Postura predefinita per la sicurezza per impostazione predefinita, estesa

Questa pagina descrive le policy preventive incluse nella versione v1.0 della postura predefinita per la sicurezza per impostazione predefinita, estesa. Questa postura predefinita aiuta a prevenire errori di configurazione comuni e problemi di sicurezza comuni causati dalle impostazioni predefinite.

Puoi utilizzare questa postura predefinita per configurare una postura di sicurezza che aiuti a proteggere Google Cloud le risorse. Se vuoi eseguire il deployment di questa postura predefinita, devi personalizzare alcune policy in modo che si applichino al tuo ambiente.

Norme Descrizione Standard di conformità
iam.disableServiceAccountKeyCreation

Questo vincolo impedisce agli utenti di creare chiavi permanenti per gli account di servizio per ridurre il rischio di esposizione delle credenziali degli account di servizio.

Il valore è true per disabilitare la creazione di chiavi degli account di servizio.

 Controllo NIST SP 800-53: AC-2
iam.automaticIamGrantsForDefaultServiceAccounts

Questo vincolo impedisce che ai service account predefiniti venga assegnato il ruolo IAM Editor eccessivamente permissivo al momento della creazione.

Il valore è true per disabilitare le concessioni IAM automatiche per i service account predefiniti.

 Controllo NIST SP 800-53: AC-3
iam.disableServiceAccountKeyUpload

Questo vincolo evita il rischio di perdita e riutilizzo del materiale delle chiavi personalizzate nelle chiavi degli account di servizio.

Il valore è true per disabilitare i caricamenti di chiavi degli account di servizio.

 Controllo NIST SP 800-53: AC-6
storage.publicAccessPrevention

Questa policy impedisce che i bucket Cloud Storage siano aperti all'accesso pubblico non autenticato.

Il valore è true per impedire l'accesso pubblico ai bucket.

 Controllo NIST SP 800-53: AC-3 e AC-6
iam.allowedPolicyMemberDomains

Questa policy limita le policy IAM in modo che consentano solo alle identità utente gestite nei domini selezionati di accedere alle risorse all'interno di questa organizzazione.

Il valore è directoryCustomerId per limitare la condivisione tra i domini.

 Controllo NIST SP 800-53: AC-3, AC-6 e IA-2
essentialcontacts.allowedContactDomains

Questa policy limita i contatti necessari in modo che consentano solo alle identità utente gestite nei domini selezionati di ricevere notifiche della piattaforma.

Il valore è @google.com. Devi modificare il valore in modo che corrisponda al tuo dominio.

 Controllo NIST SP 800-53: AC-3, AC-6 e IA-2
storage.uniformBucketLevelAccess

Questa policy impedisce ai bucket Cloud Storage di utilizzare gli ACL per oggetto (un sistema separato dalle policy IAM) per fornire l'accesso, garantendo la coerenza per la gestione e l'audit degli accessi.

Il valore è true per applicare l'accesso uniforme a livello di bucket.

 Controllo NIST SP 800-53: AC-3 e AC-6
compute.requireOsLogin

Questa policy richiede OS Login sulle VM appena create per gestire più facilmente le chiavi SSH, fornire autorizzazioni a livello di risorsa con le policy IAM e registrare l'accesso degli utenti.

Il valore è true per richiedere OS Login.

 Controllo NIST SP 800-53: AC-3 e AU-12
compute.disableSerialPortAccess

Questa policy impedisce agli utenti di accedere alla porta seriale della VM, che può essere utilizzata per l'accesso backdoor dal piano di controllo dell'API Compute Engine.

Il valore è true per disabilitare l'accesso alla porta seriale della VM.

 Controllo NIST SP 800-53: AC-3 e AC-6
compute.restrictXpnProjectLienRemoval

Questa policy impedisce l'eliminazione accidentale dei progetti host del VPC condiviso limitando la rimozione dei blocchi del progetto.

Il valore è true per limitare la rimozione dei blocchi del progetto VPC condiviso.

 Controllo NIST SP 800-53: AC-3 e AC-6
compute.vmExternalIpAccess

Questa policy impedisce la creazione di istanze Compute Engine con un indirizzo IP pubblico, che può esporle al traffico internet in entrata e in uscita.

Il valore è denyAll per disattivare tutti gli accessi dagli indirizzi IP pubblici.

 Controllo NIST SP 800-53: AC-3 e AC-6
compute.skipDefaultNetworkCreation

Questa policy disabilita la creazione automatica di una rete VPC predefinita e di regole firewall predefinite in ogni nuovo progetto, assicurando che le regole di rete e firewall vengano create intenzionalmente.

Il valore è true per evitare di creare la rete VPC predefinita.

 Controllo NIST SP 800-53: AC-3 e AC-6
compute.setNewProjectDefaultToZonalDNSOnly

Questa policy impedisce agli sviluppatori di applicazioni di scegliere impostazioni DNS legacy per le istanze Compute Engine che hanno un'affidabilità del servizio inferiore rispetto alle impostazioni DNS moderne.

Il valore è Zonal DNS only per i nuovi progetti.

 Controllo NIST SP 800-53: AC-3 e AC-6
sql.restrictPublicIp

Questa policy impedisce la creazione di istanze Cloud SQL con indirizzi IP pubblici, che possono esporle al traffico internet in entrata e in uscita.

Il valore è true per limitare l'accesso alle istanze Cloud SQL tramite indirizzi IP pubblici.

 Controllo NIST SP 800-53: AC-3 e AC-6
sql.restrictAuthorizedNetworks

Questa policy impedisce agli intervalli di reti pubbliche o non RFC 1918 di accedere ai database Cloud SQL.

Il valore è true per limitare le reti autorizzate nelle istanze Cloud SQL.

 Controllo NIST SP 800-53: AC-3 e AC-6
compute.restrictProtocolForwardingCreationForTypes

Questa policy consente l'inoltro del protocollo VM solo per gli indirizzi IP interni.

Il valore è INTERNAL per limitare l'inoltro del protocollo in base al tipo di indirizzo IP.

 Controllo NIST SP 800-53: AC-3 e AC-6
compute.disableVpcExternalIpv6

Questa policy impedisce la creazione di subnet IPv6 esterne che potrebbero essere esposte al traffico internet in entrata e in uscita.

Il valore è true per disabilitare le subnet IPv6 esterne.

 Controllo NIST SP 800-53: AC-3 e AC-6
compute.disableNestedVirtualization

Questa policy disabilita la virtualizzazione nidificata per ridurre il rischio per la sicurezza dovuto a istanze nidificate non monitorate.

Il valore è true per disattivare la virtualizzazione nidificata della VM.

 Controllo NIST SP 800-53: AC-3 e AC-6

Visualizza il modello di postura

Per visualizzare il modello di postura per la sicurezza per impostazione predefinita, estesa:

gcloud

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

  • ORGANIZATION_ID: l'ID numerico dell'organizzazione.

Esegui il gcloud scc posture-templates describe comando:

Linux, macOS o Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

La risposta contiene il modello di postura.

REST

Prima di utilizzare i dati della richiesta, apporta le sostituzioni seguenti:

  • ORGANIZATION_ID: l'ID numerico dell'organizzazione.

Metodo HTTP e URL: 

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Per inviare la richiesta, espandi una di queste opzioni:

La risposta contiene il modello di postura.

Passaggi successivi