管理云控制措施

合规性管理器包含许多内置云控制措施,您可以将其添加到框架中并在环境中部署。您可以根据需要创建和管理自己的自定义云控制措施,并更新内置云控制措施。

准备工作

查看云控制措施

完成以下步骤,以查看内置云控制措施和您已创建的任何自定义云控制措施。

  1. 在 Google Cloud 控制台中,前往合规性页面。

    转至“合规性”

  2. 选择您的组织。

  3. 配置标签页中,点击云控制措施。系统会显示可用的云控制措施。

    该信息中心包含以下信息:哪些框架包含云控制措施,以及云控制措施应用于多少资源(组织、文件夹和项目)。

  4. 如需查看云控制措施的详细信息,请点击相应控制措施名称。

创建自定义云控制措施

自定义云控制措施仅适用于一种资源类型。唯一支持的数据类型是 Cloud Asset Inventory 资源。自定义云端控制不支持参数。

  1. 在 Google Cloud 控制台中,前往合规性页面。

    转至“合规性”

  2. 选择您的组织。

  3. 配置标签页中,点击云控制措施。系统会显示可用的云控制措施列表。

  4. 使用 Gemini 或手动创建云控制措施:

使用 Gemini

  1. 让 Gemini 为您生成云控制措施。根据您的提示,Gemini 会提供唯一标识符、名称、关联的检测逻辑和可能的修复步骤。

  2. 查看建议并进行任何必要的更改。

  3. 保存自定义云控制措施。

手动创建

  1. 云控制措施 ID 中,为您的控制措施提供唯一标识符。

  2. 输入名称和说明,以帮助贵组织的用户了解自定义云控制措施的用途。

  3. 可选:为控制措施选择类别。点击继续

  4. 为您的自定义云控制措施选择一种可用的资源类型。 合规性管理器支持所有资源类型。如需查找资源的名称,请参阅资产类型

  5. 以通用表达式语言 (CEL) 格式为您的云控制措施提供检测逻辑。

    借助 CEL 表达式,您可以定义要如何评估资源的属性。如需了解详情和示例,请参阅为自定义云控制措施编写规则。 点击继续

    如果评估规则无效,系统会显示错误。

  6. 选择适当的发现结果严重程度。

  7. 编写修复说明,以便贵组织中的突发事件响应人员和管理员能够解决该云控制措施的所有相关发现结果。点击继续

  8. 查看您输入的内容,然后点击创建

修改自定义云控制措施

创建云控制后,您可以更改其名称、说明、规则、补救步骤和严重程度。您无法更改云控制措施类别。

  1. 在 Google Cloud 控制台中,前往合规性页面。

    转至“合规性”

  2. 选择您的组织。

  3. 配置标签页中,点击云控制措施。系统会显示可用的云控制措施列表。

  4. 点击要修改的云控制。

  5. 云控制措施详情页面中,验证云控制措施是否未包含在框架中。如果需要,请修改框架以移除云控制措施

  6. 点击修改

  7. 修改自定义云控制措施页面中,根据需要更改名称和说明。点击继续

  8. 更新规则、发现结果严重程度和补救步骤。点击继续

  9. 查看您的更改,然后点击保存

将内置云控制更新到较新的版本

随着服务部署新功能或出现新的最佳实践,Google 会定期更新其内置的云控制措施。更新可能包括新控件或对现有控件的更改。

您可以在配置标签页的云控制信息中心或云控制详情页面中查看内置云控制的版本。

如果以下项目有更新,Google 会在版本说明中通知您:

  • 云控制措施名称
  • 发现结果类别
  • 规则中检测性或预防性逻辑的更改
  • 规则的底层逻辑

在收到通知后,如需更新云控制措施,您必须取消分配并重新部署包含该云控制措施的框架。如需了解相关说明,请参阅将框架更新到较新的版本

删除自定义云控制措施

如果不再需要云控制,请将其删除。您只能删除自己创建的云控制措施。您无法删除内置的云端控制项。

  1. 在 Google Cloud 控制台中,前往合规性页面。

    转至“合规性”

