Mit dem Organisationsrichtliniendienst können Kunden Einschränkungen für die Ressourcen ihrer Organisation zentral und programmatisch festlegen. Jede Art von Einschränkung wird als Einschränkung definiert und ist konzeptionell mit einer Vorlage vergleichbar, die definiert, welches Verhalten gesteuert wird. Das Erstellen und Verwalten von Organisationsrichtlinien kann kompliziert sein, da sich die Anforderungen an Sicherheit und Compliance im Laufe der Zeit ändern.
Mit dem Recommender für Organisationsrichtlinien können Sie Ihre Google Cloud Ressourcen schützen, ohne die Kundensysteme zu beeinträchtigen. Er analysiert vorhandene Konfigurationen von Organisationsrichtlinien und generiert Empfehlungen für die zu erzwingenden Organisationsrichtlinien.
Überblick über Empfehlungen für Organisationsrichtlinien
Empfehlungen für Organisationsrichtlinien werden vom Recommender für Organisationsrichtlinien generiert. Der Recommender für Organisationsrichtlinien ist einer der Recommender, die von Recommender angeboten werden.
Jede Empfehlung für eine Organisationsrichtlinie schlägt vor, eine bestimmte Organisationsrichtlinie festzulegen, um die Sicherheit Ihrer Google Cloud Ressourcen zu verbessern. Eine Organisationsrichtlinie besteht aus einer Einschränkung, einer Konfiguration von Einschränkungen für einen Google Cloud Dienst.
Der Recommender für Organisationsrichtlinien verwendet Statistiken zu Organisationsrichtlinien , um Organisationsrichtlinien zu identifizieren, die nicht festgelegt sind. Statistiken zu Organisationsrichtlinien sind Erkenntnisse zum Erzwingungsstatus einer Einschränkung für Organisationsrichtlinien für Ihre Ressourcen und dazu, ob Ihre Ressourcen gegen diese Organisationsrichtlinie verstoßen.
Eine Ressource verstößt gegen eine Organisationsrichtlinie, wenn sie sich in einem Zustand befindet, der durch diese Organisationsrichtlinie eingeschränkt ist. Mit der Einschränkung iam.managed.disableServiceAccountKeyCreation können Sie beispielsweise die Erstellung von Dienstkontoschlüsseln einschränken. Wenn in einem Projekt ein Dienstkontoschlüssel erstellt wurde, verstößt dieses Projekt nach Ansicht des Organisationsrichtliniendienstes gegen diese Organisationsrichtlinie.
So werden Statistiken und Empfehlungen generiert
Eine Empfehlung ist ein Vorschlag zur Optimierung der Nutzung Ihrer Google Cloud Ressourcen. Sie enthält die Schritte, die erforderlich sind, um die Empfehlung umzusetzen, und wird anhand von Logs und Analysen Ihrer Ressourcenkonfigurationen erstellt, um die durch die Statistik identifizierten Sicherheitslücken zu beheben.
Statistiken sind Erkenntnisse, mit denen Sie sich proaktiv auf wichtige Muster der Ressourcennutzung konzentrieren können. Sie enthalten den Kontext, der zum Erstellen einer Empfehlung erforderlich ist.
Der Recommender für Organisationsrichtlinien generiert Empfehlungen auf der höchstmöglichen Ebene in der Ressourcenhierarchie. Wenn beispielsweise in keinem Projekt unter einem Ordner Verstöße gegen eine unterstützte Einschränkung vorliegen, generiert der Recommender für Organisationsrichtlinien die Empfehlung für diesen Ordner, anstatt Empfehlungen für die Projekte zu geben.
Unterstützte Einschränkungen
Jede Empfehlung bezieht sich auf eine bestimmte Einschränkung für Organisationsrichtlinien.
Erstellung des Dienstkontoschlüssels
Standardmäßig können Nutzer mit den entsprechenden Berechtigungen
Dienstkontoschlüssel erstellen. Dienstkontoschlüssel stellen jedoch ein Sicherheitsrisiko dar, wenn sie nicht ordnungsgemäß verwaltet werden. Mit der Einschränkung für Organisationsrichtlinien iam.managed.disableServiceAccountKeyCreation können Sie die Erstellung neuer externer Dienstkontoschlüssel für alle Dienstkonten unter einem Projekt, Ordner oder einer Organisation deaktivieren.
Der Recommender für Organisationsrichtlinien prüft, ob nutzerverwaltete Dienstkonten und externe Schlüssel dieser Dienstkonten in Identity and Access Management (IAM) vorhanden sind, um festzustellen, ob sie gegen die Einschränkungen für die Erstellung von Dienstkontoschlüsseln verstoßen.
