Postura predefinida para Cloud Storage, extendida

En esta página, se describen las políticas preventivas y de detección que se incluyen en la versión 1.0 de la postura predefinida para Cloud Storage, extendida. Esta postura incluye dos conjuntos de políticas:

Es un conjunto de políticas que incluye políticas de la organización que se aplican a Cloud Storage.
Es un conjunto de políticas que incluye detectores de Security Health Analytics que se aplican a Cloud Storage.

Puedes usar esta postura predefinida para configurar una postura de seguridad que ayude a proteger Cloud Storage. Si deseas implementar esta postura predefinida, deberás personalizar algunas de las políticas para que se apliquen a tu entorno.

Restricciones de las políticas de la organización

En la siguiente tabla, se describen las políticas de la organización que se incluyen en esta postura.

Política Descripción Estándar de cumplimiento

Política	Descripción	Estándar de cumplimiento
`storage.publicAccessPrevention`	Esta política impide que los buckets de Cloud Storage estén abiertos al acceso público sin autenticación. El valor es `true` para evitar el acceso público a los buckets.	Control NIST SP 800-53: AC-3, AC-17 y AC-20
`storage.uniformBucketLevelAccess`	Esta política impide que los buckets de Cloud Storage usen una ACL por objeto (un sistema independiente de las políticas de IAM) para proporcionar acceso. Esto garantiza la coherencia en la administración y la auditoría del acceso. El valor es `true` para aplicar el acceso uniforme a nivel de bucket.	Control NIST SP 800-53: AC-3, AC-17 y AC-20
`storage.retentionPolicySeconds`	Esta restricción define la duración (en segundos) de la política de retención para los buckets. Debes configurar este valor cuando adoptes esta postura predefinida.	Control NIST SP 800-53: SI-12

storage.publicAccessPrevention

Esta política impide que los buckets de Cloud Storage estén abiertos al acceso público sin autenticación.

El valor es true para evitar el acceso público a los buckets.

Control NIST SP 800-53: AC-3, AC-17 y AC-20

storage.uniformBucketLevelAccess

Esta política impide que los buckets de Cloud Storage usen una ACL por objeto (un sistema independiente de las políticas de IAM) para proporcionar acceso. Esto garantiza la coherencia en la administración y la auditoría del acceso.

El valor es true para aplicar el acceso uniforme a nivel de bucket.

Control NIST SP 800-53: AC-3, AC-17 y AC-20

storage.retentionPolicySeconds

Esta restricción define la duración (en segundos) de la política de retención para los buckets.

Debes configurar este valor cuando adoptes esta postura predefinida.

Control NIST SP 800-53: SI-12

Detectores de Security Health Analytics

En la siguiente tabla, se describen los detectores de Security Health Analytics que se incluyen en la postura predefinida. Para obtener más información sobre estos detectores, consulta Hallazgos de vulnerabilidades.

Nombre del detector	Descripción
`BUCKET_LOGGING_DISABLED`	Este detector verifica si hay un bucket de almacenamiento sin registro habilitado.
`LOCKED_RETENTION_POLICY_NOT_SET`	Este detector verifica si se estableció la política de retención bloqueada para los registros.
`OBJECT_VERSIONING_DISABLED`	Este detector verifica si el control de versiones de objetos está habilitado en los buckets de almacenamiento con receptores.
`BUCKET_CMEK_DISABLED`	Este detector verifica si los buckets están encriptados con claves de encriptación administradas por el cliente (CMEK).
`BUCKET_POLICY_ONLY_DISABLED`	Este detector verifica si está configurado el acceso uniforme a nivel del bucket.
`PUBLIC_BUCKET_ACL`	Este detector verifica si un bucket es accesible de manera pública.
`PUBLIC_LOG_BUCKET`	Este detector verifica si se puede acceder de manera pública a un bucket con un receptor de registros.
`ORG_POLICY_LOCATION_RESTRICTION`	Este detector verifica si un recurso de Compute Engine no cumple con la restricción `constraints/gcp.resourceLocations`.

Visualiza la plantilla de postura

Para ver la plantilla de postura de Cloud Storage, extendida, haz lo siguiente:

gcloud

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

ORGANIZATION_ID: Es el ID numérico de la organización.

Ejecuta el comando gcloud scc posture-templates describe:

Linux, macOS o Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

La respuesta incluye la plantilla de postura.

REST

Antes de usar cualquiera de los datos de solicitud a continuación, haz los siguientes reemplazos:

ORGANIZATION_ID: Es el ID numérico de la organización.

Método HTTP y URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

Para enviar tu solicitud, expande una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Nota: Con el siguiente comando, se supone que accediste a gcloud CLI con tu cuenta de usuario a través de la ejecución de gcloud init o gcloud auth login , o a través del uso de Cloud Shell, que accede de forma automática a gcloud CLI . Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Ejecuta el siguiente comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended"

PowerShell (Windows)

Nota: El siguiente comando supone que accediste a gcloud CLI con tu cuenta de usuario a través de la ejecución de gcloud init o gcloud auth login . Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended" | Select-Object -Expand Content

La respuesta incluye la plantilla de postura.

¿Qué sigue?

Crea una postura de seguridad con esta postura predefinida.

Postura predefinida para Cloud Storage, extendida Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Restricciones de las políticas de la organización

Detectores de Security Health Analytics

Visualiza la plantilla de postura

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

¿Qué sigue?

Postura predefinida para Cloud Storage, extendida