Postura predefinita per Cloud Storage, elementi essenziali

Questa pagina descrive i criteri di prevenzione e rilevamento inclusi nella versione 1.0 della postura predefinita per Cloud Storage, Essentials. Questa strategia include due insiemi di criteri:

  • Un insieme di criteri che include i criteri dell'organizzazione applicati a Cloud Storage.

  • Un insieme di criteri che include i rilevatori di Security Health Analytics che si applicano a Cloud Storage.

Puoi utilizzare questa postura predefinita per configurare una postura di sicurezza che contribuisca a proteggere Cloud Storage. Puoi implementare questa postura predefinita senza apportare modifiche.

Vincoli dei criteri dell'organizzazione

La tabella seguente descrive i criteri dell'organizzazione inclusi in questa posizione.

Norme Descrizione Standard di conformità
storage.publicAccessPrevention

Questo criterio impedisce che i bucket Cloud Storage siano aperti all'accesso pubblico non autenticato.

Il valore è true per impedire l'accesso pubblico ai bucket.

Controllo NIST SP 800-53: AC-3, AC-17 e AC-20
storage.uniformBucketLevelAccess

Questo criterio impedisce ai bucket Cloud Storage di utilizzare ACL per oggetto (un sistema distinto dai criteri IAM) per fornire l'accesso, garantendo la coerenza per la gestione e il controllo dell'accesso.

Il valore è true per applicare l'accesso uniforme a livello di bucket.

Controllo NIST SP 800-53: AC-3, AC-17 e AC-20

Rilevamento di Security Health Analytics

La tabella seguente descrive i rilevatori di Security Health Analytics inclusi nella posizione predefinita. Per ulteriori informazioni su questi rilevatori, consulta Risultati delle vulnerabilità.

Nome rilevatore Descrizione
BUCKET_LOGGING_DISABLED

Questo rilevatore controlla se è presente un bucket di archiviazione senza il logging abilitato.

LOCKED_RETENTION_POLICY_NOT_SET

Questo rilevatore controlla se il criterio di conservazione bloccato è impostato per i log.

OBJECT_VERSIONING_DISABLED

Questo rilevatore controlla se il controllo delle versioni degli oggetti è abilitato nei bucket di archiviazione con i sink.

BUCKET_CMEK_DISABLED

Questo rilevatore controlla se i bucket sono criptati utilizzando le chiavi di crittografia gestite dal cliente (CMEK).

BUCKET_POLICY_ONLY_DISABLED

Questo rilevatore controlla se è configurato l'accesso uniforme a livello di bucket.

PUBLIC_BUCKET_ACL

Questo rilevatore controlla se un bucket è accessibile pubblicamente.

PUBLIC_LOG_BUCKET

Questo rilevatore controlla se un bucket con unsink di log è accessibile pubblicamente.

ORG_POLICY_LOCATION_RESTRICTION

Questo rilevatore controlla se una risorsa Compute Engine non è conforme al vincolo constraints/gcp.resourceLocations.

Visualizza il modello di postura

Per visualizzare il modello di conformità per Cloud Storage, segui questi passaggi:

gcloud

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

  • ORGANIZATION_ID: l'ID numerico dell'organizzazione

Esegui il comando gcloud scc posture-templates describe:

Linux, macOS o Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

La risposta contiene il modello di postura.

REST

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • ORGANIZATION_ID: l'ID numerico dell'organizzazione

Metodo HTTP e URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_essential

Per inviare la richiesta, espandi una di queste opzioni:

La risposta contiene il modello di postura.

Passaggi successivi