Postura predefinita per Cloud Storage, estesa

Questa pagina descrive le policy preventive e di rilevamento incluse nella versione v1.0 della postura predefinita per Cloud Storage, estesa. Questa postura include due insiemi di policy:

Un insieme di policy che include le policy dell'organizzazione che si applicano a Cloud Storage.
Un insieme di policy che include i rilevatori di Security Health Analytics che si applicano a Cloud Storage.

Puoi utilizzare questa postura predefinita per configurare una postura di sicurezza che ti aiuti a proteggere Cloud Storage. Se vuoi eseguire il deployment di questa postura predefinita, devi personalizzare alcune delle policy in modo che si applichino al tuo ambiente.

Vincoli dei criteri dell'organizzazione

La seguente tabella descrive le policy dell'organizzazione incluse in questa postura.

Norme Descrizione Standard di conformità

Norme	Descrizione	Standard di conformità
`storage.publicAccessPrevention`	Questa policy impedisce che i bucket Cloud Storage siano aperti all'accesso pubblico non autenticato. Il valore è `true` per impedire l'accesso pubblico ai bucket.	Controllo NIST SP 800-53: AC-3, AC-17 e AC-20
`storage.uniformBucketLevelAccess`	Questa policy impedisce ai bucket Cloud Storage di utilizzare gli ACL per oggetto (un sistema separato dalle policy IAM) per fornire l'accesso, applicando la coerenza per la gestione e l'audit degli accessi. Il valore è `true` per applicare l'accesso uniforme a livello di bucket.	Controllo NIST SP 800-53: AC-3, AC-17 e AC-20
`storage.retentionPolicySeconds`	Questo vincolo definisce la durata (in secondi) della policy di conservazione per i bucket. Devi configurare questo valore quando adotti questa postura predefinita.	Controllo NIST SP 800-53: SI-12

storage.publicAccessPrevention

Questa policy impedisce che i bucket Cloud Storage siano aperti all'accesso pubblico non autenticato.

Il valore è true per impedire l'accesso pubblico ai bucket.

Controllo NIST SP 800-53: AC-3, AC-17 e AC-20

storage.uniformBucketLevelAccess

Questa policy impedisce ai bucket Cloud Storage di utilizzare gli ACL per oggetto (un sistema separato dalle policy IAM) per fornire l'accesso, applicando la coerenza per la gestione e l'audit degli accessi.

Il valore è true per applicare l'accesso uniforme a livello di bucket.

Controllo NIST SP 800-53: AC-3, AC-17 e AC-20

storage.retentionPolicySeconds

Questo vincolo definisce la durata (in secondi) della policy di conservazione per i bucket.

Devi configurare questo valore quando adotti questa postura predefinita.

Controllo NIST SP 800-53: SI-12

Rilevatori di Security Health Analytics

La seguente tabella descrive i rilevatori di Security Health Analytics inclusi nella postura predefinita. Per ulteriori informazioni su questi rilevatori, consulta Risultati delle vulnerabilità.

Nome rilevatore	Descrizione
`BUCKET_LOGGING_DISABLED`	Questo rilevatore controlla se esiste un bucket di archiviazione senza la registrazione abilitata.
`LOCKED_RETENTION_POLICY_NOT_SET`	Questo rilevatore controlla se la policy di conservazione bloccata è impostata per i log.
`OBJECT_VERSIONING_DISABLED`	Questo rilevatore controlla se il controllo delle versioni degli oggetti è abilitato sui bucket di archiviazione con sink.
`BUCKET_CMEK_DISABLED`	Questo rilevatore controlla se i bucket sono criptati utilizzando le chiavi di crittografia gestite dal cliente (CMEK).
`BUCKET_POLICY_ONLY_DISABLED`	Questo rilevatore controlla se è configurato l'accesso uniforme a livello di bucket.
`PUBLIC_BUCKET_ACL`	Questo rilevatore controlla se un bucket è accessibile pubblicamente.
`PUBLIC_LOG_BUCKET`	Questo rilevatore controlla se un bucket con un sink di log è accessibile pubblicamente.
`ORG_POLICY_LOCATION_RESTRICTION`	Questo rilevatore controlla se una risorsa Compute Engine non è conforme al vincolo `constraints/gcp.resourceLocations`.

Visualizza il modello di postura

Per visualizzare il modello di postura per Cloud Storage, esteso, procedi nel seguente modo:

gcloud

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

ORGANIZATION_ID: l'ID numerico dell'organizzazione.

Esegui il gcloud scc posture-templates describe comando:

Linux, macOS o Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

La risposta contiene il modello di postura.

REST

Prima di utilizzare i dati della richiesta, apporta le sostituzioni seguenti:

ORGANIZATION_ID: l'ID numerico dell'organizzazione.

Metodo HTTP e URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

Per inviare la richiesta, espandi una di queste opzioni:

curl (Linux, macOS o Cloud Shell)

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che consente di accedere automaticamente all'interfaccia a riga di comando gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Esegui questo comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended"

PowerShell (Windows)

Nota: il comando seguente presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login . Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended" | Select-Object -Expand Content

La risposta contiene il modello di postura.

Passaggi successivi

Crea una postura di sicurezza utilizzando questa postura predefinita.

Postura predefinita per Cloud Storage, estesa Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Vincoli dei criteri dell'organizzazione

Rilevatori di Security Health Analytics

Visualizza il modello di postura

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Passaggi successivi

Postura predefinita per Cloud Storage, estesa