Vordefinierter Sicherheitsstatus für „Von Grund auf sicher“, erweitert

Auf dieser Seite werden die präventiven Richtlinien beschrieben, die in der Version 1.0 der vordefinierten Sicherheitskonfiguration „Standardmäßig sicher, erweitert“ enthalten sind. Diese vordefinierte Sicherheitskonfiguration hilft, häufige Fehlkonfigurationen und häufige Sicherheitsprobleme zu vermeiden, die durch Standardeinstellungen verursacht werden.

Mit dieser vordefinierten Sicherheitskonfiguration können Sie eine Sicherheitskonfiguration erstellen, die Ressourcen Google Cloud schützt. Wenn Sie diese vordefinierte Sicherheitskonfiguration bereitstellen möchten, müssen Sie einige der Richtlinien an Ihre Umgebung anpassen.

Richtlinie Beschreibung Compliance standards
iam.disableServiceAccountKeyCreation

Diese Einschränkung verhindert, dass Nutzer persistente Schlüssel für Dienstkonten erstellen. So wird das Risiko verringert, dass Anmeldedaten für Dienstkonten offengelegt werden.

Der Wert ist true, um die Erstellung von Dienstkontoschlüsseln zu deaktivieren.

 NIST SP 800-53-Kontrolle: AC-2
iam.automaticIamGrantsForDefaultServiceAccounts

Diese Einschränkung verhindert, dass Standarddienstkonten bei der Erstellung die zu permissive IAM-Rolle „Bearbeiter“ erhalten.

Der Wert ist true, um automatische IAM-Zuweisungen für Standarddienstkonten zu deaktivieren.

 NIST SP 800-53-Kontrolle: AC-3
iam.disableServiceAccountKeyUpload

Diese Einschränkung vermeidet das Risiko, dass benutzerdefiniertes Schlüsselmaterial in Dienstkontoschlüsseln offengelegt und wiederverwendet wird.

Der Wert ist true, um das Hochladen von Dienstkontoschlüsseln zu deaktivieren.

 NIST SP 800-53-Kontrolle: AC-6
storage.publicAccessPrevention

Diese Richtlinie verhindert, dass Cloud Storage-Buckets für nicht authentifizierten öffentlichen Zugriff geöffnet werden.

Der Wert ist true, um den öffentlichen Zugriff auf Buckets zu verhindern.

 NIST SP 800-53-Kontrolle: AC-3 und AC-6
iam.allowedPolicyMemberDomains

Durch diese Richtlinie werden IAM-Richtlinien so eingeschränkt, dass nur verwaltete Nutzeridentitäten in ausgewählten Domains auf Ressourcen in dieser Organisation zugreifen können.

Der Wert ist directoryCustomerId, um die Freigabe zwischen Domains einzuschränken.

 NIST SP 800-53-Kontrolle: AC-3, AC-6 und IA-2
essentialcontacts.allowedContactDomains

Durch diese Richtlinie werden wichtige Kontakte so eingeschränkt, dass nur verwaltete Nutzeridentitäten in ausgewählten Domains Plattformbenachrichtigungen erhalten.

Der Wert ist @google.com. Sie müssen den Wert so ändern, dass er Ihrer Domain entspricht.

 NIST SP 800-53-Kontrolle: AC-3, AC-6 und IA-2
storage.uniformBucketLevelAccess

Diese Richtlinie verhindert, dass Cloud Storage-Buckets ACLs auf Objektebene (ein separates System von IAM-Richtlinien) verwenden, um Zugriff zu gewähren. So wird die Konsistenz bei der Zugriffsverwaltung und ‑prüfung erzwungen.

Der Wert ist true, um den einheitlichen Zugriff auf Bucket-Ebene zu erzwingen.

 NIST SP 800-53-Kontrolle: AC-3 und AC-6
compute.requireOsLogin

Diese Richtlinie erfordert OS Login auf neu erstellten VMs, um SSH-Schlüssel einfacher zu verwalten, Berechtigungen auf Ressourcenebene mit IAM-Richtlinien zu gewähren und den Nutzerzugriff zu protokollieren.

Der Wert ist true, um OS Login zu erzwingen.

 NIST SP 800-53-Kontrolle: AC-3 und AU-12
compute.disableSerialPortAccess

Diese Richtlinie verhindert, dass Nutzer auf den seriellen Port der VM zugreifen, der für den Hintertürzugriff über die Steuerungsebene der Compute Engine API verwendet werden kann.

