zugriff auf das Dienstkonto erhalten hat.

Konfigurieren Sie eine Benachrichtigung, die erkennt, wenn die IAM-Richtlinie eines Cloud Storage-Bucket so geändert wird, dass öffentlicher Zugriff gewährt wird. Diese Benachrichtigung wird ausgelöst, wenn die Hauptkonten allUsers oder allAuthenticatedUsers der IAM-Richtlinie eines Buckets hinzugefügt werden. Diese Benachrichtigung ist ein kritisches Ereignis mit hoher Schwere, da dadurch alle Daten im Bucket offengelegt werden können. Untersuchen Sie diese Benachrichtigung sofort, um zu bestätigen, ob die Änderung autorisiert wurde oder ein Zeichen für eine Fehlkonfiguration oder einen böswilligen Akteur ist.

Legen Sie in der Benachrichtigung das JSON-Attribut data.protoPayload.serviceData.policyData.bindingDeltas.member auf allUsers oder allAuthenticatedUsers und die Aktion auf ADD fest.

Je nach Ihren behördlichen Anforderungen müssen Sie dafür sorgen, dass die Aufbewahrungsrichtlinie für jeden Cloud Storage-Bucket gesperrt ist. Legen Sie den Aufbewahrungszeitraum auf einen Zeitraum fest, der Ihren Anforderungen entspricht.

Wenden Sie Lebenszyklusregeln auf jeden Cloud Storage-Bucket mit dem Aktionstyp SetStorageClass an.

Achten Sie darauf, dass die Lebenszyklusverwaltung von Cloud Storage aktiviert und konfiguriert ist. Die Lebenszyklussteuerung enthält die Konfiguration für den Speicherlebenszyklus. Prüfen Sie, ob die Richtlinien in dieser Einstellung Ihren Anforderungen entsprechen.

Achten Sie darauf, dass Regeln für die Lebenszyklusverwaltung für Cloud Storage aktiviert und konfiguriert sind. Die Regelsteuerung enthält die Konfiguration für den Speicherlebenszyklus. Prüfen Sie, ob die Richtlinien in dieser Einstellung Ihren Anforderungen entsprechen.

Identifizieren Sie alle Objekte, für die „temporaryHold“ auf „TRUE“ gesetzt ist, und starten Sie einen Untersuchungs- und Validierungsprozess. Diese Bewertung eignet sich für die folgenden Anwendungsfälle:

• Litigation Hold:Um die gesetzlichen Anforderungen für die Speicherung von Daten zu erfüllen, kann ein temporärer Hold verwendet werden, um das Löschen sensibler Daten zu verhindern, die für laufende Untersuchungen oder Rechtsstreitigkeiten relevant sein könnten.
• Schutz vor Datenverlust:Um ein versehentliches Löschen wichtiger Daten zu verhindern, kann ein temporärer Hold als Sicherheitsmaßnahme zum Schutz wichtiger Geschäftsinformationen verwendet werden.
• Inhaltsmoderation:Wenden Sie eine temporäre Sperre auf Inhalte an, die in Cloud Storage hochgeladen werden, um potenziell sensible oder unangemessene Inhalte zu überprüfen, bevor sie öffentlich zugänglich werden.

Achten Sie darauf, dass alle Cloud Storage-Buckets eine Aufbewahrungsrichtlinie haben.

Die Datenklassifizierung ist ein grundlegender Bestandteil jedes Programms für Data Governance und Sicherheit. Es ist wichtig, jedem Bucket ein Klassifizierungslabel mit Werten wie „Öffentlich“, „Intern“, „Vertraulich“ oder „Eingeschränkt“ zuzuweisen.

Prüfen Sie, ob google_storage_bucket.labels einen Ausdruck für die Klassifizierung enthält, und erstellen Sie einen Verstoß, falls dies nicht der Fall ist.

Achten Sie darauf, dass jeder Cloud Storage-Bucket einen Log-Bucket enthält.

In Cloud Storage bezieht sich storage.buckets/lifecycle.rule.action.type auf den Aktionstyp, der für ein bestimmtes Objekt basierend auf einer Lebenszyklusregel in einem Bucket ausgeführt werden soll. Diese Konfiguration trägt dazu bei, die Verwaltung und den Lebenszyklus Ihrer in der Cloud gespeicherten Daten zu automatisieren.

Konfigurieren Sie storage.buckets/lifecycle.rule.action.type so, dass Objekte endgültig aus dem Bucket gelöscht werden.

Achten Sie bei Löschregeln darauf, dass die isLive-Bedingung der Regel auf false festgelegt ist.

In Cloud Storage ist storage.buckets/lifecycle.rule.condition.isLive eine boolesche Bedingung, die in Lebenszyklusregeln verwendet wird, um zu bestimmen, ob ein Objekt als aktiv gilt. Mit diesem Filter wird dafür gesorgt, dass Aktionen in einer Lebenszyklusregel nur auf die gewünschten Objekte angewendet werden, basierend auf ihrem Live-Status.

Anwendungsfälle:

• Alte Versionen archivieren:Archivieren Sie nur nicht aktuelle Versionen von Objekten, um Speicherkosten zu sparen und gleichzeitig die neueste Version leicht zugänglich zu halten.
• Gelöschte Objekte bereinigen:Automatisieren Sie das endgültige Löschen von Objekten, die von Nutzern gelöscht wurden, um Speicherplatz im Bucket freizugeben.
• Live-Daten schützen:Aktionen wie das Festlegen temporärer Holds werden nur auf Live-Objekte angewendet, um eine versehentliche Änderung archivierter oder gelöschter Versionen zu verhindern.

Achten Sie darauf, dass für alle Cloud Storage-Buckets die Versionsverwaltung aktiviert ist. Anwendungsfälle:

• Datenschutz und ‑wiederherstellung:Schützen Sie sich vor versehentlichem Datenverlust, indem Sie das Überschreiben von Daten verhindern und die Wiederherstellung gelöschter oder geänderter Daten ermöglichen.
• Compliance und Auditing:Speichern Sie einen Verlauf aller Objektbearbeitungen für Compliance- oder interne Auditing-Zwecke.
• Versionsverwaltung:Änderungen an Dateien und Datasets nachverfolgen, um die Zusammenarbeit zu ermöglichen und bei Bedarf Rollbacks auf frühere Versionen durchzuführen.

Achten Sie darauf, dass google_storage_bucket.labels einen Ausdruck für einen Inhaber hat.

Zusätzliches Logging für bestimmte Speicherobjekte basierend auf ihrem Anwendungsfall aktivieren. Protokollieren Sie beispielsweise den Zugriff auf Buckets mit sensiblen Daten, damit Sie nachvollziehen können, wer wann Zugriff erhalten hat. Berücksichtigen Sie beim Aktivieren zusätzlicher Protokollierung das Volumen der Protokolle, die Sie möglicherweise generieren.