  2. 选择您的组织。

  3. 配置标签页中,点击云控制措施。系统会显示可用的云控制措施列表。

  4. 点击要删除的云控件。

  5. 云控制措施详情页面中,验证云控制措施是否未包含在框架中。如果需要,请修改框架以移除云控制措施

  6. 点击删除

  7. 删除窗口中,查看消息。输入 Delete,然后点击确认

Security Health Analytics 检测器与云控制措施的映射

下表显示了合规性管理器的云控制项如何映射到 Security Health Analytics 检测器。

Security Health Analytics 中的发现结果类别 合规管理工具中的云控制措施名称

ACCESS_TRANSPARENCY_DISABLED

启用 Access Transparency

ADMIN_SERVICE_ACCOUNT

禁止服务账号使用管理员角色

ALLOWED_INGRESS_ORG_POLICY

为 Cloud Run 组织政策限制配置“允许的入站流量设置”

ALLOWED_VPC_EGRESS_ORG_POLICY

为 Cloud Run 组织政策限制条件配置“允许的 VPC 出站流量设置”

ALLOYDB_AUTO_BACKUP_DISABLED

在集群上启用 AlloyDB 自动备份

ALLOYDB_BACKUPS_DISABLED

在集群上启用 AlloyDB 备份

ALLOYDB_CMEK_DISABLED

为 AlloyDB 集群启用 CMEK

ALLOYDB_LOG_ERROR_VERBOSITY

为 AlloyDB 实例设置日志错误详细程度标志

ALLOYDB_LOG_MIN_ERROR_STATEMENT_SEVERITY

为 AlloyDB 实例设置“日志错误语句最低级别”标志

ALLOYDB_LOG_MIN_MESSAGES

为 AlloyDB 实例设置“日志消息数量下限”标志

ALLOYDB_PUBLIC_IP

阻止 AlloyDB 集群实例的公共 IP 地址

ALPHA_CLUSTER_ENABLED

在 GKE 集群上停用 Alpha 版功能

API_KEY_APPS_UNRESTRICTED

仅针对必需的 API 限制 API 密钥

API_KEY_EXISTS

不可用

API_KEY_NOT_ROTATED

要求轮替 API 密钥

AUDIT_CONFIG_NOT_MONITORED

为审核日志记录更改配置日志指标和提醒

AUDIT_LOGGING_DISABLED

为 Google Cloud 服务实现事件日志记录

AUTO_BACKUP_DISABLED

为 Cloud SQL 数据库启用自动备份

AUTO_REPAIR_DISABLED

为 GKE 集群启用自动修复功能

AUTO_UPGRADE_DISABLED

在 GKE 集群上启用自动升级

BIGQUERY_TABLE_CMEK_DISABLED

为 BigQuery 表启用 CMEK

BINARY_AUTHORIZATION_DISABLED

在集群上要求使用 Binary Authorization

BUCKET_CMEK_DISABLED

为 Cloud Storage 存储分区启用 CMEK

BUCKET_IAM_NOT_MONITORED

为 Cloud Storage IAM 政策更改配置日志指标和提醒

BUCKET_LOGGING_DISABLED

需要 Cloud Storage 存储分区日志记录

BUCKET_POLICY_ONLY_DISABLED

在 Cloud Storage 存储分区上启用统一存储分区级访问权限

CLOUD_ASSET_API_DISABLED

启用 Cloud Asset Inventory 服务

CLUSTER_LOGGING_DISABLED

在 GKE 集群上启用 Cloud Logging

CLUSTER_MONITORING_DISABLED

在 GKE 集群上启用 Cloud Monitoring

CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED

在实例上启用专用 Google 访问通道

CLUSTER_SECRETS_ENCRYPTION_DISABLED

在 GKE 集群上启用加密

CLUSTER_SHIELDED_NODES_DISABLED

在集群上启用安全强化型 GKE 节点

COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

在 Compute Engine 实例上屏蔽项目范围的 SSH 密钥

COMPUTE_SECURE_BOOT_DISABLED

在 Compute Engine 实例上启用安全启动

COMPUTE_SERIAL_PORTS_ENABLED

阻止 Compute Engine 实例的串行端口

CONFIDENTIAL_COMPUTING_DISABLED

为 Compute Engine 实例启用机密计算

