Cette page décrit les règles préventives et de détection incluses dans la version 1.0 de la stratégie "étendue" prédéfinie pour Cloud Storage. Cette posture inclut deux ensembles de règles :
Ensemble de règles incluant des règles d'administration qui s'appliquent à Cloud Storage.
Ensemble de règles qui inclut les détecteurs Security Health Analytics s'appliquant à Cloud Storage.
Vous pouvez utiliser cette stratégie prédéfinie pour configurer une "security posture" qui permet de protéger Cloud Storage. Si vous souhaitez déployer cette stratégie prédéfinie, vous devez personnaliser certaines des règles pour qu'elles s'appliquent à votre environnement.
Contraintes liées aux règles d'administration
Le tableau suivant décrit les règles d'administration incluses dans cette posture.
| Règle | Description | Norme de conformité |
|---|---|---|
storage.publicAccessPrevention |
Cette règle empêche l'accès public non authentifié aux buckets Cloud Storage. La valeur est définie sur |
Contrôles NIST SP 800-53 : AC-3, AC-17 et AC-20 |
storage.uniformBucketLevelAccess |
Cette stratégie empêche les buckets Cloud Storage d'utiliser des LCA par objet (un système distinct des stratégies IAM) pour fournir un accès, ce qui garantit la cohérence de la gestion des accès et de l'audit. La valeur est |
Contrôles NIST SP 800-53 : AC-3, AC-17 et AC-20 |
storage.retentionPolicySeconds |
Cette contrainte définit la durée (en secondes) de la règle de conservation des buckets. Vous devez configurer cette valeur lorsque vous adoptez cette stratégie prédéfinie. |
Contrôle NIST SP 800-53 : SI-12 |
Détecteurs Security Health Analytics
Le tableau suivant décrit les détecteurs Security Health Analytics inclus dans la stratégie prédéfinie. Pour en savoir plus sur ces détecteurs, consultez Failles identifiées.
| Nom du détecteur | Description |
|---|---|
BUCKET_LOGGING_DISABLED |
Ce détecteur vérifie s'il existe un bucket de stockage pour lequel la journalisation n'est pas activée. |
LOCKED_RETENTION_POLICY_NOT_SET |
Ce détecteur vérifie si la règle de conservation verrouillée est définie pour les journaux. |
OBJECT_VERSIONING_DISABLED |
Ce détecteur vérifie si la gestion des versions d'objets est activée sur les buckets de stockage avec des récepteurs. |
BUCKET_CMEK_DISABLED |
Ce détecteur vérifie si les buckets sont chiffrés à l'aide de clés de chiffrement gérées par le client (CMEK). |
BUCKET_POLICY_ONLY_DISABLED |
Ce détecteur vérifie si l'accès uniforme au niveau du bucket est configuré. |
PUBLIC_BUCKET_ACL |
Ce détecteur vérifie si un bucket est accessible au public. |
PUBLIC_LOG_BUCKET |
Ce détecteur vérifie si un bucket avec un récepteur de journaux est accessible au public. |
ORG_POLICY_LOCATION_RESTRICTION |
Ce détecteur vérifie si une ressource Compute Engine ne respecte pas la contrainte |
Afficher le modèle de stratégie
Pour afficher le modèle de stratégie étendue de Cloud Storage, procédez comme suit :
gcloud
Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
-
ORGANIZATION_ID: ID numérique de l'organisation
Exécutez la commande gcloud scc posture-templates
describe :
Linux, macOS ou Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended
La réponse contient le modèle de stratégie.
REST
Avant d'utiliser les données de requête, effectuez les remplacements suivants :
-
ORGANIZATION_ID: ID numérique de l'organisation
Méthode HTTP et URL :
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended
Pour envoyer votre requête, développez l'une des options suivantes :
La réponse contient le modèle de stratégie.