Stratégie prédéfinie pour la sécurisation par défaut, étendue

Cette page décrit les règles préventives incluses dans la version 1.0 de la stratégie "étendue" prédéfinie pour la sécurité par défaut. Cette stratégie prédéfinie permet d'éviter les erreurs de configuration et les problèmes de sécurité courants causés par les paramètres par défaut.

Vous pouvez utiliser cette stratégie prédéfinie pour configurer une "security posture" qui permet de protéger Google Cloud les ressources. Si vous souhaitez déployer cette stratégie prédéfinie, vous devez personnaliser certaines des règles pour qu'elles s'appliquent à votre environnement.

Règle Description Normes de conformité
iam.disableServiceAccountKeyCreation

Cette contrainte empêche les utilisateurs de créer des clés persistantes pour les comptes de service afin de réduire le risque d'exposition des identifiants de compte de service.

La valeur est true pour désactiver la création de clés de compte de service.

 Contrôle NIST SP 800-53 : AC-2
iam.automaticIamGrantsForDefaultServiceAccounts

Cette contrainte empêche les comptes de service par défaut de recevoir le rôle Identity and Access Management (IAM) Éditeur trop permissif lors de leur création.

La valeur est true pour désactiver les attributions automatiques de rôles IAM pour les comptes de service par défaut.

 Contrôle NIST SP 800-53 : AC-3
iam.disableServiceAccountKeyUpload

Cette contrainte évite le risque de fuite et de réutilisation de matériel de clé personnalisé dans les clés de compte de service.

La valeur est true pour désactiver l'importation de clés de compte de service.

 Contrôle NIST SP 800-53 : AC-6
storage.publicAccessPrevention

Cette règle empêche l'accès public non authentifié aux buckets Cloud Storage.

La valeur est true pour empêcher l'accès public aux buckets.

 Contrôles NIST SP 800-53 : AC-3 et AC-6
iam.allowedPolicyMemberDomains

Cette règle limite les stratégies IAM de manière à n'autoriser que les identités utilisateur gérées dans les domaines sélectionnés à accéder aux ressources de cette organisation.

La valeur est directoryCustomerId pour restreindre le partage entre les domaines.

 Contrôles NIST SP 800-53 : AC-3, AC-6 et IA-2
essentialcontacts.allowedContactDomains

Cette règle limite les contacts essentiels de manière à n'autoriser que les identités utilisateur gérées dans les domaines sélectionnés à recevoir des notifications de la plate-forme.

La valeur est @google.com. Vous devez modifier la valeur pour qu'elle corresponde à votre domaine.

 Contrôles NIST SP 800-53 : AC-3, AC-6 et IA-2
storage.uniformBucketLevelAccess

Cette règle empêche les buckets Cloud Storage d'utiliser des LCA par objet (un système distinct des stratégies IAM) pour fournir un accès, ce qui garantit la cohérence de la gestion des accès et de l'audit.

La valeur est true pour appliquer l'accès uniforme au niveau du bucket.

 Contrôles NIST SP 800-53 : AC-3 et AC-6
compute.requireOsLogin

Cette règle exige OS Login sur les VM nouvellement créées pour faciliter la gestion des clés SSH, fournir des autorisations au niveau des ressources avec des stratégies IAM et enregistrer l'accès des utilisateurs.

La valeur est true pour exiger OS Login.

 Contrôles NIST SP 800-53 : AC-3 et AU-12
compute.disableSerialPortAccess

Cette règle empêche les utilisateurs d'accéder au port série de la VM, qui peut être utilisé pour un accès backdoor à partir du plan de contrôle de l'API Compute Engine.

La valeur est true pour désactiver l'accès au port série de la VM.

 Contrôles NIST SP 800-53 : AC-3 et AC-6
compute.restrictXpnProjectLienRemoval

Cette règle empêche la suppression accidentelle de projets hôtes de VPC partagé en limitant la suppression des privilèges de projet.

La valeur est true pour restreindre la suppression des privilèges du projet VPC partagé.

 Contrôles NIST SP 800-53 : AC-3 et AC-6
compute.vmExternalIpAccess

Cette règle empêche la création d'instances Compute Engine avec une adresse IP publique, qui peut les exposer au trafic Internet entrant et sortant.

La valeur est denyAll pour désactiver tout accès à partir d'adresses IP publiques.

 Contrôles NIST SP 800-53 : AC-3 et AC-6
compute.skipDefaultNetworkCreation

Cette règle désactive la création automatique d'un réseau VPC par défaut et de règles de pare-feu par défaut dans chaque nouveau projet. Elle permet de s'assurer que les règles de réseau et de pare-feu sont créées intentionnellement.

La valeur est true pour éviter de créer le réseau VPC par défaut.

 Contrôles NIST SP 800-53 : AC-3 et AC-6
compute.setNewProjectDefaultToZonalDNSOnly

Cette règle empêche les développeurs d'applications de choisir des paramètres DNS hérités pour les instances Compute Engine dont la fiabilité du service est inférieure à celle des paramètres DNS modernes.

La valeur est Zonal DNS only pour les nouveaux projets.

 Contrôles NIST SP 800-53 : AC-3 et AC-6
sql.restrictPublicIp

Cette règle empêche la création d'instances Cloud SQL avec des adresses IP publiques, qui peuvent les exposer au trafic Internet entrant et sortant.

La valeur est true pour limiter l'accès aux instances Cloud SQL par adresse IP publique.

 Contrôles NIST SP 800-53 : AC-3 et AC-6
sql.restrictAuthorizedNetworks

Cette règle empêche les plages réseau publiques ou non-RFC 1918 d'accéder aux bases de données Cloud SQL.

La valeur est true pour limiter les réseaux autorisés sur les instances Cloud SQL.

 Contrôles NIST SP 800-53 : AC-3 et AC-6
compute.restrictProtocolForwardingCreationForTypes

Cette règle n'autorise le transfert de protocole de VM que pour les adresses IP internes.

La valeur est INTERNAL pour limiter le transfert de protocole en fonction du type d'adresse IP.

 Contrôles NIST SP 800-53 : AC-3 et AC-6
compute.disableVpcExternalIpv6

Cette règle empêche la création de sous-réseaux IPv6 externes, qui peuvent être exposés au trafic Internet entrant et sortant.

La valeur est true pour désactiver les sous-réseaux IPv6 externes.

 Contrôles NIST SP 800-53 : AC-3 et AC-6
compute.disableNestedVirtualization

Cette règle désactive la virtualisation imbriquée afin de réduire le risque de sécurité lié aux instances imbriquées non surveillées.

La valeur est true pour désactiver la virtualisation imbriquée de la VM.

 Contrôles NIST SP 800-53 : AC-3 et AC-6

Afficher le modèle de stratégie

Pour afficher le modèle de stratégie "étendue" pour la sécurité par défaut, procédez comme suit :

gcloud

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

  • ORGANIZATION_ID : ID numérique de l'organisation.

Exécutez la gcloud scc posture-templates describe commande :

Linux, macOS ou Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

La réponse contient le modèle de stratégie.

REST

Avant d'utiliser les données de requête, effectuez les remplacements suivants :

  • ORGANIZATION_ID : ID numérique de l'organisation.

Méthode HTTP et URL : 

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Pour envoyer votre requête, développez l'une des options suivantes :

La réponse contient le modèle de stratégie.

Étape suivante