COS_NOT_USED

要求 GKE 集群使用 Container-Optimized OS

CUSTOM_ORG_POLICY_VIOLATION

不可用

CUSTOM_ROLE_NOT_MONITORED

为自定义角色更改配置日志指标和提醒

DATAPROC_CMEK_DISABLED

要求在 Dataproc 集群上使用 CMEK

DATAPROC_IMAGE_OUTDATED

在 Dataproc 集群上使用最新映像版本

DATASET_CMEK_DISABLED

为 BigQuery 数据集启用 CMEK

DEFAULT_NETWORK

使用具有自定义防火墙规则的网络

DEFAULT_SERVICE_ACCOUNT_USED

为 Compute Engine 实例使用自定义服务账号

DISABLE_VPC_EXTERNAL_IP_V6_ORG_POLICY

配置“禁止使用 VPC 外部 IPv6”组织政策

DISABLE_VPC_INTERNAL_IP_V6_ORG_POLICY

配置“禁止使用 VPC 外部 IPv6”组织政策

DISABLED_SERIAL_PORT_ACCESS_ORG_POLICY

配置“禁止将虚拟机串行端口输出记录到 Stackdriver”组织政策

DISK_CMEK_DISABLED

在 Compute Engine 永久性磁盘上启用 CMEK

DISK_CSEK_DISABLED

在 Compute Engine 永久性磁盘上启用 CSEK

DNS_LOGGING_DISABLED

启用 Cloud DNS 日志监控

DNSSEC_DISABLED

为 Cloud DNS 启用 DNSSEC

EGRESS_DENY_RULE_NOT_SET

强制执行“拒绝所有出站流量”防火墙规则

ESSENTIAL_CONTACTS_NOT_CONFIGURED

定义重要联系人

FIREWALL_NOT_MONITORED

为 VPC 网络防火墙更改配置日志指标和提醒

FIREWALL_RULE_LOGGING_DISABLED

启用防火墙规则日志记录

FLOW_LOGS_DISABLED

为 VPC 子网启用流日志

FULL_API_ACCESS

限制对 Compute Engine 实例的 Google Cloud API 的 API 访问权限

HTTP_LOAD_BALANCER

强制仅使用 HTTPS 流量

INCORRECT_BQ4G_SERVICE_PERIMETER

在 VPC Service Controls 中定义服务边界

INSTANCE_OS_LOGIN_DISABLED

启用 OS Login

INTEGRITY_MONITORING_DISABLED

在 GKE 集群上启用完整性监控

INTRANODE_VISIBILITY_DISABLED

为 GKE 集群启用节点内可见性

IP_ALIAS_DISABLED

为 GKE 集群启用 IP 别名范围

IP_FORWARDING_ENABLED

防止在 Compute Engine 实例上进行 IP 转发

KMS_KEY_NOT_ROTATED

为 Cloud KMS 密钥定义轮替周期

KMS_PROJECT_HAS_OWNER

不可用

KMS_PUBLIC_KEY

不可用

KMS_ROLE_SEPARATION

强制执行职责分离

LEGACY_AUTHORIZATION_ENABLED

在 GKE 集群上阻止旧版授权

LEGACY_METADATA_ENABLED

在 Compute Engine 上停用旧版元数据服务器端点

LEGACY_NETWORK

不使用旧版网络

LOAD_BALANCER_LOGGING_DISABLED

启用负载平衡器日志记录

LOCKED_RETENTION_POLICY_NOT_SET

锁定存储分区保留政策

LOG_NOT_EXPORTED

配置日志接收器

MASTER_AUTHORIZED_NETWORKS_DISABLED

在 GKE 集群上启用控制平面授权网络

MFA_NOT_ENFORCED

不可用

NETWORK_NOT_MONITORED

为 VPC 网络更改配置日志指标和提醒

NETWORK_POLICY_DISABLED

在 GKE 集群上启用网络政策

NODEPOOL_BOOT_CMEK_DISABLED

在 GKE 节点池启动磁盘上启用 CMEK

NODEPOOL_SECURE_BOOT_DISABLED

为安全强化型 GKE 节点启用安全启动

NON_ORG_IAM_MEMBER

不可用

OBJECT_VERSIONING_DISABLED

在存储分区上启用对象版本控制

OPEN_CASSANDRA_PORT

阻止来自所有 IP 地址的 Cassandra 端口连接

OPEN_CISCOSECURE_WEBSM_PORT

阻止来自所有 IP 地址的 CiscoSecure/WebSM 端口连接

OPEN_DIRECTORY_SERVICES_PORT

