Questa pagina descrive i criteri preventivi inclusi nella versione 1.0 della posizione predefinita per la sicurezza per impostazione predefinita, elementi essenziali. Questa strategia aiuta a evitare errori di configurazione e problemi di sicurezza comuni causati dalle impostazioni predefinite.
Puoi utilizzare questa postura predefinita per configurare una postura di sicurezza che contribuisca a proteggere le risorse Google Cloud. Puoi implementare questa postura predefinita senza apportare modifiche.
| Norme | Descrizione | Standard di conformità |
|---|---|---|
iam.disableServiceAccountKeyCreation |
Questo vincolo impedisce agli utenti di creare chiavi permanenti per gli account di servizio per ridurre il rischio di credenziali degli account di servizio esposte. Il valore è |
Controllo NIST SP 800-53: AC-2 |
iam.automaticIamGrantsForDefaultServiceAccounts |
Questo vincolo impedisce agli account di servizio predefiniti di ricevere il ruolo IAM Editor eccessivamente permissivo al momento della creazione. Il valore è |
Controllo NIST SP 800-53: AC-3 |
iam.disableServiceAccountKeyUpload |
Questo vincolo consente di evitare il rischio di fuga e riutilizzo del materiale delle chiavi personalizzate nelle chiavi degli account di servizio. Il valore è |
Controllo NIST SP 800-53: AC-6 |
storage.publicAccessPrevention |
Questo criterio impedisce che i bucket Cloud Storage siano aperti all'accesso pubblico non autenticato. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
storage.uniformBucketLevelAccess |
Questo criterio impedisce ai bucket Cloud Storage di utilizzare ACL per oggetto (un sistema distinto dai criteri IAM) per fornire l'accesso, garantendo la coerenza per la gestione e il controllo degli accessi. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
compute.requireOsLogin |
Questo criterio richiede l'accesso all'OS sulle VM appena create per gestire più facilmente le chiavi SSH, fornire autorizzazioni a livello di risorsa con i criteri IAM e registrare l'accesso degli utenti. Il valore è
|
Controllo NIST SP 800-53: AC-3 e AU-12 |
compute.disableSerialPortAccess |
Questo criterio impedisce agli utenti di accedere alla porta seriale della VM, che può essere utilizzata per l'accesso backdoor dal piano di controllo dell'API Compute Engine. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
compute.restrictXpnProjectLienRemoval |
Questa norma impedisce l'eliminazione accidentale dei progetti host con VPC condiviso limitando la rimozione dei blocchi sul progetto. Il valore è
|
Controllo NIST SP 800-53: AC-3 e AC-6 |
compute.vmExternalIpAccess |
Questo criterio impedisce la creazione di istanze Compute Engine con un indirizzo IP pubblico, con conseguente rischio di esposizione al traffico internet in entrata e in uscita. Il valore è
policy_rules:
- values:
allowed_values:
- is:projects/PROJECT_ID/zones/ZONE/instances/INSTANCE
|
Controllo NIST SP 800-53: AC-3 e AC-6 |
compute.skipDefaultNetworkCreation |
Questo disattiva la creazione automatica di una rete VPC predefinita e di regole firewall predefinite in ogni nuovo progetto, garantendo che le regole di rete e firewall vengano create intenzionalmente. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
compute.setNewProjectDefaultToZonalDNSOnly |
Questo criterio impedisce agli sviluppatori di applicazioni di scegliere impostazioni DNS legacy per le istanze Compute Engine con un'affidabilità del servizio inferiore rispetto alle impostazioni DNS moderne. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
sql.restrictPublicIp |
Questo criterio impedisce la creazione di istanze Cloud SQL con indirizzi IP pubblici, con conseguente rischio di esposizione al traffico internet in entrata e in uscita. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
sql.restrictAuthorizedNetworks |
Questo criterio impedisce agli intervalli di reti pubbliche o non RFC 1918 di accedere ai database Cloud SQL. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
compute.restrictProtocolForwardingCreationForTypes |
Questo criterio consente l'inoltro del protocollo VM solo per gli indirizzi IP interni. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
compute.disableVpcExternalIpv6 |
Questo criterio impedisce la creazione di subnet IPv6 esterne, che possono essere esposte al traffico internet in entrata e in uscita. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
compute.disableNestedVirtualization |
Questo criterio disattiva la virtualizzazione nidificata per tutte le VM Compute Engine per ridurre il rischio alla sicurezza correlato alle istanze nidificate non monitorate. Il valore è |
Controllo NIST SP 800-53: AC-3 e AC-6 |
Visualizza il modello di postura
Per visualizzare il modello di conformità per la sicurezza per impostazione predefinita, di base:
gcloud
Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
-
ORGANIZATION_ID: l'ID numerico dell'organizzazione
Esegui il comando
gcloud scc posture-templates
describe:
Linux, macOS o Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
La risposta contiene il modello di postura.
REST
Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
-
ORGANIZATION_ID: l'ID numerico dell'organizzazione
Metodo HTTP e URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
Per inviare la richiesta, espandi una di queste opzioni:
La risposta contiene il modello di postura.