Postura predefinida para o Cloud Storage, recursos essenciais

Esta página descreve as políticas preventivas e de detecção incluídas na versão 1.0 da postura predefinida para o Cloud Storage, Essentials. Essa postura inclui dois conjuntos de políticas:

  • Um conjunto de políticas que inclui políticas da organização aplicáveis ao Cloud Storage.

  • Um conjunto de políticas que inclui detectores da Análise de integridade da segurança aplicáveis ao Cloud Storage.

É possível usar essa postura predefinida para configurar uma postura de segurança que ajude a proteger o Cloud Storage. Você pode implantar essa postura predefinida sem fazer mudanças.

Restrições da política da organização

A tabela a seguir descreve as políticas da organização incluídas nessa postura.

Política Descrição Padrão de conformidade
storage.publicAccessPrevention

Essa política impede que os buckets do Cloud Storage fiquem abertos ao acesso público não autenticado.

O valor é true para impedir o acesso público aos buckets.

 Controle NIST SP 800-53: AC-3, AC-17 e AC-20
storage.uniformBucketLevelAccess

Essa política impede que os buckets do Cloud Storage usem ACLs por objeto (um sistema separado das políticas do IAM) para fornecer acesso, aplicando a consistência para gerenciamento e auditoria de acesso.

O valor é true para aplicar o acesso uniforme no nível do bucket.

 Controle NIST SP 800-53: AC-3, AC-17 e AC-20

Detectores da Análise de integridade da segurança

A tabela a seguir descreve os detectores da Análise de integridade da segurança incluídos na postura predefinida. Para mais informações sobre esses detectores, consulte Descobertas de vulnerabilidades.

Nome do detector Descrição
BUCKET_LOGGING_DISABLED

Esse detector verifica se há um bucket de armazenamento sem o registro ativado.
LOCKED_RETENTION_POLICY_NOT_SET

Esse detector verifica se a política de retenção bloqueada está definida para registros.
OBJECT_VERSIONING_DISABLED

Esse detector verifica se o controle de versão de objeto está ativado em buckets de armazenamento com coletores.
BUCKET_CMEK_DISABLED

Esse detector verifica se os buckets são criptografados usando chaves de criptografia gerenciadas pelo cliente (CMEK).
BUCKET_POLICY_ONLY_DISABLED

Esse detector verifica se o acesso uniforme no nível do bucket está configurado.
PUBLIC_BUCKET_ACL

Esse detector verifica se um bucket está acessível publicamente.
PUBLIC_LOG_BUCKET

Esse detector verifica se um bucket com um coletor de registros está acessível publicamente.
ORG_POLICY_LOCATION_RESTRICTION

Esse detector verifica se um recurso do Compute Engine está fora da conformidade com a restrição constraints/gcp.resourceLocations.

Conferir o modelo de postura

Para conferir o modelo de postura do Cloud Storage, Essentials, faça o seguinte:

gcloud

Antes de usar os dados do comando abaixo, faça estas substituições:

  • ORGANIZATION_ID: o ID numérico da organização.

Execute o gcloud scc posture-templates describe comando:

Linux, macOS ou Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

A resposta contém o modelo de postura.

REST

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • ORGANIZATION_ID: o ID numérico da organização.

Método HTTP e URL: 

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

Para enviar a solicitação, expanda uma destas opções:

A resposta contém o modelo de postura.

A seguir