Halaman ini diterjemahkan oleh Cloud Translation API.

Postur yang telah ditentukan sebelumnya untuk aman secara default, esensial

Halaman ini menjelaskan kebijakan pencegahan yang disertakan dalam versi 1.0 dari postur bawaan yang telah ditentukan sebelumnya untuk aman secara default, esensial. Postur ini membantu mencegah kesalahan konfigurasi umum dan masalah keamanan umum yang disebabkan oleh setelan default.

Anda dapat menggunakan postur yang telah ditentukan sebelumnya ini untuk mengonfigurasi postur keamanan yang membantu melindungi Google Cloud resource. Anda dapat men-deploy postur yang telah ditentukan sebelumnya ini tanpa melakukan perubahan apa pun.

Kebijakan	Deskripsi	Standar kepatuhan
`iam.disableServiceAccountKeyCreation`	Batasan ini mencegah pengguna membuat kunci persisten untuk akun layanan guna mengurangi risiko kredensial akun layanan yang terekspos. Nilainya adalah `true` untuk menonaktifkan pembuatan kunci akun layanan.	Kontrol NIST SP 800-53: AC-2
`iam.automaticIamGrantsForDefaultServiceAccounts`	Batasan ini mencegah akun layanan default menerima peran Editor Identity and Access Management (IAM) yang terlalu permisif saat pembuatan. Nilainya adalah `false` untuk menonaktifkan pemberian IAM otomatis untuk akun layanan default.	Kontrol NIST SP 800-53: AC-3
`iam.disableServiceAccountKeyUpload`	Batasan ini menghindari risiko kebocoran dan penggunaan ulang materi kunci kustom dalam kunci akun layanan. Nilainya adalah `true` untuk menonaktifkan upload kunci akun layanan.	Kontrol NIST SP 800-53: AC-6
`storage.publicAccessPrevention`	Kebijakan ini mencegah bucket Cloud Storage terbuka untuk akses publik yang tidak diautentikasi. Nilainya adalah `true` untuk mencegah akses publik ke bucket.	Kontrol NIST SP 800-53: AC-3 dan AC-6
`storage.uniformBucketLevelAccess`	Kebijakan ini mencegah bucket Cloud Storage menggunakan ACL per objek (sistem terpisah dari kebijakan IAM) untuk memberikan akses, sehingga memastikan konsistensi untuk pengelolaan akses dan audit. Nilainya adalah `true` untuk menerapkan akses level bucket yang seragam.	Kontrol NIST SP 800-53: AC-3 dan AC-6
`compute.requireOsLogin`	Kebijakan ini memerlukan Login OS di VM yang baru dibuat agar lebih mudah mengelola kunci SSH, memberikan izin tingkat resource dengan kebijakan IAM, dan mencatat akses pengguna. Nilainya adalah `true` untuk mewajibkan Login OS.	Kontrol NIST SP 800-53: AC-3 dan AU-12
`compute.disableSerialPortAccess`	Kebijakan ini mencegah pengguna mengakses port serial VM yang dapat digunakan untuk akses pintu belakang dari bidang kontrol Compute Engine API. Nilainya adalah `true` untuk menonaktifkan akses port serial VM.	Kontrol NIST SP 800-53: AC-3 dan AC-6
`compute.restrictXpnProjectLienRemoval`	Kebijakan ini mencegah penghapusan project host VPC Bersama secara tidak sengaja dengan membatasi penghapusan lien project. Nilainya adalah `true` untuk membatasi penghapusan lien project VPC Bersama.	Kontrol NIST SP 800-53: AC-3 dan AC-6
`compute.vmExternalIpAccess`	Kebijakan ini mencegah pembuatan instance Compute Engine dengan alamat IP publik, yang dapat mengeksposnya ke traffic internet masuk dan traffic internet keluar. Nilainya adalah `denyAll` untuk menonaktifkan semua akses dari alamat IP publik. Jika Anda ingin mengubahnya agar mengizinkan instance VM tertentu memiliki akses publik, tetapkan nilai yang diizinkan: policy_rules: - values: allowed_values: - is:projects/`PROJECT_ID`/zones/`ZONE`/instances/`INSTANCE`	Kontrol NIST SP 800-53: AC-3 dan AC-6
`compute.skipDefaultNetworkCreation`	Kebijakan ini menonaktifkan pembuatan otomatis jaringan VPC default dan aturan firewall default di setiap project baru, sehingga memastikan bahwa aturan jaringan dan firewall dibuat secara sengaja. Nilainya adalah `true` untuk menghindari pembuatan jaringan VPC default.	Kontrol NIST SP 800-53: AC-3 dan AC-6
`compute.setNewProjectDefaultToZonalDNSOnly`	Kebijakan ini membatasi developer aplikasi agar tidak memilih setelan DNS lama untuk instance Compute Engine yang memiliki keandalan layanan lebih rendah daripada setelan DNS modern. Nilainya adalah `Zonal DNS only` untuk project baru.	Kontrol NIST SP 800-53: AC-3 dan AC-6
`sql.restrictPublicIp`	Kebijakan ini mencegah pembuatan instance Cloud SQL dengan alamat IP publik, yang dapat mengeksposnya ke traffic internet masuk dan traffic internet keluar. Nilainya adalah `true` untuk membatasi akses ke instance Cloud SQL berdasarkan alamat IP publik.	Kontrol NIST SP 800-53: AC-3 dan AC-6
`sql.restrictAuthorizedNetworks`	Kebijakan ini mencegah rentang jaringan publik atau non-RFC 1918 mengakses database Cloud SQL. Nilainya adalah `true` untuk membatasi jaringan yang diizinkan di instance Cloud SQL.	Kontrol NIST SP 800-53: AC-3 dan AC-6
`compute.restrictProtocolForwardingCreationForTypes`	Kebijakan ini hanya mengizinkan penerusan protokol VM untuk alamat IP internal. Nilainya adalah `INTERNAL` untuk membatasi penerusan protokol berdasarkan jenis alamat IP.	Kontrol NIST SP 800-53: AC-3 dan AC-6
`compute.disableVpcExternalIpv6`	Kebijakan ini mencegah pembuatan subnet IPv6 eksternal, yang dapat terekspos ke traffic internet masuk dan keluar. Nilainya adalah `true` untuk menonaktifkan subnet IPv6 eksternal.	Kontrol NIST SP 800-53: AC-3 dan AC-6
`compute.disableNestedVirtualization`	Kebijakan ini menonaktifkan virtualisasi bertingkat untuk semua VM Compute Engine guna mengurangi risiko keamanan yang terkait dengan instance bertingkat yang tidak dipantau. Nilainya adalah `true` untuk menonaktifkan virtualisasi bertingkat VM.	Kontrol NIST SP 800-53: AC-3 dan AC-6

