Halaman ini menjelaskan kebijakan preventif dan detektif yang disertakan dalam versi v1.0 postur yang telah ditentukan sebelumnya untuk Cloud Storage. Postur ini mencakup dua set kebijakan:
Kumpulan kebijakan yang mencakup kebijakan organisasi yang berlaku untuk Cloud Storage.
Kumpulan kebijakan yang mencakup detektor Security Health Analytics yang berlaku untuk Cloud Storage.
Anda dapat menggunakan postur yang telah ditentukan ini untuk mengonfigurasi postur keamanan yang membantu melindungi Cloud Storage. Anda dapat men-deploy postur yang telah ditentukan ini tanpa membuat perubahan apa pun.
Batasan kebijakan organisasi
Tabel berikut menjelaskan kebijakan organisasi yang disertakan dalam postur ini.
Kebijakan | Deskripsi | Standar kepatuhan |
---|---|---|
storage.publicAccessPrevention |
Kebijakan ini mencegah bucket Cloud Storage dibuka untuk akses publik yang tidak diautentikasi. Nilainya adalah |
Kontrol NIST SP 800-53: AC-3, AC-17, dan AC-20 |
storage.uniformBucketLevelAccess |
Kebijakan ini mencegah bucket Cloud Storage menggunakan ACL per objek (sistem yang terpisah dari kebijakan IAM) untuk memberikan akses, sehingga menerapkan konsistensi untuk pengelolaan dan pengauditan akses. Nilainya adalah |
Kontrol NIST SP 800-53: AC-3, AC-17, dan AC-20 |
Pendeteksi Security Health Analytics
Tabel berikut menjelaskan detektor Security Health Analytics yang disertakan dalam postur yang telah ditentukan. Untuk mengetahui informasi lebih lanjut tentang detektor ini, lihat Temuan kerentanan.
Nama pendeteksi | Deskripsi |
---|---|
BUCKET_LOGGING_DISABLED |
Pendeteksi ini memeriksa apakah ada bucket penyimpanan tanpa mengaktifkan logging. |
LOCKED_RETENTION_POLICY_NOT_SET |
Pendeteksi ini memeriksa apakah kebijakan retensi yang terkunci disetel untuk log. |
OBJECT_VERSIONING_DISABLED |
Detektor ini memeriksa apakah pembuatan versi objek diaktifkan pada bucket penyimpanan dengan sink. |
BUCKET_CMEK_DISABLED |
Detektor ini memeriksa apakah bucket dienkripsi menggunakan kunci enkripsi yang dikelola pelanggan (CMEK). |
BUCKET_POLICY_ONLY_DISABLED |
Pendeteksi ini memeriksa apakah akses level bucket yang seragam dikonfigurasi. |
PUBLIC_BUCKET_ACL |
Pendeteksi ini memeriksa apakah bucket dapat diakses secara publik. |
PUBLIC_LOG_BUCKET |
Pendeteksi ini memeriksa apakah bucket dengan sink log dapat diakses secara publik. |
ORG_POLICY_LOCATION_RESTRICTION |
Detektor ini memeriksa apakah resource Compute Engine tidak sesuai dengan batasan |
Definisi YAML
Berikut adalah definisi YAML untuk postur yang telah ditentukan untuk Cloud Storage.
name: organizations/123/locations/global/postureTemplates/cloud_storage_essential
description: Posture Template to make your Cloud storage workload secure.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: Cloud storage preventative policy set
description: 2 org policies that new customers can automatically enable.
policies:
- policy_id: Enforce Public Access Prevention
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-17
- standard: NIST SP 800-53
control: AC-20
constraint:
org_policy_constraint:
canned_constraint_id: storage.publicAccessPrevention
policy_rules:
- enforce: true
description: This governance policy prevents access to existing and future resources via the public internet by disabling and blocking Access Control Lists (ACLs) and IAM permissions that grant access to allUsers and allAuthenticatedUsers.
- policy_id: Enforce uniform bucket-level access
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-17
- standard: NIST SP 800-53
control: AC-20
constraint:
org_policy_constraint:
canned_constraint_id: storage.uniformBucketLevelAccess
policy_rules:
- enforce: true
description: This boolean constraint requires buckets to use uniform bucket-level access where this constraint is set to TRUE.
- policy_set_id: Cloud storage detective policy set
description: 8 SHA modules that new customers can automatically enable.
policies:
- policy_id: Bucket logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_LOGGING_DISABLED
- policy_id: Locked retention policy not set
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LOCKED_RETENTION_POLICY_NOT_SET
- policy_id: Object versioning disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OBJECT_VERSIONING_DISABLED
- policy_id: Bucket CMEK disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_CMEK_DISABLED
- policy_id: Bucket policy only disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_POLICY_ONLY_DISABLED
- policy_id: Public bucket ACL
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_BUCKET_ACL
- policy_id: Public log bucket
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_LOG_BUCKET
- policy_id: Org policy location restriction
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ORG_POLICY_LOCATION_RESTRICTION