Cette page a été traduite par l'API Cloud Translation.

Stratégie prédéfinie pour la sécurisation par défaut, étendue

Cette page décrit les règles préventives incluses dans la version 1.0 de la posture prédéfinie "Sécurisé par défaut, étendu". Cette posture prédéfinie permet d'éviter les erreurs de configuration courantes et les problèmes de sécurité courants causés par les paramètres par défaut.

Vous pouvez utiliser cette posture prédéfinie pour configurer une posture de sécurité qui permet de protéger les ressourcesGoogle Cloud . Si vous souhaitez déployer cette posture prédéfinie, vous devez personnaliser certaines règles pour qu'elles s'appliquent à votre environnement.

Règle	Description	Normes de conformité
`iam.disableServiceAccountKeyCreation`	Cette contrainte empêche les utilisateurs de créer des clés persistantes pour les comptes de service afin de réduire le risque d'exposition des identifiants de compte de service. La valeur est `true` pour désactiver la création de clés de compte de service.	Contrôle NIST SP 800-53 : AC-2
`iam.automaticIamGrantsForDefaultServiceAccounts`	Cette contrainte empêche les comptes de service par défaut de recevoir le rôle IAM Identity and Access Management;Éditeur" trop permissif lors de leur création. La valeur est `false` pour désactiver l'attribution automatique de rôles IAM pour les comptes de service par défaut.	Contrôle NIST SP 800-53 : AC-3
`iam.disableServiceAccountKeyUpload`	Cette contrainte permet d'éviter le risque de fuite et de réutilisation de matériel de clé personnalisé dans les clés de compte de service. La valeur est `true` pour désactiver l'importation de clés de compte de service.	Contrôle NIST SP 800-53 : AC-6
`storage.publicAccessPrevention`	Cette règle empêche l'accès public non authentifié aux buckets Cloud Storage. La valeur est `true` pour empêcher l'accès public aux buckets.	Contrôle NIST SP 800-53 : AC-3 et AC-6
`iam.allowedPolicyMemberDomains`	Cette règle limite les stratégies IAM de manière à n'autoriser que les identités utilisateur gérées dans les domaines sélectionnés à accéder aux ressources de cette organisation. La valeur est `directoryCustomerId` pour limiter le partage entre les domaines.	Contrôle NIST SP 800-53 : AC-3, AC-6 et IA-2
`essentialcontacts.allowedContactDomains`	Cette règle limite les contacts essentiels de manière à n'autoriser que les identités utilisateur gérées dans les domaines sélectionnés à recevoir des notifications de la plate-forme. La valeur est `@google.com`. Vous devez modifier la valeur pour qu'elle corresponde à votre domaine.	Contrôle NIST SP 800-53 : AC-3, AC-6 et IA-2
`storage.uniformBucketLevelAccess`	Cette stratégie empêche les buckets Cloud Storage d'utiliser des LCA par objet (un système distinct des stratégies IAM) pour fournir un accès, ce qui garantit la cohérence de la gestion des accès et de l'audit. La valeur est `true` pour appliquer l'accès uniforme au niveau du bucket.	Contrôle NIST SP 800-53 : AC-3 et AC-6
`compute.requireOsLogin`	Cette règle exige l'utilisation d'OS Login sur les VM nouvellement créées pour gérer plus facilement les clés SSH, fournir des autorisations au niveau des ressources avec les règles IAM et enregistrer les accès utilisateur. La valeur est `true` pour exiger OS Login.	Contrôles NIST SP 800-53 : AC-3 et AU-12
`compute.disableSerialPortAccess`	Cette règle empêche les utilisateurs d'accéder au port série de la VM, qui peut être utilisé pour un accès backdoor depuis le plan de contrôle de l'API Compute Engine. La valeur est `true` pour désactiver l'accès au port série des VM.	Contrôle NIST SP 800-53 : AC-3 et AC-6
`compute.restrictXpnProjectLienRemoval`	Cette règle empêche la suppression accidentelle des projets hôtes de VPC partagé en limitant la suppression des privilèges de projet. La valeur est `true` pour restreindre la suppression des privilèges du projet VPC partagé.	Contrôle NIST SP 800-53 : AC-3 et AC-6
`compute.vmExternalIpAccess`	Cette règle empêche la création d'instances Compute Engine avec une adresse IP publique, qui peuvent les exposer au trafic Internet entrant et sortant. La valeur est `denyAll` pour désactiver tout accès depuis les adresses IP publiques.	Contrôle NIST SP 800-53 : AC-3 et AC-6
`compute.skipDefaultNetworkCreation`	Cette règle désactive la création automatique d'un réseau VPC par défaut et de règles de pare-feu par défaut dans chaque nouveau projet, ce qui garantit que les règles de réseau et de pare-feu sont créées intentionnellement. La valeur est `true` pour éviter de créer le réseau VPC par défaut.	Contrôle NIST SP 800-53 : AC-3 et AC-6
`compute.setNewProjectDefaultToZonalDNSOnly`	Cette règle empêche les développeurs d'applications de choisir d'anciens paramètres DNS pour les instances Compute Engine dont la fiabilité du service est inférieure à celle des paramètres DNS modernes. La valeur est `Zonal DNS only` pour les nouveaux projets.	Contrôle NIST SP 800-53 : AC-3 et AC-6
`sql.restrictPublicIp`	Cette règle empêche la création d'instances Cloud SQL avec des adresses IP publiques, qui peuvent les exposer au trafic Internet entrant et sortant. La valeur est `true` pour limiter l'accès aux instances Cloud SQL par adresse IP publique.	Contrôle NIST SP 800-53 : AC-3 et AC-6
`sql.restrictAuthorizedNetworks`	Cette règle empêche les plages réseau publiques ou non-RFC 1918 d'accéder aux bases de données Cloud SQL. La valeur est `true` pour limiter les réseaux autorisés sur les instances Cloud SQL.	Contrôle NIST SP 800-53 : AC-3 et AC-6
`compute.restrictProtocolForwardingCreationForTypes`	Cette règle n'autorise le transfert de protocole de VM que pour les adresses IP internes. La valeur est `INTERNAL` pour restreindre le transfert de protocole en fonction du type d'adresse IP.	Contrôle NIST SP 800-53 : AC-3 et AC-6
`compute.disableVpcExternalIpv6`	Cette règle empêche la création de sous-réseaux IPv6 externes, qui peuvent être exposés au trafic Internet entrant et sortant. La valeur est `true` pour désactiver les sous-réseaux IPv6 externes.	Contrôle NIST SP 800-53 : AC-3 et AC-6
`compute.disableNestedVirtualization`	Cette règle désactive la virtualisation imbriquée afin de réduire le risque de sécurité lié à l'existence d'instances imbriquées non surveillées. La valeur est `true` pour désactiver la virtualisation imbriquée de la VM.	Contrôle NIST SP 800-53 : AC-3 et AC-6