Wenn keine Dienstkontoschlüssel erstellt wurden, generiert der Recommender für Organisationsrichtlinien eine Empfehlung, die Einschränkung iam.managed.disableServiceAccountKeyCreation zu erzwingen, und entsprechende Details der Empfehlung in den entsprechenden Statistiken.
Statistiken zur Einschränkung iam.managed.disableServiceAccountKeyCreation haben den Untertyp ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION.
Hochladen von Dienstkontoschlüsseln
Nutzer können den öffentlichen Schlüsselteil eines nutzerverwalteten Schlüsselpaars hochladen, um ihn mit einem Dienstkonto zu verknüpfen. Nachdem sie den öffentlichen Schlüssel hochgeladen haben, können sie den privaten Schlüssel aus dem Schlüsselpaar als Dienstkontoschlüssel verwenden. Mit der Einschränkung für Organisationsrichtlinien iam.managed.disableServiceAccountKeyUpload können Sie das Hochladen externer öffentlicher Schlüssel in Dienstkonten unter einem Projekt, Ordner oder einer Organisation deaktivieren.
Wenn keine Dienstkontoschlüssel hochgeladen wurden, generiert der Recommender für Organisationsrichtlinien eine Empfehlung, die Einschränkung iam.managed.disableServiceAccountKeyUpload zu erzwingen, und entsprechende Details der Empfehlung in den entsprechenden Statistiken.
Statistiken für iam.managed.disableServiceAccountKeyUpload haben den Untertyp ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_UPLOAD.
Regeln für die Protokollweiterleitung
Die Protokollweiterleitung verwendet eine regionale Weiterleitungsregel, um Pakete eines bestimmten Protokolls an eine einzelne VM -Instanz zu senden. Die Weiterleitungsregel kann eine interne oder externe IP-Adresse haben.
Mit der Einschränkung für Organisationsrichtlinien compute.managed.restrictProtocolForwardingCreationForTypes können Sie den Typ von Protokollweiterleitungsregel-Objekten einschränken, die ein Nutzer erstellen kann.
Wenn keine externen Regeln für die Protokollweiterleitung definiert sind, generiert der Recommender für Organisationsrichtlinien eine Empfehlung, die Einschränkung compute.managed.restrictProtocolForwardingCreationForTypes zu erzwingen, und entsprechende Details der Empfehlung in den entsprechenden Statistiken.
Statistiken für compute.managed.restrictProtocolForwardingCreationForTypes haben den Untertyp ADD_POLICY_RESTRICT_PROTOCOL_FORWARDING_CREATION_FOR_TYPES.
Priorität und Schweregrad
Die Empfehlungspriorität und der Schweregrad von Statistiken helfen Ihnen, die Dringlichkeit einer Empfehlung oder Statistik zu verstehen und entsprechend zu priorisieren.
Priorität von Empfehlungen für Organisationsrichtlinien
Einer Empfehlung wird eine Prioritätsstufe zugewiesen, basierend auf ihrer empfundenen Dringlichkeit.
Die Prioritätsstufen reichen von P1 (höchste Priorität) bis P4 (niedrigste Priorität).
Alle Empfehlungen für Organisationsrichtlinien haben die Priorität P1.
Schweregrad von Empfehlungen für Organisationsrichtlinien
Den Statistiken werden Schweregrade zugewiesen, die auf ihrer empfundene Dringlichkeit basieren. Schweregradstufen können LOW, MEDIUM, HIGH oder CRITICAL sein.
Alle Statistiken zu Organisationsrichtlinien haben den Schweregrad HIGH.
So werden Empfehlungen angewendet
Der Recommender für Organisationsrichtlinien wendet Empfehlungen nicht automatisch an. Stattdessen müssen Sie Ihre Empfehlungen prüfen und entscheiden, ob Sie sie anwenden oder ablehnen möchten. Informationen zum Prüfen, Anwenden und Ablehnen von Rollenempfehlungen finden Sie unter siehe Empfehlungen für Organisationsrichtlinien prüfen und anwenden.
Audit-Logging
Wenn Sie eine Empfehlung anwenden oder ablehnen, erstellt der Recommender für Organisationsrichtlinien einen Protokolleintrag. Sie können sie in Ihren Google Cloud Audit-Logs ansehen.
Preise
Empfehlungen für Organisationsrichtlinien für verwaltete Einschränkungen sind kostenlos verfügbar.
Weitere Informationen finden Sie unter Fragen zur Abrechnung.
Nächste Schritte
Empfehlungen für Organisationsrichtlinien prüfen und anwenden.
Learn more about Recommender.
Erfahren Sie mehr über verwaltete Einschränkungen in Organisationsrichtlinien.