Questa pagina descrive i criteri preventivi e di rilevamento inclusi nella versione 1.0 della postura predefinita per Cloud Storage, essentials. Questa postura include due insiemi di criteri:
Un insieme di criteri che include le policy dell'organizzazione che si applicano a Cloud Storage.
Un insieme di criteri che include i rilevatori di Security Health Analytics che si applicano a Cloud Storage.
Puoi utilizzare questa postura predefinita per configurare una postura di sicurezza che contribuisca a proteggere Cloud Storage. Puoi eseguire il deployment di questa postura predefinita senza apportare alcuna modifica.
Vincoli dei criteri dell'organizzazione
La seguente tabella descrive le norme dell'organizzazione incluse in questa postura.
| Norme | Descrizione | Standard di conformità |
|---|---|---|
storage.publicAccessPrevention |
Questo criterio impedisce che i bucket Cloud Storage siano aperti all'accesso pubblico non autenticato. Il valore è |
Controllo NIST SP 800-53: AC-3, AC-17 e AC-20 |
storage.uniformBucketLevelAccess |
Questo criterio impedisce ai bucket Cloud Storage di utilizzare ACL per oggetto (un sistema separato dai criteri IAM) per fornire l'accesso, garantendo la coerenza per la gestione e il controllo dell'accesso. Il valore è |
Controllo NIST SP 800-53: AC-3, AC-17 e AC-20 |
Rilevatori di Security Health Analytics
La tabella seguente descrive i rilevatori di Security Health Analytics inclusi nella postura predefinita. Per ulteriori informazioni su questi rilevatori, consulta Risultati delle vulnerabilità.
| Nome rilevatore | Descrizione |
|---|---|
BUCKET_LOGGING_DISABLED |
Questo rilevatore controlla se esiste un bucket di archiviazione senza logging abilitato. |
LOCKED_RETENTION_POLICY_NOT_SET |
Questo rilevatore controlla se il criterio di conservazione bloccato è impostato per i log. |
OBJECT_VERSIONING_DISABLED |
Questo rilevatore verifica se il controllo delle versioni degli oggetti è abilitato sui bucket di archiviazione con sink. |
BUCKET_CMEK_DISABLED |
Questo rilevatore controlla se i bucket sono criptati utilizzando le chiavi di crittografia gestite dal cliente (CMEK). |
BUCKET_POLICY_ONLY_DISABLED |
Questo rilevatore controlla se è configurato l'accesso uniforme a livello di bucket. |
PUBLIC_BUCKET_ACL |
Questo rilevatore controlla se un bucket è accessibile pubblicamente. |
PUBLIC_LOG_BUCKET |
Questo rilevatore controlla se un bucket con un sink di log è accessibile pubblicamente. |
ORG_POLICY_LOCATION_RESTRICTION |
Questo rilevatore controlla se una risorsa Compute Engine non è conforme al vincolo |
Visualizza il modello di postura
Per visualizzare il modello di postura per Cloud Storage, elementi essenziali, procedi nel seguente modo:
gcloud
Prima di utilizzare i dati dei comandi riportati di seguito, apporta le seguenti sostituzioni:
-
ORGANIZATION_ID: l'ID numerico dell'organizzazione
Esegui il comando
gcloud scc posture-templates
describe:
Linux, macOS o Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential
La risposta contiene il modello di postura.
REST
Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
-
ORGANIZATION_ID: l'ID numerico dell'organizzazione
Metodo HTTP e URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential
Per inviare la richiesta, espandi una di queste opzioni:
La risposta contiene il modello di postura.