Esta página foi traduzida pela API Cloud Translation.

Postura predefinida para segurança por padrão, elementos essenciais

Esta página descreve as políticas preventivas incluídas na versão 1.0 da postura predefinida para o essencial seguro por padrão. Isso de segurança ajuda a evitar configurações incorretas e problemas de segurança comuns causados com base nas configurações padrão.

É possível usar essa postura predefinida para configurar uma postura de segurança que ajude proteger recursos do Google Cloud. É possível implantar essa postura predefinida sem fazer mudanças.

Política	Descrição	Padrões de compliance
`iam.disableServiceAccountKeyCreation`	Essa restrição impede que os usuários criem chaves persistentes para contas de serviço para diminuir o risco de credenciais expostas da conta de serviço. A o valor é `true` para desativar a criação da chave da conta de serviço.	Controle do NIST SP 800-53: AC-2
`iam.automaticIamGrantsForDefaultServiceAccounts`	Essa restrição impede que contas de serviço padrão recebam editor de papéis excessivamente permissivo do Identity and Access Management (IAM) na criação. A o valor é `false` para desativar concessões automáticas do IAM para o serviço padrão contas de serviço.	Controle do NIST SP 800-53: AC-3
`iam.disableServiceAccountKeyUpload`	Essa restrição evita o risco de vazamento e reutilização de material de chave personalizada na conta de serviço. chaves. O valor é `true` para desativar a chave da conta de serviço. de conteúdo.	Controle do NIST SP 800-53: AC-6
`storage.publicAccessPrevention`	Essa política impede que os buckets do Cloud Storage sejam abertos ao público não autenticado acesso. O valor é `true` para impedir o acesso público a buckets de armazenamento.	Controle do NIST SP 800-53: AC-3 e AC-6
`storage.uniformBucketLevelAccess`	Esta política impede que os buckets do Cloud Storage usem ACL por objeto (um sistema separado das políticas do IAM) para fornecer acesso, aplicando consistência para o gerenciamento e a auditoria do acesso. O valor é `true` para aplicar acesso uniforme no nível do bucket.	Controle do NIST SP 800-53: AC-3 e AC-6
`compute.requireOsLogin`	Isso política requer o Login do SO em dispositivos recém-criados para gerenciar as chaves SSH com mais facilidade e conceder permissões no nível do recurso com políticas do IAM e registros do acesso do usuário. O valor é `true` para exigir o Login do SO.	Controle do NIST SP 800-53: AC-3 e AU-12
`compute.disableSerialPortAccess`	Esta política impede que os usuários acessem a porta serial da VM, que pode ser usada para backdoor no plano de controle da API Compute Engine. O valor é `true` para desativar o acesso à porta serial da VM.	Controle do NIST SP 800-53: AC-3 e AC-6
`compute.restrictXpnProjectLienRemoval`	Esta política evita a exclusão acidental do host da VPC compartilhada projetos, restringindo a remoção de garantias do projeto. O valor é `true` para restringir a remoção da garantia do projeto de VPC compartilhada.	Controle do NIST SP 800-53: AC-3 e AC-6
`compute.vmExternalIpAccess`	Essa política evita que os criação de instâncias do Compute Engine com um endereço IP público, que pode Expor o tráfego de entrada e a saída da Internet do tráfego de entrada. O valor é `denyAll` para desativar todo o acesso de endereços IP públicos. Se quiser alterar para permitir que determinadas instâncias de VM tenham acesso público, defina os valores permitidos: policy_rules: - values: allowed_values: - is:projects/`PROJECT_ID`/zones/`ZONE`/instances/`INSTANCE`	Controle do NIST SP 800-53: AC-3 e AC-6
`compute.skipDefaultNetworkCreation`	Isso desativa a criação automática de uma rede VPC padrão e também regras de firewall em cada novo projeto, garantindo que as regras de rede e de firewall sejam criadas intencionalmente. O valor é `true` para evitar a criação e a rede VPC padrão.	Controle do NIST SP 800-53: AC-3 e AC-6
`compute.setNewProjectDefaultToZonalDNSOnly`	Esta política impede que os desenvolvedores de aplicativos escolham o DNS legado para instâncias do Compute Engine com menor confiabilidade de serviço configurações modernas de DNS. O valor é `Zonal DNS only` para os novos projetos.	Controle do NIST SP 800-53: AC-3 e AC-6
`sql.restrictPublicIp`	Essa política evita que os criação de instâncias do Cloud SQL com endereços IP públicos, Expor o tráfego de entrada e a saída da Internet do tráfego de entrada. O valor é `true` para restringir o acesso a instâncias do Cloud SQL por endereços IP públicos.	Controle do NIST SP 800-53: AC-3 e AC-6
`sql.restrictAuthorizedNetworks`	Essa política impede que intervalos de rede públicas ou não RFC 1918 acessem o Cloud SQL bancos de dados. O valor é `true` para restringir redes autorizadas. em instâncias do Cloud SQL.	Controle do NIST SP 800-53: AC-3 e AC-6
`compute.restrictProtocolForwardingCreationForTypes`	Esta política permite o encaminhamento de protocolos de VM para endereços IP internos . O valor é `INTERNAL` para restringir o encaminhamento de protocolo. com base no tipo de endereço IP.	Controle do NIST SP 800-53: AC-3 e AC-6
`compute.disableVpcExternalIpv6`	Essa política impede a criação de sub-redes IPv6 externas, que podem ser ao tráfego de entrada e saída da Internet. O valor é `true` para desativar sub-redes IPv6 externas.	Controle do NIST SP 800-53: AC-3 e AC-6
`compute.disableNestedVirtualization`	Esta política desativa a virtualização aninhada em todas as VMs do Compute Engine para diminuir o risco de segurança relacionado a recursos instâncias aninhadas. O valor é `true` para desativar a VM aninhada. virtualização.	Controle do NIST SP 800-53: AC-3 e AC-6

Conferir o modelo de postura

Para conferir o essencial do modelo de postura como segurança por padrão, faça o seguinte:

gcloud

Antes de usar os dados do comando abaixo, faça estas substituições:

ORGANIZATION_ID: o ID numérico da organização

Execute o gcloud scc posture-templates describe comando:

Linux, macOS ou Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential

A resposta contém o modelo de postura.

REST

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

ORGANIZATION_ID: o ID numérico da organização

Método HTTP e URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Observação: o comando a seguir pressupõe que você fez login na CLI gcloud com sua conta de usuário executando gcloud init ou gcloud auth login, ou usando o Cloud Shell, que faz login automaticamente na CLI gcloud. . É possível verificar a conta ativa atual executando gcloud auth list.

execute o seguinte comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential"

PowerShell (Windows)

Observação: o comando a seguir pressupõe que você fez login na CLI gcloud com sua conta de usuário executando gcloud init ou gcloud auth login . É possível verificar a conta ativa atual executando gcloud auth list.

execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_essential" | Select-Object -Expand Content

A resposta contém o modelo de postura.

A seguir

Crie uma postura de segurança usando essa predefinida.