מצב אבטחה מוגדר מראש לשיפור האבטחה כברירת מחדל, גרסה מורחבת

בדף הזה מתוארות המדיניות המונעת שכלולה בגרסה v1.0 של המצב המוגדר מראש 'מאובטח כברירת מחדל, מורחב'. ההגדרה המוגדרת מראש הזו עוזרת למנוע טעויות נפוצות בהגדרות ובעיות אבטחה נפוצות שנגרמות בגלל הגדרות ברירת המחדל.

אתם יכולים להשתמש במצב האבטחה המוגדר מראש הזה כדי להגדיר מצב אבטחה שיעזור להגן עלGoogle Cloud המשאבים. אם רוצים לפרוס את המצב המוגדר מראש הזה, צריך להתאים אישית חלק מהמדיניות כדי שהיא תחול על הסביבה שלכם.

מדיניות	תיאור	תקני תאימות
`iam.disableServiceAccountKeyCreation`	האילוץ הזה מונע ממשתמשים ליצור מפתחות קבועים לחשבונות שירות, כדי להקטין את הסיכון לחשיפה של פרטי הכניסה לחשבון השירות. הערך הוא `true` כדי להשבית את יצירת המפתחות לחשבון השירות.	בקרת NIST SP 800-53: ‏ AC-2
`iam.automaticIamGrantsForDefaultServiceAccounts`	האילוץ הזה מונע מחשבונות שירות שמוגדרים כברירת מחדל לקבל את התפקיד 'עריכה' בניהול זהויות והרשאות גישה (IAM) עם הרשאות רחבות מדי בזמן היצירה. הערך הוא `true` כדי להשבית את ההקצאות האוטומטיות של הרשאות IAM לחשבונות שירות שמוגדרים כברירת מחדל.	בקרת NIST SP 800-53: ‏ AC-3
`iam.disableServiceAccountKeyUpload`	המגבלה הזו מונעת את הסיכון לדליפה של חומר מפתח מותאם אישית ולשימוש חוזר בו במפתחות של חשבונות שירות. הערך הוא `true` כדי להשבית העלאות של מפתחות של חשבונות שירות.	בקרת NIST SP 800-53: ‏ AC-6
`storage.publicAccessPrevention`	המדיניות הזו מונעת גישה ציבורית לא מאומתת לקטגוריות של Cloud Storage. הערך הוא `true` כדי למנוע גישה ציבורית לקטגוריות.	בקרה של NIST SP 800-53: ‏ AC-3 ו-AC-6
`iam.allowedPolicyMemberDomains`	המדיניות הזו מגבילה את מדיניות ה-IAM כך שרק זהויות משתמשים מנוהלות בדומיינים נבחרים יוכלו לגשת למשאבים בארגון. הערך הוא `directoryCustomerId` כדי להגביל את השיתוף בין דומיינים.	אמצעי בקרה של NIST SP 800-53: ‏ AC-3,‏ AC-6 ו-IA-2
`essentialcontacts.allowedContactDomains`	המדיניות הזו מגבילה את השימוש ב-Essential Contacts כך שרק זהויות של חשבונות מנוהלים בדומיינים נבחרים יוכלו לקבל התראות מהפלטפורמה. הערך הוא `@google.com`. צריך לשנות את הערך כך שיתאים לדומיין.	אמצעי בקרה של NIST SP 800-53: ‏ AC-3,‏ AC-6 ו-IA-2
`storage.uniformBucketLevelAccess`	המדיניות הזו מונעת מקטגוריות של Cloud Storage להשתמש ברשימת ACL לכל אובייקט (מערכת נפרדת ממדיניות IAM) כדי לספק גישה, וכך אוכפת עקביות בניהול הגישה ובביקורת. הערך הוא `true` כדי לאכוף גישה אחידה ברמת הקטגוריה.	בקרה של NIST SP 800-53: ‏ AC-3 ו-AC-6
`compute.requireOsLogin`	המדיניות הזו מחייבת OS Login במכונות וירטואליות שנוצרו לאחרונה, כדי לנהל בקלות רבה יותר מפתחות SSH, לספק הרשאה ברמת המשאב באמצעות מדיניות IAM ולתעד את גישת המשתמש. הערך הוא `true` כדי לדרוש OS Login.	אמצעי בקרה של NIST SP 800-53: ‏ AC-3 ו-AU-12
`compute.disableSerialPortAccess`	המדיניות הזו מונעת מהמשתמשים לגשת ליציאה הטורית של מכונת ה-VM, שאפשר להשתמש בה לגישת Backdoor ממישור הבקרה של Compute Engine API. הערך הוא `true` כדי להשבית את הגישה ליציאה הטורית של ה-VM.	בקרה של NIST SP 800-53: ‏ AC-3 ו-AC-6
`compute.restrictXpnProjectLienRemoval`	המדיניות הזו מונעת מחיקה בטעות של פרויקטים מארחים ב-VPC משותף, על ידי הגבלת ההסרה של מנעולים למניעת מחיקה של פרויקטים. הערך הוא `true` כדי להגביל את הסרת מנעול למניעת מחיקה של פרויקט VPC משותף.	בקרה של NIST SP 800-53: ‏ AC-3 ו-AC-6
`compute.vmExternalIpAccess`	המדיניות הזו מונעת יצירה של מכונות ב-Compute Engine עם כתובת IP ציבורית, שיכולה לחשוף אותן לתעבורת נתונים נכנסת ויוצאת מהאינטרנט. הערך הוא `denyAll` כדי להשבית את כל הגישה מכתובות IP ציבוריות.	בקרה של NIST SP 800-53: ‏ AC-3 ו-AC-6
`compute.skipDefaultNetworkCreation`	המדיניות הזו משביתה את היצירה האוטומטית של רשת VPC שמוגדרת כברירת מחדל ושל כללי חומת אש שמוגדרים כברירת מחדל בכל פרויקט חדש, כדי להבטיח שכללי הרשת וכללי חומת האש ייווצרו בכוונה. הערך הוא `true` כדי למנוע יצירה של רשת VPC שמוגדרת כברירת מחדל.	בקרה של NIST SP 800-53: ‏ AC-3 ו-AC-6
`compute.setNewProjectDefaultToZonalDNSOnly`	המדיניות הזו מגבילה את מפתחי האפליקציות ומונעת מהם לבחור הגדרות DNS מדור קודם עבור מופעי Compute Engine, כי האמינות של השירות נמוכה יותר בהשוואה להגדרות DNS מודרניות. הערך הוא `Zonal DNS only` בפרויקטים חדשים.	בקרה של NIST SP 800-53: ‏ AC-3 ו-AC-6
`sql.restrictPublicIp`	המדיניות הזו מונעת יצירה של מכונות Cloud SQL עם כתובות IP ציבוריות, שיכולות לחשוף אותן לתעבורת נתונים נכנסת ויוצאת מהאינטרנט. הערך הוא `true` כדי להגביל את הגישה למכונות Cloud SQL לפי כתובות IP ציבוריות.	בקרה של NIST SP 800-53: ‏ AC-3 ו-AC-6
`sql.restrictAuthorizedNetworks`	המדיניות הזו מונעת גישה למסדי נתונים של Cloud SQL מטווחים של רשתות ציבוריות או רשתות שאינן RFC 1918. הערך הוא `true` כדי להגביל רשתות מורשות במכונות של Cloud SQL.	בקרה של NIST SP 800-53: ‏ AC-3 ו-AC-6
`compute.restrictProtocolForwardingCreationForTypes`	המדיניות הזו מאפשרת העברת פרוטוקולים של מכונות וירטואליות רק לכתובות IP פנימיות. הערך הוא `INTERNAL` כדי להגביל את העברת הפרוטוקול בהתאם לסוג כתובת ה-IP.	בקרה של NIST SP 800-53: ‏ AC-3 ו-AC-6
`compute.disableVpcExternalIpv6`	המדיניות הזו מונעת יצירה של רשתות משנה חיצוניות של IPv6, שיכולות להיות חשופות לתעבורת נתונים נכנסת ויוצאת באינטרנט. הערך הוא `true` כדי להשבית רשתות משנה חיצוניות של IPv6.	בקרה של NIST SP 800-53: ‏ AC-3 ו-AC-6
`compute.disableNestedVirtualization`	המדיניות הזו משביתה וירטואליזציה מקוננת כדי להפחית את הסיכון לאבטחה בגלל מקרים מקוננים לא מפוקחים. הערך הוא `true` כדי להשבית את הווירטואליזציה המקוננת של מכונה וירטואלית.	בקרה של NIST SP 800-53: ‏ AC-3 ו-AC-6

