En esta página se describen las políticas preventivas y de detección que se incluyen en la versión 1.0 de la postura predefinida de Cloud Storage, Essentials. Esta postura incluye dos conjuntos de políticas:
Un conjunto de políticas que incluye políticas de la organización que se aplican a Cloud Storage.
Un conjunto de políticas que incluye detectores de Security Health Analytics que se aplican a Cloud Storage.
Puedes usar esta postura predefinida para configurar una postura de seguridad que ayude a proteger Cloud Storage. Puedes implementar esta postura predefinida sin hacer ningún cambio.
Restricciones de las políticas de organización
En la siguiente tabla se describen las políticas de la organización que se incluyen en esta postura.
| Política | Descripción | Estándar de cumplimiento |
|---|---|---|
storage.publicAccessPrevention |
Esta política impide que los segmentos de Cloud Storage estén abiertos al acceso público sin autenticar. El valor es |
Control NIST SP 800-53: AC-3, AC-17 y AC-20 |
storage.uniformBucketLevelAccess |
Esta política impide que los segmentos de Cloud Storage usen LCA por objeto (un sistema independiente de las políticas de gestión de identidades y accesos) para proporcionar acceso, lo que garantiza la coherencia de la gestión de acceso y la auditoría. El valor es |
Control NIST SP 800-53: AC-3, AC-17 y AC-20 |
Detectores de Security Health Analytics
En la siguiente tabla se describen los detectores de Security Health Analytics que se incluyen en la postura predefinida. Para obtener más información sobre estos detectores, consulta Resultados de vulnerabilidades.
| Nombre del detector | Descripción |
|---|---|
BUCKET_LOGGING_DISABLED |
Este detector comprueba si hay un segmento de almacenamiento sin el registro habilitado. |
LOCKED_RETENTION_POLICY_NOT_SET |
Este detector comprueba si se ha definido la política de conservación bloqueada para los registros. |
OBJECT_VERSIONING_DISABLED |
Este detector comprueba si la gestión de versiones de objetos está habilitada en los segmentos de almacenamiento con receptores. |
BUCKET_CMEK_DISABLED |
Este detector comprueba si los segmentos están cifrados con claves de cifrado gestionadas por el cliente (CMEK). |
BUCKET_POLICY_ONLY_DISABLED |
Este detector comprueba si se ha configurado el acceso uniforme a nivel de segmento. |
PUBLIC_BUCKET_ACL |
Este detector comprueba si se puede acceder públicamente a un segmento. |
PUBLIC_LOG_BUCKET |
Este detector comprueba si se puede acceder públicamente a un bucket con un receptor de registro. |
ORG_POLICY_LOCATION_RESTRICTION |
Este detector comprueba si un recurso de Compute Engine no cumple la restricción |
Ver la plantilla de postura
Para ver la plantilla de postura de Cloud Storage, Essentials, haga lo siguiente:
gcloud
Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:
-
ORGANIZATION_ID: el ID numérico de la organización
Ejecuta el comando
gcloud scc posture-templates
describe:
Linux, macOS o Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential
La respuesta contiene la plantilla de postura.
REST
Antes de usar los datos de la solicitud, haz las siguientes sustituciones:
-
ORGANIZATION_ID: el ID numérico de la organización
Método HTTP y URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential
Para enviar tu solicitud, despliega una de estas opciones:
La respuesta contiene la plantilla de postura.