Vordefinierte Vorlage für die Sicherheitskonfiguration für Cloud Storage, Essentials

Auf dieser Seite werden die präventiven und detektiven Richtlinien beschrieben, die in der Version 1.0 der vordefinierten Vorlage für die Sicherheitskonfiguration für Cloud Storage, Essentials enthalten sind. Diese Vorlage für die Sicherheitskonfiguration umfasst zwei Richtliniensätze:

  • Ein Richtliniensatz mit Organisationsrichtlinien, die für Cloud Storage gelten.

  • Ein Richtliniensatz mit Security Health Analytics-Detektoren, die für Cloud Storage gelten.

Mit dieser vordefinierten Vorlage für die Sicherheitskonfiguration können Sie eine Sicherheitskonfiguration erstellen, die Cloud Storage schützt. Sie können diese vordefinierte Vorlage für die Sicherheitskonfiguration ohne Änderungen bereitstellen.

Einschränkungen für Organisationsrichtlinien

In der folgenden Tabelle werden die Organisationsrichtlinien beschrieben, die in dieser Sicherheitskonfiguration enthalten sind.

Richtlinie Beschreibung Compliance standard
storage.publicAccessPrevention

Diese Richtlinie verhindert, dass Cloud Storage-Buckets für nicht authentifizierte öffentliche Zugriffe geöffnet werden.

Der Wert ist true, um den öffentlichen Zugriff auf Buckets zu verhindern.

NIST SP 800-53-Kontrolle: AC-3, AC-17 und AC-20
storage.uniformBucketLevelAccess

Diese Richtlinie verhindert, dass Cloud Storage-Buckets ACLs pro Objekt (ein separates System von IAM-Richtlinien) verwenden, um Zugriff zu gewähren. So wird die Konsistenz für die Zugriffsverwaltung und -prüfung erzwungen.

Der Wert ist true, um den einheitlichen Zugriff auf Bucket-Ebene zu erzwingen.

NIST SP 800-53-Kontrolle: AC-3, AC-17 und AC-20

Security Health Analytics – Detektoren

In der folgenden Tabelle werden die Security Health Analytics-Detektoren beschrieben, die in der vordefinierten Vorlage für die Sicherheitskonfiguration enthalten sind. Weitere Informationen zu diesen Detektoren finden Sie unter Erfasste Sicherheitslücken.

Detektorname Beschreibung
BUCKET_LOGGING_DISABLED

Dieser Detektor prüft, ob es einen Storage-Bucket gibt, für den kein Logging aktiviert ist.

LOCKED_RETENTION_POLICY_NOT_SET

Dieser Detektor prüft, ob die gesperrte Aufbewahrungsrichtlinie für Logs festgelegt ist.

OBJECT_VERSIONING_DISABLED

Dieser Detektor prüft, ob die Objektversionierung für Storage-Buckets mit Senken aktiviert ist.

BUCKET_CMEK_DISABLED

Dieser Detektor prüft, ob Buckets mit kundenverwalteten Verschlüsselungsschlüsseln (CMEKs) verschlüsselt sind.

BUCKET_POLICY_ONLY_DISABLED

Dieser Detektor prüft, ob der einheitliche Zugriff auf Bucket-Ebene konfiguriert ist.

PUBLIC_BUCKET_ACL

Dieser Detektor prüft, ob ein Bucket öffentlich zugänglich ist.

PUBLIC_LOG_BUCKET

Dieser Detektor prüft, ob ein Bucket mit einer Log-Senke öffentlich zugänglich ist.

ORG_POLICY_LOCATION_RESTRICTION

Dieser Detektor prüft, ob eine Compute Engine-Ressource gegen die Einschränkung constraints/gcp.resourceLocations verstößt.

Vorlage für die Sicherheitskonfiguration ansehen

So rufen Sie die Vorlage für die Sicherheitskonfiguration für Cloud Storage, Essentials auf:

gcloud

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • ORGANIZATION_ID: die numerische ID der Organisation.

Führen Sie den gcloud scc posture-templates describe Befehl aus:

Linux, macOS oder Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

Die Antwort enthält die Vorlage für die Sicherheitskonfiguration.

REST

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • ORGANIZATION_ID: die numerische ID der Organisation.

HTTP-Methode und URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort enthält die Vorlage für die Sicherheitskonfiguration.

Nächste Schritte