Auf dieser Seite werden die präventiven Richtlinien beschrieben, die in der Version 1.0 der vordefinierten Standardkonfiguration „Secure by Default, Essentials“ enthalten sind. Diese Konfiguration trägt dazu bei, häufige Fehlkonfigurationen und Sicherheitsprobleme zu vermeiden, die durch Standardeinstellungen verursacht werden.
Mit dieser vordefinierten Konfiguration können Sie eine Sicherheitskonfiguration erstellen, dieGoogle Cloud -Ressourcen schützt. Sie können diese vordefinierte Einstellung ohne Änderungen bereitstellen.
| Richtlinie | Beschreibung | Compliancestandards |
|---|---|---|
iam.disableServiceAccountKeyCreation |
Diese Einschränkung verhindert, dass Nutzer persistente Schlüssel für Dienstkonten erstellen, um das Risiko von offengelegten Dienstkontoanmeldedaten zu verringern. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-2 |
iam.automaticIamGrantsForDefaultServiceAccounts |
Diese Einschränkung verhindert, dass Standarddienstkonten beim Erstellen die IAM-Rolle „Editor“ mit übermäßigen Berechtigungen erhalten. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-3 |
iam.disableServiceAccountKeyUpload |
Diese Einschränkung verringert das Risiko, dass benutzerdefiniertes Schlüsselmaterial in Dienstkontoschlüsseln gehackt und wiederverwendet wird. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-6 |
storage.publicAccessPrevention |
Diese Richtlinie verhindert, dass Cloud Storage-Buckets für den öffentlichen Zugriff ohne Authentifizierung geöffnet werden. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-3 und AC-6 |
storage.uniformBucketLevelAccess |
Diese Richtlinie verhindert, dass für Cloud Storage-Buckets ACLs pro Objekt (ein separates System von IAM-Richtlinien) für den Zugriff verwendet werden. So wird die Konsistenz für die Zugriffsverwaltung und ‑prüfung erzwungen. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-3 und AC-6 |
compute.requireOsLogin |
Für diese Richtlinie ist OS Login auf neu erstellten VMs erforderlich, um SSH-Schlüssel einfacher zu verwalten, Berechtigungen auf Ressourcenebene mit IAM-Richtlinien bereitzustellen und den Nutzerzugriff zu protokollieren. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-3 und AU-12 |
compute.disableSerialPortAccess |
Diese Richtlinie verhindert, dass Nutzer auf den seriellen Port der VM zugreifen, der für den Backdoor-Zugriff über die Compute Engine API-Steuerungsebene verwendet werden kann. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-3 und AC-6 |
compute.restrictXpnProjectLienRemoval |
Diese Richtlinie verhindert das versehentliche Löschen von Hostprojekten für freigegebene VPC, indem das Entfernen von Projektsperren eingeschränkt wird. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-3 und AC-6 |
compute.vmExternalIpAccess |
Diese Richtlinie verhindert das Erstellen von Compute Engine-Instanzen mit einer öffentlichen IP-Adresse, die sie für eingehenden und ausgehenden Internet-Traffic zugänglich machen kann. Der Wert ist
policy_rules:
- values:
allowed_values:
- is:projects/PROJECT_ID/zones/ZONE/instances/INSTANCE
|
NIST SP 800-53-Kontrolle: AC-3 und AC-6 |
compute.skipDefaultNetworkCreation |
Diese Richtlinie deaktiviert das automatische Erstellen eines VPC-Netzwerk und von Standardfirewallregeln in jedem neuen Projekt. So wird sichergestellt, dass Netzwerk- und Firewallregeln bewusst erstellt werden. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-3 und AC-6 |
compute.setNewProjectDefaultToZonalDNSOnly |
Diese Richtlinie schränkt Anwendungsentwickler ein, Legacy-DNS-Einstellungen für Compute Engine-Instanzen auszuwählen, die eine geringere Dienstzuverlässigkeit als moderne DNS-Einstellungen haben. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-3 und AC-6 |
sql.restrictPublicIp |
Diese Richtlinie verhindert das Erstellen von Cloud SQL-Instanzen mit öffentlichen IP-Adressen, die sie für eingehenden und ausgehenden Internet-Traffic zugänglich machen können. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-3 und AC-6 |
sql.restrictAuthorizedNetworks |
Diese Richtlinie verhindert den Zugriff auf Cloud SQL-Datenbanken aus öffentlichen oder nicht RFC 1918-konformen Netzwerkbereichen. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-3 und AC-6 |
compute.restrictProtocolForwardingCreationForTypes |
Diese Richtlinie erlaubt die VM-Protokollweiterleitung nur für interne IP-Adressen. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-3 und AC-6 |
compute.disableVpcExternalIpv6 |
Diese Richtlinie verhindert das Erstellen externer IPv6-Subnetze, die eingehendem und ausgehendem Internet-Traffic ausgesetzt sein können. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-3 und AC-6 |
compute.disableNestedVirtualization |
Mit dieser Richtlinie wird die verschachtelte Virtualisierung für alle Compute Engine-VMs deaktiviert, um das Sicherheitsrisiko im Zusammenhang mit nicht überwachten verschachtelten Instanzen zu verringern. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-3 und AC-6 |
Statusvorlage ansehen
So rufen Sie die Konfigurationsvorlage für „Standardmäßig sicher“ auf:
gcloud
Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
-
ORGANIZATION_ID: die numerische ID der Organisation
Führen Sie den Befehl gcloud scc posture-templates
describe aus:
Linux, macOS oder Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
Die Antwort enthält die Vorlage für die Haltung.
REST
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
-
ORGANIZATION_ID: die numerische ID der Organisation
HTTP-Methode und URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Die Antwort enthält die Vorlage für die Haltung.