阻止来自所有 IP 地址的目录服务端口连接

OPEN_DNS_PORT

阻止来自所有 IP 地址的 DNS 端口连接

OPEN_ELASTICSEARCH_PORT

阻止来自所有 IP 地址的连接到 Elasticsearch 端口的连接

OPEN_FIREWALL

不可用

OPEN_FTP_PORT

屏蔽来自所有 IP 地址的 FTP 端口连接

OPEN_GROUP_IAM_MEMBER

不可用

OPEN_HTTP_PORT

阻止来自所有 IP 地址的 HTTP 端口连接

OPEN_LDAP_PORT

阻止来自所有 IP 地址的 LDAP 端口连接

OPEN_MEMCACHED_PORT

阻止来自所有 IP 地址的 Memcached 端口连接

OPEN_MONGODB_PORT

阻止来自所有 IP 地址的 MongoDB 端口连接

OPEN_MYSQL_PORT

阻止来自所有 IP 地址的 MySQL 端口连接

OPEN_NETBIOS_PORT

阻止来自所有 IP 地址的 NetBIOS 端口连接

OPEN_ORACLEDB_PORT

阻止来自所有 IP 地址的 Oracle 数据库端口连接

OPEN_POP3_PORT

阻止来自所有 IP 地址的 POP3 服务器端口连接

OPEN_POSTGRESQL_PORT

阻止来自所有 IP 地址的连接到 PostgreSQL 服务器端口的连接

OPEN_RDP_PORT

阻止对 RDP 端口的访问

OPEN_REDIS_PORT

阻止来自所有 IP 地址的 Redis 服务器端口连接

OPEN_SMTP_PORT

阻止来自所有 IP 地址的 SMTP 服务器端口连接

OPEN_SSH_PORT

阻止对 SSH 端口的访问

OPEN_TELNET_PORT

阻止来自所有 IP 地址的 Telnet 服务器端口连接

ORG_POLICY_CONFIDENTIAL_VM_POLICY

启用机密虚拟机组织政策限制条件

OS_LOGIN_DISABLED

在项目级层为所有实例启用 OS Login

OVER_PRIVILEGED_ACCOUNT

为 GKE 集群使用最小权限服务账号

OVER_PRIVILEGED_SCOPES

创建服务账号访问权限范围受限的 GKE 集群

OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

禁止服务账号使用管理员角色

OWNER_NOT_MONITORED

不可用

POD_SECURITY_POLICY_DISABLED

不可用

PRIMITIVE_ROLES_USED

限制旧版 IAM 角色

PRIVATE_CLUSTER_DISABLED

为 GKE 启用专用集群

PRIVATE_GOOGLE_ACCESS_DISABLED

为 VPC 子网启用专用 Google 访问通道

PUBLIC_BUCKET_ACL

限制对 Cloud Storage 存储分区的公开访问权限

PUBLIC_COMPUTE_IMAGE

限制对 Compute 映像的公共访问权限

PUBLIC_DATASET

限制对 BigQuery 数据集的公开访问权限

PUBLIC_IP_ADDRESS

将公共 IP 地址限制为 Compute Engine 实例

PUBLIC_LOG_BUCKET

限制对 Cloud Storage 存储分区的公开访问权限

PUBLIC_SQL_INSTANCE

限制对 Cloud SQL 数据库实例的公开访问权限

PUBSUB_CMEK_DISABLED

使用 CMEK 加密 Pub/Sub 主题

QL_LOG_STATEMENT_STATS_ENABLED

为 PostgreSQL 启用日志语句标志

REDIS_ROLE_USED_ON_ORG

不可用

RELEASE_CHANNEL_DISABLED

将 GKE 集群订阅到发布渠道

REQUIRE_OS_LOGIN_ORG_POLICY

启用 OS Login

REQUIRE_VPC_CONNECTOR_ORG_POLICY

为 Cloud Run 函数定义 VPC 连接器出站流量

RESTRICT_AUTHORIZED_NETWORKS_ORG_POLICY

启用“在 Cloud SQL 实例上限制已授权网络”组织政策限制条件

ROUTE_NOT_MONITORED

为 VPC 路由更改配置日志指标和提醒

RSASHA1_FOR_SIGNING

避免将 RSASHA1 用于 DNSSEC 签名

S3_BUCKET_ACCESS_LOGGING_ENABLED_CLOUDTRAIL_S3_BUCKET

不可用

S3_BUCKETS_CONFIGURED_BLOCK_PUBLIC_ACCESS_BUCKET_AND_ACCOUNT_SETTINGS

不可用

SERVICE_ACCOUNT_KEY_NOT_ROTATED

要求轮替服务账号密钥

SERVICE_ACCOUNT_ROLE_SEPARATION

强制执行职责分离