Melihat template postur

Untuk melihat template postur untuk aman secara default, esensial, lakukan tindakan berikut:

gcloud

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

ORGANIZATION_ID: ID numerik organisasi

Jalankan perintah gcloud scc posture-templates describe:

Linux, macOS, atau Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential

Respons berisi template postur.

REST

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

ORGANIZATION_ID: ID numerik organisasi

Metode HTTP dan URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential

Untuk mengirim permintaan, perluas salah satu opsi berikut:

curl (Linux, macOS, atau Cloud Shell)

Catatan: Perintah berikut mengasumsikan bahwa Anda telah login ke gcloud CLI menggunakan akun pengguna Anda dengan menjalankan gcloud init atau gcloud auth login , atau dengan menggunakan Cloud Shell, yang secara otomatis membuat Anda login ke gcloud CLI . Anda dapat memeriksa akun yang saat ini aktif dengan menjalankan gcloud auth list.

Jalankan perintah berikut:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential"

PowerShell (Windows)

Catatan: Perintah berikut mengasumsikan bahwa Anda telah login ke gcloud CLI menggunakan akun pengguna Anda dengan menjalankan gcloud init atau gcloud auth login . Anda dapat memeriksa akun yang saat ini aktif dengan menjalankan gcloud auth list.

Jalankan perintah berikut:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential" | Select-Object -Expand Content

Respons berisi template postur.

Langkah berikutnya

Buat postur keamanan menggunakan postur standar ini.

Postur yang telah ditentukan sebelumnya untuk aman secara default, esensial Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.

Melihat template postur

gcloud

Linux, macOS, atau Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS, atau Cloud Shell)

PowerShell (Windows)

Langkah berikutnya

Postur yang telah ditentukan sebelumnya untuk aman secara default, esensial