Questa pagina descrive i criteri preventivi e di rilevamento inclusi nella versione 1.0 del modello di postura predefinito per Cloud Storage, essentials. Questo modello di postura include due insiemi di criteri:
Un insieme di criteri che include le policy dell'organizzazione che si applicano a Cloud Storage.
Un insieme di policy che include i rilevatori di Security Health Analytics che si applicano a Cloud Storage.
Puoi utilizzare questo modello di postura predefinito per configurare una postura di sicurezza che contribuisca a proteggere Cloud Storage. Puoi eseguire il deployment di questo modello di postura predefinito senza apportare modifiche.
Vincoli dei criteri dell'organizzazione
La seguente tabella descrive le policy dell'organizzazione incluse in questa postura.
| Norme | Descrizione | Standard di conformità |
|---|---|---|
storage.publicAccessPrevention |
Questo criterio impedisce che i bucket Cloud Storage siano aperti all'accesso pubblico non autenticato. Il valore è |
Controllo NIST SP 800-53: AC-3, AC-17 e AC-20 |
storage.uniformBucketLevelAccess |
Questo criterio impedisce ai bucket Cloud Storage di utilizzare ACL per oggetto (un sistema separato dai criteri IAM) per fornire l'accesso, garantendo la coerenza per la gestione e il controllo dell'accesso. Il valore è |
Controllo NIST SP 800-53: AC-3, AC-17 e AC-20 |
Rilevatori di Security Health Analytics
La tabella seguente descrive i rilevatori di Security Health Analytics inclusi nel modello di postura predefinito. Per saperne di più su questi rilevatori, consulta Risultati delle vulnerabilità.
| Nome rilevatore | Descrizione |
|---|---|
BUCKET_LOGGING_DISABLED |
Questo rilevatore controlla se esiste un bucket di archiviazione senza logging abilitato. |
LOCKED_RETENTION_POLICY_NOT_SET |
Questo rilevatore controlla se è impostato il criterio di conservazione bloccato per i log. |
OBJECT_VERSIONING_DISABLED |
Questo rilevatore verifica se il controllo delle versioni degli oggetti è attivato sui bucket di archiviazione con sink. |
BUCKET_CMEK_DISABLED |
Questo rilevatore controlla se i bucket sono criptati utilizzando le chiavi di crittografia gestite dal cliente (CMEK). |
BUCKET_POLICY_ONLY_DISABLED |
Questo rilevatore controlla se è configurato l'accesso uniforme a livello di bucket. |
PUBLIC_BUCKET_ACL |
Questo rilevatore controlla se un bucket è accessibile pubblicamente. |
PUBLIC_LOG_BUCKET |
Questo rilevatore controlla se un bucket con un sink di log è accessibile pubblicamente. |
ORG_POLICY_LOCATION_RESTRICTION |
Questo rilevatore controlla se una risorsa Compute Engine non è conforme al vincolo |
Visualizza il modello di postura
Per visualizzare il modello di postura per Cloud Storage, elementi essenziali, procedi nel seguente modo:
gcloud
Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
-
ORGANIZATION_ID: l'ID numerico dell'organizzazione.
Esegui il comando
gcloud scc posture-templates
describe:
Linux, macOS o Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential
La risposta contiene il modello di postura.
REST
Prima di utilizzare i dati della richiesta, apporta le sostituzioni seguenti:
-
ORGANIZATION_ID: l'ID numerico dell'organizzazione.
Metodo HTTP e URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential
Per inviare la richiesta, espandi una di queste opzioni:
La risposta contiene il modello di postura.