Vordefinierte Sicherheitsstufe für „Standardmäßig sicher“, Essentials

Auf dieser Seite werden die präventiven Richtlinien beschrieben, die in der Version 1.0 der vordefinierten Sicherheitskonfiguration „Standardmäßig sicher, Essentials“ enthalten sind. Diese Sicherheitskonfiguration hilft, häufige Fehlkonfigurationen und häufige Sicherheitsprobleme zu vermeiden, die durch Standardeinstellungen verursacht werden.

Mit dieser vordefinierten Sicherheitskonfiguration können Sie eine Sicherheitskonfiguration erstellen, die Ressourcen Google Cloud schützt. Sie können diese vordefinierte Sicherheitskonfiguration ohne Änderungen bereitstellen.

Richtlinie Beschreibung Compliance standards
iam.disableServiceAccountKeyCreation

Diese Einschränkung verhindert, dass Nutzer persistente Schlüssel für Dienstkonten erstellen. So wird das Risiko verringert, dass Anmeldedaten für Dienstkonten offengelegt werden.

Der Wert ist true, um die Erstellung von Dienstkontoschlüsseln zu deaktivieren.

 NIST SP 800-53-Steuerung: AC-2
iam.automaticIamGrantsForDefaultServiceAccounts

Diese Einschränkung verhindert, dass Standarddienstkonten bei der Erstellung die zu permissive IAM-Rolle „Bearbeiter“ erhalten.

Der Wert ist true, um automatische IAM-Zuweisungen für Standarddienstkonten zu deaktivieren.

 NIST SP 800-53-Steuerung: AC-3
iam.disableServiceAccountKeyUpload

Diese Einschränkung vermeidet das Risiko, dass benutzerdefiniertes Schlüsselmaterial in Dienstkontoschlüsseln offengelegt und wiederverwendet wird.

Der Wert ist true, um das Hochladen von Dienstkontoschlüsseln zu deaktivieren.

 NIST SP 800-53-Steuerung: AC-6
storage.publicAccessPrevention

Diese Richtlinie verhindert, dass Cloud Storage-Buckets für nicht authentifizierte öffentliche Zugriffe geöffnet werden.

Der Wert ist true, um den öffentlichen Zugriff auf Buckets zu verhindern.

 NIST SP 800-53-Steuerung: AC-3 und AC-6
storage.uniformBucketLevelAccess

Diese Richtlinie verhindert, dass Cloud Storage-Buckets ACLs auf Objektebene (ein separates System von IAM-Richtlinien) für den Zugriff verwenden. So wird die Konsistenz für die Zugriffsverwaltung und ‑prüfung erzwungen.

Der Wert ist true, um den einheitlichen Zugriff auf Bucket-Ebene zu erzwingen.

 NIST SP 800-53-Steuerung: AC-3 und AC-6
compute.requireOsLogin

Diese Richtlinie erfordert OS Login auf neu erstellten VMs, um SSH-Schlüssel einfacher zu verwalten, Berechtigungen auf Ressourcenebene mit IAM-Richtlinien zu gewähren und den Nutzerzugriff zu protokollieren.

Der Wert ist true, um OS Login zu erzwingen.

 NIST SP 800-53-Steuerung: AC-3 und AU-12
compute.disableSerialPortAccess

Diese Richtlinie verhindert, dass Nutzer auf den seriellen Port der VM zugreifen, der für den Hintertürzugriff über die Compute Engine API-Steuerungsebene verwendet werden kann.

Der Wert ist true, um den Zugriff auf den seriellen Port der VM zu deaktivieren.

 NIST SP 800-53-Steuerung: AC-3 und AC-6
compute.restrictXpnProjectLienRemoval

Diese Richtlinie verhindert das versehentliche Löschen von Hostprojekten für freigegebene VPC, indem das Entfernen von Projektsperren eingeschränkt wird.

Der Wert ist true, um das Entfernen von Projektsperren für freigegebene VPC einzuschränken.

 NIST SP 800-53-Steuerung: AC-3 und AC-6
compute.vmExternalIpAccess

Diese Richtlinie verhindert das Erstellen von Compute Engine-Instanzen mit einer öffentlichen IP-Adresse, die sie für eingehenden und ausgehenden Internet-Traffic zugänglich machen kann.

