Controlli di Cloud Storage per i casi d'uso dell'AI generativa

Il vincolo booleano storage.publicAccessPrevention impedisce l'accesso alle risorse esistenti e future su internet. Disattiva e blocca gli elenchi di controllo dell'accesso dell'accesso (ACL) e le autorizzazioni Identity and Access Management (IAM) che concedono l'accesso a allUsers e allAuthenticatedUsers.

Il vincolo booleano storage.uniformBucketLevelAccess richiede che i bucket utilizzino un accesso uniforme a livello di bucket. L'accesso uniforme a livello di bucket consente di utilizzare solo le autorizzazioni Identity and Access Management (IAM) a livello di bucket per concedere l'accesso alle risorse Cloud Storage.

Una chiave HMAC è un tipo di credenziale a lunga durata associata a un account di servizio o a un account utente in Cloud Storage. Utilizza una chiave HMAC per creare firme incluse nelle richieste a Cloud Storage. Una firma dimostra che un utente o un account di servizio ha autorizzato una richiesta.

A differenza delle credenziali di breve durata (ad es. token OAuth 2.0), le chiavi HMAC non scadono automaticamente e rimangono valide finché non vengono revocate manualmente. Le chiavi HMAC sono credenziali ad alto rischio: se compromesse, forniscono un accesso permanente alle tue risorse. Devi assicurarti che siano in atto meccanismi adeguati per proteggerli.

Gli account di servizio sono identità non umane progettate per le applicazioni e il loro comportamento è prevedibile e automatizzato. In genere, i service account non devono elencare i bucket perché sono già mappati. Pertanto, se rilevi un account di servizio che tenta di recuperare un elenco di tutti i bucket Cloud Storage, esegui immediatamente un'indagine. L'enumerazione di ricognizione viene spesso utilizzata come tecnica di ricognizione da un malintenzionato che ha ottenuto l'accesso al account di servizio.

Configura un avviso che rileva quando la policy IAM di un bucket Cloud Storage viene modificata per concedere l'accesso pubblico. Questo avviso viene attivato quando le entità allUsers o allAuthenticatedUsers vengono aggiunte al criterio IAM di un bucket. Questo avviso è un evento critico di gravità elevata perché può esporre tutti i dati nel bucket. Esamina immediatamente questo avviso per verificare se la modifica è stata autorizzata o se è un segno di una configurazione errata o di un attore malintenzionato.

Nell'avviso, imposta l'attributo JSON data.protoPayload.serviceData.policyData.bindingDeltas.member su allUsers o allAuthenticatedUsers e l'azione su ADD.

A seconda dei requisiti normativi, assicurati che ogni criterio di conservazione dei bucket Cloud Storage sia bloccato. Imposta il periodo di conservazione su un intervallo di tempo che soddisfi i tuoi requisiti.

Applica le regole del ciclo di vita a ogni bucket Cloud Storage con un tipo di azione SetStorageClass.

Assicurati che la gestione del ciclo di vita di Cloud Storage sia abilitata e configurata. Il controllo del ciclo di vita contiene la configurazione per il ciclo di vita dell'archiviazione. Verifica che le norme in questa impostazione corrispondano ai tuoi requisiti.

Assicurati che le regole di gestione del ciclo di vita per Cloud Storage siano abilitate e configurate. Il controllo delle regole contiene la configurazione per il ciclo di vita dell'archiviazione. Verifica che le norme in questa impostazione corrispondano ai tuoi requisiti.

Identifica tutti gli oggetti in cui temporaryHold è impostato su TRUE e avvia una procedura di indagine e convalida. Questa valutazione è adatta ai seguenti casi d'uso:

• Blocco per controversia legale:per rispettare i requisiti legali per l'archiviazione dei dati, è possibile utilizzare la sospensione temporanea per impedire l'eliminazione di dati sensibili che potrebbero essere pertinenti a indagini o controversie in corso.
• Prevenzione della perdita di dati:per evitare l'eliminazione accidentale di dati importanti, la sospensione temporanea può essere utilizzata come misura di sicurezza per proteggere le informazioni aziendali critiche.
• Moderazione dei contenuti:per esaminare i contenuti potenzialmente sensibili o inappropriati prima che diventino accessibili pubblicamente, applica una sospensione temporanea ai contenuti caricati su Cloud Storage per ulteriori ispezioni e decisioni di moderazione.

Assicurati che tutti i bucket Cloud Storage abbiano un criterio di conservazione.

La classificazione dei dati è un componente fondamentale di qualsiasi programma di governance e sicurezza dei dati. È essenziale applicare un'etichetta di classificazione con valori come pubblico, interno, riservato o limitato a ogni bucket.

Verifica che google_storage_bucket.labels abbia un'espressione per la classificazione e crea una violazione in caso contrario.

Assicurati che ogni bucket Cloud Storage includa un bucket log.

In Cloud Storage, storage.buckets/lifecycle.rule.action.type si riferisce al tipo di azione da intraprendere su un oggetto specifico in base a una regola del ciclo di vita all'interno di un bucket. Questa configurazione consente di automatizzare la gestione e il ciclo di vita dei dati archiviati nel cloud.

Configura storage.buckets/lifecycle.rule.action.type per assicurarti che gli oggetti vengano eliminati definitivamente dal bucket.

Per le regole di eliminazione, assicurati che la condizione isLive della regola sia impostata su false.

In Cloud Storage, storage.buckets/lifecycle.rule.condition.isLive è una condizione booleana utilizzata nelle regole del ciclo di vita per determinare se un oggetto è considerato attivo. Questo filtro contribuisce a garantire che le azioni all'interno di una regola del ciclo di vita vengano applicate solo agli oggetti desiderati in base al loro stato live.

Casi d'uso:

• Archivia le versioni storiche:archivia solo le versioni non correnti degli oggetti per risparmiare sui costi di archiviazione, mantenendo al contempo facilmente accessibile l'ultima versione.
• Ripulisci gli oggetti eliminati:automatizza l'eliminazione definitiva degli oggetti eliminati dagli utenti, liberando spazio nel bucket.
• Proteggi i dati attivi:assicurati che azioni come l'impostazione di blocchi temporanei vengano applicate solo agli oggetti attivi, impedendo la modifica accidentale di versioni archiviate o eliminate

Assicurati che il controllo delle versioni sia abilitato per tutti i bucket Cloud Storage. I casi d'uso includono:

• Protezione e recupero dei dati:proteggiti dalla perdita accidentale di dati impedendo le sovrascritture e consentendo il recupero dei dati eliminati o modificati.
• Conformità e controllo:conserva una cronologia di tutte le modifiche agli oggetti a fini di conformità normativa o controllo interno.
• Controllo delle versioni:monitora le modifiche apportate a file e set di dati, consentendo la collaborazione e il rollback alle versioni precedenti, se necessario.

Assicurati che google_storage_bucket.labels abbia un'espressione per un proprietario.

Abilita la registrazione aggiuntiva per determinati oggetti di archiviazione in base al loro caso d'uso. Ad esempio, registra l'accesso ai bucket di dati sensibili in modo da poter tracciare chi ha ottenuto l'accesso e quando. Quando abiliti la registrazione aggiuntiva, considera il volume di log che potresti generare.