Halaman ini menjelaskan kebijakan pencegahan yang disertakan dalam postur yang telah ditentukan sebelumnya agar aman secara default dan diperluas. Postur yang telah ditentukan ini membantu mencegah kesalahan konfigurasi dan masalah keamanan umum yang disebabkan oleh setelan default.
Anda dapat menggunakan postur yang telah ditentukan ini untuk mengonfigurasi postur keamanan yang membantu melindungi resource Google Cloud. Jika ingin men-deploy postur yang telah ditentukan ini, Anda harus menyesuaikan beberapa kebijakan agar berlaku untuk lingkungan Anda.
Kebijakan | Deskripsi | Standar kepatuhan |
---|---|---|
iam.disableServiceAccountKeyCreation |
Batasan ini mencegah pengguna membuat kunci persisten untuk akun layanan guna mengurangi risiko kredensial akun layanan terekspos. Nilainya adalah |
Kontrol NIST SP 800-53: AC-2 |
iam.automaticIamGrantsForDefaultServiceAccounts |
Batasan ini mencegah akun layanan default menerima Editor peran Identity and Access Management (IAM) yang terlalu permisif saat pembuatan. Nilainya adalah |
Kontrol NIST SP 800-53: AC-3 |
iam.disableServiceAccountKeyUpload |
Batasan ini menghindari risiko kebocoran dan penggunaan kembali materi kunci kustom di kunci akun layanan. Nilainya adalah |
Kontrol NIST SP 800-53: AC-6 |
storage.publicAccessPrevention |
Kebijakan ini mencegah bucket Cloud Storage dibuka untuk akses publik yang tidak diautentikasi. Nilainya adalah |
Kontrol NIST SP 800-53: AC-3 dan AC-6 |
iam.allowedPolicyMemberDomains |
Kebijakan ini membatasi kebijakan IAM hanya mengizinkan identitas pengguna terkelola di domain tertentu untuk mengakses resource di dalam organisasi ini. Nilainya adalah |
Kontrol NIST SP 800-53: AC-3, AC-6, dan IA-2 |
essentialcontacts.allowedContactDomains |
Kebijakan ini membatasi Kontak Penting agar hanya mengizinkan identitas pengguna terkelola di domain tertentu untuk menerima notifikasi platform. Nilainya adalah
|
Kontrol NIST SP 800-53: AC-3, AC-6, dan IA-2 |
storage.uniformBucketLevelAccess |
Kebijakan ini mencegah bucket Cloud Storage menggunakan ACL per objek (sistem yang terpisah dari kebijakan IAM) untuk memberikan akses, sehingga menerapkan konsistensi untuk pengelolaan dan pengauditan akses. Nilainya adalah |
Kontrol NIST SP 800-53: AC-3 dan AC-6 |
compute.requireOsLogin |
Kebijakan ini mengharuskan Login OS pada VM yang baru dibuat agar lebih mudah mengelola kunci SSH, memberikan izin tingkat resource dengan kebijakan IAM, dan mencatat akses pengguna ke dalam log. Nilainya adalah
|
Kontrol NIST SP 800-53: AC-3 dan AU-12 |
compute.disableSerialPortAccess |
Kebijakan ini mencegah pengguna mengakses port serial VM yang dapat digunakan untuk akses backdoor dari bidang kontrol Compute Engine API. Nilainya adalah |
Kontrol NIST SP 800-53: AC-3 dan AC-6 |
compute.restrictXpnProjectLienRemoval |
Kebijakan ini mencegah penghapusan project host VPC Bersama secara tidak sengaja dengan membatasi penghapusan lien project. Nilainya adalah
|
Kontrol NIST SP 800-53: AC-3 dan AC-6 |
compute.vmExternalIpAccess |
Kebijakan ini mencegah pembuatan instance Compute Engine dengan alamat IP publik, yang dapat mengeksposnya ke traffic internet masuk dan traffic internet keluar. Nilainya adalah |
Kontrol NIST SP 800-53: AC-3 dan AC-6 |
compute.skipDefaultNetworkCreation |
Kebijakan ini menonaktifkan pembuatan otomatis jaringan VPC default dan aturan firewall default di setiap project baru, yang memastikan bahwa aturan jaringan dan firewall sengaja dibuat. Nilainya adalah |
Kontrol NIST SP 800-53: AC-3 dan AC-6 |
compute.setNewProjectDefaultToZonalDNSOnly |
Kebijakan ini membatasi developer aplikasi agar tidak memilih setelan DNS lama untuk instance Compute Engine yang memiliki keandalan layanan lebih rendah daripada setelan DNS modern. Nilainya adalah |
Kontrol NIST SP 800-53: AC-3 dan AC-6 |
sql.restrictPublicIp |
Kebijakan ini mencegah pembuatan instance Cloud SQL dengan alamat IP publik, yang dapat mengeksposnya ke traffic internet masuk dan traffic internet keluar. Nilainya adalah |
Kontrol NIST SP 800-53: AC-3 dan AC-6 |
sql.restrictAuthorizedNetworks |
Kebijakan ini mencegah rentang jaringan publik atau non-RFC 1918 mengakses database Cloud SQL. Nilainya adalah |
Kontrol NIST SP 800-53: AC-3 dan AC-6 |
compute.restrictProtocolForwardingCreationForTypes |
Kebijakan ini hanya mengizinkan penerusan protokol VM untuk alamat IP internal. Nilainya adalah |
Kontrol NIST SP 800-53: AC-3 dan AC-6 |
compute.disableVpcExternalIpv6 |
Kebijakan ini mencegah pembuatan subnet IPv6 eksternal, yang dapat terekspos ke traffic internet masuk dan keluar. Nilainya adalah
|
Kontrol NIST SP 800-53: AC-3 dan AC-6 |
compute.disableNestedVirtualization |
Kebijakan ini menonaktifkan virtualisasi bertingkat untuk mengurangi risiko keamanan karena instance bertingkat yang tidak terpantau. Nilainya adalah |
Kontrol NIST SP 800-53: AC-3 dan AC-6 |
Definisi YAML
Berikut adalah definisi YAML untuk postur standar untuk setelan default.
