Vordefinierter Sicherheitsstatus für „Von Grund auf sicher“, erweitert

Auf dieser Seite werden die präventiven Richtlinien beschrieben, die in der Version 1.0 der vordefinierten Konfiguration „Standardmäßig sicher, erweitert“ enthalten sind. Diese vordefinierte Konfiguration hilft, häufige Fehlkonfigurationen und häufige Sicherheitsprobleme zu vermeiden, die durch Standardeinstellungen verursacht werden.

Mit dieser vordefinierten Konfiguration können Sie eine Sicherheitskonfiguration erstellen, dieGoogle Cloud -Ressourcen schützt. Wenn Sie diese vordefinierte Konfiguration bereitstellen möchten, müssen Sie einige der Richtlinien an Ihre Umgebung anpassen.

Richtlinie Beschreibung Compliancestandards
iam.disableServiceAccountKeyCreation

Diese Einschränkung verhindert, dass Nutzer persistente Schlüssel für Dienstkonten erstellen, um das Risiko von offengelegten Dienstkontoanmeldedaten zu verringern.

Der Wert ist true, um das Erstellen von Dienstkontoschlüsseln zu deaktivieren.

 NIST SP 800-53-Kontrolle: AC-2
iam.automaticIamGrantsForDefaultServiceAccounts

Diese Einschränkung verhindert, dass Standarddienstkonten beim Erstellen die IAM-Rolle „Editor“ mit übermäßigen Berechtigungen erhalten.

Der Wert ist false, um automatische IAM-Zuweisungen für Standarddienstkonten zu deaktivieren.

 NIST SP 800-53-Kontrolle: AC-3
iam.disableServiceAccountKeyUpload

Diese Einschränkung verringert das Risiko, dass benutzerdefiniertes Schlüsselmaterial in Dienstkontoschlüsseln gehackt und wiederverwendet wird.

Der Wert ist true, um das Hochladen von Dienstkontoschlüsseln zu deaktivieren.

 NIST SP 800-53-Kontrolle: AC-6
storage.publicAccessPrevention

Diese Richtlinie verhindert, dass Cloud Storage-Buckets für den öffentlichen Zugriff ohne Authentifizierung geöffnet werden.

Der Wert ist true, um den öffentlichen Zugriff auf Buckets zu verhindern.

 NIST SP 800-53-Kontrolle: AC-3 und AC-6
iam.allowedPolicyMemberDomains

Diese Richtlinie schränkt IAM-Richtlinien so ein, dass nur verwaltete Nutzeridentitäten in ausgewählten Domains auf Ressourcen in dieser Organisation zugreifen können.

Der Wert ist directoryCustomerId, um die Freigabe zwischen Domains einzuschränken.

 NIST SP 800-53-Kontrolle: AC-3, AC-6 und IA-2
essentialcontacts.allowedContactDomains

Durch diese Richtlinie erhalten nur verwaltete Nutzeridentitäten in ausgewählten Domains Plattformbenachrichtigungen.

Der Wert ist @google.com. Sie müssen den Wert an Ihre Domain anpassen.

 NIST SP 800-53-Kontrolle: AC-3, AC-6 und IA-2
storage.uniformBucketLevelAccess

Diese Richtlinie verhindert, dass für Cloud Storage-Buckets ACLs pro Objekt (ein separates System von IAM-Richtlinien) für den Zugriff verwendet werden. So wird die Konsistenz für die Zugriffsverwaltung und ‑prüfung erzwungen.

Der Wert ist true, um den einheitlichen Zugriff auf Bucket-Ebene zu erzwingen.

 NIST SP 800-53-Kontrolle: AC-3 und AC-6
compute.requireOsLogin

Für diese Richtlinie ist OS Login auf neu erstellten VMs erforderlich, um SSH-Schlüssel einfacher zu verwalten, Berechtigungen auf Ressourcenebene mit IAM-Richtlinien bereitzustellen und den Nutzerzugriff zu protokollieren.

Der Wert ist true, um OS Login zu erzwingen.

 NIST SP 800-53-Kontrolle: AC-3 und AU-12
compute.disableSerialPortAccess

Diese Richtlinie verhindert, dass Nutzer auf den seriellen Port der VM zugreifen, der für den Backdoor-Zugriff über die Compute Engine API-Steuerungsebene verwendet werden kann.

