Postur yang telah ditentukan sebelumnya untuk Cloud Storage, esensial

Halaman ini menjelaskan kebijakan pencegahan dan deteksi yang disertakan dalam versi v1.0 postur standar untuk Cloud Storage, essentials. Postur ini mencakup dua kumpulan kebijakan:

  • Kumpulan kebijakan yang mencakup kebijakan organisasi yang berlaku untuk Cloud Storage.

  • Kumpulan kebijakan yang mencakup pendeteksi Security Health Analytics yang berlaku untuk Cloud Storage.

Anda dapat menggunakan postur standar ini untuk mengonfigurasi postur keamanan yang membantu melindungi Cloud Storage. Anda dapat men-deploy postur standar ini tanpa melakukan perubahan apa pun.

Batasan kebijakan organisasi

Tabel berikut menjelaskan kebijakan organisasi yang disertakan dalam postur ini.

Kebijakan Deskripsi Standar kepatuhan
storage.publicAccessPrevention

Kebijakan ini mencegah bucket Cloud Storage terbuka untuk akses publik yang tidak diautentikasi.

Nilainya adalah true untuk mencegah akses publik ke bucket.

 Kontrol NIST SP 800-53: AC-3, AC-17, dan AC-20
storage.uniformBucketLevelAccess

Kebijakan ini mencegah bucket Cloud Storage menggunakan ACL per objek (sistem terpisah dari kebijakan IAM) untuk memberikan akses, sehingga menerapkan konsistensi untuk pengelolaan dan audit akses.

Nilainya adalah true untuk menerapkan akses level bucket yang seragam.

 Kontrol NIST SP 800-53: AC-3, AC-17, dan AC-20

Pendeteksi Security Health Analytics

Tabel berikut menjelaskan pendeteksi Security Health Analytics yang disertakan dalam postur standar. Untuk mengetahui informasi selengkapnya tentang pendeteksi ini, lihat Temuan kerentanan.

Nama pendeteksi Deskripsi
BUCKET_LOGGING_DISABLED

Pendeteksi ini memeriksa apakah ada bucket penyimpanan tanpa logging yang diaktifkan.
LOCKED_RETENTION_POLICY_NOT_SET

Pendeteksi ini memeriksa apakah kebijakan retensi yang terkunci ditetapkan untuk log.
OBJECT_VERSIONING_DISABLED

Pendeteksi ini memeriksa apakah pembuatan versi objek diaktifkan pada bucket penyimpanan dengan sink.
BUCKET_CMEK_DISABLED

Pendeteksi ini memeriksa apakah bucket dienkripsi menggunakan kunci enkripsi yang dikelola pelanggan (CMEK).
BUCKET_POLICY_ONLY_DISABLED

Pendeteksi ini memeriksa apakah akses level bucket yang seragam dikonfigurasi.
PUBLIC_BUCKET_ACL

Pendeteksi ini memeriksa apakah bucket dapat diakses secara publik.
PUBLIC_LOG_BUCKET

Pendeteksi ini memeriksa apakah bucket dengan sink log dapat diakses secara publik.
ORG_POLICY_LOCATION_RESTRICTION

Pendeteksi ini memeriksa apakah resource Compute Engine tidak mematuhi batasan constraints/gcp.resourceLocations.

Melihat template postur

Untuk melihat template postur untuk Cloud Storage, essentials, lakukan hal berikut:

gcloud

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • ORGANIZATION_ID: ID numerik organisasi.

Jalankan perintah gcloud scc posture-templates describe:

Linux, macOS, atau Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

Respons berisi template postur.

REST

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • ORGANIZATION_ID: ID numerik organisasi.

Metode HTTP dan URL: 

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:

Respons berisi template postur.

Langkah berikutnya