Se usó la API de Cloud Translation para traducir esta página.

Postura predefinida para seguridad de forma predeterminada,

En esta página, se describen las políticas preventivas que se incluyen en la versión 1.0 de la postura predefinida para que sea segura de forma predeterminada, extendida. Esta la postura predefinida ayuda a evitar parámetros de configuración incorrectos y comunes problemas causados por la configuración predeterminada.

Puedes usar esta postura predefinida para configurar una postura de seguridad que ayude proteger recursos de Google Cloud. Si quieres implementar esta postura predefinida, debes personalizar algunas de las políticas para que se apliquen a tu entorno.

Política	Descripción	Estándares de cumplimiento
`iam.disableServiceAccountKeyCreation`	Esta restricción impide que los usuarios creen claves persistentes para para disminuir el riesgo de que se expongan sus credenciales. El el valor es `true` para inhabilitar la creación de claves de cuentas de servicio.	Control de NIST SP 800-53: AC-2
`iam.automaticIamGrantsForDefaultServiceAccounts`	Esta restricción impide que las cuentas de servicio predeterminadas Editor de roles de Identity and Access Management (IAM) demasiado permisivo en la creación. El El valor es `false` para inhabilitar los otorgamientos automáticos de IAM para el servicio predeterminado. cuentas de servicio.	Control de NIST SP 800-53: AC-3
`iam.disableServiceAccountKeyUpload`	Esta restricción Evita el riesgo de material de claves personalizado filtrado y reutilizado en la cuenta de servicio claves. El valor es `true` para inhabilitar la clave de la cuenta de servicio. cargas.	Control de NIST SP 800-53: AC-6
`storage.publicAccessPrevention`	Esta política impide que los buckets de Cloud Storage estén abiertos a datos públicos no autenticados el acceso a los datos. El valor es `true` para evitar el acceso público a buckets.	Control de NIST SP 800-53: AC-3 y AC-6
`iam.allowedPolicyMemberDomains`	Esta política limita Las políticas de IAM solo permiten las identidades de usuario administradas en los grupos para acceder a los recursos de esta organización. El valor es `directoryCustomerId` para restringir el uso compartido entre dominios.	Control de la SP 800-53 del NIST: AC-3, IA-6 y AC-6
`essentialcontacts.allowedContactDomains`	Esta política limita a los contactos esenciales para que solo permitan identidades de usuario administradas en dominios seleccionados para recibir notificaciones de la plataforma. El valor es `@google.com` Debes cambiar el valor para que coincida con tu dominio.	Control de la SP 800-53 del NIST: AC-3, IA-6 y AC-6
`storage.uniformBucketLevelAccess`	Esta política impide que los buckets de Cloud Storage usen LCA por objeto (un sistema de políticas de IAM) para proporcionar acceso y aplicar coherencia a la administración y auditoría de accesos. El valor es `true` para aplicar acceso uniforme a nivel de bucket.	Control de NIST SP 800-53: AC-3 y AC-6
`compute.requireOsLogin`	Esta requiere Acceso al SO en las aplicaciones las VMs para administrar las claves SSH con más facilidad, otorguen permisos a nivel del recurso con políticas de IAM y registros del acceso de los usuarios. El valor es `true` para requerir Acceso al SO.	Control de NIST SP 800-53: AC-3 y AU-12
`compute.disableSerialPortAccess`	Esta política impide que los usuarios accedan al puerto en serie de la VM, que se puede usar como puerta trasera desde el plano de control de la API de Compute Engine. El valor es `true` para inhabilitar el acceso al puerto en serie de la VM.	Control de NIST SP 800-53: AC-3 y AC-6
`compute.restrictXpnProjectLienRemoval`	Esta política evita que se borre por accidente el host de la VPC compartida. proyectos restringiendo la eliminación de retenciones de proyectos. El valor es `true` para restringir la eliminación de la retención del proyecto de VPC compartida.	Control de NIST SP 800-53: AC-3 y AC-6
`compute.vmExternalIpAccess`	Esta política evita que las crear instancias de Compute Engine con una dirección IP pública, que puede Exponerlos al tráfico de Internet entrante y saliente tráfico. El valor es `denyAll` para desactivar todo el acceso. direcciones IP públicas.	Control de NIST SP 800-53: AC-3 y AC-6
`compute.skipDefaultNetworkCreation`	Esta inhabilita la creación automática de una red de VPC predeterminada reglas de firewall en cada proyecto nuevo, lo que garantiza que las reglas intencionalmente. El valor es `true` para evitar crear la red de VPC predeterminada.	Control de NIST SP 800-53: AC-3 y AC-6
`compute.setNewProjectDefaultToZonalDNSOnly`	Esta política no permite que los desarrolladores de aplicaciones elijan DNS heredado predeterminada para las instancias de Compute Engine que tienen una confiabilidad de servicio menor que configuración de DNS moderna. El valor es `Zonal DNS only` para nuevos. proyectos.	Control de NIST SP 800-53: AC-3 y AC-6
`sql.restrictPublicIp`	Esta política evita que las la creación de instancias de Cloud SQL con direcciones IP públicas, que pueden Exponerlos al tráfico de Internet entrante y saliente tráfico. El valor es `true` para restringir el acceso a Instancias de Cloud SQL por direcciones IP públicas.	Control de NIST SP 800-53: AC-3 y AC-6
`sql.restrictAuthorizedNetworks`	Esta política impide rangos de red públicos o que no sean RFC 1918 desde el acceso a Cloud SQL bases de datos. El valor es `true` para restringir las redes autorizadas en instancias de Cloud SQL.	Control de NIST SP 800-53: AC-3 y AC-6
`compute.restrictProtocolForwardingCreationForTypes`	Esta política permite el reenvío de protocolos de VM para direcciones IP internas solamente. El valor es `INTERNAL` para restringir el reenvío de protocolos según el tipo de dirección IP.	Control de NIST SP 800-53: AC-3 y AC-6
`compute.disableVpcExternalIpv6`	Esta política impide la creación de subredes IPv6 externas, al tráfico entrante y saliente de Internet. El valor es `true` para inhabilitar las subredes IPv6 externas.	Control de NIST SP 800-53: AC-3 y AC-6
`compute.disableNestedVirtualization`	Esta política inhabilita la virtualización anidada para disminuir el riesgo de seguridad debido a instancias anidadas. El valor es `true` para desactivar las VM anidadas y la virtualización.	Control de NIST SP 800-53: AC-3 y AC-6

Visualiza la plantilla de postura

Para ver la plantilla de postura de forma segura de forma predeterminada y extendida, haz lo siguiente:

gcloud

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

ORGANIZATION_ID: El ID numérico de la organización

Ejecuta el gcloud scc posture-templates describe :

Linux, macOS o Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

La respuesta contiene la plantilla de postura.

REST

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

ORGANIZATION_ID: El ID numérico de la organización

Método HTTP y URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Para enviar tu solicitud, expande una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Nota: Con el siguiente comando, se supone que accediste a la CLI de gcloud con tu cuenta de usuario a través de la ejecución de gcloud init o gcloud auth login, o a través del uso de Cloud Shell, que accede de forma automática a la CLI de gcloud. Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Ejecuta el siguiente comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended"

PowerShell (Windows)

Nota: El siguiente comando supone que accediste a la CLI de gcloud con tu cuenta de usuario mediante la ejecución de gcloud init o gcloud auth login. Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended" | Select-Object -Expand Content

La respuesta contiene la plantilla de postura.

¿Qué sigue?

Crea una postura de seguridad con esta postura predefinida.