תנוחה מוגדרת מראש ל-Cloud Storage, מורחבת

בדף הזה מתוארות המדיניות המונעת והמדיניות לגילוי איומים שכלולות בגרסה v1.0 של המצב המוגדר מראש ל-Cloud Storage, extended. הסטטוס הזה כולל שתי קבוצות של מדיניות:

קבוצת מדיניות שכוללת מדיניות ארגון שחלה על Cloud Storage.
קבוצת מדיניות שכוללת גלאים של Security Health Analytics שחלים על Cloud Storage.

אתם יכולים להשתמש במצב המוגדר מראש הזה כדי להגדיר מצב אבטחה שיעזור להגן על Cloud Storage. אם רוצים לפרוס את מצב האבטחה המוגדר מראש הזה, צריך להתאים אישית חלק מהמדיניות כדי שהיא תחול על הסביבה שלכם.

מגבלות שקשורות למדיניות הארגון

בטבלה הבאה מתוארות מדיניות הארגון שנכללות במצב האבטחה הזה.

מדיניות תיאור תקן תאימות

מדיניות	תיאור	תקן תאימות
`storage.publicAccessPrevention`	המדיניות הזו מונעת גישה ציבורית לא מאומתת לקטגוריות של Cloud Storage. הערך הוא `true` כדי למנוע גישה ציבורית לקטגוריות.	בקרה של NIST SP 800-53: ‏ AC-3,‏ AC-17 ו-AC-20
`storage.uniformBucketLevelAccess`	המדיניות הזו מונעת מקטגוריות של Cloud Storage להשתמש ברשימת ACL לכל אובייקט (מערכת נפרדת ממדיניות IAM) כדי לספק גישה, וכך אוכפת עקביות בניהול הגישה ובביקורת. הערך הוא `true` כדי לאכוף גישה אחידה ברמת הקטגוריה.	בקרה של NIST SP 800-53: ‏ AC-3,‏ AC-17 ו-AC-20
`storage.retentionPolicySeconds`	ההגבלה הזו מגדירה את משך הזמן (בשניות) של מדיניות שמירת הנתונים לקטגוריות. חובה להגדיר את הערך הזה כשמשתמשים במצב האבטחה המוגדר מראש הזה.	פקד NIST SP 800-53: ‏ SI-12

storage.publicAccessPrevention

המדיניות הזו מונעת גישה ציבורית לא מאומתת לקטגוריות של Cloud Storage.

הערך הוא true כדי למנוע גישה ציבורית לקטגוריות.

בקרה של NIST SP 800-53: ‏ AC-3,‏ AC-17 ו-AC-20

storage.uniformBucketLevelAccess

המדיניות הזו מונעת מקטגוריות של Cloud Storage להשתמש ברשימת ACL לכל אובייקט (מערכת נפרדת ממדיניות IAM) כדי לספק גישה, וכך אוכפת עקביות בניהול הגישה ובביקורת.

הערך הוא true כדי לאכוף גישה אחידה ברמת הקטגוריה.

בקרה של NIST SP 800-53: ‏ AC-3,‏ AC-17 ו-AC-20

storage.retentionPolicySeconds

ההגבלה הזו מגדירה את משך הזמן (בשניות) של מדיניות שמירת הנתונים לקטגוריות.

חובה להגדיר את הערך הזה כשמשתמשים במצב האבטחה המוגדר מראש הזה.

פקד NIST SP 800-53: ‏ SI-12

גלאים ב-Security Health Analytics

בטבלה הבאה מתוארים הגלאים של Security Health Analytics שכלולים במצב האבטחה המוגדר מראש. מידע נוסף על הגלאים האלה זמין במאמר מציאת נקודות חולשה.

שם המזהה	תיאור
`BUCKET_LOGGING_DISABLED`	הגלאי הזה בודק אם יש קטגוריית אחסון ללא הפעלת רישום ביומן.
`LOCKED_RETENTION_POLICY_NOT_SET`	גלאי זה בודק אם מדיניות שמירת הנתונים הנעולה מוגדרת ליומנים.
`OBJECT_VERSIONING_DISABLED`	הגלאי הזה בודק אם התכונה 'ניהול גרסאות של אובייקטים' מופעלת בקטגוריות אחסון עם יעד.
`BUCKET_CMEK_DISABLED`	הגלאי הזה בודק אם קטגוריות מוצפנות באמצעות מפתחות הצפנה בניהול הלקוח (CMEK).
`BUCKET_POLICY_ONLY_DISABLED`	הכלי הזה בודק אם הוגדרה גישה אחידה ברמת הקטגוריה.
`PUBLIC_BUCKET_ACL`	הכלי הזה בודק אם יש גישה ציבורית לקטגוריה.
`PUBLIC_LOG_BUCKET`	הגלאי הזה בודק אם יש גישה ציבורית לקטגוריה עם sink ביומן.
`ORG_POLICY_LOCATION_RESTRICTION`	הגלאי הזה בודק אם משאב של Compute Engine לא עומד בדרישות של האילוץ `constraints/gcp.resourceLocations`.

הצגת תבנית המצב

כדי לראות את תבנית המצב של Cloud Storage, extended:

gcloud

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

‫ORGANIZATION_ID: המזהה המספרי של הארגון

מריצים את הפקודה gcloud scc posture-templates describe:

‫Linux,‏ macOS או Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

‏Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

Windows‏ (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

התשובה מכילה את תבנית המצב.

REST

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

‫ORGANIZATION_ID: המזהה המספרי של הארגון

ה-method של ה-HTTP וכתובת ה-URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

‫Curl (Linux,‏ macOS או Cloud Shell)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login, או באמצעות Cloud Shell שמחבר אתכם אוטומטית ל-CLI של gcloud. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

מריצים את הפקודה הבאה:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended"

‎PowerShell (Windows)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

מריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended" | Select-Object -Expand Content

התשובה מכילה את תבנית המצב.

המאמרים הבאים

יצירת מצב אבטחה באמצעות המצב המוגדר מראש הזה.

תנוחה מוגדרת מראש ל-Cloud Storage, מורחבת קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

מגבלות שקשורות למדיניות הארגון

גלאים ב-Security Health Analytics

הצגת תבנית המצב

gcloud

‫Linux,‏ macOS או Cloud Shell

‏Windows (PowerShell)

Windows‏ (cmd.exe)

REST

‫Curl (Linux,‏ macOS או Cloud Shell)

‎PowerShell (Windows)

המאמרים הבאים

תנוחה מוגדרת מראש ל-Cloud Storage, מורחבת