Esta página descreve as políticas preventivas e de deteção incluídas na versão 1.0 da postura predefinida para o Cloud Storage, expandida. Esta postura inclui dois conjuntos de políticas:
Um conjunto de políticas que inclui políticas de organização que se aplicam ao Cloud Storage.
Um conjunto de políticas que inclui detetores do Security Health Analytics que se aplicam ao Cloud Storage.
Pode usar esta postura predefinida para configurar uma postura de segurança que ajuda a proteger o Cloud Storage. Se quiser implementar esta postura predefinida, tem de personalizar algumas das políticas para que se apliquem ao seu ambiente.
Restrições de políticas da organização
A tabela seguinte descreve as políticas de organização incluídas nesta postura.
| Política | Descrição | Norma de conformidade |
|---|---|---|
storage.publicAccessPrevention |
Esta política impede que os contentores do Cloud Storage estejam abertos ao acesso público não autenticado. O valor é |
Controlo NIST SP 800-53: AC-3, AC-17 e AC-20 |
storage.uniformBucketLevelAccess |
Esta política impede que os contentores do Cloud Storage usem ACLs por objeto (um sistema separado das políticas de IAM) para fornecer acesso, aplicando a consistência para a gestão de acesso e a auditoria. O valor é |
Controlo NIST SP 800-53: AC-3, AC-17 e AC-20 |
storage.retentionPolicySeconds |
Esta restrição define a duração (em segundos) da política de retenção para contentores. Tem de configurar este valor quando adotar esta postura predefinida. |
Controlo NIST SP 800-53: SI-12 |
Detetores de análise de estado de segurança
A tabela seguinte descreve os detetores do Security Health Analytics incluídos na postura predefinida. Para mais informações sobre estes detetores, consulte o artigo Resultados de vulnerabilidades.
| Nome do detetor | Descrição |
|---|---|
BUCKET_LOGGING_DISABLED |
Este detetor verifica se existe um contentor de armazenamento sem o registo ativado. |
LOCKED_RETENTION_POLICY_NOT_SET |
Este detetor verifica se a política de retenção bloqueada está definida para os registos. |
OBJECT_VERSIONING_DISABLED |
Este detetor verifica se o controlo de versões de objetos está ativado em contentores de armazenamento com destinos. |
BUCKET_CMEK_DISABLED |
Este detetor verifica se os contentores estão encriptados com chaves de encriptação geridas pelo cliente (CMEK). |
BUCKET_POLICY_ONLY_DISABLED |
Este detetor verifica se o acesso uniforme ao nível do contentor está configurado. |
PUBLIC_BUCKET_ACL |
Este detetor verifica se um contentor está acessível publicamente. |
PUBLIC_LOG_BUCKET |
Este detetor verifica se um contentor com um destino de registo está acessível publicamente. |
ORG_POLICY_LOCATION_RESTRICTION |
Este detetor verifica se um recurso do Compute Engine está em não conformidade com a restrição |
Veja o modelo de postura
Para ver o modelo de postura do Cloud Storage, expandido, faça o seguinte:
gcloud
Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:
-
ORGANIZATION_ID: o ID numérico da organização
Execute o comando
gcloud scc posture-templates
describe:
Linux, macOS ou Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended
A resposta contém o modelo de postura.
REST
Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:
-
ORGANIZATION_ID: o ID numérico da organização
Método HTTP e URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended
Para enviar o seu pedido, expanda uma destas opções:
A resposta contém o modelo de postura.