Questa pagina descrive le policy preventive incluse nella versione 1.0 della postura predefinita per la sicurezza per impostazione predefinita, Essentials. Questa postura aiuta a prevenire le configurazioni errate comuni e i problemi di sicurezza comuni causati dalle impostazioni predefinite.
Puoi utilizzare questa postura predefinita per configurare una postura di sicurezza che aiuti a proteggere Google Cloud le risorse. Puoi eseguire il deployment di questa postura predefinita senza apportare modifiche.
| Norme | Descrizione | Standard di conformità |
|---|---|---|
iam.disableServiceAccountKeyCreation |
Questo vincolo impedisce agli utenti di creare chiavi permanenti per gli account di servizio per ridurre il rischio di esposizione delle credenziali degli account di servizio. Il valore è |
Controllo NIST SP 800-53: AC-2 |
iam.automaticIamGrantsForDefaultServiceAccounts |
Questo vincolo impedisce che agli account di servizio predefiniti venga assegnato il ruolo IAM Editor eccessivamente permissivo al momento della creazione. Il valore è |
Controllo NIST SP 800-53: AC-3 |
iam.disableServiceAccountKeyUpload |
Questo vincolo evita il rischio di perdita e riutilizzo del materiale delle chiavi personalizzate nelle chiavi degli account di servizio. Il valore è |
Controllo NIST SP 800-53: AC-6 |
storage.publicAccessPrevention |
Questa policy impedisce che i bucket Cloud Storage siano aperti all'accesso pubblico non autenticato. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
storage.uniformBucketLevelAccess |
Questa policy impedisce ai bucket Cloud Storage di utilizzare gli ACL per oggetto (un sistema separato dai criteri IAM) per fornire l'accesso, applicando la coerenza per la gestione e l'audit degli accessi. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
compute.requireOsLogin |
Questa policy richiede OS Login sulle VM appena create per gestire più facilmente le chiavi SSH, fornire autorizzazioni a livello di risorsa con i criteri IAM e registrare l'accesso degli utenti. Il valore è |
Controllo NIST SP 800-53: AC-3 e AU-12 |
compute.disableSerialPortAccess |
Questa policy impedisce agli utenti di accedere alla porta seriale della VM, che può essere utilizzata per l'accesso backdoor dal piano di controllo dell'API Compute Engine. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
compute.restrictXpnProjectLienRemoval |
Questa policy impedisce l'eliminazione accidentale dei progetti host del VPC condiviso limitando la rimozione dei blocchi del progetto. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
compute.vmExternalIpAccess |
Questa policy impedisce la creazione di istanze Compute Engine con un indirizzo IP pubblico, che può esporle al traffico internet in entrata e in uscita. Il valore è
policy_rules:
- values:
allowed_values:
- is:projects/PROJECT_ID/zones/ZONE/instances/INSTANCE
|
Controllo NIST SP 800-53: AC-3 e AC-6 |
compute.skipDefaultNetworkCreation |
Questa policy disabilita la creazione automatica di una rete VPC predefinita e di regole firewall predefinite in ogni nuovo progetto, assicurando che le regole di rete e firewall vengano create intenzionalmente. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
compute.setNewProjectDefaultToZonalDNSOnly |
Questa policy impedisce agli sviluppatori di applicazioni di scegliere le impostazioni DNS legacy per le istanze Compute Engine che hanno un'affidabilità del servizio inferiore rispetto alle impostazioni DNS moderne. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
sql.restrictPublicIp |
Questa policy impedisce la creazione di istanze Cloud SQL con indirizzi IP pubblici, che possono esporle al traffico internet in entrata e in uscita. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
sql.restrictAuthorizedNetworks |
Questa policy impedisce agli intervalli di rete pubblici o non RFC 1918 di accedere ai database Cloud SQL. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
compute.restrictProtocolForwardingCreationForTypes |
Questa policy consente il forwarding di protocollo VM solo per gli indirizzi IP interni. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
compute.disableVpcExternalIpv6 |
Questa policy impedisce la creazione di subnet IPv6 esterne che possono essere esposte al traffico internet in entrata e in uscita. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
compute.disableNestedVirtualization |
Questa policy disabilita la virtualizzazione nidificata per tutte le VM di Compute Engine per ridurre il rischio per la sicurezza correlato alle istanze nidificate non monitorate. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
Visualizzare il modello di postura
Per visualizzare il modello di postura per la sicurezza per impostazione predefinita, Essentials:
gcloud
Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
-
ORGANIZATION_ID: l'ID numerico dell'organizzazione.
Esegui il
gcloud scc posture-templates
describe
comando:
Linux, macOS o Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
La risposta contiene il modello di postura.
REST
Prima di utilizzare i dati della richiesta, apporta le sostituzioni seguenti:
-
ORGANIZATION_ID: l'ID numerico dell'organizzazione.
Metodo HTTP e URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
Per inviare la richiesta, espandi una di queste opzioni:
La risposta contiene il modello di postura.