Afficher le modèle de posture

Pour afficher le modèle de stratégie "Sécurisé par défaut, étendu" :

gcloud

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

ORGANIZATION_ID : ID numérique de l'organisation

Exécutez la commande gcloud scc posture-templates describe :

Linux, macOS ou Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

La réponse contient le modèle de posture.

REST

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

ORGANIZATION_ID : ID numérique de l'organisation

Méthode HTTP et URL :

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Pour envoyer votre requête, développez l'une des options suivantes :

curl (Linux, macOS ou Cloud Shell)

Remarque : La commande suivante suppose que vous êtes connecté à la CLI gcloud avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login, ou en utilisant Cloud Shell, qui vous connecte automatiquement à la CLI gcloud. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Exécutez la commande suivante :

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended"

PowerShell (Windows)

Remarque : La commande suivante suppose que vous vous êtes connecté à la CLI gcloud avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Exécutez la commande suivante :

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended" | Select-Object -Expand Content

La réponse contient le modèle de posture.

Étapes suivantes

Créez une stratégie de sécurité à l'aide de cette stratégie prédéfinie.

Stratégie prédéfinie pour la sécurisation par défaut, étendue Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Afficher le modèle de posture

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

Étapes suivantes

Stratégie prédéfinie pour la sécurisation par défaut, étendue