Questa pagina è stata tradotta dall'API Cloud Translation.

Postura predefinita per la sicurezza per impostazione predefinita, estesa

Questa pagina descrive le norme preventive incluse nella versione 1.0 della postura predefinita per la sicurezza per impostazione predefinita, estesa. Questa postura predefinita aiuta a prevenire errori di configurazione comuni e problemi di sicurezza comuni causati dalle impostazioni predefinite.

Puoi utilizzare questa postura predefinita per configurare una postura di sicurezza che contribuisca a proteggere le risorseGoogle Cloud . Se vuoi implementare questa postura predefinita, devi personalizzare alcune norme in modo che si applichino al tuo ambiente.

Norme	Descrizione	Standard di conformità
`iam.disableServiceAccountKeyCreation`	Questo vincolo impedisce agli utenti di creare chiavi permanenti per i service account per ridurre il rischio di esposizione delle credenziali deiaccount di serviziot. Il valore è `true` per disattivare la creazione di chiavi delaccount di serviziot.	Controllo NIST SP 800-53: AC-2
`iam.automaticIamGrantsForDefaultServiceAccounts`	Questo vincolo impedisce che agli account di servizio predefiniti venga assegnato il ruolo Editor di Identity and Access Management (IAM) eccessivamente permissivo al momento della creazione. Il valore è `false` per disabilitare le concessioni IAM automatiche per i service account predefiniti.	Controllo NIST SP 800-53: AC-3
`iam.disableServiceAccountKeyUpload`	Questo vincolo evita il rischio di perdita e riutilizzo del materiale delle chiavi personalizzate nelle chiavi deaccount di serviziont. Il valore è `true` per disabilitare i caricamenti di chiavi del account di servizio.	Controllo NIST SP 800-53: AC-6
`storage.publicAccessPrevention`	Questo criterio impedisce che i bucket Cloud Storage siano aperti all'accesso pubblico non autenticato. Il valore è `true` per impedire l'accesso pubblico ai bucket.	Controllo NIST SP 800-53: AC-3 e AC-6
`iam.allowedPolicyMemberDomains`	Questo criterio limita i criteri IAM in modo che consentano solo alle identità utente gestite nei domini selezionati di accedere alle risorse all'interno di questa organizzazione. Il valore è `directoryCustomerId` per limitare la condivisione tra domini.	Controllo NIST SP 800-53: AC-3, AC-6 e IA-2
`essentialcontacts.allowedContactDomains`	Questa policy limita i contatti fondamentali in modo da consentire solo alle identità utente gestite nei domini selezionati di ricevere notifiche della piattaforma. Il valore è `@google.com`. Devi modificare il valore in modo che corrisponda al tuo dominio.	Controllo NIST SP 800-53: AC-3, AC-6 e IA-2
`storage.uniformBucketLevelAccess`	Questo criterio impedisce ai bucket Cloud Storage di utilizzare ACL per oggetto (un sistema separato dai criteri IAM) per fornire l'accesso, garantendo la coerenza per la gestione e il controllo dell'accesso. Il valore è `true` per applicare l'accesso uniforme a livello di bucket.	Controllo NIST SP 800-53: AC-3 e AC-6
`compute.requireOsLogin`	Questo criterio richiede OS Login sulle VM appena create per gestire più facilmente le chiavi SSH, fornire autorizzazioni a livello di risorsa con i criteri IAM e registrare l'accesso degli utenti. Il valore è `true` per richiedere OS Login.	Controllo NIST SP 800-53: AC-3 e AU-12
`compute.disableSerialPortAccess`	Questa norma impedisce agli utenti di accedere alla porta seriale della VM, che può essere utilizzata per l'accesso backdoor dal piano di controllo dell'API Compute Engine. Il valore è `true` per disattivare l'accesso alla porta seriale VM.	Controllo NIST SP 800-53: AC-3 e AC-6
`compute.restrictXpnProjectLienRemoval`	Questa policy impedisce l'eliminazione accidentale dei progetti host del VPC condiviso limitando la rimozione dei blocchi sul progetto. Il valore è `true` per limitare la rimozione dei blocchi sul progetto del VPC condiviso.	Controllo NIST SP 800-53: AC-3 e AC-6
