Questa pagina descrive i criteri di prevenzione e rilevamento inclusi nella versione 1.0 della postura predefinita per Cloud Storage, Essentials. Questa strategia include due insiemi di criteri:
Un insieme di criteri che include i criteri dell'organizzazione applicati a Cloud Storage.
Un insieme di criteri che include i rilevatori di Security Health Analytics che si applicano a Cloud Storage.
Puoi utilizzare questa postura predefinita per configurare una postura di sicurezza che contribuisca a proteggere Cloud Storage. Puoi implementare questa postura predefinita senza apportare modifiche.
Vincoli dei criteri dell'organizzazione
La tabella seguente descrive i criteri dell'organizzazione inclusi in questa posizione.
Norme | Descrizione | Standard di conformità |
---|---|---|
storage.publicAccessPrevention |
Questo criterio impedisce che i bucket Cloud Storage siano aperti all'accesso pubblico non autenticato. Il valore è |
Controllo NIST SP 800-53: AC-3, AC-17 e AC-20 |
storage.uniformBucketLevelAccess |
Questo criterio impedisce ai bucket Cloud Storage di utilizzare ACL per oggetto (un sistema distinto dai criteri IAM) per fornire l'accesso, garantendo la coerenza per la gestione e il controllo dell'accesso. Il valore è |
Controllo NIST SP 800-53: AC-3, AC-17 e AC-20 |
Rilevamento di Security Health Analytics
La tabella seguente descrive i rilevatori di Security Health Analytics inclusi nella posizione predefinita. Per ulteriori informazioni su questi rilevatori, consulta Risultati delle vulnerabilità.
Nome rilevatore | Descrizione |
---|---|
BUCKET_LOGGING_DISABLED |
Questo rilevatore controlla se è presente un bucket di archiviazione senza il logging abilitato. |
LOCKED_RETENTION_POLICY_NOT_SET |
Questo rilevatore controlla se il criterio di conservazione bloccato è impostato per i log. |
OBJECT_VERSIONING_DISABLED |
Questo rilevatore controlla se il controllo delle versioni degli oggetti è abilitato nei bucket di archiviazione con i sink. |
BUCKET_CMEK_DISABLED |
Questo rilevatore controlla se i bucket sono criptati utilizzando le chiavi di crittografia gestite dal cliente (CMEK). |
BUCKET_POLICY_ONLY_DISABLED |
Questo rilevatore controlla se è configurato l'accesso uniforme a livello di bucket. |
PUBLIC_BUCKET_ACL |
Questo rilevatore controlla se un bucket è accessibile pubblicamente. |
PUBLIC_LOG_BUCKET |
Questo rilevatore controlla se un bucket con unsink di log è accessibile pubblicamente. |
ORG_POLICY_LOCATION_RESTRICTION |
Questo rilevatore controlla se una risorsa Compute Engine non è conforme al vincolo |
Visualizza il modello di postura
Per visualizzare il modello di conformità per Cloud Storage, segui questi passaggi:
gcloud
Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
-
ORGANIZATION_ID
: l'ID numerico dell'organizzazione
Esegui il comando
gcloud scc posture-templates
describe
:
Linux, macOS o Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential
La risposta contiene il modello di postura.
REST
Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
-
ORGANIZATION_ID
: l'ID numerico dell'organizzazione
Metodo HTTP e URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential
Per inviare la richiesta, espandi una di queste opzioni:
La risposta contiene il modello di postura.