Postura predefinida para la configuración segura de forma predeterminada, extendida

En esta página, se describen las políticas preventivas que se incluyen en la versión 1.0 de la postura predefinida para secure_by_default_extended. Esta postura predefinida ayuda a prevenir los errores de configuración y los problemas de seguridad habituales que causan los parámetros de configuración predeterminados.

Puedes usar esta postura predefinida para configurar una postura de seguridad que facilite la protección Google Cloud de los recursos. Si deseas implementar esta postura predefinida, debes personalizar algunas de las políticas para que se apliquen a tu entorno.

Política Descripción Estándares de cumplimiento
iam.disableServiceAccountKeyCreation

Esta restricción impide que los usuarios creen claves persistentes para las cuentas de servicio, lo que disminuye el riesgo de que se expongan las credenciales de las cuentas de servicio.

El valor es true para inhabilitar la creación de claves de cuentas de servicio.

 Control NIST SP 800-53: AC-2
iam.automaticIamGrantsForDefaultServiceAccounts

Esta restricción impide que las cuentas de servicio predeterminadas reciban el rol de Editor de Identity and Access Management (IAM) demasiado permisivo en el momento de la creación.

El valor es true para inhabilitar el otorgamiento automático de IAM para las cuentas de servicio predeterminadas.

 Control NIST SP 800-53: AC-3
iam.disableServiceAccountKeyUpload

Esta restricción evita el riesgo de que se filtren y reutilicen materiales de claves personalizadas en las claves de cuentas de servicio.

El valor es true para inhabilitar las cargas de claves de cuentas de servicio.

 Control NIST SP 800-53: AC-6
storage.publicAccessPrevention

Esta política impide que los buckets de Cloud Storage estén abiertos al acceso público sin autenticación.

El valor es true para evitar el acceso público a los buckets.

 Control NIST SP 800-53: AC-3 y AC-6
iam.allowedPolicyMemberDomains

Con esta política, las políticas de IAM solo permiten que las identidades de usuario administradas de los dominios seleccionados accedan a los recursos de esta organización.

El valor es directoryCustomerId para restringir el uso compartido entre dominios.

 Control NIST SP 800-53: AC-3, AC-6 y IA-2
essentialcontacts.allowedContactDomains

Con esta política, solo las identidades de usuario administradas de los dominios seleccionados pueden recibir notificaciones de la plataforma.

El valor es @google.com. Debes cambiar el valor para que coincida con tu dominio.

 Control NIST SP 800-53: AC-3, AC-6 y IA-2
storage.uniformBucketLevelAccess

Esta política impide que los buckets de Cloud Storage usen una ACL por objeto (un sistema independiente de las políticas de IAM) para proporcionar acceso. Esto garantiza la coherencia en la administración y la auditoría del acceso.

El valor es true para aplicar el acceso uniforme a nivel de bucket.

 Control NIST SP 800-53: AC-3 y AC-6
compute.requireOsLogin

Esta política requiere Acceso al SO en las VMs recién creadas para administrar más fácilmente las claves SSH, proporcionar permisos a nivel de recursos con políticas de IAM y registrar el acceso de los usuarios.

El valor es true para requerir el Acceso al SO.

 Control NIST SP 800-53: AC-3 y AU-12
compute.disableSerialPortAccess

Esta política impide que los usuarios accedan al puerto en serie de la VM, que se puede usar para el acceso a la puerta trasera desde el plano de control de la API de Compute Engine.

El valor es true para inhabilitar el acceso al puerto en serie de VM.

 Control NIST SP 800-53: AC-3 y AC-6
compute.restrictXpnProjectLienRemoval

Esta política impide la eliminación accidental de proyectos host de VPC compartida mediante la restricción de la eliminación de retenciones de proyectos.

El valor es true para restringir la eliminación de la retención del proyecto de VPC compartida.

 Control NIST SP 800-53: AC-3 y AC-6
compute.vmExternalIpAccess

Esta política impide la creación de instancias de Compute Engine con una dirección IP pública, que puede exponerlas al tráfico de Internet entrante y saliente.

El valor es denyAll para desactivar todo el acceso desde direcciones IP públicas.

 Control NIST SP 800-53: AC-3 y AC-6
compute.skipDefaultNetworkCreation

Esta política inhabilita la creación automática de una red de VPC predeterminada y reglas de firewall predeterminadas en cada proyecto nuevo. Esto garantiza que la red y las reglas de firewall se creen de forma intencional.

El valor es true para evitar la creación de la red de VPC predeterminada.

 Control NIST SP 800-53: AC-3 y AC-6
compute.setNewProjectDefaultToZonalDNSOnly

Esta política impide que los desarrolladores de aplicaciones elijan la configuración de DNS heredada para las instancias de Compute Engine que tienen una confiabilidad de servicio más baja que la configuración de DNS moderna.

El valor es Zonal DNS only para proyectos nuevos.

 Control NIST SP 800-53: AC-3 y AC-6
sql.restrictPublicIp

Esta política impide la creación de instancias de Cloud SQL con direcciones IP públicas, que pueden exponerlas al tráfico de Internet entrante y saliente.

El valor es true para restringir el acceso a las instancias de Cloud SQL por direcciones IP públicas.

 Control NIST SP 800-53: AC-3 y AC-6
sql.restrictAuthorizedNetworks

Esta política impide que los rangos de red públicos o no RFC 1918 accedan a las bases de datos de Cloud SQL.

El valor es true para restringir las redes autorizadas en las instancias de Cloud SQL.

 Control NIST SP 800-53: AC-3 y AC-6
compute.restrictProtocolForwardingCreationForTypes

Esta política permite el reenvío de protocolos de VM solo para direcciones IP internas.

El valor es INTERNAL para restringir el reenvío de protocolos en función del tipo de dirección IP.

 Control NIST SP 800-53: AC-3 y AC-6
compute.disableVpcExternalIpv6

Esta política impide la creación subredes IPv6 externas, que se pueden exponer al tráfico de Internet entrante y saliente.

El valor es true para inhabilitar las subredes IPv6 externas.

 Control NIST SP 800-53: AC-3 y AC-6
compute.disableNestedVirtualization

Esta política inhabilita la virtualización anidada para disminuir el riesgo de seguridad debido a las instancias anidadas sin supervisión.

El valor es true para desactivar la virtualización anidada de la VM.

 Control NIST SP 800-53: AC-3 y AC-6

Visualiza la plantilla de postura

Si deseas ver la plantilla de postura extendida para la seguridad predeterminada, haz lo siguiente:

gcloud

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

  • ORGANIZATION_ID: Es el ID numérico de la organización.

Ejecuta el gcloud scc posture-templates describe comando:

Linux, macOS o Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

La respuesta contiene la plantilla de postura.

REST

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • ORGANIZATION_ID: Es el ID numérico de la organización.

Método HTTP y URL: 

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Para enviar tu solicitud, expande una de estas opciones:

La respuesta contiene la plantilla de postura.

¿Qué sigue?