`compute.vmExternalIpAccess`	Questo criterio impedisce la creazione di istanze Compute Engine con un indirizzo IP pubblico, che può esporle al traffico internet in entrata e in uscita. Il valore è `denyAll` per disattivare l'accesso da tutti gli indirizzi IP pubblici.	Controllo NIST SP 800-53: AC-3 e AC-6
`compute.skipDefaultNetworkCreation`	Questo policy disabilita la creazione automatica di una rete VPC predefinita e di regole firewall predefinite in ogni nuovo progetto, garantendo che le regole di rete e firewall vengano create intenzionalmente. Il valore è `true` per evitare di creare la rete VPC predefinita.	Controllo NIST SP 800-53: AC-3 e AC-6
`compute.setNewProjectDefaultToZonalDNSOnly`	Questo criterio impedisce agli sviluppatori di applicazioni di scegliere impostazioni DNS legacy per le istanze Compute Engine che hanno un'affidabilità del servizio inferiore rispetto alle impostazioni DNS moderne. Il valore è `Zonal DNS only` per i nuovi progetti.	Controllo NIST SP 800-53: AC-3 e AC-6
`sql.restrictPublicIp`	Questo criterio impedisce la creazione di istanze Cloud SQL con indirizzi IP pubblici, che possono esporle al traffico internet in entrata e in uscita. Il valore è `true` per limitare l'accesso alle istanze Cloud SQL tramite indirizzi IP pubblici.	Controllo NIST SP 800-53: AC-3 e AC-6
`sql.restrictAuthorizedNetworks`	Questo criterio impedisce agli intervalli di reti pubbliche o non RFC 1918 di accedere ai database Cloud SQL. Il valore è `true` per limitare le reti autorizzate nelle istanze Cloud SQL.	Controllo NIST SP 800-53: AC-3 e AC-6
`compute.restrictProtocolForwardingCreationForTypes`	Questo criterio consente l'inoltro del protocollo VM solo per gli indirizzi IP interni. Il valore è `INTERNAL` per limitare il forwarding di protocollo in base al tipo di indirizzo IP.	Controllo NIST SP 800-53: AC-3 e AC-6
`compute.disableVpcExternalIpv6`	Questo criterio impedisce la creazione di subnet IPv6 esterne che potrebbero essere esposte al traffico internet in entrata e in uscita. Il valore è `true` per disabilitare le subnet IPv6 esterne.	Controllo NIST SP 800-53: AC-3 e AC-6
`compute.disableNestedVirtualization`	Questo criterio disattiva la virtualizzazione nidificata per ridurre i rischi per la sicurezza dovuti a istanze nidificate non monitorate. Il valore è `true` per disattivare la virtualizzazione nidificata della VM.	Controllo NIST SP 800-53: AC-3 e AC-6

Visualizza il modello di postura

Per visualizzare il modello di postura per la sicurezza predefinita estesa:

gcloud

Prima di utilizzare i dati dei comandi riportati di seguito, apporta le seguenti sostituzioni:

ORGANIZATION_ID: l'ID numerico dell'organizzazione

Esegui il comando gcloud scc posture-templates describe:

Linux, macOS o Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

La risposta contiene il modello di postura.

REST

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

ORGANIZATION_ID: l'ID numerico dell'organizzazione

Metodo HTTP e URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Per inviare la richiesta, espandi una di queste opzioni:

curl (Linux, macOS o Cloud Shell)

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che consente di accedere automaticamente all'interfaccia a riga di comando gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Esegui questo comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended"

PowerShell (Windows)

Nota: il comando seguente presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login . Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended" | Select-Object -Expand Content

La risposta contiene il modello di postura.

Passaggi successivi

Crea una postura di sicurezza utilizzando questa postura predefinita.

Postura predefinita per la sicurezza per impostazione predefinita, estesa Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Visualizza il modello di postura

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Passaggi successivi

Postura predefinita per la sicurezza per impostazione predefinita, estesa