Cette page décrit les règles préventives incluses dans la version 1.0 de la stratégie prédéfinie "sécurisé par défaut, éléments essentiels". Cette stratégie permet d'éviter les erreurs de configuration courantes et les problèmes de sécurité courants causés par les paramètres par défaut.
Vous pouvez utiliser cette stratégie prédéfinie pour configurer une "security posture" qui permet de protéger Google Cloud les ressources. Vous pouvez déployer cette stratégie prédéfinie sans y apporter de modifications.
| Règle | Description | Normes de conformité |
|---|---|---|
iam.disableServiceAccountKeyCreation |
Cette contrainte empêche les utilisateurs de créer des clés persistantes pour les comptes de service afin de réduire le risque d'exposition des identifiants de compte de service. La valeur est |
Contrôle NIST SP 800-53 : AC-2 |
iam.automaticIamGrantsForDefaultServiceAccounts |
Cette contrainte empêche les comptes de service par défaut de recevoir le rôle Identity and Access Management (IAM) Éditeur trop permissif lors de leur création. La valeur est |
Contrôle NIST SP 800-53 : AC-3 |
iam.disableServiceAccountKeyUpload |
Cette contrainte évite le risque de fuite et de réutilisation de matériel de clé personnalisé dans les clés de compte de service. La valeur est |
Contrôle NIST SP 800-53 : AC-6 |
storage.publicAccessPrevention |
Cette règle empêche l'accès public non authentifié aux buckets Cloud Storage. La valeur est |
Contrôles NIST SP 800-53 : AC-3 et AC-6 |
storage.uniformBucketLevelAccess |
Cette règle empêche les buckets Cloud Storage d'utiliser des LCA par objet (un système distinct des stratégies IAM) pour fournir l'accès, ce qui garantit la cohérence de la gestion des accès et de l'audit. La valeur est |
Contrôles NIST SP 800-53 : AC-3 et AC-6 |
compute.requireOsLogin |
Cette règle nécessite OS Login sur les VM nouvellement créées pour faciliter la gestion des clés SSH, fournir des autorisations au niveau des ressources avec des stratégies IAM et enregistrer l'accès des utilisateurs. La valeur est |
Contrôles NIST SP 800-53 : AC-3 et AU-12 |
compute.disableSerialPortAccess |
Cette règle empêche les utilisateurs d'accéder au port série de la VM, qui peut être utilisé pour un accès backdoor à partir du plan de contrôle de l'API Compute Engine. La valeur est |
Contrôles NIST SP 800-53 : AC-3 et AC-6 |
compute.restrictXpnProjectLienRemoval |
Cette règle empêche la suppression accidentelle des projets hôtes de VPC partagé en limitant la suppression des privilèges de projet. La valeur est |
Contrôles NIST SP 800-53 : AC-3 et AC-6 |
compute.vmExternalIpAccess |
Cette règle empêche la création d'instances Compute Engine avec une adresse IP publique, qui peut les exposer au trafic Internet entrant et sortant. La valeur est
policy_rules:
- values:
allowed_values:
- is:projects/PROJECT_ID/zones/ZONE/instances/INSTANCE
|
Contrôles NIST SP 800-53 : AC-3 et AC-6 |
compute.skipDefaultNetworkCreation |
Cette règle désactive la création automatique d'un réseau VPC par défaut et de règles de pare-feu par défaut dans chaque nouveau projet. Elle permet de s'assurer que les règles de réseau et de pare-feu sont créées intentionnellement. La valeur est |
Contrôles NIST SP 800-53 : AC-3 et AC-6 |
compute.setNewProjectDefaultToZonalDNSOnly |
Cette règle empêche les développeurs d'applications de choisir des paramètres DNS hérités pour les instances Compute Engine dont la fiabilité du service est inférieure à celle des paramètres DNS modernes. La valeur est |
Contrôles NIST SP 800-53 : AC-3 et AC-6 |
sql.restrictPublicIp |
Cette règle empêche la création d'instances Cloud SQL avec des adresses IP publiques, qui peuvent les exposer au trafic Internet entrant et sortant. La valeur est |
Contrôles NIST SP 800-53 : AC-3 et AC-6 |
sql.restrictAuthorizedNetworks |
Cette règle empêche les plages réseau publiques ou non-RFC 1918 d'accéder aux bases de données Cloud SQL. La valeur est |
Contrôles NIST SP 800-53 : AC-3 et AC-6 |
compute.restrictProtocolForwardingCreationForTypes |
Cette règle n'autorise le transfert de protocole de VM que pour les adresses IP internes. La valeur est |
Contrôles NIST SP 800-53 : AC-3 et AC-6 |
compute.disableVpcExternalIpv6 |
Cette règle empêche la création de sous-réseaux IPv6 externes, qui peuvent être exposés au trafic Internet entrant et sortant. La valeur est |
Contrôles NIST SP 800-53 : AC-3 et AC-6 |
compute.disableNestedVirtualization |
Cette règle désactive la virtualisation imbriquée pour toutes les VM Compute Engine afin de réduire le risque de sécurité lié aux instances imbriquées non surveillées. La valeur est |
Contrôles NIST SP 800-53 : AC-3 et AC-6 |
Afficher le modèle de stratégie
Pour afficher le modèle de stratégie "sécurisé par défaut, éléments essentiels", procédez comme suit :
gcloud
Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
-
ORGANIZATION_ID: ID numérique de l'organisation.
Exécutez la
gcloud scc posture-templates
describe
commande :
Linux, macOS ou Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
La réponse contient le modèle de stratégie.
REST
Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :
-
ORGANIZATION_ID: ID numérique de l'organisation.
Méthode HTTP et URL :
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
Pour envoyer votre requête, développez l'une des options suivantes :
La réponse contient le modèle de stratégie.