En este documento, se proporciona una guía paso a paso para habilitar la corrección de bucket públicos en los manuales de corrección de resultados de la evaluación de la postura de seguridad en el nivel Enterprise de Security Command Center.
Descripción general
Security Command Center admite correcciones adicionales para las vulnerabilidades en los siguientes manuales:
- Hallazgos de postura: genéricos
- Resultados de postura con Jira
- Hallazgos de postura con ServiceNow
Estos manuales de estrategias sobre los hallazgos de la postura incluyen un bloque que corrige los hallazgos de OPEN PORT, PUBLIC IP ADDRESS y PUBLIC BUCKET ACL. Para obtener más información sobre estos tipos de resultados, consulta Resultados de vulnerabilidades.
Las guías están preconfiguradas para procesar los hallazgos de OPEN PORT y PUBLIC IP ADDRESS. Para corregir los hallazgos de PUBLIC_BUCKET_ACL, debes habilitar la corrección de bucket públicos para las guías.
Habilita la corrección de bucket públicos para las guías
Después de que el detector de estadísticas del estado de seguridad (SHA) identifica los buckets de Cloud Storage que son accesibles públicamente y genera los resultados de PUBLIC_BUCKET_ACL, Security Command Center Enterprise los incorpora y les adjunta guías. Para habilitar la corrección de bucket públicos en las guías de hallazgos de la postura, debes crear un rol personalizado de IAM, configurar un permiso específico para él y otorgar el rol personalizado que creaste a una principal existente.
Antes de comenzar
Se requiere una instancia configurada y en ejecución de la integración de Cloud Storage para corregir el acceso público al bucket. Para validar la configuración de la integración, consulta Actualiza el caso de uso de Enterprise.
Crea un rol de IAM personalizado
Para crear un rol de IAM personalizado y configurar un permiso específico para él, completa los siguientes pasos:
En la consola de Google Cloud , ve a la página Roles de IAM.
Haz clic en Crear rol para crear un rol personalizado con los permisos necesarios para la integración.
Para un nuevo rol personalizado, proporciona el Título, la Descripción y un ID único.
Establece la etapa de lanzamiento del rol en Disponibilidad general.
Agrega el siguiente permiso al rol creado:
resourcemanager.organizations.setIamPolicyHaz clic en Crear.
Otorga un rol personalizado a una principal existente
Después de otorgar tu nueva función personalizada a un principal seleccionado, este podrá cambiar los permisos de cualquier usuario de tu organización.
Para otorgar el rol personalizado a una principal existente, completa los siguientes pasos:
En la consola de Google Cloud , ve a la página IAM.
En el campo Filtro, pega el valor de Correo electrónico de identidad para cargas de trabajo que usas para la integración de Cloud Storage y busca la principal existente.
Haz clic en Editar principal. Se abrirá el cuadro de diálogo Editar acceso a “PROJECT”.
En Asignar roles, haz clic en Agregar otro rol.
Selecciona el rol personalizado que creaste y haz clic en Guardar.