Controles do Cloud Storage para casos de uso de IA generativa

A restrição booleana storage.publicAccessPrevention impede o acesso a recursos atuais e futuros pela Internet. Ele desativa e bloqueia as listas de controle de acesso (ACLs) e as permissões do Identity and Access Management (IAM) que concedem acesso a allUsers e allAuthenticatedUsers.

A restrição booleana storage.uniformBucketLevelAccess exige que os buckets usem o acesso uniforme no nível do bucket. Com o acesso uniforme no nível do bucket, você só usa permissões do Identity and Access Management (IAM) no nível do bucket para conceder acesso aos recursos do Cloud Storage.

Uma chave HMAC é um tipo de credencial de longa duração associada a uma conta de serviço ou de usuário no Cloud Storage. Use uma chave HMAC para criar assinaturas que são incluídas em solicitações ao Cloud Storage. Uma assinatura prova que um usuário ou uma conta de serviço autorizou uma solicitação.

Ao contrário das credenciais de curta duração (como. Os tokens OAuth 2.0), as chaves HMAC não expiram automaticamente e permanecem válidas até serem revogadas manualmente. As chaves HMAC são credenciais de alto risco. Se forem comprometidas, elas vão fornecer acesso persistente aos seus recursos. É preciso garantir que mecanismos adequados estejam em vigor para ajudar a protegê-los.

As contas de serviço são identidades não humanas projetadas para aplicativos, e o comportamento delas é previsível e automatizado. Normalmente, as contas de serviço não precisam detalhar os intervalos, porque já estão mapeados. Portanto, se você detectar uma conta de serviço tentando recuperar uma lista de todos os buckets do Cloud Storage, investigue imediatamente. A enumeração de reconhecimento é usada com frequência como uma técnica de reconhecimento por um agente mal-intencionado que teve acesso à conta de serviço.

Configure um alerta que detecte quando a política do IAM de um bucket do Cloud Storage for modificada para conceder acesso público. Esse alerta é acionado quando os principais allUsers ou allAuthenticatedUsers são adicionados à política do IAM de um bucket. Esse alerta é um evento crítico de alta gravidade porque pode expor todos os dados no bucket. Investigue esse alerta imediatamente para confirmar se a mudança foi autorizada ou se é um sinal de configuração incorreta ou de um ator mal-intencionado.

No alerta, defina o atributo JSON data.protoPayload.serviceData.policyData.bindingDeltas.member como allUsers ou allAuthenticatedUsers e a ação como ADD.

Dependendo dos seus requisitos regulamentares, verifique se cada política de retenção de bucket do Cloud Storage está bloqueada. Defina o período de armazenamento para um intervalo de tempo que atenda aos seus requisitos.

Aplique regras de ciclo de vida a cada bucket do Cloud Storage que tenha um tipo de ação SetStorageClass.

Verifique se o gerenciamento do ciclo de vida do Cloud Storage está ativado e configurado. O controle do ciclo de vida contém a configuração do ciclo de vida do armazenamento. Verifique se as políticas nessa configuração atendem aos seus requisitos.

Verifique se as regras de gerenciamento do ciclo de vida do Cloud Storage estão ativadas e configuradas. O controle de regras contém a configuração do ciclo de vida do armazenamento. Verifique se as políticas nessa configuração atendem aos seus requisitos.

Identifique todos os objetos em que "temporaryHold" está definido como "TRUE" e inicie um processo de investigação e validação. Essa avaliação é adequada para os seguintes casos de uso:

• Guarda de documentos:para obedecer aos requisitos legais de armazenamento de dados, uma retenção temporária pode ser usada para evitar a exclusão de dados sensíveis que podem ser relevantes para investigações ou litígios em andamento.
• Prevenção contra perda de dados:para evitar a exclusão acidental de dados importantes, a retenção temporária pode ser usada como uma medida de segurança para proteger informações comerciais críticas.
• Moderação de conteúdo: para revisar conteúdo potencialmente sensível ou inadequado antes que ele se torne acessível ao público, aplique uma retenção temporária ao conteúdo enviado para o Cloud Storage para inspeção e decisões de moderação.

Verifique se todos os buckets do Cloud Storage têm uma política de retenção.

A classificação de dados é um componente fundamental de qualquer programa de governança de dados e segurança. É essencial aplicar um rótulo de classificação com valores como público, interno, confidencial ou restrito a cada bucket.

Confirme se google_storage_bucket.labels tem uma expressão para classificação e crie uma violação se não tiver.

Verifique se cada bucket do Cloud Storage inclui um bucket de registros.

No Cloud Storage, storage.buckets/lifecycle.rule.action.type se refere ao tipo de ação a ser realizada em um objeto específico com base em uma regra de ciclo de vida em um bucket. Essa configuração ajuda a automatizar o gerenciamento e o ciclo de vida dos dados armazenados na nuvem.

Configure o storage.buckets/lifecycle.rule.action.type para garantir que os objetos sejam excluídos permanentemente do bucket.

Para regras de exclusão, verifique se a condição isLive da regra está definida como false.

No Cloud Storage, storage.buckets/lifecycle.rule.condition.isLive é uma condição booleana usada em regras de ciclo de vida para determinar se um objeto é considerado ativo. Esse filtro ajuda a garantir que as ações em uma regra de ciclo de vida sejam aplicadas apenas aos objetos desejados com base no status ativo deles.

Casos de uso:

• Arquivar versões históricas:arquive apenas versões não atuais de objetos para economizar custos de armazenamento e manter a versão mais recente facilmente acessível.
• Limpar objetos excluídos:automatize a exclusão permanente de objetos que foram excluídos pelos usuários, liberando espaço no bucket.
• Proteja dados ativos:garanta que ações como a definição de retenções temporárias sejam aplicadas apenas a objetos ativos, evitando a modificação acidental de versões arquivadas ou excluídas.

Verifique se todos os buckets do Cloud Storage têm o controle de versão ativado. Os casos de uso incluem o seguinte:

• Proteção e recuperação de dados:proteja-se contra a perda acidental de dados evitando substituições e permitindo a recuperação de dados excluídos ou modificados.
• Compliance e auditoria:mantenha um histórico de todas as edições de objetos para fins de compliance regulatório ou auditoria interna.
• Controle de versões:rastreie mudanças em arquivos e conjuntos de dados, permitindo a colaboração e a reversão para versões anteriores, se necessário.

Verifique se google_storage_bucket.labels tem uma expressão para um proprietário.

Ative o registro adicional em torno de objetos de armazenamento específicos com base no caso de uso deles. Por exemplo, registre o acesso a buckets de dados sensíveis para rastrear quem teve acesso e quando. Ao ativar o registro em log adicional, considere o volume de registros que você pode gerar.