SHIELDED_VM_DISABLED

为 Compute Engine 实例启用安全强化型虚拟机

SKIP_DEFAULT_NETWORK_CREATION_ORG_POLICY

限制 Compute Engine 实例的默认网络创建

SQL_CMEK_DISABLED

为 Cloud SQL 数据库启用 CMEK

SQL_CONTAINED_DATABASE_AUTHENTICATION

为 SQL Server 关闭“包含的数据库身份验证”标志

SQL_CROSS_DB_OWNERSHIP_CHAINING

针对 SQL Server 关闭“跨数据库所有权链”标志

SQL_EXTERNAL_SCRIPTS_ENABLED

关闭 SQL Server 的“外部脚本”标志

SQL_INSTANCE_NOT_MONITORED

为 Cloud SQL 配置更改设置日志指标和提醒

SQL_LOCAL_INFILE

针对 MySQL 关闭 local_infile 标志

SQL_LOG_CHECKPOINTS_DISABLED

为 PostgreSQL 启用“记录检查点”标志

SQL_LOG_CONNECTIONS_DISABLED

为 PostgreSQL 启用“记录连接”标志

SQL_LOG_DISCONNECTIONS_DISABLED

为 PostgreSQL 启用“记录断开连接”标志

SQL_LOG_DURATION_DISABLED

为 PostgreSQL 实例启用“记录时长”标志

SQL_LOG_ERROR_VERBOSITY

为 PostgreSQL 启用日志错误详细程度标志

SQL_LOG_EXECUTOR_STATS_ENABLED

针对 PostgreSQL 关闭日志执行程序统计信息标志

SQL_LOG_HOSTNAME_ENABLED

针对 PostgreSQL 关闭“记录主机名”标志

SQL_LOG_LOCK_WAITS_DISABLED

为 PostgreSQL 实例启用“记录锁等待”标志

SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

针对 PostgreSQL 关闭“日志时长下限语句”标志

SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

为 PostgreSQL 启用“日志最小误差语句”标志

SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

不可用

SQL_LOG_MIN_MESSAGE

为 PostgreSQL 启用“Log Min Messages”标志

SQL_LOG_PARSER_STATS_ENABLED

针对 PostgreSQL 关闭日志解析器统计信息标志

SQL_LOG_PLANNER_STATS_ENABLED

针对 PostgreSQL 关闭“记录规划工具统计信息”标志

SQL_LOG_STATEMENT

为 PostgreSQL 启用日志语句标志

SQL_LOG_TEMP_FILES

为 PostgreSQL 实例启用“记录临时文件”标志

SQL_NO_ROOT_PASSWORD

不可用

SQL_PUBLIC_IP

阻止 Cloud SQL 实例的公共 IP 地址

SQL_REMOTE_ACCESS_ENABLED

关闭 SQL Server 的远程访问标志

SQL_SCANNER

在 AlloyDB 实例上启用 SSL 加密

SQL_SKIP_SHOW_DATABASE_DISABLED

为 MySQL 启用“跳过显示数据库”标志

SQL_TRACE_FLAG_3625

为 SQL Server 启用 3625 跟踪数据库标志

SQL_USER_CONNECTIONS_CONFIGURED

不使用 SQL Server 的用户连接标志

SQL_USER_OPTIONS_CONFIGURED

请勿使用 SQL Server 的用户选项标志

SQL_WEAK_ROOT_PASSWORD

不可用

SSL_NOT_ENFORCED

对所有传入的数据库连接强制执行 SSL

TOO_MANY_KMS_USERS

将 KMS 加密密钥用户数量限制为 3 个

UNIFORM_BUCKET_LEVEL_ACCESS_ORG_POLICY

在 Cloud Storage 存储分区上启用统一存储分区级访问权限

USER_MANAGED_SERVICE_ACCOUNT_KEY

限制用户管理的服务账号密钥

VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

不可用

WEAK_SSL_POLICY

限制 Compute Engine 实例的不安全 SSL 政策

WEB_UI_ENABLED

请勿使用 Kubernetes 网页界面

WORKLOAD_IDENTITY_DISABLED

在集群上启用 Workload Identity Federation for GKE

后续步骤