Posture prédéfinie pour Cloud Storage, éléments essentiels

Cette page décrit les règles préventives et de détection incluses dans la version 1.0 de la stratégie "éléments essentiels" prédéfinie pour Cloud Storage. Cette stratégie inclut deux ensembles de règles :

  • Ensemble de règles incluant des règles d'administration qui s'appliquent à Cloud Storage

  • Ensemble de règles qui inclut les détecteurs Security Health Analytics s'appliquant à Cloud Storage

Vous pouvez utiliser cette stratégie prédéfinie pour configurer une "security posture" qui permet de protéger Cloud Storage. Vous pouvez déployer cette stratégie prédéfinie sans y apporter de modifications.

Contraintes liées aux règles d'administration

Le tableau suivant décrit les règles d'administration incluses dans cette stratégie.

Règle Description Norme de conformité
storage.publicAccessPrevention

Cette règle empêche l'accès public non authentifié aux buckets Cloud Storage.

La valeur est true pour empêcher l'accès public aux buckets.

 Contrôle NIST SP 800-53 : AC-3, AC-17 et AC-20
storage.uniformBucketLevelAccess

Cette règle empêche les buckets Cloud Storage d'utiliser des LCA par objet (système distinct des règles IAM) pour fournir un accès, ce qui garantit la cohérence de la gestion des accès et de l'audit.

La valeur est true pour appliquer l'accès uniforme au niveau du bucket.

 Contrôle NIST SP 800-53 : AC-3, AC-17 et AC-20

Détecteurs Security Health Analytics

Le tableau suivant décrit les détecteurs Security Health Analytics inclus dans la stratégie prédéfinie. Pour en savoir plus sur ces détecteurs, consultez Failles identifiées.

Nom du détecteur Description
BUCKET_LOGGING_DISABLED

Ce détecteur vérifie s'il existe un bucket de stockage pour lequel la journalisation n'est pas activée.
LOCKED_RETENTION_POLICY_NOT_SET

Ce détecteur vérifie si la règle de conservation verrouillée est définie pour les journaux.
OBJECT_VERSIONING_DISABLED

Ce détecteur vérifie si la gestion des versions d'objets est activée sur les buckets de stockage avec des récepteurs.
BUCKET_CMEK_DISABLED

Ce détecteur vérifie si les buckets sont chiffrés à l'aide de clés de chiffrement gérées par le client (CMEK).
BUCKET_POLICY_ONLY_DISABLED

Ce détecteur vérifie si l'accès uniforme au niveau du bucket est configuré.
PUBLIC_BUCKET_ACL

Ce détecteur vérifie si un bucket est accessible publiquement.
PUBLIC_LOG_BUCKET

Ce détecteur vérifie si un bucket avec un récepteur de journaux est accessible publiquement.
ORG_POLICY_LOCATION_RESTRICTION

Ce détecteur vérifie si une ressource Compute Engine n'est pas conforme à la contrainte constraints/gcp.resourceLocations.

Afficher le modèle de stratégie

Pour afficher le modèle de stratégie pour les éléments essentiels de Cloud Storage, procédez comme suit :

gcloud

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

  • ORGANIZATION_ID : ID numérique de l'organisation.

Exécutez la gcloud scc posture-templates describe commande :

Linux, macOS ou Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

La réponse contient le modèle de stratégie.

REST

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

  • ORGANIZATION_ID : ID numérique de l'organisation.

Méthode HTTP et URL : 

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

Pour envoyer votre requête, développez l'une des options suivantes :

La réponse contient le modèle de stratégie.

Étape suivante