Se usó la API de Cloud Translation para traducir esta página.

Postura predefinida para la configuración segura de forma predeterminada, extendida

En esta página, se describen las políticas preventivas que se incluyen en la versión 1.0 de la postura predefinida para la configuración segura predeterminada, extendida. Esta postura predefinida ayuda a evitar errores de configuración y problemas de seguridad comunes causados por la configuración predeterminada.

Puedes usar esta posición predefinida para configurar una posición de seguridad que ayude a proteger los recursos deGoogle Cloud . Si deseas implementar esta postura predefinida, debes personalizar algunas de las políticas para que se apliquen a tu entorno.

Política	Descripción	Estándares de cumplimiento
`iam.disableServiceAccountKeyCreation`	Esta restricción impide que los usuarios creen claves persistentes para las cuentas de servicio, lo que disminuye el riesgo de que se expongan las credenciales de las cuentas de servicio. El valor es `true` para inhabilitar la creación de claves de cuentas de servicio.	Control de la SP 800-53 del NIST: AC-2
`iam.automaticIamGrantsForDefaultServiceAccounts`	Esta restricción evita que las cuentas de servicio predeterminadas reciban el rol de Editor de Identity and Access Management (IAM) demasiado permisivo en el momento de la creación. El valor es `false` para inhabilitar el otorgamiento automático de IAM para las cuentas de servicio predeterminadas.	Control de la SP 800-53 del NIST: AC-3
`iam.disableServiceAccountKeyUpload`	Esta restricción evita el riesgo de que se filtre y reutilice material de claves personalizado en las claves de cuentas de servicio. El valor es `true` para inhabilitar las cargas de claves de cuentas de servicio.	Control de la SP 800-53 del NIST: AC-6
`storage.publicAccessPrevention`	Esta política impide que los buckets de Cloud Storage estén abiertos al acceso público sin autenticación. El valor es `true` para evitar el acceso público a los buckets.	Control de la SP 800-53 del NIST: AC-3 y AC-6
`iam.allowedPolicyMemberDomains`	Esta política limita las políticas de IAM para que solo permitan que las identidades de usuario administradas en los dominios seleccionados accedan a los recursos dentro de esta organización. El valor es `directoryCustomerId` para restringir el uso compartido entre dominios.	Control de la SP 800-53 del NIST: AC-3, AC-6 y IA-2
`essentialcontacts.allowedContactDomains`	Esta política limita los Contactos esenciales para que solo las identidades de usuario administradas de los dominios seleccionados puedan recibir notificaciones de la plataforma. El valor es `@google.com`. Debes cambiar el valor para que coincida con tu dominio.	Control de la SP 800-53 del NIST: AC-3, AC-6 y IA-2
`storage.uniformBucketLevelAccess`	Esta política impide que los buckets de Cloud Storage usen LCA por objeto (un sistema independiente de las políticas de IAM) para proporcionar acceso, lo que garantiza la coherencia en la administración y la auditoría del acceso. El valor es `true` para aplicar el acceso uniforme a nivel de bucket.	Control de la SP 800-53 del NIST: AC-3 y AC-6
`compute.requireOsLogin`	Esta política requiere el Acceso al SO en las VMs creadas recientemente para administrar más fácilmente las llaves SSH, proporcionar permisos a nivel del recurso con políticas de IAM y registrar el acceso de los usuarios. El valor es `true` para requerir el Acceso al SO.	Control de la SP 800-53 del NIST: AC-3 y AU-12
`compute.disableSerialPortAccess`	Esta política impide que los usuarios accedan al puerto en serie de la VM, que se puede usar para el acceso a puerta trasera desde el plano de control de la API de Compute Engine. El valor es `true` para inhabilitar el acceso al puerto en serie de la VM.	Control de la SP 800-53 del NIST: AC-3 y AC-6
`compute.restrictXpnProjectLienRemoval`	Esta política impide la eliminación accidental de proyectos host de VPC compartida, ya que restringe la eliminación de retenciones del proyecto. El valor es `true` para restringir la eliminación de la retención del proyecto de VPC compartida.	Control de la SP 800-53 del NIST: AC-3 y AC-6
`compute.vmExternalIpAccess`	Esta política impide la creación de instancias de Compute Engine con una dirección IP pública, lo que puede exponerlas al tráfico de Internet entrante y saliente. El valor es `denyAll` para desactivar todo el acceso desde direcciones IP públicas.	Control de la SP 800-53 del NIST: AC-3 y AC-6
`compute.skipDefaultNetworkCreation`	Esta política inhabilita la creación automática de una red de VPC predeterminada y reglas de firewall predeterminadas en cada proyecto nuevo, lo que garantiza que las reglas de red y de firewall se creen de forma intencional. El valor es `true` para evitar la creación de la red de VPC predeterminada.	Control de la SP 800-53 del NIST: AC-3 y AC-6
`compute.setNewProjectDefaultToZonalDNSOnly`	Esta política restringe a los desarrolladores de aplicaciones la elección de parámetros de configuración de DNS heredados para las instancias de Compute Engine que tienen una confiabilidad de servicio menor que los parámetros de configuración de DNS modernos. El valor es `Zonal DNS only` para los proyectos nuevos.	Control de la SP 800-53 del NIST: AC-3 y AC-6
`sql.restrictPublicIp`	Esta política impide la creación de instancias de Cloud SQL con direcciones IP públicas, que pueden exponerlas al tráfico de Internet entrante y saliente. El valor es `true` para restringir el acceso a las instancias de Cloud SQL por direcciones IP públicas.	Control de la SP 800-53 del NIST: AC-3 y AC-6
`sql.restrictAuthorizedNetworks`	Esta política impide que los rangos de red públicos o que no sean RFC 1918 accedan a las bases de datos de Cloud SQL. El valor es `true` para restringir las redes autorizadas en las instancias de Cloud SQL.	Control de la SP 800-53 del NIST: AC-3 y AC-6
`compute.restrictProtocolForwardingCreationForTypes`	Esta política permite el reenvío de protocolos de VM solo para direcciones IP internas. El valor es `INTERNAL` para restringir el reenvío de protocolo según el tipo de dirección IP.	Control de la SP 800-53 del NIST: AC-3 y AC-6
`compute.disableVpcExternalIpv6`	Esta política impide la creación de subredes IPv6 externas, que se pueden exponer al tráfico de Internet entrante y saliente. El valor es `true` para inhabilitar las subredes IPv6 externas.	Control de la SP 800-53 del NIST: AC-3 y AC-6
`compute.disableNestedVirtualization`	Esta política inhabilita la virtualización anidada para disminuir el riesgo de seguridad debido a las instancias anidadas sin supervisión. El valor es `true` para desactivar la virtualización anidada de la VM.	Control de la SP 800-53 del NIST: AC-3 y AC-6

