Esta página descreve as políticas preventivas incluídas na versão 1.0 da postura predefinida para o essencial seguro por predefinição. Esta postura ajuda a evitar configurações incorretas comuns e problemas de segurança comuns causados pelas definições predefinidas.
Pode usar esta postura predefinida para configurar uma postura de segurança que ajuda a proteger Google Cloud recursos. Pode implementar esta postura predefinida sem fazer alterações.
| Política | Descrição | Normas de conformidade |
|---|---|---|
iam.disableServiceAccountKeyCreation |
Esta restrição impede que os utilizadores criem chaves persistentes para contas de serviço, o que diminui o risco de credenciais de contas de serviço expostas. O valor é |
Controlo NIST SP 800-53: AC-2 |
iam.automaticIamGrantsForDefaultServiceAccounts |
Esta restrição impede que as contas de serviço predefinidas recebam a função de editor do Identity and Access Management (IAM) excessivamente permissiva no momento da criação. O valor é |
Controlo NIST SP 800-53: AC-3 |
iam.disableServiceAccountKeyUpload |
Esta restrição evita o risco de material de chaves personalizado roubado e reutilizado em chaves de contas de serviço. O valor é |
Controlo NIST SP 800-53: AC-6 |
storage.publicAccessPrevention |
Esta política impede que os contentores do Cloud Storage estejam abertos ao acesso público não autenticado. O valor é |
Controlo NIST SP 800-53: AC-3 e AC-6 |
storage.uniformBucketLevelAccess |
Esta política impede que os contentores do Cloud Storage usem ACLs por objeto (um sistema separado das políticas de IAM) para fornecer acesso, aplicando a consistência para a gestão de acesso e a auditoria. O valor é |
Controlo NIST SP 800-53: AC-3 e AC-6 |
compute.requireOsLogin |
Esta política requer o início de sessão do SO em VMs criadas recentemente para gerir mais facilmente as chaves SSH, fornecer autorização ao nível do recurso com políticas de IAM e registar o acesso do utilizador. O valor é
|
Controlo NIST SP 800-53: AC-3 e AU-12 |
compute.disableSerialPortAccess |
Esta política impede que os utilizadores acedam à porta série da VM, que pode ser usada para acesso indireto a partir do plano de controlo da API Compute Engine. O valor é |
Controlo NIST SP 800-53: AC-3 e AC-6 |
compute.restrictXpnProjectLienRemoval |
Esta política impede a eliminação acidental de projetos anfitriões da VPC partilhada, restringindo a remoção de restrições de projetos. O valor é
|
Controlo NIST SP 800-53: AC-3 e AC-6 |
compute.vmExternalIpAccess |
Esta política impede a criação de instâncias do Compute Engine com um endereço IP público, o que pode expô-las ao tráfego de Internet de entrada e de saída. O valor é
policy_rules:
- values:
allowed_values:
- is:projects/PROJECT_ID/zones/ZONE/instances/INSTANCE
|
Controlo NIST SP 800-53: AC-3 e AC-6 |
compute.skipDefaultNetworkCreation |
Esta política desativa a criação automática de uma rede de VPC predefinida e de regras de firewall predefinidas em cada novo projeto, garantindo que as regras de rede e de firewall são criadas intencionalmente. O valor é |
Controlo NIST SP 800-53: AC-3 e AC-6 |
compute.setNewProjectDefaultToZonalDNSOnly |
Esta política restringe a escolha de definições de DNS antigas por parte dos programadores de aplicações para instâncias do Compute Engine que tenham uma fiabilidade do serviço inferior à das definições de DNS modernas. O valor é |
Controlo NIST SP 800-53: AC-3 e AC-6 |
sql.restrictPublicIp |
Esta política impede a criação de instâncias do Cloud SQL com endereços IP públicos, o que pode expô-las ao tráfego de Internet de entrada e de saída. O valor é |
Controlo NIST SP 800-53: AC-3 e AC-6 |
sql.restrictAuthorizedNetworks |
Esta política impede que os intervalos de rede públicos ou não RFC 1918 acedam às bases de dados do Cloud SQL. O valor é |
Controlo NIST SP 800-53: AC-3 e AC-6 |
compute.restrictProtocolForwardingCreationForTypes |
Esta política permite o encaminhamento de protocolos de VMs apenas para endereços IP internos. O valor é |
Controlo NIST SP 800-53: AC-3 e AC-6 |
compute.disableVpcExternalIpv6 |
Esta política impede a criação de sub-redes IPv6 externas, que podem ser expostas ao tráfego de Internet de entrada e saída. O valor é |
Controlo NIST SP 800-53: AC-3 e AC-6 |
compute.disableNestedVirtualization |
Esta política desativa a virtualização aninhada para todas as VMs do Compute Engine de modo a diminuir o risco de segurança relacionado com instâncias aninhadas não monitorizadas. O valor é |
Controlo NIST SP 800-53: AC-3 e AC-6 |
Veja o modelo de postura
Para ver o modelo de postura para a configuração segura por predefinição, essentials, faça o seguinte:
gcloud
Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:
-
ORGANIZATION_ID: o ID numérico da organização
Execute o comando
gcloud scc posture-templates
describe:
Linux, macOS ou Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
A resposta contém o modelo de postura.
REST
Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:
-
ORGANIZATION_ID: o ID numérico da organização
Método HTTP e URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
Para enviar o seu pedido, expanda uma destas opções:
A resposta contém o modelo de postura.