הצגת תבנית המצב

כדי לראות את תבנית המצב של Secure by default, extended (מאובטח כברירת מחדל, מורחב):

gcloud

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

‫ORGANIZATION_ID: המזהה המספרי של הארגון

מריצים את הפקודה gcloud scc posture-templates describe:

‫Linux,‏ macOS או Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

‏Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Windows‏ (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

התשובה מכילה את תבנית המצב.

REST

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

‫ORGANIZATION_ID: המזהה המספרי של הארגון

ה-method של ה-HTTP וכתובת ה-URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

‫Curl (Linux,‏ macOS או Cloud Shell)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login, או באמצעות Cloud Shell שמחבר אתכם אוטומטית ל-CLI של gcloud. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

מריצים את הפקודה הבאה:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended"

‎PowerShell (Windows)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

מריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended" | Select-Object -Expand Content

התשובה מכילה את תבנית המצב.

המאמרים הבאים

יצירת מצב אבטחה באמצעות המצב המוגדר מראש הזה.

מצב אבטחה מוגדר מראש לשיפור האבטחה כברירת מחדל, גרסה מורחבת קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

הצגת תבנית המצב

gcloud

‫Linux,‏ macOS או Cloud Shell

‏Windows (PowerShell)

Windows‏ (cmd.exe)

REST

‫Curl (Linux,‏ macOS או Cloud Shell)

‎PowerShell (Windows)

המאמרים הבאים

מצב אבטחה מוגדר מראש לשיפור האבטחה כברירת מחדל, גרסה מורחבת