Cómo ver la plantilla de postura

Para ver la plantilla de postura para la opción segura de forma predeterminada, extendida, haz lo siguiente:

gcloud

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

ORGANIZATION_ID: ID numérico de la organización

Ejecuta el comando gcloud scc posture-templates describe:

Linux, macOS o Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

La respuesta contiene la plantilla de postura.

REST

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

ORGANIZATION_ID: ID numérico de la organización

Método HTTP y URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Para enviar tu solicitud, expande una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Nota: Con el siguiente comando, se supone que accediste a la CLI de gcloud con tu cuenta de usuario a través de la ejecución de gcloud init o gcloud auth login, o a través del uso de Cloud Shell, que accede de forma automática a la CLI de gcloud. Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Ejecuta el siguiente comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended"

PowerShell (Windows)

Nota: El siguiente comando supone que accediste a la CLI de gcloud con tu cuenta de usuario mediante la ejecución de gcloud init o gcloud auth login. Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended" | Select-Object -Expand Content

La respuesta contiene la plantilla de postura.

¿Qué sigue?

Crea una postura de seguridad con esta postura predefinida.

Postura predefinida para la configuración segura de forma predeterminada, extendida Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Cómo ver la plantilla de postura

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

¿Qué sigue?

Postura predefinida para la configuración segura de forma predeterminada, extendida