name: organizations/123/locations/global/postureTemplates/secure_by_default
description: Posture Template to make your cloud environment more secure.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: Secure-By-Default policy_set
description: 18 org policies that new customers can automatically enable.
policies:
- policy_id: Disable service account key creation
compliance_standards:
- standard: NIST SP 800-53
control: AC-2
constraint:
org_policy_constraint:
canned_constraint_id: iam.disableServiceAccountKeyCreation
policy_rules:
- enforce: true
description: Prevent users from creating persistent keys for service accounts to decrease the risk of exposed service account credentials.
- policy_id: Disable Automatic IAM Grants for Default Service Accounts
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
constraint:
org_policy_constraint:
canned_constraint_id: iam.automaticIamGrantsForDefaultServiceAccounts
policy_rules:
- enforce: true
description: Prevent default service accounts from receiving the overly-permissive IAM role Editor at creation.
- policy_id: Disable Service Account Key Upload
compliance_standards:
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: iam.disableServiceAccountKeyUpload
policy_rules:
- enforce: true
description: Avoid the risk of leaked and reused custom key material in service account keys.
- policy_id: Enforce Public Access Prevention
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: storage.publicAccessPrevention
policy_rules:
- enforce: true
description: Enforce that Storage Buckets cannot be configured as open to unauthenticated public access.
- policy_id: Domain restricted sharing
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
- standard: NIST SP 800-53
control: IA-2
constraint:
org_policy_constraint:
canned_constraint_id: iam.allowedPolicyMemberDomains
policy_rules:
- values:
allowed_values:
- directoryCustomerId
description: Limit IAM policies to only allow managed user identities in my selected domain(s) to access resources inside this organization.
- policy_id: Domain restricted contacts
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
- standard: NIST SP 800-53
control: IA-2
constraint:
org_policy_constraint:
canned_constraint_id: essentialcontacts.allowedContactDomains
policy_rules:
- values:
allowed_values:
- "@google.com"
description: Limit Essential Contacts to only allow managed user identities in my selected domain(s) to receive platform notifications.
- policy_id: Enforce uniform bucket-level access
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: storage.uniformBucketLevelAccess
policy_rules:
- enforce: true
description: Prevent GCS buckets from using per-object ACL (a separate system from IAM policies) to provide access, enforcing a consistency for access management and auditing.
- policy_id: Require OS Login
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AU-12
constraint:
org_policy_constraint:
canned_constraint_id: compute.requireOsLogin
policy_rules:
- enforce: true
description: Require OS Login on newly created VMs to more easily manage SSH keys, provide resource-level permission with IAM policies, and log user access.
- policy_id: Disable VM serial port access
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.disableSerialPortAccess
policy_rules:
- enforce: true
description: Prevent users from accessing the VM serial port which can be used for backdoor access from the Compute Engine API control plane
- policy_id: Restrict shared VPC project lien removal
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.restrictXpnProjectLienRemoval
policy_rules:
- enforce: true
description: Prevent the accidental deletion of Shared VPC host projects by restricting the removal of project liens.
- policy_id: Define allowed external IPs for VM instances
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.vmExternalIpAccess
policy_rules:
- deny_all: true
description: Prevent the creation of Compute instances with a public IP, which can expose them to internet ingress and egress.
- policy_id: Skip default network creation
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.skipDefaultNetworkCreation
policy_rules:
- enforce: true
description: Disable the automatic creation of a default VPC network and default firewall rules in each new project, ensuring that my network and firewall rules are intentionally created.
- policy_id: Sets the internal DNS setting for new projects to Zonal DNS Only
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.setNewProjectDefaultToZonalDNSOnly
policy_rules:
- enforce: true
description: Set guardrails that application developers cannot choose legacy DNS settings for compute instances that have lower service reliability than modern DNS settings.
- policy_id: Restrict Public IP access on Cloud SQL instances
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: sql.restrictPublicIp
policy_rules:
- enforce: true
description: Prevent the creation of Cloud SQL instances with a public IP, which can expose them to internet ingress and egress.
- policy_id: Restrict Authorized Networks on Cloud SQL instances
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: sql.restrictAuthorizedNetworks
policy_rules:
- enforce: true
description: Prevent public or non-RFC 1918 network ranges from accessing my Cloud SQL databases.
- policy_id: Restrict Protocol Forwarding Based on type of IP Address
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.restrictProtocolForwardingCreationForTypes
policy_rules:
- values:
allowed_values:
- INTERNAL
description: Allow VM protocol forwarding for internal IP addresses only.
- policy_id: Disable VPC External IPv6 usage
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.disableVpcExternalIpv6
policy_rules:
- enforce: true
description: Prevent the creation of external IPv6 subnets, which can be exposed to internet ingress and egress.
- policy_id: Disable VM nested virtualization
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-6
constraint:
org_policy_constraint:
canned_constraint_id: compute.disableNestedVirtualization
policy_rules:
- enforce: true
description: Disable nested virtualization to decrease my security risk due to unmonitored nested instances.