Der Wert ist denyAll, um den gesamten Zugriff über öffentliche IP-Adressen zu deaktivieren. Wenn Sie dies ändern möchten, um bestimmten VM-Instanzen öffentlichen Zugriff zu gewähren, legen Sie die zulässigen Werte fest:

policy_rules:
    - values:
      allowed_values:
      - is:projects/PROJECT_ID/zones/ZONE/instances/INSTANCE
NIST SP 800-53-Steuerung: AC-3 und AC-6
compute.skipDefaultNetworkCreation

Diese Richtlinie deaktiviert die automatische Erstellung eines Standard-VPC-Netzwerk und von Standardfirewallregeln in jedem neuen Projekt. So wird sichergestellt, dass Netzwerk- und Firewallregeln bewusst erstellt werden.

Der Wert ist true, um die Erstellung des Standard-VPC-Netzwerk zu vermeiden.

 NIST SP 800-53-Steuerung: AC-3 und AC-6
compute.setNewProjectDefaultToZonalDNSOnly

Diese Richtlinie verhindert, dass Anwendungsentwickler Legacy-DNS-Einstellungen für Compute Engine-Instanzen auswählen, die eine geringere Dienstzuverlässigkeit als moderne DNS-Einstellungen haben.

Der Wert ist Zonal DNS only für neue Projekte.

 NIST SP 800-53-Steuerung: AC-3 und AC-6
sql.restrictPublicIp

Diese Richtlinie verhindert das Erstellen von Cloud SQL-Instanzen mit öffentlichen IP-Adressen, die sie für eingehenden und ausgehenden Internet-Traffic zugänglich machen können.

Der Wert ist true, um den Zugriff auf Cloud SQL-Instanzen über öffentliche IP-Adressen einzuschränken.

 NIST SP 800-53-Steuerung: AC-3 und AC-6
sql.restrictAuthorizedNetworks

Diese Richtlinie verhindert, dass öffentliche oder nicht RFC 1918-Netzwerkbereiche auf Cloud SQL-Datenbanken zugreifen.

Der Wert ist true, um autorisierte Netzwerke auf Cloud SQL-Instanzen einzuschränken.

 NIST SP 800-53-Steuerung: AC-3 und AC-6
compute.restrictProtocolForwardingCreationForTypes

Diese Richtlinie erlaubt die VM-Protokollweiterleitung nur für interne IP-Adressen.

Der Wert ist INTERNAL, um die Protokollweiterleitung anhand des Typs der IP-Adresse einzuschränken.

 NIST SP 800-53-Steuerung: AC-3 und AC-6
compute.disableVpcExternalIpv6

Diese Richtlinie verhindert das Erstellen externer IPv6-Subnetze, die für eingehenden und ausgehenden Internet-Traffic zugänglich sein können.

Der Wert ist true, um externe IPv6-Subnetze zu deaktivieren.

 NIST SP 800-53-Steuerung: AC-3 und AC-6
compute.disableNestedVirtualization

Diese Richtlinie deaktiviert die verschachtelte Virtualisierung für alle Compute Engine-VMs, um das Sicherheitsrisiko im Zusammenhang mit nicht überwachten verschachtelten Instanzen zu verringern.

Der Wert ist true, um die verschachtelte Virtualisierung von VMs zu deaktivieren.

 NIST SP 800-53-Steuerung: AC-3 und AC-6

Vorlage für Sicherheitskonfiguration ansehen

So rufen Sie die Vorlage für die Sicherheitskonfiguration „Standardmäßig sicher, Essentials“ auf:

gcloud

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • ORGANIZATION_ID: die numerische ID der Organisation.

Führen Sie den gcloud scc posture-templates describe Befehl aus:

Linux, macOS oder Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential

Die Antwort enthält die Vorlage für die Sicherheitskonfiguration.

REST

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • ORGANIZATION_ID: die numerische ID der Organisation.

HTTP-Methode und URL: 

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort enthält die Vorlage für die Sicherheitskonfiguration.

Nächste Schritte