En esta página, se describen las políticas preventivas que se incluyen en la versión 1.0 de la postura predefinida para secure_by_default_essentials. Esta postura ayuda a prevenir los errores de configuración y los problemas de seguridad habituales que causan los parámetros de configuración predeterminados.
Puedes usar esta postura predefinida para configurar una postura de seguridad que ayude a proteger Google Cloud los recursos. Esta postura predefinida se puede implementar sin realizar ningún cambio.
| Política | Descripción | Estándares de cumplimiento |
|---|---|---|
iam.disableServiceAccountKeyCreation |
Esta restricción impide que los usuarios creen claves persistentes para las cuentas de servicio, lo que disminuye el riesgo de que se expongan las credenciales de las cuentas de servicio. El valor es |
Control NIST SP 800-53: AC-2 |
iam.automaticIamGrantsForDefaultServiceAccounts |
Esta restricción impide que las cuentas de servicio predeterminadas reciban el rol de Editor de Identity and Access Management (IAM) demasiado permisivo en el momento de la creación. El valor es |
Control NIST SP 800-53: AC-3 |
iam.disableServiceAccountKeyUpload |
Esta restricción evita el riesgo de que se filtren y reutilicen materiales de claves personalizadas en las claves de cuentas de servicio. El valor es |
Control NIST SP 800-53: AC-6 |
storage.publicAccessPrevention |
Esta política impide que los buckets de Cloud Storage estén abiertos al acceso público sin autenticación. El valor es |
Control NIST SP 800-53: AC-3 y AC-6 |
storage.uniformBucketLevelAccess |
Esta política impide que los buckets de Cloud Storage usen una ACL por objeto (un sistema independiente de las políticas de IAM) para proporcionar acceso. Esto garantiza la coherencia en la administración y la auditoría del acceso. El valor es |
Control NIST SP 800-53: AC-3 y AC-6 |
compute.requireOsLogin |
Esta política requiere Acceso al SO en las VMs recién creadas para administrar más fácilmente las claves SSH, proporcionar permisos a nivel de recursos con políticas de IAM y registrar el acceso de los usuarios. El valor es |
Control NIST SP 800-53: AC-3 y AU-12 |
compute.disableSerialPortAccess |
Esta política impide que los usuarios accedan al puerto en serie de la VM, que se puede usar para el acceso de puerta trasera desde el plano de control de la API de Compute Engine. El valor es |
Control NIST SP 800-53: AC-3 y AC-6 |
compute.restrictXpnProjectLienRemoval |
Esta política impide la eliminación accidental de proyectos host de VPC compartida mediante la restricción de la eliminación de retenciones de proyectos. El valor es |
Control NIST SP 800-53: AC-3 y AC-6 |
compute.vmExternalIpAccess |
Esta política impide la creación de instancias de Compute Engine con una dirección IP pública, que puede exponerlas al tráfico de Internet entrante y saliente. El valor es
policy_rules:
- values:
allowed_values:
- is:projects/PROJECT_ID/zones/ZONE/instances/INSTANCE
|
Control NIST SP 800-53: AC-3 y AC-6 |
compute.skipDefaultNetworkCreation |
Esta política inhabilita la creación automática de una red de VPC predeterminada y reglas de firewall predeterminadas en cada proyecto nuevo. Esto garantiza que la red y las reglas de firewall se creen de forma intencional. El valor es |
Control NIST SP 800-53: AC-3 y AC-6 |
compute.setNewProjectDefaultToZonalDNSOnly |
Esta política impide que los desarrolladores de aplicaciones elijan la configuración de DNS heredada para las instancias de Compute Engine que tienen una confiabilidad de servicio más baja que la configuración de DNS moderna. El valor es |
Control NIST SP 800-53: AC-3 y AC-6 |
sql.restrictPublicIp |
Esta política impide la creación de instancias de Cloud SQL con direcciones IP públicas, que pueden exponerlas al tráfico de Internet entrante y saliente. El valor es |
Control NIST SP 800-53: AC-3 y AC-6 |
sql.restrictAuthorizedNetworks |
Esta política impide que los rangos de red públicos o no RFC 1918 accedan a las bases de datos de Cloud SQL. El valor es |
Control NIST SP 800-53: AC-3 y AC-6 |
compute.restrictProtocolForwardingCreationForTypes |
Esta política permite el reenvío de protocolos de VM solo para direcciones IP internas. El valor es |
Control NIST SP 800-53: AC-3 y AC-6 |
compute.disableVpcExternalIpv6 |
Esta política impide la creación de subredes IPv6 externas, que se pueden exponer al tráfico de Internet entrante y saliente. El valor es |
Control NIST SP 800-53: AC-3 y AC-6 |
compute.disableNestedVirtualization |
Esta política inhabilita la virtualización anidada para todas las VMs de Compute Engine, lo que disminuye el riesgo de seguridad relacionado con las instancias anidadas sin supervisión. El valor es |
Control NIST SP 800-53: AC-3 y AC-6 |
Visualiza la plantilla de postura
Para ver la plantilla de postura de secure_by_default_essentials, haz lo siguiente:
gcloud
Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:
-
ORGANIZATION_ID: Es el ID numérico de la organización.
Ejecuta el
gcloud scc posture-templates
describe
comando:
Linux, macOS o Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
La respuesta contiene la plantilla de postura.
REST
Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:
-
ORGANIZATION_ID: Es el ID numérico de la organización.
Método HTTP y URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
Para enviar tu solicitud, expande una de estas opciones:
La respuesta contiene la plantilla de postura.