Il servizio Policy dell'organizzazione offre ai clienti un controllo centralizzato e programmatico per impostare limitazioni alle risorse della loro organizzazione. Ogni tipo di limitazione è definito come un vincolo ed è concettualmente simile a un progetto che definisce i comportamenti controllati. Creare e gestire le policy dell'organizzazione può essere complicato, poiché i requisiti di sicurezza e conformità cambiano nel tempo.
Organization Policy recommender ti aiuta a proteggere le tue risorse Google Cloud senza interrompere i sistemi dei clienti. Analizza le configurazioni delle policy dell'organizzazione esistenti e genera consigli su quali policy dell'organizzazione applicare.
Panoramica dei suggerimenti per le policy dell'organizzazione
I suggerimenti per le policy dell'organizzazione vengono generati da Organization Policy Recommender. Il motore per suggerimenti per le policy dell'organizzazione è uno dei motori per suggerimenti offerti da Recommender.
Ogni suggerimento per le policy dell'organizzazione suggerisce di impostare una determinata policy dell'organizzazione per migliorare la sicurezza delle risorse Google Cloud . Un criterio dell'organizzazione è creato a partire da un vincolo, ovvero una configurazione di limitazioni su un servizio Google Cloud .
Il motore per suggerimenti per le policy dell'organizzazione utilizza approfondimenti sulle policy dell'organizzazione per identificare le policy dell'organizzazione non impostate. Gli approfondimenti sui criteri dell'organizzazione sono risultati relativi allo stato di applicazione di un vincolo dei criteri dell'organizzazione alle tue risorse e se le tue risorse sono in violazione di questi criteri dell'organizzazione.
Una risorsa è considerata in violazione di una policy dell'organizzazione se si trova in uno stato limitato da quella policy. Ad esempio, il vincolo
iam.managed.disableServiceAccountKeyCreation consente di limitare la
creazione di chiavi dell'account di servizio. Se è stata creata una chiave del account di servizio in un progetto, il servizio Organization Policy considera il progetto in violazione della policy dell'organizzazione.
Come vengono generati gli approfondimenti e i suggerimenti
Un suggerimento è un suggerimento per ottimizzare l'utilizzo delle risorseGoogle Cloud . Include i passaggi necessari per intervenire in base al suggerimento e viene creato utilizzando i log e l'analisi delle configurazioni delle risorse per risolvere le vulnerabilità identificate dall'insight.
Gli insight sono risultati che puoi utilizzare per concentrarti in modo proattivo su pattern importanti nell'utilizzo delle risorse e contengono il contesto necessario per creare un suggerimento.
Il motore per suggerimenti di Organization Policy genera suggerimenti al livello più alto possibile della gerarchia delle risorse. Ad esempio, se non si verificano violazioni di un vincolo supportato in nessun progetto in una cartella, Organization Policy Recommender genera il suggerimento per quella cartella, anziché fornire suggerimenti per i progetti.
Vincoli supportati
Ogni suggerimento è specifico per un determinato vincolo delle policy dell'organizzazione.
Creazione della chiave dell'account di servizio
Per impostazione predefinita, gli utenti con le autorizzazioni appropriate possono creare account di servizio account. Tuttavia, le chiavi dei service account comportano un rischio per la sicurezza se non vengono gestite correttamente. Utilizzando il vincolo della policy dell'organizzazione iam.managed.disableServiceAccountKeyCreation, puoi disattivare la creazione di nuove chiavi esterne del account di servizio per tutti i service account in un progetto, una cartella o un'organizzazione.
Il motore per suggerimenti di Organization Policy verifica l'esistenza di service account gestiti dall'utente di Identity and Access Management (IAM) e chiavi esterne di questi service account per valutare se violano le limitazioni alla creazione di chiavi account di servizio.
Se non sono state create chiavi del account di servizio, Organization Policy Recommender genera un suggerimento per applicare il vincolo iam.managed.disableServiceAccountKeyCreation e i dettagli di supporto del suggerimento negli insight corrispondenti.
