Nesta página, descrevemos as políticas preventivas incluídas na versão 1.0 da postura predefinida "Seguro por padrão, Essentials". Essa postura ajuda a evitar problemas comuns de configuração e segurança causados por definições padrão.
É possível usar essa postura predefinida para configurar uma postura de segurança que ajuda a proteger os recursos do Google Cloud . É possível implantar essa postura predefinida sem fazer mudanças.
| Política | Descrição | Padrões de compliance |
|---|---|---|
iam.disableServiceAccountKeyCreation |
Essa restrição impede que os usuários criem chaves permanentes para contas de serviço, diminuindo o risco de exposição das credenciais da conta de serviço. O
valor é |
Controle NIST SP 800-53: AC-2 |
iam.automaticIamGrantsForDefaultServiceAccounts |
Essa restrição impede que as contas de serviço padrão recebam o papel de Editor do Identity and Access Management (IAM) excessivamente permissivo na criação. O
valor é |
Controle NIST SP 800-53: AC-3 |
iam.disableServiceAccountKeyUpload |
Essa restrição evita o risco de vazamento e reutilização de material de chave personalizada em chaves de conta de serviço. O valor é |
Controle NIST SP 800-53: AC-6 |
storage.publicAccessPrevention |
Essa política impede que os buckets do Cloud Storage sejam abertos para acesso público não autenticado. O valor é |
Controle NIST SP 800-53: AC-3 e AC-6 |
storage.uniformBucketLevelAccess |
Essa política impede que os buckets do Cloud Storage usem ACLs por objeto (um sistema separado das políticas do IAM) para fornecer acesso, garantindo a consistência do gerenciamento e da auditoria de acesso. O valor é |
Controle NIST SP 800-53: AC-3 e AC-6 |
compute.requireOsLogin |
Essa política exige o Login do SO em VMs recém-criadas para facilitar o gerenciamento de chaves SSH, fornecer permissão no nível do recurso com políticas do IAM e registrar o acesso do usuário. O valor é |
Controle NIST SP 800-53: AC-3 e AU-12 |
compute.disableSerialPortAccess |
Essa política impede que os usuários acessem a porta serial da VM, que pode ser usada para acesso por backdoor do plano de controle da API Compute Engine. O valor é |
Controle NIST SP 800-53: AC-3 e AC-6 |
compute.restrictXpnProjectLienRemoval |
Essa política impede a exclusão acidental de projetos host da VPC compartilhada ao restringir a remoção de garantias do projeto. O valor é |
Controle NIST SP 800-53: AC-3 e AC-6 |
compute.vmExternalIpAccess |
Essa política impede a criação de instâncias do Compute Engine com um endereço IP público, o que pode expô-las ao tráfego de entrada e saída da Internet. O valor é
policy_rules:
- values:
allowed_values:
- is:projects/PROJECT_ID/zones/ZONE/instances/INSTANCE
|
Controle NIST SP 800-53: AC-3 e AC-6 |
compute.skipDefaultNetworkCreation |
Essa política desativa a criação automática de uma rede VPC padrão e regras de firewall padrão em cada novo projeto, garantindo que as regras de rede e de firewall sejam criadas intencionalmente. O valor é |
Controle NIST SP 800-53: AC-3 e AC-6 |
compute.setNewProjectDefaultToZonalDNSOnly |
Essa política impede que os desenvolvedores de aplicativos escolham configurações de DNS legadas para instâncias do Compute Engine que têm confiabilidade de serviço menor do que as configurações de DNS modernas. O valor é |
Controle NIST SP 800-53: AC-3 e AC-6 |
sql.restrictPublicIp |
Essa política impede a criação de instâncias do Cloud SQL com endereços IP públicos, que podem expô-las ao tráfego de entrada e saída da Internet. O valor é |
Controle NIST SP 800-53: AC-3 e AC-6 |
sql.restrictAuthorizedNetworks |
Essa política impede que intervalos de rede públicos ou não RFC 1918 acessem bancos de dados do Cloud SQL. O valor é |
Controle NIST SP 800-53: AC-3 e AC-6 |
compute.restrictProtocolForwardingCreationForTypes |
Essa política permite o encaminhamento de protocolo da VM apenas para endereços IP internos. O valor é |
Controle NIST SP 800-53: AC-3 e AC-6 |
compute.disableVpcExternalIpv6 |
Essa política impede a criação de sub-redes IPv6 externas, que podem ser expostas ao tráfego de Internet de entrada e saída. O valor é
|
Controle NIST SP 800-53: AC-3 e AC-6 |
compute.disableNestedVirtualization |
Essa política desativa a virtualização aninhada para todas as VMs do Compute Engine e diminui o risco de segurança relacionado a instâncias aninhadas não monitoradas. O valor é |
Controle NIST SP 800-53: AC-3 e AC-6 |
Ver o modelo de postura
Para conferir o modelo de postura para "Segurança por padrão" e "Essentials", faça o seguinte:
gcloud
Antes de usar os dados do comando abaixo, faça estas substituições:
-
ORGANIZATION_ID: o ID numérico da organização
Execute o comando
gcloud scc posture-templates
describe:
Linux, macOS ou Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
A resposta contém o modelo de postura.
REST
Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:
-
ORGANIZATION_ID: o ID numérico da organização
Método HTTP e URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential
Para enviar a solicitação, expanda uma destas opções:
A resposta contém o modelo de postura.