Der Wert ist true, um den Zugriff auf den seriellen Port der VM zu deaktivieren.

 NIST SP 800-53-Kontrolle: AC-3 und AC-6
compute.restrictXpnProjectLienRemoval

Diese Richtlinie verhindert das versehentliche Löschen von Hostprojekten für freigegebene VPC, indem das Entfernen von Projektsperren eingeschränkt wird.

Der Wert ist true, um das Entfernen von Projektsperren für freigegebene VPC einzuschränken.

 NIST SP 800-53-Kontrolle: AC-3 und AC-6
compute.vmExternalIpAccess

Diese Richtlinie verhindert das Erstellen von Compute Engine-Instanzen mit einer öffentlichen IP-Adresse, die sie für eingehenden und ausgehenden Internet-Traffic zugänglich machen kann.

Der Wert ist denyAll, um den gesamten Zugriff von öffentlichen IP-Adressen zu deaktivieren.

 NIST SP 800-53-Kontrolle: AC-3 und AC-6
compute.skipDefaultNetworkCreation

Diese Richtlinie deaktiviert die automatische Erstellung eines Standard-VPC-Netzwerk und von Standardfirewallregeln in jedem neuen Projekt. So wird sichergestellt, dass Netzwerk- und Firewallregeln bewusst erstellt werden.

Der Wert ist true, um die Erstellung des Standard-VPC-Netzwerk zu vermeiden.

 NIST SP 800-53-Kontrolle: AC-3 und AC-6
compute.setNewProjectDefaultToZonalDNSOnly

Diese Richtlinie verhindert, dass Anwendungsentwickler Legacy-DNS-Einstellungen für Compute Engine-Instanzen auswählen, die eine geringere Dienstzuverlässigkeit als moderne DNS-Einstellungen haben.

Der Wert ist Zonal DNS only für neue Projekte.

 NIST SP 800-53-Kontrolle: AC-3 und AC-6
sql.restrictPublicIp

Diese Richtlinie verhindert das Erstellen von Cloud SQL-Instanzen mit öffentlichen IP-Adressen, die sie für eingehenden und ausgehenden Internet-Traffic zugänglich machen können.

Der Wert ist true, um den Zugriff auf Cloud SQL-Instanzen über öffentliche IP-Adressen einzuschränken.

 NIST SP 800-53-Kontrolle: AC-3 und AC-6
sql.restrictAuthorizedNetworks

Diese Richtlinie verhindert den Zugriff auf Cloud SQL-Datenbanken aus öffentlichen oder nicht RFC 1918-konformen Netzwerkbereichen.

Der Wert ist true, um autorisierte Netzwerke auf Cloud SQL-Instanzen einzuschränken.

 NIST SP 800-53-Kontrolle: AC-3 und AC-6
compute.restrictProtocolForwardingCreationForTypes

Diese Richtlinie erlaubt die VM-Protokollweiterleitung nur für interne IP-Adressen.

Der Wert ist INTERNAL, um die Protokollweiterleitung anhand des Typs der IP-Adresse einzuschränken.

 NIST SP 800-53-Kontrolle: AC-3 und AC-6
compute.disableVpcExternalIpv6

Diese Richtlinie verhindert das Erstellen externer IPv6-Subnetze, die für eingehenden und ausgehenden Internet-Traffic zugänglich sein können.

Der Wert ist true, um externe IPv6-Subnetze zu deaktivieren.

 NIST SP 800-53-Kontrolle: AC-3 und AC-6
compute.disableNestedVirtualization

Diese Richtlinie deaktiviert die verschachtelte Virtualisierung, um das Sicherheitsrisiko durch nicht überwachte verschachtelte Instanzen zu verringern.

Der Wert ist true, um die verschachtelte Virtualisierung von VMs zu deaktivieren.

 NIST SP 800-53-Kontrolle: AC-3 und AC-6

Vorlage für die Sicherheitskonfiguration ansehen

So rufen Sie die Vorlage für die Sicherheitskonfiguration „Standardmäßig sicher, erweitert“ auf:

gcloud

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • ORGANIZATION_ID: die numerische ID der Organisation.

Führen Sie den gcloud scc posture-templates describe Befehl aus:

Linux, macOS oder Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Die Antwort enthält die Vorlage für die Sicherheitskonfiguration.

REST

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • ORGANIZATION_ID: die numerische ID der Organisation.

HTTP-Methode und URL: 

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort enthält die Vorlage für die Sicherheitskonfiguration.

Nächste Schritte