Gli approfondimenti relativi al vincolo iam.managed.disableServiceAccountKeyCreation
hanno il sottotipo ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION.
Caricamento della chiave service account
Gli utenti possono caricare la parte di chiave pubblica di una coppia di chiavi gestita dall'utente per associarla a un account di servizio. Dopo aver caricato la chiave pubblica, può utilizzare la chiave privata della coppia di chiavi come chiave del service account. Utilizzando il vincolo di policy dell'organizzazione iam.managed.disableServiceAccountKeyUpload, puoi disattivare il caricamento di chiavi pubbliche esterne nei service account in un progetto, una cartella o un'organizzazione.
Se non sono presenti chiavi del account di servizio caricate, Organization Policy Recommender genera un suggerimento per applicare il vincolo iam.managed.disableServiceAccountKeyUpload e i dettagli di supporto del suggerimento negli insight corrispondenti.
Gli approfondimenti per iam.managed.disableServiceAccountKeyUpload hanno il
sottotipo ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_UPLOAD.
Regole di forwarding del protocollo
Il forwarding del protocollo utilizza una regola di forwarding regionale per distribuire i pacchetti di un protocollo specifico a una singola istanza di macchina virtuale (VM). La regola di forwarding può avere un indirizzo IP interno o esterno.
Utilizzando il vincolo della policy dell'organizzazione compute.managed.restrictProtocolForwardingCreationForTypes, puoi limitare il tipo di oggetti regola di forwarding di protocollo che un utente può creare.
Se non sono definite regole di inoltro del protocollo esterno,
Organization Policy Recommender genera un suggerimento per applicare il vincolo
compute.managed.restrictProtocolForwardingCreationForTypes e
i dettagli di supporto del suggerimento negli approfondimenti corrispondenti.
Gli insight per compute.managed.restrictProtocolForwardingCreationForTypes
hanno il sottotipo ADD_POLICY_RESTRICT_PROTOCOL_FORWARDING_CREATION_FOR_TYPES.
Priorità e gravità
La priorità dei suggerimenti e la gravità degli insight ti aiutano a comprendere l'urgenza di un suggerimento o di un insight e a stabilire le priorità di conseguenza.
Priorità dei suggerimenti per le policy dell'organizzazione
A un suggerimento viene assegnato un livello di priorità in base alla sua urgenza percepita.
I livelli di priorità vanno da P1 (priorità più alta) a P4 (priorità più bassa).
Tutti i suggerimenti per le policy dell'organizzazione hanno una priorità di P1.
Gravità del suggerimento per le policy dell'organizzazione
Agli approfondimenti vengono assegnati livelli di gravità in base alla loro urgenza percepita. I livelli di gravità possono essere LOW, MEDIUM, HIGH o CRITICAL.
Tutti gli approfondimenti sui criteri dell'organizzazione hanno una gravità di HIGH.
Come vengono applicati i consigli
Il motore per suggerimenti sulle policy dell'organizzazione non applica automaticamente i suggerimenti. Devi invece esaminare i consigli e decidere se applicarli o ignorarli. Per scoprire come esaminare, applicare e ignorare i suggerimenti sui ruoli, consulta Esaminare e applicare i suggerimenti per le policy dell'organizzazione.
Audit logging
Quando applichi o ignori un suggerimento, il motore per suggerimenti sui criteri dell'organizzazione crea una voce di log. Puoi visualizzarli nei Google Cloud log di controllo.
Prezzi
I suggerimenti per le policy dell'organizzazione per i vincoli gestiti sono disponibili senza costi.
Per ulteriori informazioni, consulta la pagina Domande sulla fatturazione.
Passaggi successivi
Esamina e applica i suggerimenti per le policy dell'organizzazione.
Scopri di più su Recommender.
Scopri di più sui vincoli gestiti nelle policy dell'organizzazione.