Der Wert ist true, um den Zugriff auf serielle VM-Ports zu deaktivieren.

 NIST SP 800-53-Kontrolle: AC-3 und AC-6
compute.restrictXpnProjectLienRemoval

Diese Richtlinie verhindert das versehentliche Löschen von Hostprojekten für freigegebene VPC, indem das Entfernen von Projektsperren eingeschränkt wird.

Der Wert ist true, um das Entfernen von Sperren freigegebene VPC-Projekte einzuschränken.

 NIST SP 800-53-Kontrolle: AC-3 und AC-6
compute.vmExternalIpAccess

Diese Richtlinie verhindert das Erstellen von Compute Engine-Instanzen mit einer öffentlichen IP-Adresse, die sie für eingehenden und ausgehenden Internet-Traffic zugänglich machen kann.

Der Wert ist denyAll, um den gesamten Zugriff von öffentlichen IP-Adressen zu deaktivieren.

 NIST SP 800-53-Kontrolle: AC-3 und AC-6
compute.skipDefaultNetworkCreation

Diese Richtlinie deaktiviert das automatische Erstellen eines VPC-Netzwerk und von Standardfirewallregeln in jedem neuen Projekt. So wird sichergestellt, dass Netzwerk- und Firewallregeln bewusst erstellt werden.

Der Wert ist true, um das Erstellen des Standard-VPC-Netzwerk zu vermeiden.

 NIST SP 800-53-Kontrolle: AC-3 und AC-6
compute.setNewProjectDefaultToZonalDNSOnly

Diese Richtlinie schränkt Anwendungsentwickler ein, Legacy-DNS-Einstellungen für Compute Engine-Instanzen auszuwählen, die eine geringere Dienstzuverlässigkeit als moderne DNS-Einstellungen haben.

Der Wert ist Zonal DNS only für neue Projekte.

 NIST SP 800-53-Kontrolle: AC-3 und AC-6
sql.restrictPublicIp

Diese Richtlinie verhindert das Erstellen von Cloud SQL-Instanzen mit öffentlichen IP-Adressen, die sie für eingehenden und ausgehenden Internet-Traffic zugänglich machen können.

Der Wert ist true, um den Zugriff auf Cloud SQL-Instanzen über öffentliche IP-Adressen einzuschränken.

 NIST SP 800-53-Kontrolle: AC-3 und AC-6
sql.restrictAuthorizedNetworks

Diese Richtlinie verhindert den Zugriff auf Cloud SQL-Datenbanken aus öffentlichen oder nicht RFC 1918-konformen Netzwerkbereichen.

Der Wert ist true, um autorisierte Netzwerke auf Cloud SQL-Instanzen einzuschränken.

 NIST SP 800-53-Kontrolle: AC-3 und AC-6
compute.restrictProtocolForwardingCreationForTypes

Diese Richtlinie erlaubt die VM-Protokollweiterleitung nur für interne IP-Adressen.

Der Wert ist INTERNAL, um die Protokollweiterleitung basierend auf dem Typ der IP-Adresse einzuschränken.

 NIST SP 800-53-Kontrolle: AC-3 und AC-6
compute.disableVpcExternalIpv6

Diese Richtlinie verhindert das Erstellen externer IPv6-Subnetze, die eingehendem und ausgehendem Internet-Traffic ausgesetzt sein können.

Der Wert ist true, um externe IPv6-Subnetze zu deaktivieren.

 NIST SP 800-53-Kontrolle: AC-3 und AC-6
compute.disableNestedVirtualization

Mit dieser Richtlinie wird die verschachtelte Virtualisierung deaktiviert, um das Sicherheitsrisiko durch nicht überwachte verschachtelte Instanzen zu verringern.

Der Wert ist true, um die verschachtelte Virtualisierung von VMs zu deaktivieren.

 NIST SP 800-53-Kontrolle: AC-3 und AC-6

Statusvorlage ansehen

So rufen Sie die Statusvorlage für „Standardmäßig sicher“ (erweitert) auf:

gcloud

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • ORGANIZATION_ID: die numerische ID der Organisation

Führen Sie den Befehl gcloud scc posture-templates describe aus:

Linux, macOS oder Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Die Antwort enthält die Vorlage für die Haltung.

REST

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • ORGANIZATION_ID: die numerische ID der Organisation

HTTP-Methode und URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort enthält die Vorlage für die Haltung.

Nächste Schritte