Auf dieser Seite werden die präventiven und aufdeckenden Richtlinien beschrieben, die in der Version 1.0 der vordefinierten Sicherheitskonfiguration für Cloud Storage, Essentials, enthalten sind. Diese Haltung umfasst zwei Richtliniengruppen:
Ein Richtliniensatz, der Organisationsrichtlinien enthält, die für Cloud Storage gelten.
Ein Richtliniensatz, der Security Health Analytics-Detektoren enthält, die für Cloud Storage gelten.
Mit dieser vordefinierten Konfiguration können Sie eine Sicherheitskonfiguration erstellen, die Cloud Storage schützt. Sie können diese vordefinierte Haltung ohne Änderungen bereitstellen.
Einschränkungen für Organisationsrichtlinien
In der folgenden Tabelle werden die Organisationsrichtlinien beschrieben, die in dieser Konfiguration enthalten sind.
| Richtlinie | Beschreibung | Compliancestandard |
|---|---|---|
storage.publicAccessPrevention |
Diese Richtlinie verhindert, dass Cloud Storage-Buckets für den öffentlichen Zugriff ohne Authentifizierung geöffnet werden. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-3, AC-17 und AC-20 |
storage.uniformBucketLevelAccess |
Diese Richtlinie verhindert, dass für Cloud Storage-Buckets ACLs pro Objekt (ein separates System von IAM-Richtlinien) für den Zugriff verwendet werden. So wird die Konsistenz für die Zugriffsverwaltung und ‑prüfung erzwungen. Der Wert ist |
NIST SP 800-53-Kontrolle: AC-3, AC-17 und AC-20 |
Security Health Analytics – Detektoren
In der folgenden Tabelle werden die Security Health Analytics-Detektoren beschrieben, die in der vordefinierten Konfiguration enthalten sind. Weitere Informationen zu diesen Detektoren finden Sie unter Ergebnisse zu Sicherheitslücken.
| Detektorname | Beschreibung |
|---|---|
BUCKET_LOGGING_DISABLED |
Dieser Detektor prüft, ob ein Storage-Bucket ohne aktiviertes Logging vorhanden ist. |
LOCKED_RETENTION_POLICY_NOT_SET |
Dieser Detektor prüft, ob die gesperrte Aufbewahrungsrichtlinie für Logs festgelegt ist. |
OBJECT_VERSIONING_DISABLED |
Dieser Detektor prüft, ob die Objektversionsverwaltung für Storage-Buckets mit Senken aktiviert ist. |
BUCKET_CMEK_DISABLED |
Mit diesem Detector wird geprüft, ob Buckets mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verschlüsselt sind. |
BUCKET_POLICY_ONLY_DISABLED |
Dieser Detektor prüft, ob der einheitliche Zugriff auf Bucket-Ebene konfiguriert ist. |
PUBLIC_BUCKET_ACL |
Dieser Detektor prüft, ob ein Bucket öffentlich zugänglich ist. |
PUBLIC_LOG_BUCKET |
Dieser Detektor prüft, ob ein Bucket mit einer Logsenke öffentlich zugänglich ist. |
ORG_POLICY_LOCATION_RESTRICTION |
Dieser Detektor prüft, ob eine Compute Engine-Ressource gegen die Einschränkung |
Statusvorlage ansehen
So rufen Sie die Vorlage für die Sicherheitskonfiguration für Cloud Storage auf:
gcloud
Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
-
ORGANIZATION_ID: die numerische ID der Organisation
Führen Sie den Befehl gcloud scc posture-templates
describe aus:
Linux, macOS oder Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential
Die Antwort enthält die Vorlage für die Haltung.
REST
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
-
ORGANIZATION_ID: die numerische ID der Organisation
HTTP-Methode und URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Die Antwort enthält die Vorlage für die Haltung.